Nov. 27, 2019

Publications

How is "risk mapping" a new "tool" in the legal system? Not at all - partly - radically?

by Marie-Anne Frison-Roche

Pour lire le document de travail en français, cliquer sur le drapeau français

Ce document de travail a servi de base à une intervention dans la conférence organisée dans le cycle de conférences organisé par le Journal of Regulation & Compliance (JoRC) autour du thème : Les outils de la Compliance, en collaboration avec de nombreux partenaires universitaires : cette première conférence est organisée en collaboration avec le Département d'Economie de Sciences po et se tient le 28 novembre 2019 à Sciences po et porte sur le thème plus particulier de La cartographie des risques.

Il sert également de base à l'ouvrage dirigé par Marie-Anne Frison-Roche, Les outils de la Compliance, qui sortira dans la collection Régulations & Compliance

 

______

 

Introduction et résumé.

Le plus souvent l'on ne fait que décrire le mécanisme de cartographie des risques, sans le qualifier juridiquement. Le législateur ne fait pas davantage. Ainsi, dans l'article 17 de la loi dite "Sapin 2", la cartographie est décrite comme "la forme d'une documentation régulièrement actualisée et destinée à identifier, analyser et hiérarchiser les risques d'exposition de la société à des sollicitations externes aux fin de corruption, en fonction notamment des secteurs d'acitivité et des zones géographiques dans lesquels la société exerce son activité.". L'article 1ier de la loi dite "Vigilance" du 27 mars 2017 vise quant à elle "une cartographie des risques destinées à leur identification, leur analyse et leur hiérarchisation".  

 Il s'agit d'une description et non d'une définition, le texte ne visant que la "forme" que cet élément d'information prend, sans en dire davantage. La lettre du texte descriptif inséré dans la seconde partie de l'article 17 renvoyant à la première partie de celui-ci, qui le vise expressément comme une "modalité" de "l'obligation" de prendre des "mesures destinées à prévenir et à détecter la commission, en France ou à l'étranger, de faits de corruption ou de trafic d'influence". De la même façon lorsqu'on consulte les documents par lesquels les Autorités de Régulation, par exemple l'Autorité de marché financier, présente la façon de bien identifier les risques, y compris les risques de "non-conformité"!footnote-1734, il y a une description des façons de faire, pas de définition, souvent pas de droit. L'on retrouve cette même tendance dans la Compliance elle-même, si souvent réduite dans sa présentation à un process mécanique, souvent peu juridique, ou ne le devenant que sous son mauvais jour : celui de la sanction. Cette conception mécanique d'une Compliance comme process conduit à proposer que des machines et non des êtres humains en établissent les outils, notamment la cartographie des risques. 

Car il est acquis que la cartographie n'est qu'un "outil", la loi la désignait comme une "modalité". Il est donc acquis qu'il faut chercher ce pour quoi est fait l'outil. Soit il est fait pour que la loi ne soit pas méconnue, la cartographie repérant par exemple le risque accrue qu'elle ne le soit pas : c'est qu'il est usuellement désigné sous l'appellation étrange de "risque de conformité". La cartographie permet alors à l'entreprise d'exécuter son "obligation de Compliance", c'est-à-dire de faire en sorte en Ex Ante que la loi soit respectée en éliminant par avance le risque qu'elle ne le soit pas. Ainsi dès 2008, l'OCDE définissait la cartographie des risques par ses objectifs, à savoir mettre en place des moyens efficients pour réduire des risques de fraudes et de corruption et pour mettre en place des enquêtes efficients en concentrant les efforts sur les procédés efficaces". !footnote-1739

Il y a ensuite les risques qui ne regardent pas le Droit, et que l'entreprise gère comme autant de considérations pour son action, comme les risques économiques, naturesl ou politiques, ainsi que les "risques de marché", à propos desquels les Autorités de marchés, comme l'Autorité de marché financier dresse régulièrement une "cartographie des risques"!footnote-1740 . Mais cette cartographie-là ne semble pas regarder le Droit, alors même qu'elle ne relève déjà plus de la seule bonne gestion interne de l'entreprise. Plus l'on lit des cartes et plus l'on observe leur diversité, sans savoir si elles constituent une "modalité" d'une obligation, constituant donc un objet juridique, ou si elle constitue une bonne façon de faire, ce qui est neutre pour le Droit. Mais de quoi aujourd'hui le Droit ne se mêle-t-il pas ? Surtout d'un fait aussi important et prégnant et coûteux que celui-là....

