Je reproduis ici la version française de l’article publié par Maia Gez, Era Anagnosti, Melinda Anderson de la firme White & Case, paru dans HLS Forum  on Corporate Governance.

Nous entrons dans une nouvelle ère eu égard aux risques envisagés par les entreprises. Il est donc très important de revoir systématiquement les énoncés de risque dans le rapport annuel.

Voici dix développements clés à prendre en compte lors de la mise à jour des informations sur les facteurs de risque dans le rapport annuel.

Bonne lecture !

Updating Annual Report Risk Factors

 

 

La saison des rapports annuels approchera bientôt, et il est important d’évaluer dès le départ les facteurs de risque d’une entreprise et de déterminer si les développements récents, y compris ceux liés aux conditions macroéconomiques, géopolitiques et de santé publique, ont eu (ou devraient avoir) une incidence importante sur les activités, la situation financière et les résultats d’exploitation d’une entreprise. [1] Bien que chaque société devra évaluer ses propres risques importants et adapter sa divulgation des facteurs de risque à sa situation particulière, cette alerte fournit une liste de 10 développements clés dans  la partie I  et quatre considérations rédactionnelles importantes dans  la partie II  que toutes les sociétés ouvertes devraient considérer lorsqu’ils mettent à jour leurs facteurs de risque.

I. Dix développements clés à prendre en compte lors de la mise à jour des informations sur les facteurs de risque dans le rapport annuel

