15 octobre 2019

Publications

Dresser des Cartographie des risques comme Obligation et le paradoxe des "risques de conformité"

par Marie-Anne Frison-Roche

ComplianceTech®. To read this Working Paper in English, click on the British flag

Ce document de travail a servi de base à l'introduction de l'intervention dans la conférence organisée dans le cycle de conférences organisé par le Journal of Regulation & Compliance (JoRC) autour du thème : Les outils de la Compliance, en collaboration avec de nombreux partenaires universitaires : cette première conférence a été organisée en collaboration avec le Département d'Economie de Sciences po et s'est tenue le 28 novembre 2019 à Sciences po sur le thème plus particulier de La cartographie des risques.

Il s'articule avec un second document de travail qui a servi d'appui à la première partie des développements de cette conférence, portant sur le s points d'ancrage de la Cartographies des Risques dans le système juridique.

 

Ces deux documents de travail servent de base à deux articles publiés dans l'ouvrage dirigé par Marie-Anne Frison-Roche, Les outils de la Compliance, publié dans la collection Régulations & Compliance

 

Par ailleurs, la seconde partie des développements, portant sur ce qui fait la véritable nouveauté de la Cartographie des risques, signalant ainsi sa véritable entrée en tant que telle dans l'ordre juridique, à savoir la création d'un droit subjectif des tiers à être inquiétés, a donné lieu à la publication en 2019 d'un article au Recueil Dalloz, Théorie juridique de la cartographie des risques, centre du Droit de la Compliance

 

______

 

Si peu de bruit pour tant

Lorsqu'on regarde la pratique et la description factuelle qui en est faite, l'on observe que le cœur des dispositifs de Compliance est constitué par la cartographie des risques tandis que l'on dispose de relativement peu  d'études juridiques présentant plus abstraitement cette technique, tandis que peu de jurisprudence a pris en considération cette façon de faire, parfois requise par les textes et sévèrement encadrés par eux.

Cela pourrait s'expliquer de deux façons. Soit du fait que tout se passerait toujours bien et que, de la même façon que les peuples heureux n'ont pas d'Histoire, la cartographie des risques serait donc si épanouie, si tranquille, si quotidiennement harmonieuse, que le Droit qui ne s'épanouit souvent que dans le pathologique ne se pencherait pas sur elle. Soit que dresser ces cartographies qui décrivent les ferments de l'avenir des activités de l'entreprise a été plutôt l'affaire de la bonne gestion, justifiant que cet exercice n'ait pas été  pour l'instant qualifié juridiquement, ne déclenchant pas cette reconnaissance négative que constitue la sanction, ce qui ne lui a pas permis de passer l'octroi de l'espace juridique par le sceau de la qualification.

 

La cartographie des risques, procédé souvent décrite mais peu qualifié par la Loi

En effet, le plus souvent l'on ne fait que décrire le mécanisme de cartographie des risques, sans le qualifier juridiquement ce qui interdit de le situer avec netteté dans l'ordre juridique. Le législateur ne fait pas davantage. Ainsi, dans l'article 17 de la loi dite "Sapin 2", la cartographie est décrite comme "la forme d'une documentation régulièrement actualisée et destinée à identifier, analyser et hiérarchiser les risques d'exposition de l'entreprise à des sollicitations externes aux fin de corruption, en fonction notamment des secteurs d’activité et des zones géographiques dans lesquels l'entreprise exerce son activité.". De la même façon, l'article 1ier de la loi dite "Vigilance" du 27 mars 2017 vise "une cartographie des risques destinées à leur identification, leur analyse et leur hiérarchisation".  

Ces dispositions si impératives soient-elles ne procèdent pourtant qu'à une description de cet outil, ce qui ne suffit pas à constituer une définition : le texte ne vise que la "forme" que cet élément d'information prend, sans en dire davantage. La lettre du texte descriptif qui constitue la seconde partie de l'article 17 de la Loi dite "Sapin 2, renvoie à la première partie de cet article qui énumèrent le contenu, vise quant à lui expressément ce procédé de cartographie comme une "modalité" d'une "obligation": cette "obligation" consiste à prendre des "mesures destinées à prévenir et à détecter la commission, en France ou à l'étranger, de faits de corruption ou de trafic d'influence". Pour bien remplir cette obligation, l'entreprise doit disposer de cet "outil" qu'est la cartographie des risques.