Or, l'on observe à quel point la "cartographie des risques" n'a pour l'instant été que peu pensée en Droit. En effet, lorsqu'il est exposé, et si souvent, qu'elle comprend à la fois des "risques économiques", des "risques politiques", et des "risques de conformité", alors pourtant que dans son ensemble elle n'est instrument d'un Droit de la Compliance, qui organise la totalité de la conformité, le juriste qui sans cesse ordonne n'arrive plus à suivre : comme la "conformité" pourrait-elle n'être qu'une partie d'un mécanisme qui lui-même n'est qu'une partie de la "conformité" ? L'on trouve de très nombreux écrits qui détaillent la cartographie, qui par une sorte d'effet de miroirs, dressent des cartographies des exigences pays par pays, textes par textes, secteurs par secteurs, loi par loi, des exigences de cartographies.... Nous sommes face à un chateau de cartes, toujours plus minutieusement décrite, sans jamais rencontrer de qualification juridique. Par exemple dresser une telle carte constitue-t-il un fait juridique ou un acte juridique ? Je ne vois pas la question même posée. Pourtant, les conséquences de régime en sont immenses. A supposer que cela ne soit qu'un fait juridique, peut-il être justificatif ? Les avocats y ont songé et ont plutôt trouvé porte fermée... Mais pourquoi ne serait-ce pas un acte juridique ? La catégorie juridique des actes juridiques unilatéraux est là pour l'accueillir. Dans ce cas, la cartographie des risques engage l'entreprise et l'on sent que les régulateurs et les juges le conçoivent de plus en plus ainsi. Mais si l'entreprise est engagée, auprès de qui l'est-elle ? Plus précisément encore, si elle devient débitrice de l'obligation de cartographier, même si aucune loi particulière ne le lui prescrit d'une façon précise, alors il existe nécessairement un créancier bénéficiaire de cette obligation. Qui est-il ? Et pourquoi l'est-il ?

L'essentiel de cette contribution est de poser ces questions. Elles sont élémentaires. Elles ouvrent des pistes, celles que l'exercice de qualification juridique, de mise en catégorie juridique et de définition juridique, ouvre. 

Si pour l'instant il a été peu pratiqué, la cartographie des risques étant étrangement laissé aux algorithmes, aptes à entasser des données et inaptes à définir et à qualifier juridiquement, cela tient peut-être au fait plus général que le Droit et le risque sont peu souvent directement associés. Le mécanisme de bonne gestion que constitue la cartographie des risques, notamment dans les organisations qui ne sont pas des entreprises mais sont en charge d'administrer et adoptent sans contrainte cette bonne méthode!footnote-1735, y incite lui-même d'autant moins qu'on peut lire qu'il s'agirait pour l'entité méticuleuse d'identifier par avance notamment le "risque juridique"!footnote-1731, c'est-à-dire l'application qui pourrait lui être fait du Droit, application incertaine, application contrariante. Combien de séminaires à succès sur le "risque pénal"... Comme en défense, les juristes exposent d'une façon trop générale que le Droit est constitué pour lutter contre le risque, lequel est un fait. En effet l'on répète à longueur de rapports que le système juridique est là pour "sécuriser", le réduisant parfois à cette performance technique tenant à sa nature même, par le principe de "sécurité juridique", que l'Etat par sa permanence, sa violence légitime, son imperium, nous donne en échange la paix, que le contrat par la "petite loi" qu'il constitue offre aux parties qui l'édictent un havre de sécurité pour cet îlot de stabilité dans un futur qu'on ne connait jamais tout à fait ; gare à nous si l'on sort de l'ordre juridique car l'on retombe dans le risque... Ainsi, soit l'on est dans le Droit, assujettis au Droit, et l'on bénéficie de sa sécurité spécifique, ce que les économistes désigneraient volontiers comme la "réglementation", soit on est dans la liberté de l'action, et l'on est alors dans le risque.... Il en serait comme pour les marchés, à propos desquels il faut choisir entre la liquidité et la sécurité :  si l'on veut de la liberté d'action, alors il faut moins de réglementation, et donc moins de sécurité, plus de risque.... Cette opposition traditionnelle et si souvent relayée en économie est remise en cause par l'obligation de cartographie des risques car si ceux-ci sont établis, ce n'est pas pour les connaître en soi mais pour les combattre, au-delà de l'obligation classique d'information sur les risques, dont on trouve de nombreux ancrages dans les branches du Droit, notamment le Droit des sociétés, notamment celles exposés aux marchés financiers (I). 

Dès lors, puisqu'il y a sous l'information classique de la prétention politique, de la volonté de "prévenir" le mal, qui se transforme rapidement dans la volonté de "promouvoir" le bien, le nouveau apparaît. La nouveauté est tout d'abord institutionnelle (II). En cela, la loi dite "Sapin 2", à travers l'instauration de l'Agence Française Anticorruption, a institutionnalisé ce mécanisme par lequel les entreprises "exposées" aux marchés financiers ou/et aux investisseurs internationaux, ou/et au commerce internationaux, présentent d'une façon claire et ordonnée -c'est-à-dire par une carte - les risques qu'ils ont identifiés dans leurs actions présentes et futures, doivent plus concrètement rendre des comptes sur leur organisation structurelle. Des autorités publiques vont superviser les entreprises exposées à ces risques. Certes les banques y sont juridiquement accoutumées, mais les banques sont dans un secteur qui est régulé et supervisé. Ce qui est remarquable tient au fait que le Droit de la Compliance vient appliquer via l'exigence de cartographie des risques la technique juridique de supervision à des entreprises qui agissent dans des secteurs qui ne sont pas supervisés, qui ne sont parfois pas même régulés. Ainsi, elles deviennent strucurellement transparentes. Le principe libéral selon lequel une entreprise ne rend compte que de son comportement et non de son organisation interne en est entamé. Ainsi, par la seule technique imposée par le Droit, la méthode de transparence, propre aux entreprises supervisées devient générale, dès l'instant qu'un risque existe. C'est une nouveauté radicale, puisque le risque dont il s'agit n'est pas un risque de secteur et qu'une crise générale n'est plus à craindre. La rupture est ainsi opérée avec le Droit de la supervision qui jusqu'ici était insécable du Droit de la Régulation, l'obligation de cartographie des risques s'appliquant à tout "opérateur crucial" exposé au risque de corruption, en ce que celle-ci doit être combattue d'une façon globale. 

