The recent news

Ce document de travail a servi de base à une intervention dans la conférence organisée dans le cycle de conférences organisé par le Journal of Regulation & Compliance (JoRC) autour du thème : Les outils de la Compliance, en collaboration avec de nombreux partenaires universitaires : cette première conférence est organisée en collaboration avec le Département d'Economie de Sciences po et se tient le 28 novembre 2019 à Sciences po et porte sur le thème plus particulier de La cartographie des risques.

Il sert également de base à l'ouvrage dirigé par Marie-Anne Frison-Roche, Les outils de la Compliance, qui sortira dans la collection Régulations & Compliance. 

______

Introduction et résumé.

Le plus souvent l'on ne fait que décrire le mécanisme de cartographie des risques, sans le qualifier juridiquement. Le législateur ne fait pas davantage. Ainsi, dans l'article 17 de la loi dite "Sapin 2", la cartographie est décrite comme "la forme d'une documentation régulièrement actualisée et destinée à identifier, analyser et hiérarchiser les risques d'exposition de la société à des sollicitations externes aux fin de corruption, en fonction notamment des secteurs d'acitivité et des zones géographiques dans lesquels la société exerce son activité.". L'article 1ier de la loi dite "Vigilance" du 27 mars 2017 vise quant à elle "une cartographie des risques destinées à leur identification, leur analyse et leur hiérarchisation".  

 Il s'agit d'une description et non d'une définition, le texte ne visant que la "forme" que cet élément d'information prend, sans en dire davantage. La lettre du texte descriptif inséré dans la seconde partie de l'article 17 renvoyant à la première partie de celui-ci, qui le vise expressément comme une "modalité" de "l'obligation" de prendre des "mesures destinées à prévenir et à détecter la commission, en France ou à l'étranger, de faits de corruption ou de trafic d'influence". De la même façon lorsqu'on consulte les documents par lesquels les Autorités de Régulation, par exemple l'Autorité de marché financier, présente la façon de bien identifier les risques, y compris les risques de "non-conformité"!footnote-1734, il y a une description des façons de faire, pas de définition, souvent pas de droit. L'on retrouve cette même tendance dans la Compliance elle-même, si souvent réduite dans sa présentation à un process mécanique, souvent peu juridique, ou ne le devenant que sous son mauvais jour : celui de la sanction. Cette conception mécanique d'une Compliance comme process conduit à proposer que des machines et non des êtres humains en établissent les outils, notamment la cartographie des risques. 

Car il est acquis que la cartographie n'est qu'un "outil", la loi la désignait comme une "modalité". Il est donc acquis qu'il faut chercher ce pour quoi est fait l'outil. Soit il est fait pour que la loi ne soit pas méconnue, la cartographie repérant par exemple le risque accrue qu'elle ne le soit pas : c'est qu'il est usuellement désigné sous l'appellation étrange de "risque de conformité". La cartographie permet alors à l'entreprise d'exécuter son "obligation de Compliance", c'est-à-dire de faire en sorte en Ex Ante que la loi soit respectée en éliminant par avance le risque qu'elle ne le soit pas. Ainsi dès 2008, l'OCDE définissait la cartographie des risques par ses objectifs, à savoir mettre en place des moyens efficients pour réduire des risques de fraudes et de corruption et pour mettre en place des enquêtes efficients en concentrant les efforts sur les procédés efficaces". !footnote-1739. 

Il y a ensuite les risques qui ne regardent pas le Droit, et que l'entreprise gère comme autant de considérations pour son action, comme les risques économiques, naturesl ou politiques, ainsi que les "risques de marché", à propos desquels les Autorités de marchés, comme l'Autorité de marché financier dresse régulièrement une "cartographie des risques"!footnote-1740 . Mais cette cartographie-là ne semble pas regarder le Droit, alors même qu'elle ne relève déjà plus de la seule bonne gestion interne de l'entreprise. Plus l'on lit des cartes et plus l'on observe leur diversité, sans savoir si elles constituent une "modalité" d'une obligation, constituant donc un objet juridique, ou si elle constitue une bonne façon de faire, ce qui est neutre pour le Droit. Mais de quoi aujourd'hui le Droit ne se mêle-t-il pas ? Surtout d'un fait aussi important et prégnant et coûteux que celui-là....