1. Conditions du marché : Les changements dans les conditions économiques mondiales, y compris la volatilité des marchés des capitaux propres, peuvent avoir une incidence négative sur les activités, les revenus et les bénéfices d’une entreprise. De telles conditions pourraient avoir une incidence sur les plans de croissance d’une entreprise et sur sa capacité à accéder aux marchés des capitaux pour lever des fonds à des fins générales ou en contrepartie de fusions et d’acquisitions. Une entreprise doit évaluer tous les risques importants liés à ces développements et s’ils doivent être divulgués dans ses facteurs de risque.
2. Inflation et taux d’intérêt : Les entreprises doivent envisager de divulguer ou de mettre à jour tout risque lié à l’inflation et à la hausse des taux d’intérêt, y compris leur impact sur les revenus ou les bénéfices. Ces risques pourraient inclure des augmentations actuelles et futures des coûts d’exploitation, tels que le carburant et l’énergie, le transport et l’expédition, les matériaux, les salaires et les coûts de main-d’œuvre, ainsi qu’un impact négatif sur les revenus en raison de la baisse de confiance des consommateurs et des dépenses discrétionnaires. De plus, la hausse des taux d’intérêt pourrait avoir un impact sur une entreprise en raison des changements dans la disponibilité du financement, du coût de la dette et des fluctuations des taux de change. [2]
3. Impact de la COVID-19: Alors que nous entrons dans la troisième année de la pandémie, il est peut-être encore trop tôt pour éliminer complètement les facteurs de risque spécifiques au COVID-19, mais les entreprises pourraient être en mesure de rationaliser considérablement leurs divulgations. Les entreprises devraient revoir leur divulgation actuelle des facteurs de risque COVID-19 et la mettre à jour pour tenir compte des risques actuels auxquels elles sont confrontées, notamment en éliminant ou en minimisant les risques qui ne devraient plus être importants. Par exemple, toutes les entreprises sont confrontées au risque d’émergence de nouvelles souches virales, à la disponibilité de traitements efficaces et aux effets réglementaires et macroéconomiques potentiels découlant de tels impacts. Cependant, en dehors de la Chine, les confinements, les restrictions d’abris sur place et les mandats de vaccination, qui prévalaient aux premiers stades de la pandémie, ont été levés pour la plupart des entreprises.
4. Questions environnementales, ESG et de durabilité : Des questions telles que le changement climatique continuent de recevoir une attention particulière de la part de la SEC et des investisseurs. Le 22 septembre 2021, la SEC a publié un modèle de lettre de commentaires aux entreprises, [3]   près de six mois (jour pour jour) avant de publier ses propositions de règles de divulgation sur le changement climatique qui obligeraient les entreprises publiques à divulguer des informations détaillées sur le climat dans leurs Dépôts auprès de la SEC. [4] Le modèle de lettre de commentaires de la SEC sur le changement climatique contenait des exemples de commentaires concernant la divulgation des entreprises sur le climat ou l’absence d’une telle divulgation, y compris des commentaires demandant des informations sur les effets importants des risques de transition liés au changement climatique. [5]  Suite à cet exemple de lettre de commentaires, notre examen des récentes lettres de commentaires de la SEC entre mars 2021 et août 2022 a révélé que la SEC avait émis 334 commentaires liés au changement climatique à plus de 100 entreprises au cours de cette période, avec plus de 50 de ces commentaires (15 %) liés à divulgation des facteurs de risque. [6]   Ces commentaires de la SEC comprenaient des demandes de description des effets importants des risques de transition, [7]   des risques de litige importants liés au changement climatique, [8]   et une description de la considération accordée à l’inclusion des informations et des risques divulgués dans les rapports de développement durable. [9]  De plus, notre enquête sur les formulaires 10-K 2022 de 50 entreprises du Fortune 100 a révélé que 30 % (ou 15 entreprises) ont ajouté des facteurs de risque entièrement nouveaux consacrés aux impacts liés au climat, et 28 % supplémentaires (ou 14 entreprises) ont augmenté références aux impacts liés au climat dans leurs facteurs de risque existants. [dix]La divulgation des facteurs de risque liés aux questions environnementales doit être adaptée aux circonstances particulières de l’entreprise et tenir compte des risques importants propres à l’entreprise. Les sujets peuvent inclure les risques liés à l’impact du changement climatique sur les activités d’une entreprise, tels que les risques d’augmentation des coûts ou de réduction de la demande de produits ; les risques physiques liés aux phénomènes météorologiques violents, à l’élévation du niveau de la mer et à d’autres conditions naturelles ; les risques de transition liés au changement climatique attribuables aux changements réglementaires, technologiques, de marché ou de tarification ; le risque de responsabilité légale et les frais de défense ; les risques de réputation, y compris ceux liés à l’examen minutieux des parties prenantes sur les questions ESG ou le risque de ne pas atteindre les objectifs et cibles annoncés ; et/ou des contrôles internes inadéquats liés à la divulgation des données ESG.
