The recent news

🌐follow Marie-Anne Frison-Roche on LinkedIn

🌐subscribe to the Newsletter MAFR Regulation, Compliance, Law 

____

Full reference: M.-A. Frison-Roche, Se tenir bien dans l'espace numérique, in Penser le droit de la pensée. Mélanges en l'honneur de Michel Vivant, Lexis Nexis and Dalloz, 2020, pp. 155-168.

____

📝Read the article (in French)

____

🚧Read the working paper, written in English, on which this article is based, with additional developments, technical references, and hyperlinks

English summary of the article: The digital space is one of the scarce spaces not framed by a specific branch of Law, Freedom also offering opportunity to its actors to not "behave well", that is to express and diffuse broadly and immediately hateful thoughts through Hate speechs, which remained before in private or limited circles. The intimacy of Law and of the legal notion of Person is broken: Digital permits to individuals or organizations to act as demultiplied and anonymous characters, digital depersonalized actors who carry behaviors that are hurtful to other's dignity. 

Against that, Compliance Law offers an appropriate solution: internalizing in digital crucial operators the mission to disciplinary and substantially hold the digital space. The digital space has been structured by powerful firms able to maintain order. Because Law must not reduce digital space to be only a neutral market of digital prestations, these crucial operators, like social networks or search engines, must be forced to substantially control behaviors. It could be about an obligation of internet users to act with their face uncover, "real identity" policy controlled by firms, and to respect others' rights, privacy rights, dignity, intellectual property rights. In their Regulatory function, digital crucial firms must be supervised by public authorities. 

Thus, Compliance law substantially defined is the protector of the person as "subject of law" in the digital space, by the respect that others must have, this space passing from the status of free space to the one of civilized space, in which everyone is obliged to behave well. 

______

Read to go further: 

• Frison-Roche, M.-A., L'apport du Droit de la Compliance à la gouvernance d'Internet, 2019
• Frison-Roche, M.-A. (dir.), Internet, un espace d'interrégulation, 2016

Le Cours expose le contenu et les objectifs du Cours, assuré par Marie-Anne Frison-Roche qui y consacre de nombreux travaux et activités, notamment au sein du Journal of Regulation & Compliance, puis les modalités de validité ainsi que la bibliographie.

Contenu et objectif

La Compliance est un terme anglophone qu'il est difficile à traduire en langue française. Il est parfois traduit en "conformité", mais c'est en quelque sorte reculer pour mieux sauter car l'on ne sait guère définir juridiquement la "conformité". Le terme est d'ailleurs inséré dans des expressions comme "programme de conformité" ou "engagement de conformité", qui se réfèrent à autre chose. L'absence de définition nette est un handicap majeur en Droit et l'on affirme souvent que la Compliance ne relève pas de celui-ci, mais plutôt par exemple de l'éthique.

C'est pourtant au titre de violation de ces normes et obligations d'un corpus de Compliance que des sanctions très lourdes sont infligées à des opérateurs économiques. L'on s'aperçoit alors que  la Compliance a été élaborée dans des secteurs très particuliers, comme le secteur bancaire ou financier, pour des opérations très spécifiques, comme les flux financiers internationaux, ou des prohibitions particulières comme l'interdiction de corrompre ou de blanchir l'argent, ou pour exprimer les mises en œuvre d'engagement après des condamnations prononcées par les autorités de concurrence .

Mais tout d'abord c'est dans le Droit général de la concurrence que l'on trouve les premiers programmes de compliance . C'est ensuite et aujourd'hui dans des termes d'une généralité rarement atteinte que l'exigence de Compliance est aujourd'hui formulée, puisqu'il s'agirait de respecter la totalité de toutes les "normes" applicables en tous lieux par tout le monde. Plus encore, la Compliance serait la façon dont les opérateurs sont contraints de faire en sorte que les objectifs globaux des systèmes de régulation se concrétisent, puisque ces opérateurs privés "globaux" ont seuls la puissance pour y parvenir.

La Compliance devient alors l’internalisation de la Régulation .  Elle implique la supervision des opérateurs, notamment leur transparence , même s'ils n'agissent pas dans un secteur régulé. Le système juridique en est transfiguré, notamment dans son organisation naguère en branches distinctes : les branches du Droit ne seraient plus que des boites à outils (toolbox), interchangeables appréhendées à l'aune de leur effectivité pour la Compliance ...