Or, l'on observe à quel point la "cartographie des risques" n'a pour l'instant été que peu pensée en Droit. En effet, lorsqu'il est exposé, et si souvent, qu'elle comprend à la fois des "risques économiques", des "risques politiques", et des "risques de conformité", alors pourtant que dans son ensemble elle n'est instrument d'un Droit de la Compliance, qui organise la totalité de la conformité, le juriste qui sans cesse ordonne n'arrive plus à suivre : comme la "conformité" pourrait-elle n'être qu'une partie d'un mécanisme qui lui-même n'est qu'une partie de la "conformité" ? L'on trouve de très nombreux écrits qui détaillent la cartographie, qui par une sorte d'effet de miroirs, dressent des cartographies des exigences pays par pays, textes par textes, secteurs par secteurs, loi par loi, des exigences de cartographies.... Nous sommes face à un chateau de cartes, toujours plus minutieusement décrite, sans jamais rencontrer de qualification juridique. Par exemple dresser une telle carte constitue-t-il un fait juridique ou un acte juridique ? Je ne vois pas la question même posée. Pourtant, les conséquences de régime en sont immenses. A supposer que cela ne soit qu'un fait juridique, peut-il être justificatif ? Les avocats y ont songé et ont plutôt trouvé porte fermée... Mais pourquoi ne serait-ce pas un acte juridique ? La catégorie juridique des actes juridiques unilatéraux est là pour l'accueillir. Dans ce cas, la cartographie des risques engage l'entreprise et l'on sent que les régulateurs et les juges le conçoivent de plus en plus ainsi. Mais si l'entreprise est engagée, auprès de qui l'est-elle ? Plus précisément encore, si elle devient débitrice de l'obligation de cartographier, même si aucune loi particulière ne le lui prescrit d'une façon précise, alors il existe nécessairement un créancier bénéficiaire de cette obligation. Qui est-il ? Et pourquoi l'est-il ?

L'essentiel de cette contribution est de poser ces questions. Elles sont élémentaires. Elles ouvrent des pistes, celles que l'exercice de qualification juridique, de mise en catégorie juridique et de définition juridique, ouvre. 

Si pour l'instant il a été peu pratiqué, la cartographie des risques étant étrangement laissé aux algorithmes, aptes à entasser des données et inaptes à définir et à qualifier juridiquement, cela tient peut-être au fait plus général que le Droit et le risque sont peu souvent directement associés. Le mécanisme de bonne gestion que constitue la cartographie des risques, notamment dans les organisations qui ne sont pas des entreprises mais sont en charge d'administrer et adoptent sans contrainte cette bonne méthode!footnote-1735, y incite lui-même d'autant moins qu'on peut lire qu'il s'agirait pour l'entité méticuleuse d'identifier par avance notamment le "risque juridique"!footnote-1731, c'est-à-dire l'application qui pourrait lui être fait du Droit, application incertaine, application contrariante. Combien de séminaires à succès sur le "risque pénal"... Comme en défense, les juristes exposent d'une façon trop générale que le Droit est constitué pour lutter contre le risque, lequel est un fait. En effet l'on répète à longueur de rapports que le système juridique est là pour "sécuriser", le réduisant parfois à cette performance technique tenant à sa nature même, par le principe de "sécurité juridique", que l'Etat par sa permanence, sa violence légitime, son imperium, nous donne en échange la paix, que le contrat par la "petite loi" qu'il constitue offre aux parties qui l'édictent un havre de sécurité pour cet îlot de stabilité dans un futur qu'on ne connait jamais tout à fait ; gare à nous si l'on sort de l'ordre juridique car l'on retombe dans le risque... Ainsi, soit l'on est dans le Droit, assujettis au Droit, et l'on bénéficie de sa sécurité spécifique, ce que les économistes désigneraient volontiers comme la "réglementation", soit on est dans la liberté de l'action, et l'on est alors dans le risque.... Il en serait comme pour les marchés, à propos desquels il faut choisir entre la liquidité et la sécurité :  si l'on veut de la liberté d'action, alors il faut moins de réglementation, et donc moins de sécurité, plus de risque.... Cette opposition traditionnelle et si souvent relayée en économie est remise en cause par l'obligation de cartographie des risques car si ceux-ci sont établis, ce n'est pas pour les connaître en soi mais pour les combattre, au-delà de l'obligation classique d'information sur les risques, dont on trouve de nombreux ancrages dans les branches du Droit, notamment le Droit des sociétés, notamment celles exposés aux marchés financiers (I). 

