28 novembre 2019

Conférences

Référence : Frison-Roche, M.-A., Présentation générale du cycle de conférences sur Les outils de la Compliance et "Théorie générale de la cartographie des risques", in Département d'Economie de Sciences Po & Journal of Regulation & Compliance (JoRC),  La cartographie des risques, outil de la Compliance28 novembre 2019, Sciences Po, Paris. 

 

 

Résumé de la conférence

La cartographie des risques est à la fois centrale dans les obligations ou pratiques des entreprises et très peu appréhendée par le Droit. Elle est peu expressément visée par celui-ci, en dehors des lois spéciales dites "Sapin 2" et "Vigilance". Mais si nous sommes hors de ce champ, parce qu'il n'y a qu'une description et non pas une définition, encore moins une notion, l'on ne sait quel régime juridique appliquer à l'action de cartographier les risques. Il est donc utile, voire impérieux, de cerner la notion juridique de l'action de cartographier les risques. En partant sur ce qui est encore le terrain le plus sûr, à savoir ces deux lois spéciales, pour aller vers des terrains juridiques moins assurés, comme la doctrine des Autorités ou les engagements des entreprises, voire les certifications ISO obtenues en la matière. A travers quelques décisions de justice et par le raisonnement juridique se dessine alors une notion juridique de l'action de cartographier les risques.

Il convient de procéder en 5 temps (le document de travail suit quant à lui une autre démarche). La première, prenant directement appui sur les deux lois disponibles, appréhende l'action  de cartographier lorsqu'elle vient en exécution d'une obligation légale spéciale. La décision rendue en 2019 par la Commission des sanctions de l'Agence Française Anticorruption dessine les jeux probatoires quant à la démonstration de l'exécution de l'obligation et le système probatoire peut être étendu. De la même façon la décision du Conseil constitutionnel en 2017 à propos de la Loi "Vigilance" montre qu'un mécanisme visé comme une "modalité" est légitime au regard du but, qui est concernant cet outil-là l'établissement d'une responsabilité pour autrui. C'est donc le souci du sort d'autrui qui peut être visé. 

Le deuxième thème vise l'action de cartographier les risques comme un fait de bonne gestion d'une entreprise, alors qu'elle n'y est pas contrainte. Ce fait constitue un paradoxe parce que l'Autorité de régulation et le Juge peuvent, lorsque le comportement qu'il s'agissait de prévenir advient, par exemple un abus de marché ou un comportement anticoncurrentiel, soit le qualifier comme une circonstance aggravante, soit comme une circonstance atténuante. La considération de la théorie des incitations devrait conduire à adopter la solution américaine, c'est-à-dire la qualification d'une cartographie effective comme un fait atténuant. La jurisprudence européenne n'est pas encore fixée en matière de Compliance concurrentielle. 

Le troisième thème vise l'action de cartographie menée par une entité qui de fait exerce un pouvoir sur un tiers. Car la cartographie est aussi bien une obligation qu'un pouvoir, éventuellement sur un tiers. Le Conseil d'État en 2017 a qualifié la cartographie des risques comme un acte faisant grief, mais le faisant légitimement, puisqu'il s'agissait de prévenir les incendies de forêts. Cette solution basée sur la téléologie attachée au Droit de la Compliance peut être transposée dans d'autres domaines. 

Allant plus loin, l'on peut songer à transformer cette action du statut de fait au statut d'engagement juridique de la part de l'entreprise, si elle repère ainsi des risques pour les tiers. Elle rendrait ainsi les tiers créanciers du droit d'être en situation de mesurer les risques qui pèsent sur eux. La cartographie des risques ferait ainsi partie d'un engagement unilatéral plus général de la part d'entreprises puissantes sachant l'existence de risques pour les tiers de mettre ceux-ci en mesure d'en connaître la nature et l'ampleur. Si cette responsabilité Ex Ante (caractéristique du Droit de la Compliance) est remplie, alors la responsabilité Ex Post de l'entreprise ne pourrait plus être retenue. C'est l'enjeu en cours du procès Johnson & Johnson (jugement de 2019), en matière de compliance médicale. Car si l'on peut soutenir qu'il existe, à travers cette sorte de cartographie, des risques qu'est la posologie un "droit subjectif à être inquiété sur les risques liés à la prise du médicament", le patient demeure libre dans l'usage de celui-ci. La question de savoir si l'éducation des tiers est incluse dans la cartographie, puisque l'alerte est déjà incluse dans celle-ci, est une question ouverte. Pour l'instant, la réponse est négative. 