Dès lors, la cartographie des risque est un outil qui, au-delà de la simple description, prend sa définition d'une façon téléologique. Son but est de prévenir des risques qui compromettent des ambitions qui ne sont pas toujours de nature économique mais qui sont de nature politique (III). La lutte contre la corruption n'en est qu'un exemple, la loi dite "vigilance" exigeant elle-aussi une "cartographie des risques" en matière de droits humains, tandis que cette technique est reprise par des textes plus ou moins contraignant en matière environnementale. Certes des entreprises en position de porter de telles ambitions politiques, de force - en raison de leur position - ou de grè - par leur raison d'être ou par leur politique de responsabilité sociétale -, doivent le supporter, les transformant en acteurs politiques majeurs. Elles ne sauraient pour autant se substituer aux Autorités publiques, lesquelles d'une part fixent les "buts monumentaux" qu'il s'agit d'atteindre d'une part et qui d''autre part supervisent en Ex Ante et en Ex Post la mise en place et le fonctionnement de ces outils au sein des entreprises cruciales. 

1

Voir par exemple les supports destinées aux Compliance Officers dans leur journée de formation organisée par l'AMF, 2015. 

2

OCDE, OBJECTIVES OF RISKS MAPPING • Put in place efficient means to reduce risks of frauds and corruption; • Have more efficient investigations by concentrating the efforts on “sensitive” processes, methods or persons. 

3

Autorité des Marchés financiers, Cartographie des risques, 2017

4

Dyens, S., La nécessité de dreser une cartographie des risques juridiques, 2012. Dans cet article qui présente le Droit comme un risque pour l'action de l'Etat et la bonne fin des politiques publiques, il s'agit de bien organiser en Ex Ante les administrations. 

5

V. par ex. Elaborer une cartographie des risques....

I. LA CARTOGRAPHIE DES RISQUES, COMME NOUVELLE FACON DE NOMMER LES REGLES  JURDIQUES ACQUISES QUANT AUX COMPORTEMENTS ATTENDUS DANS LES SOCIETES, FAISANT NAITRE UN DROIT SUBJECTIF NOUVEAU DES TIERS : LE DROIT D'ETRE INQUIETE

Si l'on regarde le monde à travers le regard qu'y porte sa conception marchande - relayée par le Droit de la concurrence, le couple "Droit et Risque" fonctionnerait plutôt en vases communicants : plus il y a de "réglementation" en Ex Ante et moins il y a de risques. Ainsi si l'on associe le risque avec l'économie libérale, parce que celle-ci suppose la prise de risque, alors le Droit - que l'on ne distingue pas de la "réglementation", laquelle n'a pas non plus distinguée de la "régulation", n'y est pas bienvenu... C'est d'ailleurs la position de bien des économistes, qui recommandent sans hésiter qu'il y ait le moins possible de "réglementation", et, de confusion langagière en approximation dans les traductions, qu'il y a le moins possible de Droit.

Cela est expressément repris par des institutions comme la Banque Mondiale, qui préconise pour que l'économie soit prospère qu'il y ait le moins de Droit possible afin que l'initiative économique puisse se développer: c'est le postulat des rapports Doing Business. Il résulte de ce syllogisme un classement assez mauvais de la France, qui est un Etat de Droi ; il ne peut en être autrement car c'est par l'effet d'un autre syllogisme que la France, ou l'Union européenne, conçoivent le Droit : la prise en charge par le Droit des risques.

Mais face au Droit de la concurrence, centré sur la prise de risques, c'est-à-dire favorable à ceux-ci qui sont autant d'opportunités, se développe le Droit de la compliance, centré sur la prévention des risques, c'est-à-dire hostile à ceux-ci, qui sont autant de perspectives d'effondrements à l'avenir. 

Si l'on tourne les systèmes économiques vers les techniques de Compliance, le risque change de nature : il cesse d'être une chance à saisir pour devenir un élément à surveiller. Et l'outil pour le faire est constitué par la cartographie des risques qui apparaît dans des textes récents, validant ainsi des cultures juridiques dont la concurrence n'est pas le seul idéal.

En effet, le développement du Droit de la Compliance, en ce que celui-ci, internalise dans les grandes entreprises le souci de prévention des risques, prolongeant ainsi le Droit de la Régulation qui avait mis avant lui face au Droit de la concurrence - centré sur l'idéal de prise de risque - le principe contraire de prévention des risques en raison de spécificités de certains "secteurs", vient aujourd'hui donner raison au modèle continental d'un Droit qui se soucie directement des risques. Ainsi ce couple "Droit et Risque", naguère couple innomé, devient omniprésent, parce que le Droit exprime techniquement en Ex Ante son souci d'autrui, et ce qui peut arriver à celui-ci à l'avenir (A). Cela n'est pas si révolutionnaire. Au contraire, non seulement cela correspond à une conception humaniste de l'Etat de Droit, qui se soucie de l'être humain en le soustrayant des risques qui le menacent. L'on en trouve solidement la trace dans les obligations d'information car une "cartographie" est une information organisée en Ex Ante autour d'un but préalablement établi, par exemple la prévention de la corruption ou la prévention de la violation des droits humains. Avant les loi dites "Sapin 2" et "Vigilance", cette obligation structurelle d'information sur les risques existait, aussi bien dans le Droit des sociétés, que dans le Droit des marchés financiers, que dans toutes les branches du Droit exprimant un "souci systémique" (B). 

