🚧Le prolongement du Droit de la Régulation par le Droit de la Compliance : fixer les buts et superviser les entreprises

Dans le temps imparti, il n'est pas discuté de la façon dont les États se transforment pour devenir des "États Régulateurs" : cela est exposé dans d'autres contributions. Il est donc ici pris pour acquis que les Etats sont "Régulateurs" à la fois dans leur conception même (c'est-à-dire qu'ils accompagnent l'économie de marché pour l'infléchir en s'appuyant sur elle) et dans des techniques nouvelles, notamment la mise en place des Autorités de Régulation. C'est ainsi que naît une branche spéciale du Droit : le Droit de la Régulation. Celui-ci demeure encore ancré dans le Droit administratif à beaucoup d'égard (cela non plus n'est pas discuté ici).

En quelque sorte, la présente contribution porte sur l'étape suivante, qui consiste au développement de cette sorte d'étape qu'est l'Etat Régulateur, qu'exprime le Droit de la Régulation, dans le Droit de la Compliance. Il convient de conserver ce terme américain de "compliance", malgré toutes ses ambiguïtés, parce que l'instant on en a pas trouvé d'autres ..

La conférence est bâtie en dix points, succinctement développée, chacun pouvant donner lieu à approfondissent et discussion.

En effet, et c'est mon premier point, cela serait donner à cette nouvelle branche du Droit un sens très pauvre que de définir la Compliance comme le fait pour les entreprises de devoir "se conformer" aux réglementations : c'est pourtant ainsi que cela est souvent défini, mais nous devons tous obéir aux réglementations qui nous sont applicables. Et obliger certaines entreprises à donner à voir par avance qu'elles "se conforment" à toutes les réglementations qui leur sont applicables est une "obligation impossible" : le Droit de la Compliance serait totalement anti-libéral, au sens profond, c'est-à-dire contraire aux libertés. D'ailleurs, c'est un sens très pauvre car la seule portée du Droit de la Compliance serait donc d'obtenir des entreprises une sorte d'obéissance aveugle. Cela serait même contraire à l'Etat de Droit. Certains, très hostiles au Droit de la Compliance, le soutiennent, voyant dans le Droit de la Compliance la manifestation d'Etats totalitaires.

Mais le Droit de la Compliance est tout autre chose. On ne sait encore pas trop ce que c'est, le connaissant souvent par silos : la réglementation contre la corruption (FCPA, par exemple), la réglementation contre le blanchiment d'argent, la réglementation contre la désinformation (DSA), la réglementation sur la protection des données personnelles (RGPD), la réglementation sur le "devoir de vigilance" (CSDDD), etc. Mais il s'agit d'une branche du Droit, certes naissante, ayant une cohérence d'ensemble dépassant ces blocs. La présenter constitue mon deuxième point. 

Car précisément, il est pleinement un Droit économique. En cela, comme le Droit de la concurrence ou comme le Droit de la Régulation, il se définit par les "Buts" : c'est une branche du Droit dite "téléologique". Cela signifie que le système de compliance place sa normativité juridique dans les finalités qu'il poursuit et que toute l'application, notamment l'interprétation des réglementations (par l'administration, les entreprises, les parties prenantes et les juges) en découle.

En cela et c'est mon troisième point, le Droit de la Compliance prolonge le Droit de la Régulation, puisque par la Régulation, les Etats poursuivent des Buts d'intérêt général, construisent des secteurs, maintiennent dans le temps des équilibres. L'on retrouve des obligations de compliance avant tout dans des secteurs régulés : transports, énergie, télécommunication, banque, finance, santé.