Dès lors, puisqu'il y a sous l'information classique de la prétention politique, de la volonté de "prévenir" le mal, qui se transforme rapidement dans la volonté de "promouvoir" le bien, le nouveau apparaît. La nouveauté est tout d'abord institutionnelle (II). En cela, la loi dite "Sapin 2", à travers l'instauration de l'Agence Française Anticorruption, a institutionnalisé ce mécanisme par lequel les entreprises "exposées" aux marchés financiers ou/et aux investisseurs internationaux, ou/et au commerce internationaux, présentent d'une façon claire et ordonnée -c'est-à-dire par une carte - les risques qu'ils ont identifiés dans leurs actions présentes et futures, doivent plus concrètement rendre des comptes sur leur organisation structurelle. Des autorités publiques vont superviser les entreprises exposées à ces risques. Certes les banques y sont juridiquement accoutumées, mais les banques sont dans un secteur qui est régulé et supervisé. Ce qui est remarquable tient au fait que le Droit de la Compliance vient appliquer via l'exigence de cartographie des risques la technique juridique de supervision à des entreprises qui agissent dans des secteurs qui ne sont pas supervisés, qui ne sont parfois pas même régulés. Ainsi, elles deviennent strucurellement transparentes. Le principe libéral selon lequel une entreprise ne rend compte que de son comportement et non de son organisation interne en est entamé. Ainsi, par la seule technique imposée par le Droit, la méthode de transparence, propre aux entreprises supervisées devient générale, dès l'instant qu'un risque existe. C'est une nouveauté radicale, puisque le risque dont il s'agit n'est pas un risque de secteur et qu'une crise générale n'est plus à craindre. La rupture est ainsi opérée avec le Droit de la supervision qui jusqu'ici était insécable du Droit de la Régulation, l'obligation de cartographie des risques s'appliquant à tout "opérateur crucial" exposé au risque de corruption, en ce que celle-ci doit être combattue d'une façon globale. 

Dès lors, la cartographie des risque est un outil qui, au-delà de la simple description, prend sa définition d'une façon téléologique. Son but est de prévenir des risques qui compromettent des ambitions qui ne sont pas toujours de nature économique mais qui sont de nature politique (III). La lutte contre la corruption n'en est qu'un exemple, la loi dite "vigilance" exigeant elle-aussi une "cartographie des risques" en matière de droits humains, tandis que cette technique est reprise par des textes plus ou moins contraignant en matière environnementale. Certes des entreprises en position de porter de telles ambitions politiques, de force - en raison de leur position - ou de grè - par leur raison d'être ou par leur politique de responsabilité sociétale -, doivent le supporter, les transformant en acteurs politiques majeurs. Elles ne sauraient pour autant se substituer aux Autorités publiques, lesquelles d'une part fixent les "buts monumentaux" qu'il s'agit d'atteindre d'une part et qui d''autre part supervisent en Ex Ante et en Ex Post la mise en place et le fonctionnement de ces outils au sein des entreprises cruciales. 

Référence complète : contribution à l'organisation et à la tenue de la conférence de présentation de l'Association Henri Capitant, Faculté de Droit d'Oslo, centre de droit privé, 21 novembre 2019.

Par cette conférence de présentation et la discussion qui s'en est suivie avec les juristes réunis à l'initiative du professeur Mads Andenas, professeur de droit à la Faculté de Droit d'Oslo, les bases ont été posées de la constitution d'un Groupe norvégien de l'Association Henri Capitant.

Référence générale: Frison-Roche, M.-A., Le législateur, peintre de la vie, in Archives de philosophie du droit (APD), Tome 61, 2019, pp. 339-410.