Si l'on sort du cas particulier de la lutte contre la corruption, la méthode demeure la même. Ainsi, lorsqu'on consulte les documents par lesquels les Autorités de Régulation, par exemple l'Autorité de marché financier (AMF), présentent la manière requise pour bien identifier les risques, y compris les risques de "non-conformité"footnote-1734, l'on y trouve une description des façons de faire, mais sans davantage rencontrer de définition, encore moins de définition juridique de cette cartographie.

 

L'absence de qualification juridique de la cartographie des risques, reflet des incertitude sur la qualification des mécanismes de Compliance eux-mêmes

L'on retrouve cette même tendance à ne pas définir ce que l'on vise dans tout ce qui concerne la Compliance. Sans doute parce que la Compliance a été beaucoup affaire de pratiques et de réglementation, qu'elle relève de ce qui se fait, ou ce qui est prescrit de faire ou de ne pas faire, davantage que d'une branche du Droit conceptuellement élaborée, qu'il suffirait  donc d'accumuler les process et les prescriptions sans requérir de définitions, que le pragmatisme se satisferait de cet ensemble de "réglementations" techniques, dans laquelle le Droit lui-même ne se distingue guère des autres "normes techniques", comme les normes comptables ou les normes d'espacement des rails ou celles qui uniformisent les branchements électriques.

En effet cette absence de définition juridique de la Cartographie des risques, paraît n'être elle-même que le reflet non seulement des difficultés à définir le Droit de la Compliance mais aussi de l'absence plus générale du Droit dans l'ensemble des mécanismes de Compliance, absence paradoxale pour un espace si empli par ailleurs de la fureur pénale, sans doute parce que, si souvent réduite dans sa présentation à un process mécanique, la Compliance n'apparaitrait "juridique" que sous son mauvais jour : celui de la sanction. Cette conception mécanique d'une Compliance comme process conduit à proposer que des machines et non des êtres humains en établissent les outils, notamment la cartographie des risques. Finis les compas et les cartes d'état-major, bonjour les bases de données et les connexions automatiques pour que des voyants d'alerte s'allument.

A contrario, si le Droit de la Compliance doit recevoir une définition non mécanique, n'être pas un simple process d'effectivité de n'importe quelle règle à laquelle on attache quelque importance, alors en contrecoup heureux de ce que serait une définition substantiellement juridique du Droit de la Compliance, il faudra bien définir ce qu'est juridiquement la cartographie des risques.

Si on a cette exigence-là, la première que formule le juriste qui demande définitions et ordonnancement, l'on ne peut alors qu'être dubitatif devant cette catégorie si étrange que constitue dans la cartographie des risques cette catégorie si singulière que constitueraient les "risques de conformité"....

 

 

Les "risques de conformité", éléments identifiées de la cartographie des risques, renvoi logique vers la définition substantielle du Droit de la Compliance

En effet, lorsqu'il est exposé  que la cartographie doit viser à la fois les "risques économiques", les "risques politiques", et les "risques de conformité" (c'est-à-dire de violation future du Droit), le juriste a du mal à comprendre comment les "risques de conformité" pourraient ainsi être un élément d'un outil qui n'est pourtant lui-même qu'un élément d'un "Droit de la Compliance", dont on lui affirme par ailleurs qu'il faudrait l'appeler "Droit de la Conformité" ? 

Si, comme on le soutient parfois, ne devait exister qu'un "Droit de la Conformité", consistant simplement à montrer par avance que l'on respecte les règles de Droit applicables, même sans être expert de la théorie des ensembles,  le juriste ne peut qu'exprimer son incompréhension devant cet élément de "conformité" qui serait alors à la fois  un élément ce sous-ensemble de la cartographie qu'est le "risque de conformité" (perspective identifiée en Ex Ante de violation des règles juridiques) et l'ensemble "Droit de la Conformité" (obéissance montrée en Ex Ante aux règles juridiques) dans lequel l'outil de la cartographie s'insère!footnote-1888.

Sauf à éliminer la référence expressément et littéralement faite aux "risques de conformité" dans les cartographies des risques, la résolution de cette aporie conduit à adopter une définition du Droit de la Compliance qui excède la "Conformité", c'est-à-dire le seul souci d'obéissance à la Loi, pour aller vers une définition substantielle de cette nouvelle branche du Droit, le terme nouveau de "Compliance" offrant l'opportunité de se distinguer de la "conformité" d'une norme à une norme ou d'un comportement à une norme, la conformité renvoyant toujours à une vision mécanique.

Si l'on adopte une conception substantielle et téléologique du Droit de la Compliance, ancrée dans des "buts monumentaux" où se situe la définition même de ce Droit, un des outils en est alors des cartographies des risques, l'un des risques parmi d'autres pouvant alors effectivement être la perspective de ne pas avoir un comportement conforme à la norme juridique applicable, les "risques de conformités" prenant place parmi d'autres types de risques.