5. Conflit en Ukraine : Alors que le conflit entre l’Ukraine et la Russie se poursuit, les entreprises doivent tenir compte de leurs éventuelles obligations de divulgation supplémentaires liées aux impacts directs ou indirects que les actions en cours de la Russie en Ukraine et la réponse internationale ont ou peuvent avoir sur leurs activités et comment elles ont changé depuis le le conflit a commencé. Notamment, la SEC peut exiger des divulgations même par des entreprises qui n’ont pas d’activités en Russie, en Ukraine ou en Biélorussie. Le 10 mai 2022, la SEC a publié un modèle de lettre aux entreprises soulignant les obligations de divulgation potentielles des entreprises liées aux impacts directs ou indirects que les actions de la Russie en Ukraine et la réponse internationale ont ou pourraient avoir sur leurs activités. [11]  La SEC a spécifiquement noté que, dans la mesure du possible, les entreprises devraient fournir des informations détaillées sur les risques liés aux perturbations réelles ou potentielles des chaînes d’approvisionnement et sur les risques nouveaux ou accrus de cyberattaques potentielles par des acteurs étatiques ou autres. Notre examen des lettres de commentaires a révélé que la SEC avait émis 117 commentaires liés à l’Ukraine à plus de 60 entreprises entre mars et septembre 2022. Ces commentaires comprenaient des demandes d’ajout de divulgation des facteurs de risque concernant les opérations en Ukraine et les impacts matériels liés au conflit, [12]   demandes de divulguent spécifiquement tout risque accru de cyberattaques, [13]   les risques liés aux perturbations potentielles de la chaîne d’approvisionnement [14]  et les demandes de divulgation des risques de réputation potentiels liés aux opérations de l’entreprise en Russie. [15]   Les divulgations supplémentaires que les entreprises devraient envisager incluent les sanctions russes ; hausses des prix des produits de base; impacts sur la disponibilité et le coût de l’énergie; impacts sur les vendeurs et les fournisseurs ; impacts sur la réputation ; et les impacts continus sur la situation économique mondiale.
6. Cybersécurité : Alors que les incidents de cybersécurité, l’utilisation abusive des données et les attaques de rançongiciels continuent de proliférer et de devenir plus sophistiqués, le personnel de la SEC s’est concentré sur les divulgations de cybersécurité et de confidentialité et a fourni des commentaires à ce sujet. La SEC a publié des directives en 2018 qui comprenaient des considérations pour évaluer la divulgation des facteurs de risque de cybersécurité, [16]   et en mars 2022, la SEC a proposé des règles de divulgation obligatoires en matière de cybersécurité liées aux incidents matériels, à la gouvernance et à la stratégie de risque. [17]  La SEC a également publié des directives en décembre 2019 appelant spécifiquement les entreprises à évaluer les risques liés au vol ou à la compromission potentiels de leur technologie, de leurs données ou de leur propriété intellectuelle (« PI ») dans le cadre de leurs opérations internationales et à les divulguer le cas échéant. [18]   La SEC devrait continuer à être agressive dans l’examen de la divulgation par les entreprises publiques des incidents de cybersécurité, et en mai 2022, la SEC a presque doublé la taille de l’unité chargée de surveiller les divulgations des entreprises. [19]   En outre, la SEC a intenté des actions coercitives contre des entreprises publiques concernant le moment et le contenu des divulgations d’incidents de cybersécurité. [20]  Celles-ci font suite à d’autres mesures d’application très médiatisées pour des divulgations présumées inadéquates ou trompeuses, [21]   qui témoignent toutes de l’attention continue de la SEC sur la manière dont les entreprises publiques réagissent et divulguent les incidents et les risques importants en matière de cybersécurité. De plus, en 2021, le neuvième circuit a constaté que la divulgation d’une grande entreprise technologique selon laquelle des risques de cybersécurité « peuvent » ou « pourraient » se produire était trompeuse alors que l’entreprise était prétendument déjà au courant d’une violation de la cybersécurité. [22]  La plupart des entreprises incluent déjà la divulgation des facteurs de risque de cybersécurité, mais les entreprises devraient envisager de mettre à jour ces divulgations, y compris s’il existe une augmentation des risques liés à la cybersécurité en raison des technologies liées à la pandémie qu’elles peuvent avoir adoptées pour permettre le travail à distance ou en relation avec le conflit en cours. en Ukraine (voir ci-dessus). [23]
