Anchor points of the risk mapping process in the legal system

I. L'IMPORTANCE NOUVELLE DE LA CARTOGRAPHIE DES RISQUES, PARCE QUE LE RISQUE DEVIENT LUI-MEME UN OBJET JURIDIQUE  AUTONOME DU DROIT ECONOMIQUE

L'une des raison principales pour lesquelles la cartographie des risques est devenue si importante est que le "risque", - et donc la pertinence de le "cartographier" en Ex Ante pour mieux prévenir sa dégénérescence en crise ou pour permettre à des tiers de prendre en connaissance de cause leur risques -, est lui-même devenu un objet de premier plan dans les systèmes juridiques. 

Ce qu'il n'était pas naguère le cas.

1. Le risque, bienvenu en Droit classique de la concurrence

Longtemps le risque n'a guère existé pour le Droit. Certes, en Droit général de la responsabilité, la circonstance du risque est depuis toujours considérée, mais plutôt soit, dans une conception libérale de celle-ci, pour soutenir que chacun doit prendre ses risques (c'est-à-dire ne pas demander au Droit classique d'en imputer à d'autres leur évolution en dommages) soit, dans une conception plus sociale, pour les soumettre à un système de garantie.

Si l'on se tourne davantage vers la perspective plus particulière du Droit économique, le risque ne constitue pas davantage un objet autonome. En effet, si l'on continue de considérer que le Droit de la concurrence constitue le "Droit commun" du Droit économique, alors le risque n'est pas un fait pris en tant que tel puisqu'il est indissociable de la liberté d'entreprendre et de la "loi de la concurrence", laquelle est  littéralement reprise mot à mot dans les textes juridiques!footnote-1909.   

En effet, si l'on regarder le monde à travers le regard qu'y imprime la conception marchande de celui-ci!footnote-1903 , le couple "Droit et Risque"!footnote-1904 fonctionnerait plutôt en vases communicants : plus il y a de "réglementation" en Ex Ante et moins il y a de risques. Mais la "réglementation" est un coût ainsi qu'une entrave à l'action, la "prise de risque" étant au contraire associée à la toujours possible réussite, gage d'innovation et de bien-être du consommateur final. Dès lors par l'effet d'une telle toile de fond, le Droit qui poserait comme but la gestion des risques en Ex Ante  par des dispositifs - que l'on ne distingue généralement pas de la "réglementation", laquelle n'est pas non plus distinguée de la "régulation" -, n'y est pas bienvenu ... Il faudrait que le marché soit démontré comme "défaillant" que par exception les béquilles de la réglementation soient admissibles.

Le risque sera donc traité non pas en Ex Ante mais en Ex Post, par le Droit des défaillances des entreprises, "modernisé" par le thème de la "seconde chance" car l'essentiel est que l'entreprise, définie à travers son activité (et non pas comme un groupe de personnes), soit de nouveau en mesure de courir des risques.

Cette position simple et forte a été partagée et promue, prenant notamment la forme de recommandations pour qu'il y ait, pour le bien de tous, le moins possible de "réglementation", ce qui revient à souhaiter, de confusion langagière en traductions approximatives, qu'il y ait de Droit possible. Cela est expressément repris par des institutions comme la Banque Mondiale, préconisant pour que l'économie soit prospère la réduction maximale du poids de la réglementation afin que l'initiative économique puisse se développer: c'est le postulat des rapports annuels Doing Business. Il résulte de ce syllogisme une évaluation négative de la France, puisque que son Droit choisit parfois de maintenir des entreprise indépendamment de la valeur de cession de ses différents actifs ou d'imposer des règles juridiques indépendamment de la "sécurité" qu'elles procurent aux projets des uns et des autres.

Jacques Mestre publia un ouvrage collectif de référence sur l'articulation générale entre le Droit et les risques.  

Mais à se confronter au Droit de la concurrence sur le même système de pensée que celui-ci, le Droit du travail ne pouvait qu'être anéanti. L'évolution n'est donc pas venue de la considération de celui-ci, malgré les appels, quasiment désespérés, d'Alain Supiot pour ce faire, ou de Farjat qui rappelait que le "Droit de l'Entreprise" doit faire converger Droit de la Concurrence et Droit social car il ne peut pas avoir de commerce sans produits conçus et fabriqués par des êtres humains, ni de marchés sans personne et que l'entreprise est une communauté.  