Résumé : Peindre si bien que la toile est un objet vivant est un exploit technique qui fût atteint par peu. Francis Bacon obtînt de la toile qu'elle fasse son affaire de préserver en elle la vie, tandis que Carbonnier, avec une semblable modestie devant la toile et le métier, obtînt que la Loi ne soit qu'un cadre, mais qu'elle ne laisse pourtant cette place-là à personne et surtout pas à l'opinion publique, afin que chacun puisse à sa façon et dans ce cadre-là faire son propre droit, sur lequel le législateur dans sa délicatesse et pour reprendre les termes du Doyen n'appose qu'un "mince vernis". Ces deux maîtres de l’art construisaient des cadres avec des principes rudimentaires pour que sur cette toile le mouvement advienne par lui-même. Ainsi la Législateur créée par Carbonnier offrit à chaque famille la liberté de tisser chaque jour son droit. Mais c’est pourtant bien au Législateur seul que revint et doit revenir l’enfance de l’art consistant à tendre la toile sur le métier. Il est alors possible, comme le fit Bacon, d’obtenir un objet immobile permet que surgisse sans cesse les figures mobiles. Les gribouillis réglementaires sont à mille lieux de cet Art législatif-là. 

Lire l'article.

L'article ne comprend pas de reproductions, celles-ci figurent dans le document de travail.

Lire le document de travail ayant servi de base à l'article publié, document de travail bilingue comprenant des notes de bas de page, des références techniques et de liens hypertextes.

Toute la presse s'en fait l'écho. 

Le conseil d'administration de la Banque européenne d'investissement s'est réuni le 15 novembre 2019.

Il a décidé d'exclure les financements, sous quelque forme que ceux-ci prennent 

I. PREMIERE QUESTION : EST-CE EN TANT QUE LA BEI EST UNE "BANQUE PUBLIQUE" QU'ELLE FIXE UNE POLITIQUE CLIMATIQUE D'INVESTIMENT ?

II. SECONDE QUESTION : EST-CE AU TITRE DE SA "RAISON D'ETRE" EXPRIMEE PAR LES ACTIONNAIRES

Le projet de loi de Finance a . proposé au Parlement de voter un article 57 dont l'intitulé est : Possibilité pour les administrations fiscales et douanières de collecter et exploiter les données rendues publiques sur les sites internet des réseaux sociaux et des opérateurs de plateformes. 

Son contenu est en l'état du texte voté à l'Assemblée Nationale le suivant :

"(1) I. - A titre expérimental et pour une durée de trois ans, pour les besoins de la recherche des infractions mentionnées aux b et c du 1 de l'article 1728, aux articles 1729, 1791, 1791 ter, aux 3°, 8° et 10° de l’article 1810 du code général des impôts, ainsi qu’aux articles 411, 412, 414, 414-2 et 415 du code des douanes, l’administration fiscale et l’administration des douanes et droits indirects peuvent, chacune pour ce qui la concerne, collecter et exploiter au moyen de traitements informatisés et automatisés n’utilisant aucun système de reconnaissance faciale les contenus, librement accessibles, publiés sur internet par les utilisateurs des opérateurs de plateforme en ligne mentionnés au 2° du I de l'article L. 111-7 du code de la consommation.

(2) Les traitements mentionnés au premier alinéa sont mis en œuvre par des agents spécialement habilités à cet effet par les administrations fiscale et douanière.

(3) Lorsqu’elles sont de nature à concourir à la constatation des infractions mentionnées au premier alinéa, les données collectées sont conservées pour une durée maximale d’un an à compter de leur collecte et sont détruites à l’issue de ce délai. Toutefois, lorsqu’elles sont utilisées dans le cadre d'une procédure pénale, fiscale ou douanière, ces données peuvent être conservées jusqu’au terme de la procédure.

(4) Les autres données sont détruites dans un délai maximum de trente jours à compter de leur collecte.

(5) Le droit d'accès aux informations collectées s'exerce auprès du service d'affectation des agents habilités à mettre en œuvre les traitements mentionnés au deuxième alinéa dans les conditions prévues par l'article 42 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

(6) Le droit d'opposition, prévu par l'article 38 de la même loi, ne s'applique pas aux traitements mentionnés au deuxième alinéa.