7. Perturbations de la chaîne d’approvisionnement : les pénuries d’approvisionnement ou les retards d’expédition peuvent devoir être divulgués comme un risque, d’autant plus qu’ils continuent d’être courants en raison de l’impact persistant du COVID-19 ou du conflit en Ukraine, ainsi que d’un ralentissement économique mondial. Les entreprises doivent évaluer si elles ont subi ou pourraient subir à l’avenir des perturbations de la chaîne d’approvisionnement qui devraient être divulguées comme un risque important. Cela inclut tous les risques liés à la pénurie mondiale actuelle de puces à semi-conducteurs, qui pourrait avoir un impact sur le développement, la production et la fabrication de logiciels, entre autres, selon le secteur d’activité de l’entreprise.
8. Capital humain et questions de main-d’œuvre: Les risques importants auxquels les entreprises peuvent être confrontées en matière de capital humain comprennent les risques liés à la capacité d’attirer et de retenir des employés qualifiés, les problèmes de santé et de sécurité des employés, les augmentations des coûts de main-d’œuvre et l’augmentation du roulement du personnel. Bien que le marché du travail ait ralenti et que plusieurs entreprises du Fortune 100 aient commencé à annoncer des licenciements, les pénuries de main-d’œuvre qualifiée peuvent devoir être divulguées comme un risque important pour certaines entreprises, car ces problèmes continuent d’être courants en raison des impacts liés au COVID-19. ainsi que les retombées de « la grande démission ». De plus, la volatilité du cours des actions d’une entreprise pourrait avoir une incidence négative sur la valeur des attributions d’actions aux employés et sur la capacité d’une entreprise à conserver ses employés et dirigeants clés. Les entreprises devraient évaluer si elles ont, ou pourraient avoir à l’avenir, des problèmes liés aux pénuries de main-d’œuvre,
9. Réglementation : Les changements et les changements potentiels dans la loi, la réglementation, la politique et/ou le leadership politique, y compris le programme réglementaire de l’administration Biden, peuvent nécessiter des modifications de la divulgation des facteurs de risque pour certaines entreprises. L’un de ces changements réglementaires que les entreprises devraient envisager est la loi sur la réduction de l’inflation (l' »IRA »), qui comprend plusieurs dispositions potentiellement impactantes, telles que : (i) une taxe d’accise de 1 % sur les rachats d’actions des entreprises, qui peut affecter les décisions des entreprises en ce qui concerne aux marchés des capitaux et aux opérations de fusions et acquisitions, entre autres, [24] (ii) un impôt minimum de remplacement sur les sociétés (applicable aux entreprises dont le revenu moyen des états financiers ajustés est supérieur à 1 milliard de dollars au cours des trois dernières années) égal à l’excédent de 15 % du revenu des états financiers ajustés d’une société, et (iii) une taxe sur l’énergie crédits, qui créent des incitations fiscales pour l’énergie verte. Les entreprises doivent se demander si l’IRA crée des risques qui justifient la divulgation. D’autres exemples incluent les changements actuels et potentiels des politiques d’immigration, du salaire minimum, des tarifs, des taxes, des politiques environnementales, des soins de santé et d’autres développements politiques.
10. Risques liés à la conduite d’affaires avec des entreprises dans des régions soumises à des sanctions commerciales : les entreprises doivent divulguer tout risque important lié à des relations commerciales avec des entreprises dans des régions soumises à des sanctions ou à des interdictions commerciales. Par exemple, toute entreprise recevant des marchandises produites dans la région autonome ouïghoure du Xinjiang en Chine, ou par certaines entités identifiées, doit divulguer les risques liés au fait que, aux fins de la loi sur la prévention du travail forcé ouïghour, qui renforce les mesures disponibles pour faire respecter une loi existante mesure préventive de l’article 307 du Tariff Act de 1930, ces marchandises sont présumées avoir été fabriquées avec du travail forcé et sont donc soumises à une interdiction d’importation aux États-Unis. [25]Le service des douanes et de la protection des frontières des États-Unis peut donc détenir, exclure ou saisir des marchandises et imposer des sanctions pécuniaires, à moins que des « preuves claires et convaincantes » ne montrent qu’aucun travail forcé, situé n’importe où dans la chaîne d’approvisionnement, n’a produit une partie des marchandises (et que les importateurs se conforment aux autres exigences spécifiées dans les directives publiées de l’agence). Il est important de noter que la loi ne contient aucune exception de minimis et rien ne garantit qu’une entreprise sera en mesure de prouver l’absence de travail forcé tout au long de la chaîne d’approvisionnement. Toute chaîne d’approvisionnement potentielle ou d’autres impacts de ces développements qui sont importants pour une entreprise doivent être divulgués.

