🚧Obligation de Compliance : faire usage de sa position pour participer à la réalisation des buts monumentaux de la Compliance

1. Le couple "Obligation de moyens, obligation de résultat" pour éclairer l'assujettissement à la Loi 🎯 Pour manier l'obligation de compliance, pour maintenir l'ambition de pouvoir s'appuyer sur son unicité afin de pouvoir  aisément en déduire son régime, il faudrait disposer d'une notion déjà solidement construite par le Droit. Concernant l'obligation de compliance, l'on ne bénéficie pas d'un tel luxe, parce que le Droit de la Compliance est encore lui-même une branche du Droit en émergence, sur la définition de laquelle les disputes se poursuivent. Cette incertitude est inévitable, elle est constatée par tous📎!footnote-3625. Elle n'est pas un défaut, qui serait une preuve d'une sorte de malformation : elle constitue un moment de la naissance d'une branche du Droit📎!footnote-3626.

Pour ne pas s'enliser dans les définition, inversons la méthode en partant des oppositions constatées dans les forces des contraintes issues des textes, dans le régime juridiques lui-même donc, appliqué à des obligations que tous s'accordent à qualifier d'obligations de compliance, et de trouver à travers cela une façon d'induire l'unicité de l'obligation de compliance. 

En partant du droit positif📎!footnote-3620, on opère le constat suivant : les entreprises assujetties sont parfois sanctionnées du seul fait qu'elles n'ont pas exécuté ce que le texte a requis, ce qui renvoie donc à ce que l'on appelle souvent en droit des contrats une obligation de résultat, parfois sanctionnées mais uniquement si un fait générateur est constitué par une faute ou une négligence et que la survenance de celle-ci est prouvée par celui qui demande la condamnation de l'entreprise, ce qui atteste d'une obligation de moyens.

Bien qu'il puisse être hasardeux de transposer à des obligations légales le régime des obligations contractuelles📎!footnote-3675, partons donc de ce constat dans le système probatoire de la compliance📎!footnote-3639 d'une pluralité d'obligations de moyens et de résultat (I). Cette pluralité ne constituera pas un obstacle définitif à la constitution d'une définition unique de ce qu'est l'obligation de compliance.

2. Préserver et améliorer les systèmes (obligation de moyens) ; mettre en place les structures pouvant les préserver et les améliorer (obligation de résultat) 🎯 En effet, cette différence essentielle, qui imprègne tout le système probatoire du Droit de la Compliance, n'entame pourtant pas l'unicité que requiert toute définition. En tant que l'entreprise obligée au titre du Droit de la Compliance participe à la réalisation des Buts Monumentaux qui fondent normativement celui-ci!footnote-3640, obligation légale éventuellement relayée par le contrat📎!footnote-3641, voire par l'éthique, elle ne peut être qu'une obligation de moyens, en raison même de cette nature téléologique et de l'ampleur des buts visés, comme l'heureux dénouement de la crise climatique ou l'égalité effective entre les êtres humains (II). Ce principe acquis laisse place au fait que ces comportements demandés sont jalonnés par des process mis en place par des outils structurés, le plus souvent légalement décrits, par exemple l'établissement d'un plan de vigilance ou des formations régulièrement organisées (effectivité), qui sont des obligations de résultat, tandis que les effets heureux produits par ce plan ou ces formations (efficacité) sont des obligations de moyens.

3. Le risque de rendre l'Obligation de Compliance insupportable en l'unifiant comme obligation globale de résultat 🎯 Transformer l'Obligation de Compliance en son principe et toutes ses modalités en obligation de résultat alors que le Droit de la Compliance prend sa normativité dans les Buts Monumentaux visés, ce qui lui attache une très grande ambition📎!footnote-3676, n'aurait pas de sens, car aucune entité n'a a la puissance. Il faudrait pour cela changer la définition même du Droit de la Compliance et soutenir qu'il ne s'agit pas de demander aux grandes entreprises de participer à la concrétisation de ces buts d'intérêt général global, mais soit d'exiger d'elles qu'elles transforment le monde en jardin d'Eden soit de montrer qu'elles obéissent en tous points à toutes les réglementations applicables et peuvent offrir aux autorités politiques et à toutes parties prenantes immédiate satisfaction, sauf à être sanctionnées, ce que seuls les systèmes juridiques totalitaires mettent en place. Les personnes soucieuses des libertés récusent cette conception qui se referme sur les États, les entreprises et les personnes qui y travaillent comme un étau📎!footnote-3642. 

4. L'unicité de l'Obligation de Compliance, tantôt obligation de moyens, tantôt obligation de résultat - plan 🎯L'enjeu est donc de partir des différents lois et réglementations dont personne ne conteste qu'ils relèvent du Droit de la compliance et de constater qu'ils renforcent une pluralité d'obligations de moyens et de résultat, 

I. LE CONSTAT D'UNE PLURALITÉ D'OBLIGATIONS DE MOYENS ET DE RESULTAT

5. Les obligations structurelles comme obligations de résultats ; les obligations comportementales comme obligations de moyens 🎯Si l'on répertorie les différentes réglementations, il apparaît le Législateur donne parfois des ordres aux entreprises en leur imposant de mettre en place des structures : il s'agit alors d'obligations de résultat (A). Mais les effets produits sur les comportements des personnes ou les obligations comportementales elles-mêmes constituent des obligations de moyens (B).