(7) Les modalités d'application du présent I sont fixées par décret en Conseil d’État.

(8) II. - L'expérimentation prévue au I fait l'objet d'une évaluation dont les résultats sont transmis au Parlement ainsi qu’à la Commission nationale de l’informatique et des libertés au plus tard six mois avant son terme."

Cette initiative a provoqué beaucoup de commentaires, plutôt réservés, même après les explications données par le ministre du Budget à l'Assemblée Nationale. 

Qu'en penser juridiquement ?

Car la situation est assez simple, c'est pourquoi elle est difficile : d'un côté, l'Etat va capter des informations personnelles sans l'autorisation des personnes concernées, ce qui est contraire à l'objet même de la loi de 1978, ce qui entraîne une pleine désapprobation ; de l'autre côté, l'administration obtient les informations pour poursuivre des infractions fiscales et douanières, ce qui concrétise l'intéret général lui-même.

Alors qu'en penser ?

Lire ci-dessous.

La Fontaine, l'on y revient toujours. Si facile à lire ;

vite parcouru ;

toujours à approfondir. 

Par exemple lorsqu'on réfléchit en Droit financier sur les conséquences des "crises systémiques", la destruction immédiate qu'elles produisent et ce qu'il en reste, l'on peut parcourir la fable La Belette entrée dans un grenier, ensuite la relire une ou deux fois encore, et puis l'approfondire. 

I. LA FABLE DE  L'AVANTAGE DE LA SCIENCE

Entre deux bourgeois d'une ville
S'émut jadis un différend.

L'un était pauvre, mais habile,
L'autre riche, mais ignorant.
Celui-ci sur son concurrent
Voulait emporter l'avantage :
Prétendait que tout homme sage
Était tenu de l'honorer.
C'était tout homme sot ; car pourquoi révérer
Des biens dépourvus de mérite ?
La raison m'en semble petite.

Mon ami, disait-il souvent au savant,
Vous vous croyez considérable ;
Mais, dites-moi, tenez-vous table ?
Que sert à vos pareils de lire incessamment ?
Ils sont toujours logés à la troisième chambre,
Vêtus au mois de juin comme au mois de décembre,
Ayant pour tout laquais leur ombre seulement.
La République a bien affaire
De gens qui ne dépensent rien :
Je ne sais d'homme nécessaire
Que celui dont le luxe épand beaucoup de bien.
Nous en usons, Dieu sait : notre plaisir occupe
L'artisan, le vendeur, celui qui fait la jupe,
Et celle qui la porte, et vous, qui dédiez

À Messieurs les gens de finance
De méchants livres bien payés.
Ces mots remplis d'impertinence
Eurent le sort qu'ils méritaient.
L'homme lettré se tut, il avait trop à dire.

La guerre le vengea bien mieux qu'une satire.
Mars détruisit le lieu que nos gens habitaient.
L'un et l'autre quitta sa ville.
L'ignorant resta sans asile ;
Il reçut partout des mépris :
L'autre reçut partout quelque faveur nouvelle.
Cela décida leur querelle.
Laissez dire les sots ; le savoir a son prix.

II. RELIRE  CETTE FABLE A TRAVERS DIFFERENTES THEORIES FINANCIERES

L'on peut formuler à ce titre deux observations que formule la fable.

L'on peut en ajouter une troisième, tirée de la théorie de la Régulation. 

1. Tant que le marché fonctionne bien, l'homme d'argent gagne sur l'homme de savoir

2. Lorsque le marché reçoit un choc systémique (guerre), l'homme d'argent perd tout, l'homme de savoir ne perd rien

3. Lorsque la crise systémique a frappé, l'homme de marché est ruiné et erre, l'homme de savoir a accru son savoir : la crise accroit l'information

_____

Résumé de la leçon.

Jadis, la Régulation fonctionnait selon un système qui avait le mérite d'être simple, puisqu'il était construit sur une hiérarchie.

Dans le système désormais en place, les pouvoirs s'ajustent entre les institutions politiques et les régulateurs. Mais le jeu ne se limite pas à cela. Les juges sont omniprésents, non seulement comme instruments de contrôle mais encore, voire surtout, comme modèles.