 

A. LA CARTOGRAPHIE DES RISQUES : TANTOT FAIT JURIDIQUE CONTRAINT OU SPONTANE, TANTOT UN ACTE JURIDIQUE ?

Pour définir la cartographie des risques, alors que les risques sont si divers, il faut revenir à l'acte de cartographier. Cet acte, visé par la loi Sapin 2 comme une "modalité" de l'obligation de faire en sorte qu'il n'y ait pas de corruption ou de trafic d'influence du fait de l'entreprise, apparaît comme un fait. Dans ce dernier cas, c'est donc un fait juridique "contraint", puisqu'il n'est que l'exécution d'une obligation légale, mais l'entreprise peut dresser cela par souci de bonne gestion, parce qu'elle veut ne pas commettre de manquement, par diligences, voire cet "amour de la Loi" que Rousseau nous voulait commun à tous!footnote-1741. Il convient de donner à ces deux gestes de cartographier des status différents (1).  En effet, suivant leur statut, cet effort - obligé ou non - que constitue une cartographie des risques va constituer une circonstances atténuantes ou aggravantes dans l'analyse rétrospective faite par le juge ou l'Autorité répressive (2). Plus encore, parce que la cartographie n'a de sens qu'au regard d'une finalité, si celle-ci dépasse celle pour l'entreprise de mesurer ses risques afin de les contrôler et englobe le souci des tiers afin que de permettre à ceux-ci de se soustraire aux risques ainsi révélés, alors le fait de cartographier se transforme en engagement général d'information - dont le droit financier n'est qu'un exemple - permet au tiers à son tiers de mesurer ses propres risques (3). 

 

1. La cartographie des risques sur ordre de la Loi et la cartographie des risques par diligences : des status différents

Il convient de distinguer lorsqu'une entreprise fait un acte de cartographier des risques sur ordre du Législateur, pour concrétiser exactement ce que celui-ci a exigé d'elle, des autres cas, où l'entreprise fait une cartographie des risques à d'autres fins, où lorsqu'il s'agit d'une entreprises qui n'est pas visée par le Législateur.

Par exemple la loi dite "Sapin 2" exige des entreprises comme "modalité" de leur obligation de compliance" de dresser une cartographie des risques. Mais pas de tous les risques : uniquement des risques d'atteinte à la probité, que constitue la corruption et du trafic d'influence. Si l'entreprise, parce que cela est utile pour elle, vise d'autres risques, elle ne le fait plus en exécution d'une obligation légale mais parce qu'il est utile pour elle de mesurer ses risques et de ne pas commettre d'infractions. 

Il faut donc distinguer l'action obligatoire de cartographier et l'action de cartographier par diligence. C'est là où le Droit de la Compliance a des points de contact avec la gestion d'une part, car il est de bonne gestion de faire en sorte de ne pas commettre d'infractions, et cela bien au-delà la corruption et du trafice d'influence.

Par exemple de ne pas commettre des abus de marché, ni sous la forme de comportement anticoncurrentiels, ni sous la forme d'actes sur les marchés financiers (diffusion de fausses informations, usage d'information, rétention d'information, méconnaissance de l'obligation d'informations sur le futur en cas de prise de contrôle par offre publique). Pour cela, il est judicieux, obligatoire de dresser par avance une cartographie des risques, notamment dans la perspective de possibles comportements anticoncurrentiels, mais le Droit de la concurrence ne comporte pas pour l'instant de dispositifs analogues à ceux de la loi dite Sapin 2 (avec des sanctions pénales et administratives) ou ceux de la loi dite Vigilance (avec un mécanisme ordinaire de responsabilité civile pour autrui).

 

2. La cartographie des risques : un fait justificatif ou une circonstance aggravante : une diversité reprochable de solutions jurisprudentielle

sss

3. L'acte spontané et engageant de cartographier : rechercher les risques afin de mieux les parer

sss

 

 

 

B. LE CONTENU DE L'OBLIGATION DE CARTOGRAPHIE : lNFORMER AVEC "EFFICIENCE" SUR LES RISQUE; LA PERSPECTIVE D'UN DROIT SUBJECTIF A ETRE INQUIETE

ssss

1. Informer par avance sur l'interférence des risques encourus dans la perspective du Droit des sociétés

La jurisprudence posa avant la Loi que l'information est un principe général du Droit des sociétés, quand bien même celles-ci ne sont pas exposées aux marchés financiers. Ce principe est établi au bénéfice des associés et des créanciers, aujourd'hui revêtus de la langue anglaise de shareholders et stakeholders, ce qui ne change pas leur nature juridique. 

Car sous les nouveaux termes, n'est-ce pas le Droit classique qui est comme retraité ? D'ailleurs la premier Risk Mapping n'est-ce pas le mécanism du bilan comptable, lequel est indissociable du Droit des sociétés ?