L'évolution ne pouvait venir que des marchés, dont la myopie est souvent étudié, que leur propre crise éclaire, et que des tsunamis ont ébloui. Nous sommes en train d'en vivre un. Dont on voit la trace en cercle concentriques dans ces cartographies de risques, qui permettent des questions d'argent, pour aller vers des risques politiques, des risques de guerre , des risques d'effondrement de la nature et d'êtres humains dont on voudrait qu'ils ne meurent pas tous.

Quand on lit les cartographies des risques, c'est cela dont on prend la mesure. Il est temps que l'objet principal du Droit ne soit pas le prix le moins élevé possible des services, mais cela.

Or, le Droit de la Régulation prend ses soucis - et donc ses risques - en charge. 

Le Droit de la Compliance prolonge en cela le Droit de la Régulation.

2. Le Droit de la Régulation, recentrage sur le Risque pris comme objet autonome puis premier

L'évolution du Droit de la Régulation a été en trois temps. Dans un premier temps

La cartographie des risques comme fait justificatif ou circonstances aggravantes

3. Le Droit de la Compliance, né du souci des risques de système et dont l'avenir est dans le souci des risques dont les tiers concernés doivent être "inquiétés"

ss

II. DES LINEAMENTS DU DROIT SUBSTANTIEL DE LA COMPLIANCE DANS LE DROIT POSITIF TRADITIONNEL

Jacques Mestre publia un ouvrage collectif sur la façon dont 

A. Informer par avance sur l'interférence des risques encourus dans la perspective du Droit des sociétés

Le

Car sous les nouveaux termes, n'est-ce pas le Droit classique qui est comme retraité ? D'ailleurs la premier Risk Mapping n'est-ce pas le mécanism du bilan comptable, lequel est indissociable du Droit des sociétés ?

Or, l'évolution de la conception de ce qu'est un bilan, comme non seulement reflet du passé mais comme anticipation du futur puisqu'outil premier d'information pour permettre aux titulaires de titres, présents et potentiels d'agir en anticipation de celui-ci, permet de soutenir que le bilan est en train de devenir une sorte de cartographie des risques de l'entreprise.

Cela est vrai à travers la consolidation comptable du groupe, à travers le statut de plus en plus contraignant de la provision, à travers l'évolution des normes comptables. Les travaux de l'Autorité des Normes Comptables (ANC) à ce sujet montre que celles-ci visent le futur, c'est-à-dire aussi le risque. 

Même si le "faux bilan", parce qu'il relève encore du Droit pénal, branche du Droit demeurant strictement interprété, n'est pas le reflet de l'obligation d'un bilan exact, fidèle et sincère, que le bilan n'a pas à être "vrai", qu'il n'a encore moins à prédire l'avenir, les engagements pris par les mandataires ayant pour fonction d'injecter de la stabilité dans le futur par cette technique spécifique, il demeure que par exemple l'obligation générale de "prudence" et les techniques de provision corresponde à cette idée aujourd'hui formulée sous cette expression "cartographie des risques". 

2. Informer par avance sur l'interférence des risques encourus dans la perspective de l'information des marchés financiers : la perspective d'un "droit d'être inquiet"

L'arrêt de la Chambre commerciale de la Cour de cassation du 7 mars 2018, Huit-Clos le montre. Il s'agit d'une société dont les titres étaient côtés sur le compartiment C du NYSE Euronext Paris. Après sa liquidation judiciaire, ses dirigeants ont été sanctionnés par la Commission des sanctions de l'Autorité des marchés financiers pour avoir communiqué avec retard au marché les difficultés de l'entreprise. Le pourvoi soutenait que la connaissance que les dirigeants avaient des déficits à venir constituait une information qui n'était pas assez précise ni certaine pour justifier une telle obligation. Mais la Cour de cassation relève que les dirigeants ont tout fait pour rassurer les marchés, notamment par l'affirmation dans le rapport financier semestriel mis en ligne fin novembre selon laquelle "les principaux risques et incertitudes auxquels peut être exposé le groupe dans détaillés dans le rapport annuel". Les dirigeants ajoutent immédiatement que "à leur connaissance, aucun événement majeur, modifiant la cartographie de ces risques et incertitudes, ne pourrait avoir une influence notable sur le second semestre". 