Il est donc urgent de construire les principes directeurs de ce qui est en train d'apparaître : "Le Droit de la Compliance ". La Compliance ne semble pourtant s'appliquer qu'à des entreprises ou entités très puissantes, sans doute parce qu'elles sont puissantes, et l'on y retrouve toutes les branches du Droit : droit pénal , droit constitutionnel, droit international,, droit des obligations, droit administratif, droit de la régulation , droit de la concurrence , droit des données, droit financier, etc. Est pourtant en train d'émerger un "Droit de la Compliance ".

Voir ci-dessous l'explicitation du mode de validation, de la charge de travail, du format pédagogique et de la bibliographie. 

Résumé de la leçon.

L'on se dispute sans fin sur la "définition" de la Régulation et de ce qui constitue aujourd'hui le Droit de la Régulation. En effet, l'on a observé que des pans entiers de l'économie, de secteurs souvent caractérisés et par leur technicité et par leur dimension politique, sont aujourd'hui organisés d'une façon particulière, autour d'un Régulateur.

Ces régulateurs ont prise sur des "secteurs" ou des activités "sectorielles" (c'est pourquoi on les appelle parfois des "régulateurs verticaux"). Ainsi transport, poste, télécommunications, énergie, banque, finance, assurance, se sont chacun bâtis par des réglementations compliquées et comme imprégnées de l'objet technique sur lequel elles portent. Mais elles ont un point commun : un Régulateur, le plus souvent prenant la forme d'une Autorité administrative indépendante (AAI) ou d'une Agence, plus ou moins indépendante du Gouvernement, rendant des comptes au Parlement, doté de très multiples pouvoirs sur les opérateurs du secteur dont il a la charge. De fait le Régulateur est le symptôme du Droit de la Régulation.

Cette dimension institutionnelle a heurté la tradition juridique et politique française. Elle participe pourtant à l'émergence d'un "droit commun de la régulation", que les spécificités sectorielles continuent souvent de masquer. Ainsi le régulateur est ce par quoi le droit constitutionnel appréhende le droit de la régulation, il constitue donc le "bastion avancé" de celui-ci.

A partir de cette redistribution des personnages, mettant le Régulateur au centre, une règle nouvelle apparaît : le régulateur a autant de pouvoirs que cela est nécessaire, règle étrange pour un système juridique traditionnel, mais qui lui permet d'être présent à la fois en Ex Ante et en Ex Post.

Le Régulateur en est le titulaire juridiquement légitime dans un Droit de la régulation téléologiquement construit, qu'il s'agit de créer une concurrence dont le principe est simplement déclaré (premier cercle de la régulation), qu'il s'agisse de maintenir d'une façon définitive des équilibres instables affectés par une défaillance de marché (deuxième cercle) ou qu'il s'agisse de concrétiser des objectifs politiques que la "raison économique" ne connait pas.

A l'aune de ces impératifs techniques et économiques, qui font du régulateur un organe d'un genre nouveau, les distinctions juridiques classiques ne tiennent plus. Ainsi, la distinction empruntée au droit traditionnel entre "régulateur des libertés publiques" et "régulateur économique" est aujourd'hui inadéquate, comme le montre aussi bien la régulation financière que celle du numérique.

_____

Consulter les slides servant de support à la leçon

Accéder au Plan général du Cours de Droit commun de la Régulation.

Se reporter à la présentation générale du Cours de Droit commun de la Régulation.

_____

Consulter le Dictionnaire bilingue du Droit de la Régulation et de la Compliance (v. ci-dessous des entrées plus précises)

Consulter dans la Newsletter MAFR - Law, Compliance, Regulation ce qui est plus particulièrement afférent aux Régulateurs (v. ci-dessous des articles plus précis)

_____

Consulter la Bibliographie générale du Cours de Droit de la Régulation

Consulter la bibliographie ci-dessous, spécifique à cette Leçon relative au Régulateur

Full reference : Frison-Roche, M.-A., Le "Droit européen de la Compliance" : un rempart contre la crise ? ("European Compliance Law": a bulwark against the crisis?") in Option Finances, Les Défis Conformité / Compliance (Conformity/Compliance Challenges), 15th of September 2020, Paris.