Or, l'évolution de la conception de ce qu'est un bilan, comme non seulement reflet du passé mais comme anticipation du futur puisqu'outil premier d'information pour permettre aux titulaires de titres, présents et potentiels d'agir en anticipation de celui-ci, permet de soutenir que le bilan est en train de devenir une sorte de cartographie des risques de l'entreprise.

Cela est vrai à travers la consolidation comptable du groupe, à travers le statut de plus en plus contraignant de la provision, à travers l'évolution des normes comptables. Les travaux de l'Autorité des Normes Comptables (ANC) à ce sujet montre que celles-ci visent le futur, c'est-à-dire aussi le risque. 

Même si le "faux bilan", parce qu'il relève encore du Droit pénal, branche du Droit demeurant restrictement interprété, n'est pas le reflet de l'obligation d'un bilan exact, fidèle et sincère, que le bilan n'a pas à être "vrai", qu'il n'a encore moins à prédire l'avenir, les engagements pris par les mandataires ayant pour fonction d'injecter de la stabilité dans le futur par cette technique spécifique, il demeure que par exemple l'obligation générale de "prudence" et les techniques de provision corresponde à cette idée aujourd'hui formulée sous cette expression "cartographie des risques". 

 

2. Informer par avance sur l'interférence des risques encourus dans la perspective de l'information des marchés financiers : la perspective d'un "droit d'être inquiet"

L'arrêt de la Chambre commerciale de la Cour de cassation du 7 mars 2018Huit-Clos le montre. Il s'agit d'une société dont les titres étaient côtés sur le compartiment C du Nyse Euronext Paris. Après sa liquidation judiciaire, ses dirigeants ont été sanctionnés par la Commission des sanctions de l'Autorité des marchés financiers pour avoir communiqué avec retard au marché les difficultés de l'entreprise. Le pourvoi soutenait que la connaissance que les dirigeants avaient des déficits à venir constituait une information qui n'était pas assez précise ni certaine pour justifier une telle obligation. Mais la Cour de cassation relève que les dirigeants ont tout fait pour rassurer les marchés, notamment par l'affirmation dans le rapport financier semestriel mis en ligne fin novembre selon laquelle "les principaux risques et incertitudes auxquels peut être exposé le groupe dans détaillés dans le rapport annuel". Les dirigeants ajoutent immédiatement que "à leur connaissance, aucun événement majeur, modifiant la cartographie de ces risques et incertitudes, ne pourrait avoir une influence notablee sur le second semestre". 

Les dirigeants estiment leur condamnation infondée car ils avaient donné les faits au marché, notamment le plan de restructuration avec les banques et la conjonction difficile. L'Autorité reconnait que "la conjoncture n'était pas dissimulée et les difficulté n'étaient pas masquées", mais elle estime que la présentation qui en a été faite était "positive et rassurante", ce qui constitue le manquement. La Cour de cassation estime que cela est fondé.

Ainsi à lire cet arrêt, qui se réfère expressément à la "cartographie des risques", il s'agit non pas seulement de chiffres et de dates, acquises ou anticipées : il s'agit aussi d'une mise en perspective dans un discours qui donne à ceux-ci une tonalité. Et cette tonalité est ce qui constitue la juridicité de la cartographie en tant que celle-ci est un outil d'information : les chiffres doivent-ils inquiéter ou rassurer ? Ici, les dirigeants avaient tout fait pour que les éléments de fait présents dans la cartographie soient interprétés comme éléments rassurants et non inquiétants. C'est pourtant leur condamnation pour manquement est fondée.

Cela est très cohérent avec la lettre des lois "Sapin 2" et "Vigilance" qui exige de la cartographie non seulement qu'elle répertorie mais encore qu'elle "analyse" et qu'elle "hiérarchise" les risques. On peut ici considérer que cette première exigence d'analyse" est ici reprise par le Droit commun de l'information des marchés, voire des investisseurs, tel que la Cour de cassation le conçoit. Dès lors les lois pourtant spéciales que sont "Sapin 2" et "Vigilance" ne seraient que le bastion avancé de l'obligation plus générale de cartographier les risques, faite aux entreprises exposées aux marchés.

C'est une première question : ces deux lois sont-elles dérogatoires ou sont-elles au contraire exemplaires d'une obligation plus générale de cartographier, dont l'obligation d'avoir un bilan qui inclut comptablement l'information sur les risques est un autre exemple  ?

La seconde question qui se pose tient dans la seconde exigence visée par la lettre de ces deux lois : la "hiérarchisation" des risques. Cette exigence est-elle cantonnée aux types de risques visée par les lois spéciales, l'une pour la lutte contre les atteintes à la probité, l'autre pour la protection des droits sociaux dans les chaînes économiques de dépendance ? 

La réponse dépend de la représentation que le juge va demander de la part d'analyse et donc de responsabilité qui revient à l'entreprise elle-même et à ceux qui observe celle-ci. 