Mais, c'est mon quatrième point, et c'est là où le Droit de la Compliance est un extraordinaire déploiement du Droit de la Régulation, les entreprises vont être "activées" par le Droit de la Compliance. La répartition entre l'Etat et les entreprises change. L'Etat conserve son pouvoir essentiel : celui de fixer les buts, ces buts dans lesquels réside la normativité, c'est-à-dire le pouvoir politique de décider ce que l'on veut pour le futur. En cela le Droit de la Compliance est identique au Droit de la Régulation qui donne également à l'Etat et/ou aux autorités publiques le pouvoir de fixer les buts pour la construction de l'avenir.  Le Droit de la Compliance est donc le déploiement du Droit de la Régulation.

Il est donc essentiel de conserver aux Etats et aux autorités publiques ce qui est leur apanage,  et c'est mon cinquième point : la fixation des buts. En effet, c'est aux Etats de choisir ce qui est bon ou mauvais pour le futur des groupes sociaux (choix sous contraintes, bien sûr).  Cela n'est pas aux entreprises, qui n'ont pas à nous régenter. 

Détaillons par un sixième point ce qu'il en est de cette fixation des buts. Cette conservation active par les Etats et les autorités publiques (conservation : ne pas transférer aux entreprises le pouvoir de fixer les buts / active : effectivement formuler les buts d'une façon claire, non-contradictoire, hiérarchisée) est d'autant plus impérieuse qu'il s'agit ce qui est appelé des "Buts Monumentaux" (Monumental Goals). 

En effet, le Droit de la Compliance est un Droit "systémique" et ses buts sont "monumentaux" : il s'agit d'agir maintenant pour que les systèmes demeurent (la notion de durabilité y est centrale). C'est pour cela qu'il ne s'agit en rien d'appliquer la totalité des réglementations mais de ne viser que les règles, éventuellement non juridiques, pour que les systèmes ne s'effondrent pas: ce sont les "buts monumentaux négatifs". C'est ce que requièrent la Compliance bancaire, la Compliance financière, la Compliance énergétique, la Compliance en cybersécurité, mais encore la Compliance environnementale et climatique, et la Compliance numérique (désinformation, haine). C'est alors "lutter contre" (corruption, blanchiment, discours destruction, pénurie catastrophique). 

Mais cela peut être aussi "lutter pour". Ce sont alors les "buts monumentaux positifs", qui visent aussi à obtenir un effet durable sur les systèmes, afin qu'ils soient mieux demain qu'aujourd'hui, par exemple dans leur solidité et que les êtres humains y vivent mieux. C'est le lien très fort entre la Compliance, l'éthique, l'éducation, etc.

Qui sont alors les entreprises concernées ? C'est mon septième point.  Tout d'abord, elles ne sont pas toutes sujets du Droit de la Compliance (pas plus qu'elles ne sont sujets du Droit de la Régulation). Sont sujets du Droit les "entreprises en position d'agir au regard des buts monumentaux fixés par les Etats et les Autorités publiques. Ce que j'ai appelé les "opérateurs cruciaux". Les entreprises qui ont les moyens financiers, informationnels, technologiques, géographiques, humains, pour faire quelque chose.

Or, et c'est un atout majeur du Droit de la Compliance par rapport au Droit de la Régulation, alors que le Droit de la Régulation est lié à l'existence préalable d'un "secteur", ce préalable n'existe pas pour le Droit de la Compliance ! Cela signifie que toutes les entreprises des secteurs régulés sont, par prolongement, soumises au Droit de la Compliance, mais que, puisque la condition d'un secteur n'est pas requise, des entreprises n'agissant pas dans un secteur régulé mais en position d'agir pour atteindre un But Monumental, vont être saisies par le Droit de la Compliance.

C'est en train de se passer sur des sujets majeurs pour l'avenir (Régulation et Compliance ont pour sujet l'avenir) : le climat (qui ne concerne pas que les entreprises énergétiques) et le numérique, qui double désormais la totalité de nos vies, conduisent à imposer des "obligations de compliance" à des entreprises qui n'appartiennent à aucun secteur.