Read the program (in French)

Read the slides of the intervention (in French)

It was possible to attend to the manifestation in live

A bilingual video will be aviaible soon.

Summary of the intervention:

This intervention as keynote speaker was at the articulation between the first two sessions, one on "strategy in times of crisis" and the other on "good governance", and the third session on technology.

Because the question is: "?Does Europe has the pretension to prevent crisis, thank to Compliance Law ?" The answer must be: Yes or No.

If Europe has this pretension to allow answering Yes, and it must have it, it must have, through its public institutions and the crucial European companies - expressing their raison d'être - a clear, simple and coherent vision of the "monumental goals" that it pursues.

Compliance Law is adequate for such an "enterprise" (an "enterprise" always being an "adventure"!footnote-1902) since it is defined through its monumental goals, including crisis prevention, for which Europe must and is able to develop an exemplary model.

When this is done, and it is in the process of being done, it is necessary but sufficient to carry out the technical work of adjusting the legal technical tools with these monumental goals.

____

This working document is the basis of an article written in French and published in the Recueil Dalloz in the Chroniques MAFR Droit de la Compliance (see the English presentation of this Chronique).

Read the presentation in English ot the other chroniques published by the Recueil Dalloz in these series Chroniques MAFR Droit de la Compliance

This working document served as the basis for an article, contribution in the collective book Compliance Tools, 2020

___

Summary of this working paper:

Training is a specific Compliance tool and a dimension that each Compliance tool expresses. 

Firstly, as a training it is a specific Compliance Tool, it is supervised by Regulators. It even becomes compulsory when it is contained in Compliance programs. Since the effectivity and the efficiency are legal requirements, what is therefore the margin of companies to design it and how can we measure its result?

Secondly, as each Compliance Tool contains, more and more, an educational dimension, we can take back each of them to detect this perspective. Thus, even sanctions and prescriptions, are lessons: lessons given, lessons to follow. The question is then to know who, in this so pedagogic Compliance Law, are the "instructors"?

___________________________________________________________________ 

Introduction:

Training is akin to these things - and very precious - that we do, or even dream of doing, but so poorly expressed from the moment we take them as an object of technical writing. Just do it.

It would be however unfortunate to publish a book on Compliance Tools without giving a particular place to training, the piece would miss in the puzzle.

So much money spent by companies, by fair or foul means, especially when Compliance programs imposed as sanctions contain heavy training obligations leading people to retain word for word everything that is forbidden to them, in order to always abstain from now on. Training is thus the sharp point of such Hard Law appearing under the steel of Criminal Law's sword in amphitheaters and e-learnings. 

But also so much speeches about the necessity of a "Compliance culture" which should be instilled to firms, Compliance spousing with joy in an harmony with their "raison d'être" and the historical identity of this group of people which is the company itself through trainings which tell Compliance as a link, an outstretched hand toward those with whom managers want to renew a moral contract in an ethic for which they give the good example. It is not Prohibition anymore but Communication and Community that set the tone of a human dialogue with employees, stakeholders, administration and judges. 

It is possible to assume that the former does not exclude the latter, that Training should target all of this, the learning of mandatory prescriptions to follow without discussion but also the adhesion to guidelines, and this because everyone has understood that they are funded.

Everything and its contrary, then. "Learning by heart" takes here its full sense: get everyone to remember mechanically in order for no one to misstep (with always more machines which massively teach us the regulatory corpus on our mobile screens) but also succeed in bringing our "heart" in Compliance, thanks to specific training methods (with always smaller groups, with always less public discussions in pleasant places). Everything and its contrary, then.

It would be imperative but also sufficient to cumulate. Doing everything. Those who propose training softwares as those who organize conferences, meetings and travels and are favorable to this addition of face-to-face and distancing methods, of mechanic and of human relations. Concretely, at the end companies observe that since the first does not replace the second, costs add up. But, in Compliance, costs constitute a grave default of it, training taking a large part of this default. Managers end up finding the addition too heavy, especially if they thought that training of people is one of the public school's mission and not one of private companies' purpose!footnote-1837.

