La cartographie des risques: est-elle juridiquement différente lorsqu'elle est faite par les entités de régulation plutôt que par les entreprises régulées? (Risk Mapping: is it legally different when it is made by Regulatory Bodies or by Regulated Enterprises?)

Référence complète: Frison-Roche, M.-A., La cartographie des risques: est-elle juridiquement différente lorsqu'elle est faite par les entités de régulation plutôt que par les entreprises régulées? (Risk Mapping: is it legally different when it is made by Regulatory Bodies or by Regulated Enterprises?),  in Newsletter MAFR - Law, Compliance, Regulation, 17 août 2020

Lire par abonnement gratuit d'autres news de la Newsletter, MAFR - Law, Compliance, Regulation

Résumé de la news

Chaque année, l'Autorité des marchés financiers, la Banque centrale européenne ou l'Agence française anti-corruption publient des cartographies des risques. A première vue, les cartographies des risques établies par le régulateur ont vocation à aider à la fois le régulateur et l'entreprise régulée à faire face à ces risques en les anticipant. Ces documents ne seraient donc qu'une aide apportée aux entreprises dans leur mission de compliance et en aucun cas une injonction de la part du régulateur à prendre en compte les risques qu'il met en avant. 

Cependant, la loi oblige les entreprises a constitué leur propre cartographie des risques sous peine de sanction. Dès lors que le régulateur a auparavant publié sa propre cartographie des risques, les entreprises, obligée de rédiger la leur, peuvent-elles s'en écarter? Si l'entreprise suit la cartographie publiée par le régulateur, peut-il s'en prémunir au cas où on l'accuserait de ne pas avoir remplie ses obligations de compliance? Au contraire, si l'opérateur ne suit pas la cartographie des risques du régulateur, cela peut-il lui être reproché? Formellement, les cartographies des risques des régulateurs ne s'accompagnent pas d'une injonction à en tenir compte mais, comme chacun sait, toute recommendation d'un régulateur ou d'un superviseur doit être prise en compte.

La solution juridique pourrait ici être la mise en place d'un système de "comply or explain" qui signifierait que si l'entreprise décide de ne pas suivre la cartographie des risques établie par le régulateur, elle doit être en mesure de pouvoir justifier ce choix. 

Pour aller plus loin, lire:

• Frison-Roche, M.-A., La théorie juridique de la cartographie des risques, centre du Droit de la Compliance, working paper, 2020 (en anglais)