A. LA MISE EN PLACE DE STRUCTURES CRÉDIBLES REQUISES  PAR LES RÉGLEMENTATIONS : OBLIGATIONS DE RÉSULTAT 

6. L'obligation de résultat de constituer, conserver et tenir un registre de données à caractère personnel 🎯L'article 6 du Règlement sur la protection des données à caractère personnel, dit RGPD oblige l'entreprise qui est assujettie dans ses fonctions de constitution, conservation et tenue du registre de données personnelles à recueillir le consentement, sauf à ce que ces fonctions sont requises pour satisfaire une obligation légale ou une mission d'intérêt public ou pour exécuter un contrat avec la personne concernée. Ce consentement, à propos duquel une multiple jurisprudence s'est élaboré, doit traduire une volonté de la personne et inclut l'usage pour lequel la donnée est traitée. En outre, le traitement de certaines données personnelles sont interdites. En ce qui concerne plus particulièrement l'obligation de sécurité que les lois vont peser sur l'assujetti, il apparaît que la mise en place d'une structure assurant la sécurité du registre est requise, mais la CNIL pose que l'effet attendu ne peut être d'être une sécurité absolue : il est attendu de l'entreprise qu'elle ait pris un niveau de sécurité satisfaisant, le constat d'un faille ne suffisant pas à engager sa responsabilité. L'on mesure à travers cette décision du 7 août 2014📎!footnote-3673de la CNIL la distinction qui va apparaître dans tous les textes entre la mise en place de ce que l'on pourrait appeler des "structures crédibles"📎!footnote-3674. 

7. L'obligation de résultat d'adopter un plan de vigilance comprenant les différents outils en compliance listés par les lois🎯De la même façon, nul ne doute que l'entreprise, dès l'instant qu'elle atteint les seuils qui l'assujettissent l'obligation légale de vigilance prévue par la loi de 2017, renforcée par la directive CS3D, doit adopter un plan de vigilance, lequel doit comporter 

 constitution, conservation et tenue du registre de données à caractère personnel 🎯L'article 1 du Règlement sur la protection des données à caractère personnel, dit RGPD, obli

1. L'adoption d'un plan de vigilance, exigée par la loi dite "Vigilance" 🎯sss

1. L'existence d'une cartographie des risques  🎯Vigilance

1. L'existence d'une procédure d'évaluation régulières situation des filiales, des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie  🎯Vigilance

1. L'existence d'actions adaptées d'atténuation des risques ou de prévention des atteintes graves   🎯Vigilance

1. L'existence d'un mécanisme d'alerte 🎯Vigilance

A. Les obligations de résultat expressément visées dans les textes

B. Les obligations légales tacitement visées (ex. mentionne jamais enquête interne, audit... mais mentionne reporting, procédures d'évaluation, etc.)

obligation de dénonciation/alerte (parfois obligation de permettre aux autres de pouvoir alerter, parfois obligation d'alerter (notaires, avocats, commissaires de justice, personnes qui organisent les jeux (contrepartie du secret))

• • mécanisme d'alerte
  • dispositif de suivi des mesures et d'évaluation de leur efficacité
• Sapin 2
  • article 17 Sapin 2
    • adoption d'un code de conduite
    • mise en place d'un dispositif d'alerte
    • cartographie des risques régulièrement actualisée 
    • procédures d'évaluation des clients 
    • procédures de contrôles comptables
    • dispositif de formation
    • régime disciplinaire
    • dispositif de contrôle et d'évaluation des mesures 
  • article 18 Sapin 2
    • peine de programme de conformité --> adoption du programme comportant les items suivants : 
      • code de conduite 
      • dispositif d'alerte interne
      • cartographie des risques
      • procédures d'évaluation des clients 
      • procédures de contrôles comptables
      • dispositif de formation
      • régime disciplinaire
• DSA
• DGA
• DA
• IA Act

Obligations de moyens : 

• RGPD
• Vigilance 
  • "met en oeuvre de manière effective" le plan de vigilance
  • "le plan a vocation à être élaboré en association avec les parties prenantes de la société"
• Sapin 2
• DSA

III. UNE UNICITE AU REGARD DES BUTS MONUMENTAUX DU DROIT DE LA COMPLIANCE

A. LE PRINCIPE D'UNE OBLIGATION DE MOYENS LORSQU'IL S'AGIT DE PARTICIPER A LA REALISATION DES BUTS MONUMENTAUX DU DROIT DE LA COMPLIANCE

B. L'EXCEPTION D'UNE OBLIGATION DE RESULTAT LORSQU'IL S'AGIT DE SUIVRE LE PROCESS LITTERALEMENT REQUIS PAR LA LOI

1. L'adoption d'un plan de vigilance, exigée par la loi dite "Vigilance" 🎯sss