Moreover, training to Compliance is not outside Compliance Law, which makes it specific!footnote-1838. Indeed, Compliance Law, corpus of Ex Ante mechanisms, targets to concretize "monumental goals"!footnote-1836. Set by public authorities, these monumental goals are internalized in companies in order for them to implement expected means in order for them to be reached in the future. These monumental goals can be negative (that corruption, money laundering, human rights violations, financial system crisis, etc. shall not occur), or positive (that ecological equilibrium shall be restored, that education shall be supplied, that healthcare shall be provided, etc.).

Compliance Law takes as criteria of effectivity for implemented mechanisms, their reality, but also their efficiency, that is their ability to make sure their goal is achieved.Training must achieve its goal. Thus, in Compliance, the purpose is not only the one of every training, that is transmitting a knowledge in order to making the student more learned!footnote-1839, but it is to contribute to the "monumental goal" of Compliance Law itself, which is a practical goal and not a scholar goal. For example, training about the applicable rules concerning corruption should have an effect to reduce corruption. And because corruption is itself a part of Compliance Law, in the same way the Regulation Authority can force to educate oneself or train others, the Supervision Authority should control not only the reality but also the effectivity and the efficiency of trainings. 

However, the effectivity and the efficiency of Compliance training, because they are full part of Compliance Law, should be controlled by the Authority not only in their reality but also in their concrete ability to participate in the pursued goal. Thus, to keep the example of fight against corruption, training plays in it an essential role because the firm faces an alternative: either a mechanic solution consisting in setting literal interdictions, for example the interdiction to give up a value greater than a certain amount (according to the "anti-gift" rule) with the risk of getting around that every literal prescription offers, or a a solution by training consisting in explaining to everybody that it is wrong to corrupt but that it is acceptable to give samples. Training rather bets on spirit while the machine integrates the letter. 

But this refers to the Regulation and Supervision Authority which will appreciate the company due diligences to reach the goals. One observes that, more and more, Authorities economize one step: rather than explain to the companies how educate people that work for them or with them, regulators educate directly.  Is on this point remarkable the "guide" published in 2012, whose second edition of 2019 has been updated in 2020, jointly by the Department of Justice (DoJ) and the financial regulator (Securities &Exchanges Commission - SEC) to know everything about the Foreign Corruption Practices Act (FCPA). Through the explanations offered to everyone!footnote-1840 of the principles, the reminded definitions, the told cases, they are behaviors prescriptions which are formulated especially for foreign companies by the prosecutor authority and the American sanction authority, allied in this handbook which has such weight that we can consider that it is as valuable as a guideline, soft law creator of Law and rights. 

In the concentration of all powers which is often reproached to the Regulator, there is also the magisterium of the teacher, the one who educates stakeholders. After having assumed, on the American model, that the regulator should be the "advocate" of the rules for companies, proving to them the interest  that they have to respect them, it is logical that, in what some have called "Regulation, Act 2" this Regulator's pleading about the good news of Regulation for the firm justifying thus that this one integrates it in Ex Ante was prolonged in magistral lesson: the "regulator-institutor" explains to everybody how using rules for an always still in progress Law ("Better Regulation"). 

While training was before only peripheral, it is now at the heart. If it is so important, as every other "Compliance tool", it should take what we expect from it. The publications about training most often exhibit what it should be and a sorrowful spirit measures what sometimes appears as a huge gap between descriptions and realities sometimes reported. 

Educating being without any doubt one of the most difficult actions, we should probably neither describe a paradise of maieutics nor write a hot paper against what already has  the merit to exist, but list what we can expect from Training mechanisms when they apply to Compliance, because here, rather more than for the other tools, it is a mean obligation. Which content should have a training ? (I). Because Compliance Law targets training as one of the mean to reach "monumental goals" which constitutes the substantial heart of this branch of Law, the training dimension is not limited to stamped training, finding back this pedagogical dimension in almost all the other tools (II). In that, Training appears as the alpha and the omega of Compliance.

Ce cours constitue la première partie d'un triptyque permettant de mieux comprendre les rapports que l'Etat entretient via le Droit avec les marchés.  