Les dirigeants estiment leur condamnation infondée car ils avaient donné les faits au marché, notamment le plan de restructuration avec les banques et la conjonction difficile. L'Autorité reconnait que "la conjoncture n'était pas dissimulée et les difficulté n'étaient pas masquées", mais elle estime que la présentation qui en a été faite était "positive et rassurante", ce qui constitue le manquement. La Cour de cassation estime que cela est fondé.

Ainsi à lire cet arrêt, qui se réfère expressément à la "cartographie des risques", il s'agit non pas seulement de chiffres et de dates, acquises ou anticipées : il s'agit aussi d'une mise en perspective dans un discours qui donne à ceux-ci une tonalité. Et cette tonalité est ce qui constitue la juridicité de la cartographie en tant que celle-ci est un outil d'information : les chiffres doivent-ils inquiéter ou rassurer ? Ici, les dirigeants avaient tout fait pour que les éléments de fait présents dans la cartographie soient interprétés comme éléments rassurants et non inquiétants. C'est pourtant leur condamnation pour manquement est fondée.

Cela est très cohérent avec la lettre des lois "Sapin 2" et "Vigilance" qui exige de la cartographie non seulement qu'elle répertorie mais encore qu'elle "analyse" et qu'elle "hiérarchise" les risques. On peut ici considérer que cette première exigence d'analyse" est ici reprise par le Droit commun de l'information des marchés, voire des investisseurs, tel que la Cour de cassation le conçoit. Dès lors les lois pourtant spéciales que sont "Sapin 2" et "Vigilance" ne seraient que le bastion avancé de l'obligation plus générale de cartographier les risques, faite aux entreprises exposées aux marchés.

C'est une première question : ces deux lois sont-elles dérogatoires ou sont-elles au contraire exemplaires d'une obligation plus générale de cartographier, dont l'obligation d'avoir un bilan qui inclut comptablement l'information sur les risques est un autre exemple  ?

La seconde question qui se pose tient dans la seconde exigence visée par la lettre de ces deux lois : la "hiérarchisation" des risques. Cette exigence est-elle cantonnée aux types de risques visée par les lois spéciales, l'une pour la lutte contre les atteintes à la probité, l'autre pour la protection des droits sociaux dans les chaînes économiques de dépendance ? 

La réponse dépend de la représentation que le juge va demander de la part d'analyse et donc de responsabilité qui revient à l'entreprise elle-même et à ceux qui observe celle-ci. 

En effet, si l'on suit cet arrêt récent, il reprend l'idée formulée par Churchill comme quoi rien n'est plus trompeur qu'un tableau de chiffres et de données. C'est donc non pas tant la cartographie des risques par l'entreprise mais la présentation que celle-ci en fait qui est la véritable information. Pourtant dans une conception libérale, le marché financier est une machine à comprendre, les investisseurs ne devaient pas être charmés par un discours de dirigeant qui cherchent toujours à leur plaire et devoir utiliser directement les outils, par exemple corréler les données mentionnés dans les cartes de risques, comme le recommandé Warren Buffet. La Cour de cassation approuve une conception plus protecteur du marché, qui ne doit pas être "surpris", et découvrir plus tard que le déficit possible était déjà non pas écarté par une restructuration prometteur mais au contraire déjà avéré par une situation irrémédiablement compromise.  c'est donc davantage vers l'obligation d'intelligibilité de l'information, pesant sur l'entreprise et non sur le marché, qui n'est donc pas une "machine à comprendre", au regard de ce que l'on pourrait appeler "le droit d'être inquiet".

L'investisseur aurait donc un "droit subjectif" à être inquiet et c'est commettre un manquement, sanctionné par l'Autorité des marchés financiers, si l'entreprise communique une cartographie qui, pour reprendre le vocabulaire comptable, est certes exacte mais n'est pas fidèle en ce que la couleur injectée n'est pas la bonne. 