En effet, si l'on suit cet arrêt récent, il reprend l'idée formulée par Churchill comme quoi rien n'est plus trompeur qu'un tableau de chiffres et de données. C'est donc non pas tant la cartographie des risques par l'entreprise mais la présentation que celle-ci en fait qui est la véritable information. Pourtant dans une conception libérale, le marché financier est une machine à comprendre, les investisseurs ne devaient pas être charmés par un discours de dirigeant qui cherchent toujours à leur plaire et devoir utiliser directement les outils, par exemple corréler les données mentionnés dans les cartes de risques, comme le recommandé Warren Buffet. La Cour de cassation approuve une conception plus protecteur du marché, qui ne doit pas être "surpris", et découvrir plus tard que le déficit possible était déjà non pas écarté par une restructuration prometteur mais au contraire déjà avéré par une situation irrémédiablement compromise.  c'est donc davantage vers l'obligation d'intelligibilité de l'information, pesant sur l'entreprise et non sur le marché, qui n'est donc pas une "machine à comprendre", au regard de ce que l'on pourrait appeler "le droit d'être inquiet".

L'investisseur aurait donc un "droit subjectif" à être inquiet et c'est commettre un manquement, sanctionné par l'Autorité des marchés financiers, si l'entreprise communique une cartographie qui, pour reprendre le vocabulaire comptable, est certes exacte mais n'est pas fidèle en ce que la couleur injectée n'est pas la bonne. 

Cette jurisprudence est très protectrice des marchés et des investisseurs, puisqu'elle internalise dans l'entreprise l'obligation de faire comprendre aux premiers l'interprétation correcte des données. En cela, elle correspond à ce qu'est le Droit de la Compliance d'une façon plus générale, c'est-à-dire l'internalisation du Droit de la Régulation au coeur même des entreprises!footnote-1732, y compris par le moyen des sanctions, lesquelles deviennent donc l'ordinaire des "modalités" du Droit de la Compliance, scindant plus encore le Droit pénal classique et la répression de Compliance. C'est pas sûr que cette conception à ce point instrumentale des sanctions, ici admise par la Chambre commerciale de la Cour de cassation, soit admise par la Chambre criminelle ni par les Cours constitutionnelles, gardiennes du Droit pénal classique!footnote-1733

 

3. Informer par avance sur l'interférence des risques encourus dans la perspective des risques de système

Mais parce que la cartographie des risques n'est qu'une "modalité", qu'un "outil", elle va s'imposer d'autant plus que le but pour lequel elle est utilisée spontanément ou imposée par la Loi est impératif. Dans la loi dite "Sapin 2", cela se comprend d'autant mieux qu'il s'agit de buts le plus souvent exprimés par du Droit pénal, comme l'interdiction de la corruption, du trafice d'influence, de la concussion, du blanchiment d'argent. Dans la loi dite "Vigilance", c'est plus directement le souci d'autrui qui est posé en but, et si le Conseil constitutionnel dans sa décision d'avril 2017 a exclu qu'on y associe une sanction de nature pénale il a admis que la Loi organise l'internalisation de ce souci dans des entreprises sans rapport direct avec les personnes ainsi protégées, déclenchant ainsi une responsabilité du fait d'autrui, dont l'outil imposé par cette loi de cartographier les risques d'atteinte à la santé, à la sécurité des travaux et aux droits humains montre qu'il s'agit d'une responsabilité pour autrui en Ex Ante. Ainsi, comme le veut à juste titre Alain Supiot, le Droit français "prend la responsabilité au sérieux"!footnote-1736

Mais dès avant la seule perspective de bonne gestion d'une entreprise a été dès la constitution du Droit de la Compliance dépassée puisque celui-ci a été créé aux Etats-Unis pour prévenir en Ex Ante les crises systémiques des systèmes bancaires et financières!footnote-1737. C'est pour prévenir l'effondrement du système que tant d'informations doivent être obtenues, stockées, transmises par les opérateurs eux-mêmes. C'est sur cette idée de prévention des risques, toutes les entreprises devenant des "centrales de risques" comme l'étaient spécifiquement les banques et les assurances. C'est pourquoi la cartographie des risques, qui a souvent été présentée comme spécifique au secteur de l'assurance!footnote-1738, s'est étendue à toutes les entreprises de tous les secteurs emprégnés de risques systémiques, et qu'elle est aujourd'hui en train de se généraliser à toutes les "entreprises cruciales" qui ne sont pas toujours des entreprises systémiques, comme les entreprises globales dans le commerce international ou ayant un impact environnemental, ce qui ne suppose pas un ancrage sectoriel. 

En effet,  dès l'instant que le Droit va identifier un risque collectif, dont la détection peut être opérée par les entreprises mieux que par un organise public, il va internaliser dans les entreprises ce travail de cartographie. En cela, l'entreprise devient un capteur d'informations et de classement de celles-ci au regard d'un but qui  leur est évidemment extérieur.

C'est notamment ce qui a été expressément depuis de nombreuses années proposé en Droit de l'environnement. Or, l'environnement ne constitue ni un marché ni un secteur. 

 

II. LA TRANSFORMATION DE LA CARTOGRAPHIE DES RISQUES EN NOTION JURIDIQUE AUTONOME, DESSINEE PAR LES SUPERVISEURS : NAISSANCE D'UNE OBLIGATION DE CARTOGRAPHIER POUR TENDRE VERS DES "BUTS MONUMENTAUX" DE COMPLIANCE

Tel Monsieur Jourdain, toute entreprise raisonnable et rationnelle cherchait pour son bien à mesurer ses risques, à limiter le coût de la corruption. Ce qui est nouveau, c'est la juridicité de cette pratique de gestion. En effet, comme le souligna Carbonnier, ce qui rend une situation juridique, c'est qu'elle peut être soumise à l'analyes d'un juge. Pour l'instant il y a si peu de décisions juridictionnelles à propos de la cartographie des risques que celle-ci semble rester dans le magma des faits. Mais cela est en train de changer. Il faut même dire que cela ne peut que changer.