Ainsi la distinction entre les deux termes, "conformité" pour viser le fait d'obéir et le terme "compliance" pour viser une ambition pour réaliser des buts monumentaux convergeant vers la protection des personnes, permet de concevoir la "conformité" comme n'étant qu'un outil parmi d'autres de la Compliance.

Il y a 20 ans, l'on rencontra les mêmes difficultés linguistiques et de définition à propos de la "réglementation" (regulation), avant qu'il ne soit acquis que celui-ci n'est qu'un outil du Droit de la Régulation et non pas sa définition...Et le Droit de la Compliance est le prolongement du Droit de la Régulation. Il rencontre donc les mêmes difficultés et les mêmes oppositions ; il les surmontera pareillement.

 

L'hypothèse de la cartographie des risques, obligation juridique de résultat, accessoire à l'obligation principale de moyens d'atteindre un "but monumental"

Le Législateur ne semble pas contredire la réduction de la cartographie des risques à n'être qu'un instrument, dont les "risques de conformité" ne sont eux-mêmes qu'une part, puisqu'à lire les lois, il est acquis pour le législateur que la cartographie n'est qu'un "outil", la loi dite "Sapin 2" la désignant comme une "modalité", comme de l'intendance donc. Si l'on ne conteste pas cela mais qu'on prend au contraire appui sur cette nature instrumentale, il faut ainsi chercher ce pour quoi est fait l'outil, car si l'on offre un outil ou qu'on en impose le maniement aux entreprises, cela est de jure pour atteindre un "but". Si la Cartographie des risques n'est qu'une "modalité", cela signifie nécessairement que la qualification juridique a son source dans le but, le statut juridique de l'outil de la cartographie en découlant d'une façon téléologique.

 Soit l'instrument est conçu pour que la loi ne soit pas ultérieurement méconnue, la cartographie repérant à travers les "risques de conformité" le risque accru de cette méconnaissance possible: les expressions de "risque pénal"  ou de "risque juridique"!footnote-1731  sont sans doute les ancêtres de ces "risques de non-conformité". L'existence de ce risque de violation future du Droit, exprimée par cette expression de "risque de non-conformité" peut avoir son siège dans l'entreprise, dans son secteur, dans ses activités, ou dans tout ce qui l'entoure et dans les nouveautés qui peuvent arriver demain, la cartographie des risques oscillant entre un exercice de probabilité et de prudence.

C'est en cela qu'elle est une "modalité", rattachée à une "obligation" qui réside dans une obligation principale de l'entreprise qui est de prévenir la transformation de ce risque en événement négatif, par exemple le risque de violation du Droit en violation effective. 

Dresser une cartographie serait donc l'obligation secondaire, constitutive de l'accessoire nécessaire d'une obligation principale qui est la prévention des évènements négatifs (barrage contre des catastrophes systémiques, la corruption, le blanchiment, la pollution, les cataclysmes) ou l'obtention des événements positifs (concrétisation des ambitions heureuses, constituant les "buts monumentaux positifs).

La jurisprudence a pu souligner que si l'obligation principale, constituée par ce barrage contre un événement futur qui ne doit pas arriver (buts monumentaux négatifs)  ou ce point vers un événement futur qui doit advenir (buts monumentaux positifs), est une obligation de moyens, l'établissement de sa modalité qu'est l'établissement de la cartographie des risques est une obligation de résultat.

En effet si l'on ne peut pas maîtriser le futur, encore moins lorsqu'il implique d'autres que soi-même, le futur étant le temps de l'objet du Droit de la Compliance constitué par ses "buts monumentaux", l'on peut constituer l'exercice présent qu'est l'établissement des cartes.

Ainsi, l'exercice de la cartographie permet à l'entreprise d'exécuter son "obligation de Compliance", c'est-à-dire de faire en sorte que soit repérés en Ex Ante les faits de fragilité compromettant la réalisation des buts monumentaux négatif ou positifs (par exemple des faits qui suscitent la corruption), exercice de projection qui accroît la probabilité de plénitude d'exécution de l'obligation de moyens que constitue son obligation de concrétisation des buts monumentaux (par exemple éliminer la corruption). 