II. Quatre considérations rédactionnelles importantes lors de la mise à jour des informations annuelles sur les facteurs de risque

1. Une note sur les hypothétiques . Il est essentiel que les entreprises examinent les déclarations hypothétiques dans leurs informations existantes sur les facteurs de risque (par exemple, les déclarations selon lesquelles un événement « pourrait » ou « pourrait » se produire plutôt que « s’est » ou « s’est » produit dans le passé). La SEC a intenté des actions en justice et les actionnaires ont déposé des réclamations en vertu de l’article 10 (b) de la Securities Exchange Act de 1934, telle que modifiée, alléguant que les déclarations dans les facteurs de risque d’une entreprise étaient matériellement trompeuses parce qu’une entreprise a déclaré qu’un événement seulement « peut » ou « pourrait » se produire, lorsque l’événement n’était plus hypothétique au moment de la divulgation. Par conséquent, une entreprise doit examiner attentivement le libellé de ses facteurs de risque hypothétiques et clarifier si un risque potentiel divulgué s’est effectivement produit dans une certaine mesure. [26]
2. Remarque sur les déclarations prospectives. En plus d’être légalement requis, des facteurs de risque bien rédigés peuvent protéger une entreprise de toute responsabilité pour ses déclarations prospectives et servir de forme d’assurance responsabilité gratuite pour protéger une entreprise lorsqu’elle divulgue à la fois des projections en ce qui concerne les informations financières et les informations non financières. , y compris les objectifs et cibles liés à l’ESG. En particulier, les entreprises doivent tenir compte des modèles financiers qui étayent leurs projections et confirmer que les risques importants liés à ces projections, y compris les modèles financiers, les bases et les hypothèses qui les étayent, sont suffisamment divulgués. De plus, dans le cas d’objectifs ESG net zéro et d’autres objectifs et plans de transition liés à l’ESG, les entreprises doivent déterminer si leur divulgation des facteurs de risque doit inclure une divulgation relative aux défis potentiels pour atteindre ces objectifs et plans,
3. Note sur la présentation des risques . Bien que l’article 105 du règlement SK n’exige pas que les facteurs de risque soient classés en fonction de celui qui est le plus important ou qui a le plus grand impact potentiel, il est considéré comme une bonne pratique de le faire. [27]  L’article 105 stipule que les risques doivent être « organisés logiquement », de sorte que les entreprises doivent considérer l’ordre qui a le plus de sens pour les investisseurs. En outre, les entreprises sont tenues d’organiser les facteurs de risque en groupes de facteurs de risque connexes sous des «rubriques pertinentes» et de fournir des sous-titres pour chaque facteur de risque. En outre, pour tous les facteurs de risque qui s’appliquent de manière générique à toute personne inscrite ou à toute offre, la société doit soit (i) adapter ces facteurs de risque pour souligner la relation spécifique du risque avec la société, soit (ii) divulguer les facteurs de risque génériques à la fin de la section des facteurs de risque sous la rubrique « Facteurs de risque généraux ». Ces exigences sont en vigueur depuis 2020 et les entreprises doivent revoir chaque année leurs regroupements et leurs rubriques pour confirmer toute mise à jour ou modification de l’organisation de leur section des facteurs de risque.[28]
4. Remarque sur les résumés des facteurs de risque . Si la section sur les facteurs de risque d’une entreprise dépasse 15 pages, elle doit inclure une série d’énoncés concis, à puces ou numérotés ne dépassant pas deux pages résumant les principaux facteurs de risque et placer ce résumé au « avant » ou au début de la Formulaire 10-K ou Formulaire 20-F. Un certain nombre d’entreprises ont choisi de combiner cette divulgation avec leurs légendes de déclarations prospectives afin d’éviter les répétitions, et les entreprises peuvent envisager cette approche tant que la légende est intitulée pour refléter son double objectif (c. Déclarations prospectives et résumé des facteurs de risque »).