Tout d'abord parce que la cartographie des risques est au coeur des mécanismes de Compliance, que la Compliance est cristallisée dans un Droit désormais spécifique, le "Droit de la Compliance", et que celui-ci est appliqué par les Autorités publiques spécifiques par des décisions soumises à des recours portées devant des juridictions, ce qui était d'une part et depuis toujours un outil de gestion et était d'autre part un mécanisme d'information dans des branches classiques du Droit prend une qualification juridique spécifique.  

Dès l'instant que ne pas établir selon les exigences légales une cartographie des risques justifie une sanction contentieuse transforme la cartographie des risques en notion juridique autonome. L'on se perd rapidement en conjecture car le vocabulaire est peu juridique. Ainsi l'AFA affirme qu'elle a pour mission de contrôler que la cartographie doit être "réelle et efficiente". Comment faire rentrer cette "obligation d'efficience" dans ce que donnait le Droit, à savoir la distinction entre l'obligation de moyens et l'obligation de résultat ? L'on sait que le Droit tend à remplacer cette opposation par une gradation et à travers les décisions c'est plutôt ainsi que va se dessiner "l'obligation de cartographier" (A). 

En outre, si l'observe les différents risques qui doivent être cartographiés, l'on 

 

A. LA  QUALITE DE L'OBLIGATION DE CARTOGRAPHIER , COEUR DE L'OBLIGATION DE COMPLIANCE : TENDRE VERS UNE MESURE EFFICIENTE DES RISQUES, EFFICIENCE PRESENTEE ATTEINTE PAR LE SUIVI MECANIQUE DE LA SOFT LAW

....

1. La qualification de l'obligation juridique de l'entreprise d'opérer une cartographie des risques à travers le Droit spécifique de la Compliance de lutte contre la corruption

L'on ne peut qualifier une obligation qu'à travers la sanction qui est faite de l'inexécution de celle-ci. C'est pourquoi ce sont les décisions de la Commission des sanctions de l'Agence Française Anticorruption (AFA) qui apportent les réponses!footnote-1728

En effet dans une décision remarquable du 4 juillet 2019!footnote-1729la Commission des sanctions de l'AFA avait été saisi par le directeur général de l'AFA, organe de poursuite requérant la condamnation d'une entreprise qui n'avait notamment pas selon lui  et entre autres manquement établi une cartographie des risques d'une façon efficace et utle. 

S'il est vrai qu'en application de l'article 17 de la loi dite "Sapin 2é dans un premier temps l'entreprise en cause avait reçu tout d'abord des recommandations de la part de l'Agence, elle s'y était ensuite conformée. En Droit, cela constitue un étau. En effet, s'il est vrai que le Droit souple peut constituer une source de droit protectrice pour les personnes concernées en ce qu'elles peuvent s'en prévaloir, voir l'attaquer par un recours pour excès de pouvoir!footnote-1730, l'on ne peut aller jusqu'à dire qu'une recommandation contraint l'opérateur, sauf à transformer tout droit souple en droit dur. L'opérateur demeure donc libre de choisir les moyens techniques par lesquels il établit sa cartographie des risques. Cela correspond au fait que le Droit de la Compliance, si violent soit-il, correspond à une vision libérale du monde.

Néanmoins l'entreprise doit supporter la charge de preuve non seulement de la "réalité" de la cartographie des risques mais encore de son "efficacité". Cette double charge correspond au soupçon du Législateur, voire du superviseur, selon lequel les outils structurels de compliance ne seraient que des faux-semblants. Il ne suffit donc pas qu'ils existent, il faut encore qu'ils soient efficaces et que l'entreprise le prouve.

Plus encore, le Droit de la Compliance est un Droit de nature structurel, et non pas comportemental

 

2. L'hypothèse de la généralisation de la qualification juridique au-delà du Droit spécifique à la prévention des atteintes à la probité

En Droit, la question la plus importante est toujours l'interprétation des silences : est-ce parce que le Législateur n'a haussé le ton qu'à propos des atteintes à la probité que le régime juridique attaché à l'obligation juridique de cartographier, quittant donc la bonne pratique de gestion des entreprises et la bonne tenue des corps de l'Etat en charge des politiques publiques, il faudrait en déduire qu'en dehors de ces cas la cartographie des risques demeure une dilgence bienvenue, dont le juge ou le superviseur tiendra éventuellement compte, comme un fait, bon point donné à celui qui y a veillé ? Ou peut-on dire, dans le silence des autres risques que le Droit est en train de se cristalliser autour d'une obligation générale de cristalliser les risques, notamment parce qu'il existerait un Droit subjectif d'autrui d'être inquiet du fait de ce risque ?