C'est le lien entre l'outil et le but, mécanisme de base dans toute branche du Droit téléologique qui part de la norme située dans les buts, qui permet de définir l'outil : la cartographie des risques a pour objet de "réduire les risques", c'est-à-dire d'accroître la perspective future pour l'entreprise de concrétiser le but monumental que les Autorités publiques lui ont affecté.  Ainsi dès 2008, l'OCDE définissait la cartographie des risques par ses objectifs, à savoir "mettre en place des moyens efficients pour réduire des risques de fraudes et de corruption et pour mettre en place des enquêtes efficientes en concentrant les efforts sur les procédés efficaces". !footnote-1739

Les buts poursuivis fonctionnent eux-mêmes en cercles concentriques, ce qui explique la diversité des cartes établies. Ainsi, tandis que la notion de corruption renvoie au Droit pénal, celle de fraudes est plus vaste que le Droit car si "la fraude corrompt tout" toute fraude n'est plus saisie par le Droit dès lors que la lutte pour la combattre n'emprunte pas un instrument juridique. Les cartes ne sont donc pas les mêmes et les entreprises en établissent de multiples. Plus généralement et par ailleurs, de nombreux risques ne concernent en rien le Droit et devront pourtant être pris en considération par l'entreprise comme autant d'éléments d'information à considérer pour son action : les risques économiques, les risques naturels!footnote-1908 ou les risques politiques, ainsi que les "risques de marché", à propos desquels les Autorités de marchés, comme l'Autorité de marché financier dresse régulièrement une "cartographie des risques"!footnote-1740 . Mais cette cartographie-là ne semble pas regarder le Droit, alors même qu'elle ne relève déjà plus de la seule bonne gestion interne de l'entreprise. 

Cela rend d'autant plus difficile de saisir par une seule qualification juridique ces cartes si diverses.

 

L'hypothèse de la cartographie des risques comme un fait juridique

Ainsi, si l'analyse part non plus des lois qui les imposent ou les suggèrent mais plutôt des cartographies élaborées par des entreprises et s'en prévalent, notamment vis-à-vis des investisseurs ou des consommateurs, l'on doit constater leur diversité, sans plus être certains si pour toutes ces cartographies constituent une "modalité" d'une obligation juridique, devenant de ce fait par transitivité un objet juridique, ou si elles ne constituent pas plutôt un élément de détermination de la stratégie de l'entreprise, appelant donc une qualification comme un "acte de management"!footnote-1735.

La cartographie des risques devient donc un fait. Il ne produit pas directement d'obligations per se. Mais son existence constitue néanmoins son élaboration en fait juridique, auquel l'on peut attacher des effets de droit. Notamment lorsqu'il a engendré des effets de confiance sur la tête des tiers et que l'établissement de la carte a été faite pour l'obtenir, par exemple lorsque l'entreprise retrace des risques en amont dans l'élaboration des produits qu'elle offre au public en aval.

La question de l'engagement juridique de l'entreprise se pose d'autant plus qu'il est aujourd'hui impossible d'enfermer le Droit de la Compliance - et son outil principal Ex Ante qu'est la cartographie des risques - dans ce qui n'est que deux de ces buts monumentaux particuliers que sont la lutte contre la corruption (loi dite Sapin 2) et la violation des droits humains (Loi dite Vigilance).

 

L'hypothèse d'une obligation juridique générale et autonome d'établir une cartographie des risques pour les sujets de Droit en position de les connaître

Si dresser une cartographie n'était pas seulement un simple fait, l'on peut considérer d'une part qu'il pourrait s'agir d'un acte juridique unilatéral en premier lieu ou de l'exécution d'une obligation générale et autonome à la charge des sujets de droit qui sont en position de connaître des risques que les autres ne connaissent pas.

Dans le premier cas, il s'agit par exemple d'une entreprise qui, par sa volonté, notamment au titre de ses divers engagements sociétaux, s'engage à prévenir tel ou tel événement négatif (par exemple une pollution) ou à mettre en oeuvre des techniques pour atteindre des situations positifs, par exemple une relation d'égalité entre des personnes. Pour ce faire, notamment parce que cela est inscrit dans sa "charte d'éthique" ou son "code de conduite", voire ce qui est désormais parfois dénommé expressément comme une "charte de Compliance", cette obligation de moyens déclenche de par sa seule existence et sans qu'il soit besoin d'un texte pour le prescrire une obligation accessoire de résultat, consistant dans l'obligation de dresser une cartographie des risques afférent à un tel "projet".

D'une façon plus générale, l'on peut considérer que tous les sujets de droit qui doivent concrétiser les buts monumentaux du Droit de la Compliance du fait des Autorités publiques doivent, selon le même raisonnement précité de l'accessoire nécessaire, établir les cartographies correspondantes. 