Ce cours pose donc les base d'un Droit commun de la Régulation, enseignement qui a vocation à être enrichi au semestre suivant par la perspective des Droits sectoriels de la Régulation, voire au semestre ultérieur par une approche du nouveau Droit de la Compliance. Ce dernier cours est commun avec l'Ecole du Management et de l'Innovation car la Régulation est alors internalisée dans les entreprises elles-mêmes. 

Le livret de cours du Droit commun de la Régulation  décrit le contenu et les objectifs du cours. Il détaille en outre la façon dont les étudiants, qui suivent cet enseignement situé dans l'École d'affaires publiques de Science po, sont évalués afin de valider cet enseignement. Il précise la charge du travail qui est demandé.

Comme ce sont des matières assez difficiles d'accès et nouvelles, l'enseignement à distance accroissant sans doute cette difficulté, deux instruments ont été construits :

• Dictionnaire bilingue du Droit de la Régulation et de la Compliance
• Newsletter MAFR - Law, Compliance, Regulation

La consultation de l'un et de l'autre facilite l'apprentissage. 

Les thèmes des leçons qui composent successivement le cours sont énumérés.

Les lectures conseillés sont précisées.

Les étudiants inscrits au Cours ont été connectés au dossier documentaire "MAFR - Régulation & Compliance", présent sur le drive de Science po, où sont disponibles documents cités dans le Cours. 

A partir de ce livret, chaque document support de chaque leçon est accessible.

Voir ci-dessous plus de détails sur chacun de ces points, ainsi que la liste des leçons.

L'analyse des outils du Droit de la Compliance permet de mieux cerner ce qu'est le Droit de la Compliance dans son ensemble.

La "cartographie des risques" est analysée comme un outil essentiel de la Compliance, peut-être le plus important puisque ces cartographies sont des instruments élaborés en Ex Ante par les entreprises, ce qui correspond à la définition même du Droit de la Compliance, lequel est un Droit Ex Ante.

En cela, avant même de rechercher d'une façon plus analytique ce que peut constituer juridiquement l'activité pour une entreprise de dresser des cartes des risques qui l'entourent, pays par pays, activité par activité, 

 Le plus souvent l'on ne fait que décrire le mécanisme de cartographie des risques, sans le qualifier juridiquement. Le législateur ne fait pas davantage. Ainsi, dans l'article 17 de la loi dite "Sapin 2", la cartographie est décrite comme "la forme d'une documentation régulièrement actualisée et destinée à identifier, analyser et hiérarchiser les risques d'exposition de la société à des sollicitations externes aux fin de corruption, en fonction notamment des secteurs d’activité et des zones géographiques dans lesquels la société exerce son activité.". De la même façon, l'article 1ier de la loi dite "Vigilance" du 27 mars 2017 vise "une cartographie des risques destinées à leur identification, leur analyse et leur hiérarchisation".  

Ce sont des descriptions, ce qui ne suffit pas à constituer une définition : le texte ne vise que la "forme" que cet élément d'information prend, sans en dire davantage. La lettre du texte descriptif inséré dans la seconde partie de l'article 17 de la Loi dite "Sapin 2, renvoyant à la première partie de cet article, le vise expressément comme une "modalité" d'une "l'obligation": cette "obligation" consiste à prendre des "mesures destinées à prévenir et à détecter la commission, en France ou à l'étranger, de faits de corruption ou de trafic d'influence". Pour bien remplir cette obligation, l'entreprise doit disposer de cet "outil" qu'est la cartographie des risques.

Si l'on sort du cas particulier de la lutte contre la corruption, la méthode est la même. Ainsi, de la même façon lorsqu'on consulte les documents par lesquels les Autorités de Régulation, par exemple l'Autorité de marché financier, présente la manière requise pour bien identifier les risques, y compris les risques de "non-conformité"!footnote-1734, l'on y trouve une description des façons de faire, mais sans davantage rencontrer de définition, encore moins de définition juridique de cette cartographie. L'on retrouve cette même tendance dans le procédé de la Compliance elle-même,

Peut-être que que cette absence de définition juridique de la Cartographie des risques n'est-elle elle-même que le reflet de l'absence plus générale du Droit dans dans l'ensemble des mécanismes de Compliance, absence paradoxale pour un espace si empli par ailleurs de la fureur pénale, sans doute parce que si souvent réduite dans sa présentation à un process mécanique, n'apparaissant juridique que sous son mauvais jour : celui de la sanction. Cette conception mécanique d'une Compliance comme process conduit à proposer que des machines et non des êtres humains en établissent les outils, notamment la cartographie des risques. Finis les compas et les cartes d'état-major, bonjour les bases de données et les connexions automatiques pour que des voyants d'alerte s'allument.