Cela est remarquable pour ce qui est la "pointe avancée" des systèmes de compliance : le devoir de vigilance, qui oblige les entreprises puissantes, parce qu'elles sont puissantes à se soucier d'autrui dans la totalité des chaines de valeur dont elles sont les maîtresses (environnement et droits humains). Loi française de 2017 ; directive européenne en cours d'adoption.

Que doivent faire les entreprises ? c'est mon huitième point.

Tout d'abord ce qu'elles ne doivent pas faire. Elles ne doivent pas prendre la place des Etats, y compris pas sous le prétextes d'éthique, en formulant des normes de comportement, même contractuellement acceptées. Ce qu'elles peuvent faire, c'est adhérer aux buts normativement élaborés par les Autorités publiques, les reproduire en interne, voire aller au-delà, mais pas davantage. C'est là où le Juge et le Régulateur vont jouer un rôle essentiel pour contrôler cela.

Ensuite ce qu'elles doivent faire. Elles doivent "faire leurs meilleurs efforts" au regard des Buts Monumentaux, au-delà de la mise en place des structures demandés par les textes (par exemple les "programmes de compliance". Certes les textes listent des obligations de compliance : mettre en place des systèmes d'alerte, faire des cartographies des risques, diligenter des enquêtes internes, organiser des formations, procéder à des audits en tous genres, émettre des rapports d'informations non plus seulement financières mais extrafinancières (sur l'environnement notamment).

C'est sur les entreprises que repose la charge de prouver qu'elles le font. Des contentieux très importants font naître à ce propos. Les entreprises n'y sont sans doute pas très bien préparés.  Les Etats non plus. Les juges non plus.

Les juges et les régulateurs, et c'est mon neuvième point, vont avoir un rôle central dans ce déploiement du Droit de la Compliance en prolongement du Droit de la Régulation.

En effet, l'office des Autorités de régulation est en train de se transformer. Alors que justement elles contrôlaient par nature le secteur, dans ses structures et leur adéquation aux buts poursuivis, le Droit de la Compliance prenant la forme d'obligations de compliance conduit ces Autorités à se transformer en organes de supervision : elles contrôlent les entreprises elles-mêmes, leur aptitude à agir, leurs actions, leurs relations avec les parties prenantes, etc. Ce passage d'autorités de régulation en autorité de supervision, cumul dont les Autorités bancaires sont familières, accroit leurs pouvoirs. On le constate en matière numérique.

Dans ce Droit systémique, il est difficile de dire s'il relève plus particulièrement du Droit public ou du Droit privé..., et l'on peut s'attendre à ce que le juge administratif, familier du Droit de la Régulation, intervienne activement, comme va le faire le juge commercial, familier du Droit des sociétés, car la gouvernance des entreprises est directement concernée, comme le juge civil, car c'est lui que les parties prenantes saisissent d'action en responsabilité civile, comme les arbitres internationaux car ce sont par des clauses contractuelles que les entreprises mettent en oeuvre leurs obligations de compliance.

Cette "culture de compliance", c'est mon dixième et dernier point, fonctionnera bien si le Droit de la Compliance est compris et défendu comme une alliance entre les Autorités publiques et les entreprises cruciales. La partition de culture se fera entre les systèmes juridiques qui ne sont pas des Etats de Droit où la Compliance ne serait qu'un système d'obéissance aveugle et absolue et les systèmes juridiques où le Droit de la Compliance non seulement respecte l'Etat de Droit mais le renforce, puisque si l'on devait résumer en un mot le But Monumental qui ancre cette nouvelle branche du Droit est le respect effectif de l'autre être humain dans les systèmes dont il faut activement faire en sorte qu'il bénéficie et n'en soit pas détruit. Il est évident que cette volonté politique est commune à l'Amérique du Nord et du Sud et à l'Europe. C'est pourquoi le déploiement de cette culture est un enjeu majeur car ils ne sont pas seuls au monde et que ce sont des enjeux mondiaux que, par le Droit de la Compliance, les Etats affrontent.