Pour répondre à cela, l'arrêt rendu par le Conseil d'Etat le 17 mars 2017, COFOR, est éclairant. Dans cette affaire, le ministère en charge de l'environnement a adopté une "note technique" établissant une "cartographie des risques" pour la mise en place des plans de prévention des incendies de forêts. Cette cartographie par rapport au texte du Code de l'environnement avait pour conséquence d'accroître selon les requérant les pouvoirs du préfet, justifiant donc un recours pour excès de pouvoirs. Celui-ci est rejeté par le Conseil d'Etat. En effet, celui-ci estime que le but étant que les incendies n'adviennent pas, cet outil de la cartographie était nécessaire et fonde donc le pouvoir du préfet qui s'en prévaut pour contraindre les entreprises exploitant les forets.

Cette décision est particulièrement intéressante car une "note techniques" n'est pas une loi. Mais un incendie est une crise systémique comme l'est une faillite bancaire ou une épidémie sanitaire. Dès lors l'outil de cartographie, parce qu'il est nécessaire pour rendre "efficient" le plan de prévention des feux prévu par la loi devient de ce fait légitime y compris dans ses effets contraignants.

L'on mesure ici la transversalité des raisonnements. 

 

B. NAISSANCE D'UN "DROIT SUBJECTIF D'ETRE INQUIET" AU-DELA DU CAS AVERE DES INVESTISSEURS FINANCIERS, BASTION AVANCE DU DROIT DE LA COMPLIANCE

 

1. Parce qu'outil, la cartographie a les contours des risques et ne connait pas les frontières

2. Coeur du Droit de la Compliance, la cartographie des risques abonde l'extraterritorialité consubstantielle du Droit de la Compliance

 

C. L'AMPLEUR NECESSAIREMENT EXTRATERRITORIALE DE LA CARTOGRAPHIE DES RISQUES, MARQUE DU DROIT DE LA COMPLIANCE

1. Parce qu'outil, la cartographie a les contours des risques et ne connait pas les frontières

2. Coeur du Droit de la Compliance, la cartographie des risques abonde l'extraterritorialité consubstantielle du Droit de la Compliance

 

III. LA TRANSFORMATION PAR LE DROIT DE LA CARTOGRAPHIE DES RISQUES COMME MECANISME LIMITE VERS UN MECANISME GENERAL DE POLITIQUE PUBLIQUE EXTRATERRITORIALE

Pris à la lettre, l'article 17 de la loi dite "Sapin 2",

A. MOUVEMENT EN TROIS TEMPS :  D'OBLIGATIONS PONCTUELLES VERS UNE OBLIGATION  JURIDIQUE GENERALE  D'INFORMATION SUR LES RISQUES . VERS UNE OBLIGATION JURIDIQUES GENERALE INTERNALISEE DE PREVENTION DES CRISES . VERS UNE POLITIQUE INTERNALISEE PAR UNE OBLIGATION JURIDIQUE DE PRISE EN CHARGE DE "BUTS MONUMENTAUX"

1. L'interprétation nécessairement téléologique de l'outil constitué par la cartographie des risques 

2. D'une obligation ponctuelle de prévention de risque de corruption à une obligation générale de préventuelle de risque pour l'entreprise constituée en "opérateur crucial"

3. D'une obligation général de prévention systémique des crises à une obligation générale de prévention des risques pour tout "opérateur crucial", même hors secteur régulé ou supervisé

4. La détermination par le Politique des "buts monumentaux" justifiant l'obligation de la mise en place interne de cet outil de bien commun

B. LA CARTOGRAPHIE DES RISQUES, TRANSFORMATION DES ENTREPRISES EN ACTEURS POLITIQUES MAJEURS

1. La prévention globale de la corruption, épigone du Droit général de la Compliance

2. 

1

Même si aujourd'hui "l'amour de la Loi" s'articule même avec les postulats du Droit économique, corrélés avec l'analyse économique du Droit et basés sur la notion d'intérêt. Or, comme l'expose Pascal, l'amour et l'intérêt sont choses opposés. Pour une analyse sociologique, v. Frison-Roche, M.-A., ....

2

Frison-Roche, M.-A., Du Droit de la Régulation au Droit de la Compliance, 2017. 

3

Sur la remise en cause du Droit pénal classique par le Droit de la Compliance, v. d'une façon générale André, Ch., Droit pénal spécial, 2019 ; en matière bancaire et financière, v. Frison-Roche, M.-A., ....

4

Supiot, A., Prendre la responsabilité au sérieux, 2015. 

5

Frison-Roche, M.-A., Compliance : avant, maintenant, après, 2018. 

6

Osten, Th., Droit de la concurrence et assurance : cartographie des risques au lendement de l'enquête sectorielle de la Commission européenne et de l'adoption du nouveau Réglement d'exemption catégorielle, 212. 

7

Sur le site de l'AFA ce pouvoir de sanction n'est d'ailleurs pas présenté comme pouvoir autonome. Il est simplement indiqué d'une façon générale que l'Agence dispose d'un "pouvoir administratif de contrôle lui permettant de vérifier la réalité et l'efficience des mécanisme de conformité anticorruption mis en oeuvre". Il faut ensuite que l'internaute aille dans la section propre à la "Commission des sanctions" pour trouver des informations propres aux sanctions. 

8

Frison-Roche, M.-A., Leçon probatoire de la décision du 4 juillet 2019 de la Commission des sanctions de l'Agence Française Anticorruption

9

Conseil d'Etat, 16 mars 2017, Numéricable ; Finvest....

comments are disabled for this article