A lire les lois, il est acquis pour le législateur que la cartographie n'est qu'un "outil", la loi dite "Sapin 2" la désignant comme une "modalité". Prenant appui sur cette nature instrumentale, il faut donc chercher ce pour quoi est fait l'outil. Soit il est conçu pour que la loi ne soit pas méconnue, la cartographie repérant par exemple le risque accru que le Droit (souvent appelé la "réglementation") soit violé : c'est qu'il est usuellement désigné sous l'appellation étrange de "risque de conformité", terme que l'on trouve le plus souvent sous la plume de non-juristes et dont l'expression de "risque pénal" est sans doute l'ancêtre.

La cartographie permet alors à l'entreprise d'exécuter son "obligation de Compliance", c'est-à-dire de faire en sorte en Ex Ante que la loi soit respectée en éliminant par avance le risque qu'elle ne le soit pas. Ainsi dès 2008, l'OCDE définissait la cartographie des risques par ses objectifs, à savoir "mettre en place des moyens efficients pour réduire des risques de fraudes et de corruption et pour mettre en place des enquêtes efficients en concentrant les efforts sur les procédés efficaces". !footnote-1739. 

Si la notion de corruption renvoie au Droit pénal, celle de fraudes est plus vaste que le Droit car si "la fraude corrompt tout" toute fraude n'est pas saisie par le Droit si la lutte pour la combattre n'emprunte pas un instrument juridique. Plus généralement et par ailleurs, de nombreux risques ne concernent en rien le Droit et devront pourtant être pris en considération par l'entreprise comme autant d'éléments d'information à considérer pour son action : les risques économiques, les risques naturels ou les risques politiques, ainsi que les "risques de marché", à propos desquels les Autorités de marchés, comme l'Autorité de marché financier dresse régulièrement une "cartographie des risques"!footnote-1740 . Mais cette cartographie-là ne semble pas regarder le Droit, alors même qu'elle ne relève déjà plus de la seule bonne gestion interne de l'entreprise.

Ainsi, si l'on choisit de consulte non plus les lois mais plutôt des cartographies élaborées par des entreprises, l'on doit constater leur diversité, sans savoir si ces cartographies constituent une "modalité" d'une obligation juridique, devenant de ce fait par transitivité un objet juridique, ou si elles constituent plutôt un élément de détermination de la stratégie de l'entreprise, appelant donc une qualification comme un "acte de management", ce qui est neutre pour le Droit. 

L'on peut hésiter dans la réponse à apporter à la question, tout en soupçonnant l'existence d'une obligation générale de cartographier les risques, au-delà du cas particulier de la loi dite "Sapin 2" (dont le seul sujet est la corruption) car aujourd'hui de quoi le Droit ne se mêle-t-il pas ? Surtout d'un fait aussi important et prégnant et coûteux que la cartographie des risques, notamment dans des secteurs eux-mêmes "risqués" comme le secteur bancaire et financier, ou le secteur énergétique, ou (quittant la perspective sectorielle) dans l'espace digital ou dans le commerce international ? 

Pourtant l'on observe à quel point la "cartographie des risques" n'a pour l'instant été que peu pensée en Droit. Il est vrai que le juriste, qui toujours ordonne, a du mal à suivre ...  En effet, lorsqu'il est exposé  que la cartographie doit viser à la fois des "risques économiques", des "risques politiques", et ces "risques de conformité" (c'est-à-dire de violation future du Droit), le juriste a du mal à comprendre comment les "risques de conformité" pourrait être un élément d'un outil qui n'est lui-même qu'un élément d'un "Droit de la Compliance", dont on lui affirme par ailleurs qu'il faut l'appeler "Droit de la Conformité" ? Même sans être expert de la théorie des ensembles,  le juriste comprendre que cet élément de "conformité" ne peut pas être à la fois ce sous-ensemble et l'ensemble "conformité" dans lequel l'outil de la cartographie s'insère!footnote-1888.