L'on pourrait alors considérer que toute entité qui est en position de connaître des risques lui donnant une meilleure anticipation du futur, non seulement pour elle mais pour les autres doit avoir une obligation générale de porter à la connaissance des autres directement concernés les risques qu'ils courent dans l'exercice qu'ils doivent faire de leur propre liberté. En effet c'est autant l'exercice d'une liberté pour soi-même, dans un acte de bonne gestion, à laquelle procède une entreprise qui dresse une cartographie des risques pour décider d'agir dans tel ou tel sens (définition de la stratégie) que l'exercice d'un acte de puissance d'information pour les autres dans un acte de Compliance.

En cela, les Autorités de Régulation qui dressent elles-mêmes des cartographies des risques pour éclairer les opérateurs ne seraient que des modèles pour ceux-ci, devant à leur tour, par leurs propres cartographies, éclairer les parties "concernées" par ces risques-là.

Dans une conception libérale du Droit, nul ne peut être contraint par le Droit d'être bon stratège, voire grand stratège, pas plus qu'une entreprise qui est en position de connaître les risques que court autrui ne doit être nécessairement obligée de protéger directement celui-ci ; mais le Droit devrait pouvoir la contraindre de faire connaître à autrui les risques qui le concerne et dont elle a connaissance et qu'elle a cartographiés afin que ce tiers, ainsi instruit et ainsi alerté (la notion d'alerte étant une notion centrale du Droit de la Compliance) pour lui permettre de mesurer ces risques et de les prendre ou non. Pas davantage que cette obligation générale, mais cela.

Si l'on admettrait cette obligation générale, cela concrétiserait un droit subjectif pour les tiers "concernés" par ces risques.

 

Le droit subjectif des tiers à être inquiétés par la connaissance de la cartographie des risques, afin d'être en mesure d' exercer leur liberté d'action

Cela pourrait être le fondement d'une obligation générale d'établir des cartographies des risques, obligation à la charge des entités en position de les dresser, puis de les publier, le secret devant alors l'exception.  En cela, la loi dite "Sapin 2", à travers l'instauration de l'Agence Française Anticorruption (AFA), a institutionnalisé ce mécanisme par lequel les entreprises "exposées" aux marchés financiers ou/et aux investisseurs internationaux, ou/et au commerce internationaux, présentent d'une façon claire et ordonnée -c'est-à-dire par une cartographie - les risques qu'ils ont identifiés dans leurs actions présentes et futures, rendant plus concrètement des comptes sur leur organisation structurelle d'analyse des risques.

Des autorités publiques  supervisent les entreprises exposées à ces risques. Certes les banques y sont juridiquement accoutumées, mais les banques sont dans un secteur qui est régulé et supervisé. L'évolution est tout de même  remarquable, et marque l'ensemble du Droit de la Compliance, en ce que ce dispositif de Compliance viendrait s'appliquer, via l'exigence de cartographie des risques, à des entreprises qui agissent dans des secteurs qui ne sont pas supervisés, voire qui ne sont parfois pas même régulés, par exemple l'immense champ du commerce international. De cette façon, ces entreprises, qui ne sont pas sectoriellement régulées, deviennent structurellement transparentes et supervisées au titre du Droit de la Compliance, qui contrôle notamment l'effectivité et l'efficacité du mécanisme de cartographie des risques.

Le principe libéral selon lequel une entreprise ne rend compte que de son comportement et non de son organisation interne en est entamé, puisque la cartographie des risques est un mécanisme Ex Ante qui relève de la structure même des entreprises et dont l'effectivité est contrôlée par les Autorités publiques, le Droit de la Compliance exprimant une "responsabilité Ex Ante" souhaitée par beaucoup. Mais cela n'engendre pas une obligation de comportement consistant dans une obligation de résultat et encore moins une obligation de protéger les tiers. 

Par cette obligation générale structurelle pesant sur les entreprises en position de le faire d'établir une cartographie des risques et de la faire connaître, le Droit fait naître au profit des tiers un droit subjectif spécifique, le "droit d'être inquiété", par la connaissance des risques qu'ils courent et dont ils n'avaient pas nécessairement connaissance puisqu'ils ne sont pas dans la même "position" que les opérateurs économiques, inquiétude qui leur permet ainsi de mieux exercer la liberté de courir ou de ne pas courir ces risques ainsi portés à leur connaissance. 

 _____

 

 

1

Sur les risques de climat et leur appréhension par le Droit de l'environnement, v.

les commentaires sont désactivés pour cette fiche