Cette jurisprudence est très protectrice des marchés et des investisseurs, puisqu'elle internalise dans l'entreprise l'obligation de faire comprendre aux premiers l'interprétation correcte des données. En cela, elle correspond à ce qu'est le Droit de la Compliance d'une façon plus générale, c'est-à-dire l'internalisation du Droit de la Régulation au cœur même des entreprises!footnote-1732, y compris par le moyen des sanctions, lesquelles deviennent donc l'ordinaire des "modalités" du Droit de la Compliance, scindant plus encore le Droit pénal classique et la répression de Compliance. C'est pas sûr que cette conception à ce point instrumentale des sanctions, ici admise par la Chambre commerciale de la Cour de cassation, soit admise par la Chambre criminelle ni par les Cours constitutionnelles, gardiennes du Droit pénal classique!footnote-1733. 

3. Informer par avance sur l'interférence des risques encourus dans la perspective des risques de système

Mais parce que la cartographie des risques n'est qu'une "modalité", qu'un "outil", elle va s'imposer d'autant plus que le but pour lequel elle est utilisée spontanément ou imposée par la Loi est impératif. Dans la loi dite "Sapin 2", cela se comprend d'autant mieux qu'il s'agit de buts le plus souvent exprimés par du Droit pénal, comme l'interdiction de la corruption, du trafic d'influence, de la concussion, du blanchiment d'argent. Dans la loi dite "Vigilance", c'est plus directement le souci d'autrui qui est posé en but, et si le Conseil constitutionnel dans sa décision d'avril 2017 a exclu qu'on y associe une sanction de nature pénale il a admis que la Loi organise l'internalisation de ce souci dans des entreprises sans rapport direct avec les personnes ainsi protégées, déclenchant ainsi une responsabilité du fait d'autrui, dont l'outil imposé par cette loi de cartographier les risques d'atteinte à la santé, à la sécurité des travaux et aux droits humains montre qu'il s'agit d'une responsabilité pour autrui en Ex Ante. Ainsi, comme le veut à juste titre Alain Supiot, le Droit français "prend la responsabilité au sérieux"!footnote-1736. 

Mais dès avant la seule perspective de bonne gestion d'une entreprise a été dès la constitution du Droit de la Compliance dépassée puisque celui-ci a été créé aux Etats-Unis pour prévenir en Ex Ante les crises systémiques des systèmes bancaires et financières!footnote-1737. C'est pour prévenir l'effondrement du système que tant d'informations doivent être obtenues, stockées, transmises par les opérateurs eux-mêmes. C'est sur cette idée de prévention des risques, toutes les entreprises devenant des "centrales de risques" comme l'étaient spécifiquement les banques et les assurances. C'est pourquoi la cartographie des risques, qui a souvent été présentée comme spécifique au secteur de l'assurance!footnote-1738, s'est étendue à toutes les entreprises de tous les secteurs imprégnés de risques systémiques, et qu'elle est aujourd'hui en train de se généraliser à toutes les "entreprises cruciales" qui ne sont pas toujours des entreprises systémiques, comme les entreprises globales dans le commerce international ou ayant un impact environnemental, ce qui ne suppose pas un ancrage sectoriel. 

En effet,  dès l'instant que le Droit va identifier un risque collectif, dont la détection peut être opérée par les entreprises mieux que par un organise public, il va internaliser dans les entreprises ce travail de cartographie. En cela, l'entreprise devient un capteur d'informations et de classement de celles-ci au regard d'un but qui  leur est évidemment extérieur.

C'est notamment ce qui a été expressément depuis de nombreuses années proposé en Droit de l'environnement. Or, l'environnement ne constitue ni un marché ni un secteur. 

II. LA TRANSFORMATION DE LA CARTOGRAPHIE DES RISQUES EN NOTION JURIDIQUE AUTONOME, DESSINÉE PAR LES SUPERVISEURS : NAISSANCE D'UNE OBLIGATION DE CARTOGRAPHIER POUR TENDRE VERS DES "BUTS MONUMENTAUX" DE COMPLIANCE

Tel Monsieur Jourdain, toute entreprise raisonnable et rationnelle cherchait pour son bien à mesurer ses risques, à limiter le coût de la corruption. Ce qui est nouveau, c'est la juridicité de cette pratique de gestion. En effet, comme le souligna Carbonnier, ce qui rend une situation juridique, c'est qu'elle peut être soumise à l'analyse d'un juge. Pour l'instant il y a si peu de décisions juridictionnelles à propos de la cartographie des risques que celle-ci semble rester dans le magma des faits. Mais cela est en train de changer. Il faut même dire que cela ne peut que changer.