L'on peut consulter de très nombreux écrits qui détaillent la cartographie, qui, par une sorte d'effet de miroirs, dressent des cartographies des exigences à laquelle l'entreprise doit se plier, pays par pays, textes par textes, secteurs par secteurs, loi par loi, aussi bien que des exigences de cartographies des risques de méconnaissance dans le futur de ces exigences ("risques de conformité").... Nous sommes face à un château de cartes, toujours plus minutieusement décrit, sans jamais rencontrer de qualification juridique. 

Si l'on cherche pourtant une qualification juridique, ne serait-ce que pour produire de la sécurité juridique, l'on se demandera par exemple si l'acte de dresser une telle carte constitue un fait juridique ou un acte juridique. Je ne vois pas que la question ait été même posée. Pourtant, les conséquences de régime en sont immenses. En effet, à supposer que cela ne soit qu'un fait juridique, peut-il être  un "fait justificatif" ? Les avocats y ont songé et ont plutôt trouvé du côté des Autorités publiques une  porte fermée, lorsqu'ils ont voulu se prévalu des faits de diligences que constituent les cartographies de risques pour échapper à des sanctions... 

Mais si dresser une cartographie n'était pas un simple fait mais pourquoi ne serait-ce pas un acte juridique ? La catégorie juridique des actes juridiques unilatéraux est là pour l'accueillir. Dans ce cas-là, la cartographie des risques engage l'entreprise et l'on observe que les autorités de régulation et de supervision, comme les juridictions, le conçoivent de plus en plus ainsi. Mais si l'entreprise est engagée par un tel acte juridique unilatéral que constitue la cartographie des risques, auprès de qui l'est-elle ? Plus précisément encore, si elle devient débitrice de l'obligation de cartographier, même si aucune loi particulière ne le lui prescrit d'une façon précise, alors il existe nécessairement un créancier bénéficiaire de cette obligation. Qui est-il ? Et pourquoi l'est-il ?

L'essentiel de cette contribution est de poser ces questions. Elles sont élémentaires. Elles ouvrent des pistes, celles que l'exercice de qualification juridique, de mise en catégorie juridique et de définition juridique, ouvrent. 

Si pour l'instant l'exercice de qualification a été peu pratiqué, la cartographie des risques étant étrangement laissé aux algorithmes, aptes à entasser des données et inaptes à définir et à qualifier juridiquement, cela tient peut-être au fait plus général que le Droit et le risque sont peu souvent directement associés. Le mécanisme de bonne gestion que constitue la cartographie des risques, notamment dans les organisations qui ne sont pas des entreprises mais sont en charge d'administrer et adoptent sans contrainte cette bonne méthode!footnote-1735, y incite lui-même d'autant moins qu'on peut lire qu'il s'agirait, via ces cartographies, pour l'entité méticuleuse d'identifier par avance notamment le "risque juridique"!footnote-1731, c'est-à-dire l'application qui pourrait lui être fait du Droit, application incertaine, application contrariante. Combien de séminaires à succès sur le "risque pénal"... Comme en défense, les juristes exposent d'une façon trop générale que le Droit est constitué pour lutter contre le risque, lequel est un fait. En effet l'on répète à longueur de rapports que le système juridique est là pour "sécuriser", le réduisant parfois à cette performance technique tenant à sa nature même, par le principe de "sécurité juridique", que l'Etat par sa permanence, sa violence légitime, son imperium, nous donne en échange la paix, que le contrat par la "petite loi" qu'il constitue offre aux parties qui l'édictent un havre de sécurité pour cet îlot de stabilité dans un futur qu'on ne connait jamais tout à fait ; gare à nous si l'on sort de l'ordre juridique car l'on retombe dans le risque...  