III. Conclusion

Compte tenu du nombre de vents contraires auxquels les entreprises peuvent être confrontées dans cet environnement économique et géopolitique difficile, ainsi que des exigences réglementaires, de la surveillance et de l’application nouvelles et en évolution, les entreprises gagneraient à prendre dès maintenant une longueur d’avance sur la mise à jour des facteurs de risque de leur rapport annuel. Il est essentiel que les entreprises divulguent comment elles sont spécifiquement affectées par les tendances macroéconomiques, plutôt que de se fier à une divulgation générique. En outre, les entreprises ne doivent pas perdre de vue la mise à jour de leurs facteurs de risque pour tenir compte des risques uniques auxquels elles sont confrontées au-delà de ces tendances macroéconomiques qui pourraient avoir un impact négatif sur leurs activités, leur situation financière et leurs résultats d’exploitation.

Notes de fin

1 Voir l’article 105 du règlement SK, disponible  ici .(retourner)

2 Pour plus d’informations, consultez notre alerte précédente, « L’inflation et la hausse des taux d’intérêt remodèlent les marchés financiers à effet de levier aux États-Unis ».(retourner)

3  Pour plus d’informations, consultez notre alerte précédente,  » La SEC publie un exemple de lettre de commentaires alors qu’elle intensifie l’examen des divulgations climatiques « .(retourner)

4  Pour plus d’informations, consultez notre alerte précédente, « La SEC propose des règles de divulgation sur le changement climatique attendues depuis longtemps ». Le 7 octobre 2022, la SEC a rouvert la période de commentaires pour 11 propositions de réglementation, y compris les règles de divulgation proposées sur le changement climatique, avec des commentaires attendus d’ici le 1er novembre 2022.(retourner)

5 Les risques de transition liés au changement climatique sont liés à des développements tels que des changements politiques et réglementaires qui pourraient imposer des charges opérationnelles et de conformité et des tendances du marché ou des prix susceptibles de modifier les opportunités commerciales, les risques de crédit et les changements technologiques.(retourner)

6 Par exemple, « [i]l semble que vous ayez identifié votre « stratégie d’électrification » comme un risque de transition lié au changement climatique. Dites-nous comment vous avez envisagé de fournir des informations plus détaillées sur les facteurs susceptibles d’affecter votre intention d’apporter une électrification supplémentaire à votre … portefeuille (par exemple, la disponibilité des matériaux nécessaires, le rythme des changements technologiques, etc.) et l’effet potentiel sur votre entreprise, la situation financière et les résultats d’exploitation. De plus, décrivez les autres risques de transition liés au changement climatique que vous avez pris en compte, tels que ceux liés à vos politiques environnementales, et comment vous avez envisagé de les aborder dans votre formulaire 10-K.(retourner)

7 Par exemple, « Divulguer les effets significatifs des risques de transition liés au changement climatique qui peuvent affecter votre entreprise, votre situation financière et vos résultats d’exploitation, tels que les changements de politique et de réglementation qui pourraient imposer des charges opérationnelles et de conformité, les tendances du marché qui peuvent modifier des opportunités, des risques de crédit ou des changements technologiques.(retourner)

8 Par exemple, « Divulguer tout risque important de litige lié au changement climatique et expliquer l’impact potentiel sur l’entreprise ».(retourner)

9 Par exemple, « Nous notons que vous avez fourni des informations plus détaillées dans votre rapport sur la RSE que dans vos documents déposés auprès de la SEC. Veuillez nous indiquer dans quelle mesure vous avez envisagé de fournir le même type de divulgation liée au climat dans vos documents auprès de la SEC que celui que vous avez fourni dans votre rapport RSE. »(retourner)

10 Pour plus d’informations, consultez notre alerte précédente, « ESG Disclosure Trends in SEC Filings – Annual Survey 2022 ».(retourner)

11 Pour plus d’informations, consultez notre alerte précédente, « La SEC publie un exemple de lettre de commentaires sur les obligations de divulgation liées aux actions de la Russie en Ukraine ».(retourner)

12 Par exemple, « Dans la mesure où elles sont importantes, veuillez divulguer toute tendance ou incertitude connue qui a eu ou est raisonnablement susceptible d’avoir une incidence importante sur votre liquidité, votre situation financière ou vos résultats d’exploitation découlant du conflit entre la Russie et l’Ukraine.(retourner)