Tout d'abord parce que la cartographie des risques est au cœur des mécanismes de Compliance, que la Compliance est cristallisée dans un Droit désormais spécifique, le "Droit de la Compliance", et que celui-ci est appliqué par les Autorités publiques spécifiques par des décisions soumises à des recours portées devant des juridictions, ce qui était d'une part et depuis toujours un outil de gestion et était d'autre part un mécanisme d'information dans des branches classiques du Droit prend une qualification juridique spécifique.  

Dès l'instant que ne pas établir selon les exigences légales une cartographie des risques justifie une sanction contentieuse transforme la cartographie des risques en notion juridique autonome. L'on se perd rapidement en conjecture car le vocabulaire est peu juridique. Ainsi l'AFA affirme qu'elle a pour mission de contrôler que la cartographie doit être "réelle et efficiente". Comment faire rentrer cette "obligation d'efficience" dans ce que donnait le Droit, à savoir la distinction entre l'obligation de moyens et l'obligation de résultat ? L'on sait que le Droit tend à remplacer cette opposation par une gradation et à travers les décisions c'est plutôt ainsi que va se dessiner "l'obligation de cartographier" (A). 

En outre, si l'observe les différents risques qui doivent être cartographiés, l'on ......

A. LA  QUALITÉ DE L'OBLIGATION DE CARTOGRAPHIER , CŒUR DE L'OBLIGATION DE COMPLIANCE : TENDRE VERS UNE MESURE EFFICIENTE DES RISQUES, EFFICIENCE PRÉSENTÉE ATTEINTE PAR LE SUIVI MÉCANIQUE DE LA SOFT LAW

....

1. La qualification de l'obligation juridique de l'entreprise d'opérer une cartographie des risques à travers le Droit spécifique de la Compliance de lutte contre la corruption

L'on ne peut qualifier une obligation qu'à travers la sanction qui est faite de l'inexécution de celle-ci. C'est pourquoi ce sont les décisions de la Commission des sanctions de l'Agence Française Anticorruption (AFA) qui apportent les réponses!footnote-1728. 

En effet dans une décision remarquable du 4 juillet 2019!footnote-1729,  la Commission des sanctions de l'AFA avait été saisi par le directeur général de l'AFA, organe de poursuite requérant la condamnation d'une entreprise qui n'avait notamment pas selon lui  et entre autres manquement établi une cartographie des risques d'une façon efficace et utile. 

S'il est vrai qu'en application de l'article 17 de la loi dite "Sapin 2", dans un premier temps, l'entreprise en cause avait reçu tout d'abord des recommandations de la part de l'Agence, elle s'y était ensuite conformée. En Droit, cela constitue un étau. En effet, s'il est vrai que le Droit souple peut constituer une source de droit protectrice pour les personnes concernées en ce qu'elles peuvent s'en prévaloir, voir l'attaquer par un recours pour excès de pouvoir!footnote-1730, l'on ne peut aller jusqu'à dire qu'une recommandation contraint l'opérateur, sauf à transformer tout droit souple en droit dur. L'opérateur demeure donc libre de choisir les moyens techniques par lesquels il établit sa cartographie des risques. Cela correspond au fait que le Droit de la Compliance, si violent soit-il, correspond à une vision libérale du monde.

Néanmoins l'entreprise doit supporter la charge de preuve non seulement de la "réalité" de la cartographie des risques mais encore de son "efficacité". Cette double charge correspond au soupçon du Législateur, voire du superviseur, selon lequel les outils structurels de compliance ne seraient que des faux-semblants. Il ne suffit donc pas qu'ils existent, il faut encore qu'ils soient efficaces et que l'entreprise le prouve.

Plus encore, le Droit de la Compliance est un Droit de nature structurel, et non pas comportemental.

2. L'hypothèse de la généralisation de la qualification juridique au-delà du Droit spécifique à la prévention des atteintes à la probité

En Droit, la question la plus importante est toujours l'interprétation des silences : est-ce parce que le Législateur n'a haussé le ton qu'à propos des atteintes à la probité que le régime juridique attaché à l'obligation juridique de cartographier, quittant donc la bonne pratique de gestion des entreprises et la bonne tenue des corps de l'Etat en charge des politiques publiques, il faudrait en déduire qu'en dehors de ces cas la cartographie des risques demeure une diligence bienvenue, dont le juge ou le superviseur tiendra éventuellement compte, comme un fait, bon point donné à celui qui y a veillé ? Ou peut-on dire, dans le silence des autres risques que le Droit est en train de se cristalliser autour d'une obligation générale de cristalliser les risques, notamment parce qu'il existerait un Droit subjectif d'autrui d'être inquiet du fait de ce risque ?