Ainsi, soit l'on est dans le Droit, assujettis aux exigences légales, et l'on bénéficie de sa sécurité spécifique, ce que les économistes désigneraient volontiers comme la "réglementation", soit on est dans la liberté de l'action, et l'on est alors dans le risque.... Il en serait comme pour les marchés, à propos desquels il faut choisir entre la liquidité et la sécurité :  si l'on veut de la liberté d'action, alors il faut moins de réglementation, et donc moins de sécurité, plus de risque.... Cette opposition traditionnelle et si souvent relayée en économie est remise en cause par l'obligation de cartographie des risques car si ceux-ci sont établis, ce n'est pas pour les connaître en soi mais pour les combattre, au-delà de l'obligation classique d'information sur les risques, dont on trouve de nombreux ancrages dans les branches du Droit, notamment le Droit des sociétés, notamment celles exposés aux marchés financiers (I). 

Dès lors, puisqu'il y a sous l'information classique de la prétention politique, de la volonté de "prévenir" le mal, qui se transforme rapidement dans la volonté de "promouvoir" le bien, le nouveau apparaît. La nouveauté est tout d'abord institutionnelle (II). En cela, la loi dite "Sapin 2", à travers l'instauration de l'Agence Française Anticorruption, a institutionnalisé ce mécanisme par lequel les entreprises "exposées" aux marchés financiers ou/et aux investisseurs internationaux, ou/et au commerce internationaux, présentent d'une façon claire et ordonnée -c'est-à-dire par une cartographie - les risques qu'ils ont identifiés dans leurs actions présentes et futures, rendant plus concrètement des comptes sur leur organisation structurelle d'analyse des risques. Des autorités publiques vont superviser les entreprises exposées à ces risques. Certes les banques y sont juridiquement accoutumées, mais les banques sont dans un secteur qui est régulé et supervisé. Ce qui est remarquable tient au fait que le Droit de la Compliance vient appliquer, via l'exigence de cartographie des risques, la technique juridique de supervision à des entreprises qui agissent dans des secteurs qui ne sont pas supervisés, voire qui ne sont parfois pas même régulés, par exemple l'immense champ du commerce international. De cette façon, ces entreprises, qui ne sont pas sectoriellement régulées, deviennent structurellement transparentes et supervisées au titre du Droit de la Compliance, qui contrôle notamment l'effectivité et l'efficacité du mécanisme de cartographie des risques. 

Le principe libéral selon lequel une entreprise ne rend compte que de son comportement et non de son organisation interne en est entamé, puisque la cartographie des risques est un mécanisme Ex Ante qui relève de la structure même des entreprises et dont l'effectivité est contrôlée par les Autorités publiques. Ainsi, par la seule technique imposée par le Droit, la méthode de transparence, naguère propre aux entreprises supervisées devient générale à toutes les entreprises agissant sur des marchés ordinaires, dès l'instant qu'un risque existe. C'est une nouveauté radicale, puisque le risque dont il s'agit n'est pas un risque de secteur et qu'une crise générale n'est plus à craindre. La rupture est ainsi opérée avec le Droit de la supervision qui jusqu'ici était insécable du Droit de la Régulation, l'obligation de cartographie des risques s'appliquant à tout "opérateur crucial" exposé au risque de corruption, en ce que celle-ci doit être combattue d'une façon globale. 

Dès lors, la cartographie des risque est un outil qui, au-delà de la simple description, prend sa définition d'une façon téléologique, comme est élaboré tout élément du Droit de la Compliance. Son but est de prévenir des risques qui compromettent des ambitions qui ne sont pas toujours de nature économique mais qui sont de nature politique (III). La lutte contre la corruption n'en est qu'un exemple, la loi dite "vigilance" exigeant elle-aussi une "cartographie des risques" en matière de droits humains, tandis que cette technique est reprise par des textes plus ou moins contraignant en matière environnementale. Certes des entreprises en position de porter de telles ambitions politiques, de force - en raison de leur position - ou de gré - par leur raison d'être ou par leur politique de responsabilité sociétale -, doivent le supporter, les transformant en acteurs politiques majeurs. Elles ne sauraient pour autant se substituer aux Autorités publiques, lesquelles d'une part fixent les "buts monumentaux" qu'il s'agit d'atteindre d'une part et qui d''autre part supervisent en Ex Ante et en Ex Post la mise en place et le fonctionnement de ces outils au sein des entreprises cruciales.