13 Par exemple, « [d]ans la mesure du possible, divulguer tout risque nouveau ou accru de cyberattaques potentielles par des acteurs étatiques ou autres depuis l’invasion de l’Ukraine par la Russie ».(retourner)

14 Par exemple, « [v]euillez indiquer si et comment vos secteurs d’activité, produits, gammes de services, projets ou opérations sont matériellement affectés par les perturbations de la chaîne d’approvisionnement, en particulier à la lumière de l’invasion de l’Ukraine par la Russie. Par exemple, discutez si vous avez ou prévoyez d’être… exposé au risque de la chaîne d’approvisionnement à la lumière de l’invasion de l’Ukraine par la Russie et/ou des tensions géopolitiques connexes.(retourner)

15 Par exemple, « [d]ans les prochains dépôts, veuillez réviser les éléments suivants en ce qui concerne vos activités en Russie et en Ukraine : divulguez tout risque important pour la réputation qui pourrait avoir un impact négatif sur votre entreprise associé à votre réponse à l’invasion russe de l’Ukraine , par exemple en relation avec une action ou une inaction résultant du conflit ou en rapport avec celui-ci ».(retourner)

16 Pour plus d’informations, consultez notre alerte précédente, « SEC Issues Interpretive Guidance on Public Company Cybersecurity Disclosures: Greater Engagement Required of Officers and Directors ».(retourner)

17 Pour plus d’informations, consultez notre alerte précédente, « SEC Proposes Mandatory Cybersecurity Disclosure Rules ».(retourner)

18 Les  directives de la SECencourage les entreprises à examiner une série de questions lors de l’évaluation de ces risques, y compris si elles opèrent dans des juridictions étrangères où la capacité de faire respecter les droits sur la propriété intellectuelle est limitée en tant que question légale ou pratique, et si elles ont mis en place des contrôles et des procédures pour protéger de manière adéquate technologie et propriété intellectuelle. Le personnel a également souligné que la divulgation des risques importants doit être spécifiquement adaptée et que lorsque la technologie, les données ou la propriété intellectuelle d’une entreprise sont (ou ont été) matériellement compromises, la divulgation hypothétique des risques potentiels n’est pas suffisante pour satisfaire aux obligations de déclaration de l’entreprise. Par conséquent, les entreprises doivent continuer à tenir compte de ce domaine de risque en évolution et mettre à jour régulièrement les informations fournies pour refléter les circonstances actuelles dans la mesure où elles sont importantes.(retourner)

19 Voir le communiqué de presse de la SEC, « SEC Nearly Doubles Size of Enforcement’s Crypto Assets and Cyber ​​Unit ».(retourner)