Pour répondre à cela, l'arrêt rendu par le Conseil d'Etat le 17 mars 2017, COFOR, est éclairant. Dans cette affaire, le ministère en charge de l'environnement a adopté une "note technique" établissant une "cartographie des risques" pour la mise en place des plans de prévention des incendies de forêts. Cette cartographie par rapport au texte du Code de l'environnement avait pour conséquence d'accroître selon les requérant les pouvoirs du préfet, justifiant donc un recours pour excès de pouvoirs. Celui-ci est rejeté par le Conseil d'Etat. En effet, celui-ci estime que le but étant que les incendies n'adviennent pas, cet outil de la cartographie était nécessaire et fonde donc le pouvoir du préfet qui s'en prévaut pour contraindre les entreprises exploitant les forets.

Cette décision est particulièrement intéressante car une "note techniques" n'est pas une loi. Mais un incendie est une crise systémique comme l'est une faillite bancaire ou une épidémie sanitaire. Dès lors l'outil de cartographie, parce qu'il est nécessaire pour rendre "efficient" le plan de prévention des feux prévu par la loi devient de ce fait légitime y compris dans ses effets contraignants.

L'on mesure ici la transversalité des raisonnements. 

B. NAISSANCE D'UN "DROIT SUBJECTIF D’ÊTRE INQUIET" AU-DELÀ DU CAS AVÉRÉ DES INVESTISSEURS FINANCIERS, BASTION AVANCÉ DU DROIT DE LA COMPLIANCE

1. Parce qu'outil, la cartographie a les contours des risques et ne connait pas les frontières

2. Cœur du Droit de la Compliance, la cartographie des risques abonde l'extraterritorialité consubstantielle du Droit de la Compliance

C. L'AMPLEUR NÉCESSAIREMENT EXTRATERRITORIALE DE LA CARTOGRAPHIE DES RISQUES, MARQUE DU DROIT DE LA COMPLIANCE

1. Parce qu'outil, la cartographie a les contours des risques et ne connait pas les frontières

2. Cœur du Droit de la Compliance, la cartographie des risques abonde l'extraterritorialité consubstantielle du Droit de la Compliance

III. LA TRANSFORMATION PAR LE DROIT DE LA CARTOGRAPHIE DES RISQUES COMME MÉCANISME LIMITÉ VERS UN MÉCANISME GÉNÉRAL DE POLITIQUE PUBLIQUE EXTRATERRITORIALE

Pris à la lettre, l'article 17 de la loi dite "Sapin 2",

A. MOUVEMENT EN TROIS TEMPS :  D'OBLIGATIONS PONCTUELLES VERS UNE OBLIGATION  JURIDIQUE GÉNÉRALE  D'INFORMATION SUR LES RISQUES . VERS UNE OBLIGATION JURIDIQUE GÉNÉRALE INTERNALISÉE DE PRÉVENTION DES CRISES . VERS UNE POLITIQUE INTERNALISÉE PAR UNE OBLIGATION JURIDIQUE DE PRISE EN CHARGE DE "BUTS MONUMENTAUX"

1. L'interprétation nécessairement téléologique de l'outil constitué par la cartographie des risques 

2. D'une obligation ponctuelle de prévention de risque de corruption à une obligation générale de prévention de risque pour l'entreprise constituée en "opérateur crucial"

3. D'une obligation général de prévention systémique des crises à une obligation générale de prévention des risques pour tout "opérateur crucial", même hors secteur régulé ou supervisé

4. La détermination par le Politique des "buts monumentaux" justifiant l'obligation de la mise en place interne de cet outil de bien commun

B. LA CARTOGRAPHIE DES RISQUES, TRANSFORMATION DES ENTREPRISES EN ACTEURS POLITIQUES MAJEURS

1. La prévention globale de la corruption, épigone du Droit général de la Compliance

2.