En outre et dès lors, les entreprises ont du mal à trouver leur place. Elles semblent aux deux extrêmes. Ayant quitté celle d'assujetti, elles briguent grâce à l'autorégulation une place très privilégiée. Mais la compliance est la nouvelle donne de la régulation, via la supervision, étant le cœur d'un système où les entreprises sont à la fois débitrices et garantes de l'effectivité des règles de régulation. 

L'émergence d'un Droit de la Compliance, qui prolonge le Droit de la Régulation, voire l'amplifie et le transforme en le libérant de ce qui le fît naître, c'est-à-dire le fait même d'un "secteur", est en train de renouveler complètement le rôle de chacun. 

Se reporter aux slides.

Accéder au Plan général du Cours de Droit commun de la Régulation.

Se reporter à la présentation générale du Cours de Droit commun de la Régulation.

Consulter le Dictionnaire bilingue du Droit de la Régulation et de la Compliance.

Consulter la Bibliographie générale du Cours de Droit commun de la Régulation

Consulter la bibliographie ci-dessous, spécifique à cette Leçon relative à la place de chacun dans le Droit de la Régulation. 

Résumé de la leçon.

Le "Droit de la Compliance" est encore si incertain dans ses bases que, suivant que l'on parle de tel ou tel sujet, on a tendance à le faire débuter à telle ou telle époque, signe que l'on ne le maîtrise encore pas dans son ensemble. Ainsi, lorsqu'on parle de corruption l'on le fera commencer souvent en 1977 par le FCPA américain, lorsqu'on parle en droit des sociétés l'on visera la loi Sarbanes-Oxley, lorsqu'on vise la protection des marchés financiers l'on vise la loi américaine de 1933, lorsqu'on vis le droit de la concurrence l'on vise plutôt les textes des années 1990 en Europe. Lorsqu'on vise la question des données, l'on vise l'arrêt Google Spain rendu par la Cour de Justice de l'Union européenne rendu en 2014. Quant à l'environnement, l'on a encore tendance à se projeter dans l'avenir ... Le fait qu'on vise tantôt les Etats-Unis et tantôt l'Europe, tantôt des lois et tantôt des jugements, montre que pour l'instant l'on ne dispose pas d'une vision globale.

Mais une notion est souvent présente, quelque soit le secteur ou le domaine (puisque par exemple le Droit du commerce international n'est pas sectoriel), est celle de "données". En même temps qu'est apparue la notion juridique de "donnée" est apparu la thématique de la "Compliance". La difficulté première vient du fait que si l'on reprend cette perspective des "données", l'on mesure assez rapidement que nous ne maîtrisons pas la définition juridique de la "donnée", soit information appropriée, ce qui suppose qu'elle soit un bien, soit information inappropriable, "bien public" propre au marché (comme en matière financière), soit une information qui implique un effet incompatible avec la notion de "bien", à savoir son caractère indétachable des êtres humains : les "données à caractère personnel".

Pour essayer de comprendre l'évolution future du Droit de la Compliance en matière de données, il faut reprendre l'historique, c'est-à-dire la jurisprudence européenne, qui utilse l'outil du Droit de la Compliance en bâtissant un Réglement, désormais mondialement célèbre, construit sur un droit subjectif inventé par la Cour de Justice, le "droit à l'oubli", lequel est lui-même la trace des législations françaises et allemandes qui elles-mêmes avaient souci de l'efficacité des "fichiers". La Seconde Guerre mondiale était présente dans les esprits et le but était de limite l'efficacité et non de l'accroître. Ce but d'inefficacité, qui est commun à la procédure pénale classique, rend difficile l'insertion de ce Droit de la Compliance-là avec le Droit général de la Compliance dont le but est l'efficacité. 

Se reporter à la Présentation générale du Cours de Droit de la Compliance.

Consulter le Dictionnaire bilingue du Droit de la Régulation et de la Compliance.

Consulter la Bibliographie générale du Cours de Droit de la Compliance

Consulter la bibliographie ci-dessous, spécifique à cette Leçon au Droit de la Compliance relatif aux "données"