21En août 2021, la SEC a conclu un accord avec une société d’édition et de services éducatifs pour son incapacité à divulguer de manière adéquate une violation importante de la cybersécurité et pour avoir fait des déclarations trompeuses dans ses documents déposés auprès de la SEC. Plus précisément, la SEC a constaté que : (i) plusieurs mois après la violation, la société a émis un formulaire 6-K qui faisait référence à un risque général de violation de données/incident de cybersécurité, mais ne faisait pas spécifiquement référence à la violation qui s’était produite ; et (ii) le communiqué de presse de la société ne faisait référence qu’à « l’accès non autorisé » et à « l’exposition de données » qui « peuvent [avoir] inclus » des dates de naissance et des e-mails, même si la société savait que des données personnelles importantes avaient été téléchargés, et n’ont fait aucune mention du volume de données piratées ni des autres vulnérabilités critiques du système. En juin 2021, la SEC a réglé avec une société de services de règlement immobilier pour son prétendu manquement à divulguer de manière adéquate une vulnérabilité de sécurité qui pourrait être utilisée pour compromettre les systèmes informatiques de la société. En mai 2019, la société a été informée d’une vulnérabilité logicielle qui exposait des données personnelles et financières, après quoi elle a publié une déclaration et fourni un formulaire 8-K, indiquant qu’elle avait pris des « mesures immédiates » pour mettre fin à l’accès externe aux données. Cependant, les dirigeants responsables de la déclaration et du formulaire 8-K n’ont pas été informés que le personnel de sécurité de l’information de l’entreprise était au courant de la vulnérabilité depuis janvier 2019 ou que l’entreprise n’avait pas remédié à cette vulnérabilité en temps opportun conformément à ses politiques. Selon la SEC, les conclusions de janvier 2019 « auraient été pertinentes pour l’évaluation par la direction de la réponse de la société en matière de divulgation… et de l’ampleur du risque qui en résulte » et la société n’a pas maintenu les contrôles et procédures de divulgation pour s’assurer que la direction disposait de toutes les informations pertinentes avant de faire ses divulgations . En ce qui concerne la cybersécurité, la SEC a constaté que les divulgations des facteurs de risque de Yahoo dans ses rapports annuels et trimestriels étaient substantiellement trompeuses en ce sens qu’elles affirmaient que l’entreprise n’était confrontée qu’au « risque de futures violations de données potentielles » qui pourraient exposer l’entreprise à des pertes et à une responsabilité « sans révélant qu’une violation massive de données s’était en fait déjà produite. L’action de la SEC est disponible la SEC a constaté que les divulgations des facteurs de risque de Yahoo dans ses rapports annuels et trimestriels étaient substantiellement trompeuses en ce sens qu’elles affirmaient que l’entreprise n’était confrontée qu’au « risque de futures violations de données potentielles » qui pourraient exposer l’entreprise à des pertes et à une responsabilité « sans divulguer qu’un volume massif de données violation avait en fait déjà eu lieu. L’action de la SEC est disponible la SEC a constaté que les divulgations des facteurs de risque de Yahoo dans ses rapports annuels et trimestriels étaient substantiellement trompeuses en ce sens qu’elles affirmaient que l’entreprise n’était confrontée qu’au « risque de futures violations de données potentielles » qui pourraient exposer l’entreprise à des pertes et à une responsabilité « sans divulguer qu’un volume massif de données violation avait en fait déjà eu lieu. L’action de la SEC est disponible ici . Pour plus d’informations, consultez notre alerte précédente,  » La SEC inflige une amende de 35 millions de dollars à Yahoo pour défaut de divulgation en temps opportun d’une cyber-violation « .(retourner)

22 Pour plus d’informations, consultez notre alerte « Il est temps de revoir les facteurs de risque dans les rapports périodiques ».(retourner)

23 Une enquête de White & Case LLP sur les divulgations faites par les entreprises du Fortune 50 a révélé que chaque entreprise incluait au moins un facteur de risque lié à la cybersécurité dans son formulaire 10-K 2022, et 42 des 50 entreprises incluaient des facteurs de risque détaillés discutant de l’impact que qu’un incident de cybersécurité ou une violation de données pourrait avoir sur les résultats d’exploitation ou la situation financière de l’entreprise.(retourner)

24For more information, see our prior alert, “New 1% Excise Tax on Stock Buybacks May Have Far-Reaching Consequences for Capital Markets, SPAC and M&A Transactions.”(go back)

25For more information, see our prior alert, “Uyghur Forced Labor Prevention Act: Commercial Implications, Compliance Challenges and Responses.”(go back)

26 Disclosure may be required whether or not the degree of occurrence is material on its own. For more information, see our prior alerts, “Time to Revisit Risk Factors in Periodic Reports” and “Key Considerations for the 2022 Annual Reporting and Proxy Season Part I: Form 10-K Considerations.”(go back)

27The Form 20-F also states that “companies are encouraged, but not required, to list the risk factors in the order of their priority to the company.” See Part I, Item 3.D of Form 20-F. In addition, Item 105 applies to foreign private issuers to the extent their Form 20-F is incorporated by reference into a registration statement, such as a Form F-1, F-3, or F-4.(go back)

28For more information, see our prior alert “SEC Adopts Amendments to Modernize Disclosures and Adds Human Capital Resources as a Disclosure Topic: Key Action Items and Considerations for U.S. Public Companies.”(go back)