En effet et dans un cinquième temps, apparaît la définition libérale du Droit de la Compliance à travers l'appréhension que le Droit doit faire de la cartographie des risques. Au-delà de l'acte rationnel qu'a toute personne de contrôler ses risques pour son propre intérêt, en prévenant les effets dommageables pour ça de la cristallisation du risque en fait avéré, il s'agit de préserver un intérêt extérieur pour la préservation duquel le Droit doit intervenir car le sujet de droit, notamment l'entreprise aura moins tendance à en avoir souci.

Par l'empreinte du Droit, la cartographie des risques exprime alors le souci d'un intérêt externe, soit d'un système, soit d'un tiers. Mais cette prise en charge en Ex Ante implique de force (Sapin 2, Vigilance, obligation d'information du marché financier) ou de gré (responsabilité sociétale, engagement éthique, adoption de normes a-financières) ne porte que sur l'information, sa constitution, son intelligibilité et sa hiérarchisation. Ensuite c'est aux acteurs exposés aux risques, mis en mesure de comprendre en Ex Ante l'ampleur en ce qui les concerne, soit l'entité elle-même, soit les tiers, de choisir de les courir au non.

 

  • Consulter les deux jeux de  slides servant de support à la conférence : 

 

 

 

 

______


 

 

 

 

27 novembre 2019

Publications

Ce document de travail a servi de base à une intervention dans la conférence organisée dans le cycle de conférences organisé par le Journal of Regulation & Compliance (JoRC) autour du thème : Les outils de la Compliance, en collaboration avec de nombreux partenaires universitaires : cette première conférence est organisée en collaboration avec le Département d'Economie de Sciences po et se tient le 28 novembre 2019 à Sciences po et porte sur le thème plus particulier de La cartographie des risques.

Il sert également de base à l'ouvrage dirigé par Marie-Anne Frison-Roche, Les outils de la Compliance, qui sortira dans la collection Régulations & Compliance

 

______

 

Introduction et résumé.

Le plus souvent l'on ne fait que décrire le mécanisme de cartographie des risques, sans le qualifier juridiquement. Le législateur ne fait pas davantage. Ainsi, dans l'article 17 de la loi dite "Sapin 2", la cartographie est décrite comme "la forme d'une documentation régulièrement actualisée et destinée à identifier, analyser et hiérarchiser les risques d'exposition de la société à des sollicitations externes aux fin de corruption, en fonction notamment des secteurs d'acitivité et des zones géographiques dans lesquels la société exerce son activité.". L'article 1ier de la loi dite "Vigilance" du 27 mars 2017 vise quant à elle "une cartographie des risques destinées à leur identification, leur analyse et leur hiérarchisation".  

 Il s'agit d'une description et non d'une définition, le texte ne visant que la "forme" que cet élément d'information prend, sans en dire davantage. La lettre du texte descriptif inséré dans la seconde partie de l'article 17 renvoyant à la première partie de celui-ci, qui le vise expressément comme une "modalité" de "l'obligation" de prendre des "mesures destinées à prévenir et à détecter la commission, en France ou à l'étranger, de faits de corruption ou de trafic d'influence". De la même façon lorsqu'on consulte les documents par lesquels les Autorités de Régulation, par exemple l'Autorité de marché financier, présente la façon de bien identifier les risques, y compris les risques de "non-conformité"!footnote-1734, il y a une description des façons de faire, pas de définition, souvent pas de droit. L'on retrouve cette même tendance dans la Compliance elle-même, si souvent réduite dans sa présentation à un process mécanique, souvent peu juridique, ou ne le devenant que sous son mauvais jour : celui de la sanction. Cette conception mécanique d'une Compliance comme process conduit à proposer que des machines et non des êtres humains en établissent les outils, notamment la cartographie des risques. 

Car il est acquis que la cartographie n'est qu'un "outil", la loi la désignait comme une "modalité". Il est donc acquis qu'il faut chercher ce pour quoi est fait l'outil. Soit il est fait pour que la loi ne soit pas méconnue, la cartographie repérant par exemple le risque accrue qu'elle ne le soit pas : c'est qu'il est usuellement désigné sous l'appellation étrange de "risque de conformité". La cartographie permet alors à l'entreprise d'exécuter son "obligation de Compliance", c'est-à-dire de faire en sorte en Ex Ante que la loi soit respectée en éliminant par avance le risque qu'elle ne le soit pas. Ainsi dès 2008, l'OCDE définissait la cartographie des risques par ses objectifs, à savoir mettre en place des moyens efficients pour réduire des risques de fraudes et de corruption et pour mettre en place des enquêtes efficients en concentrant les efforts sur les procédés efficaces". !footnote-1739

Il y a ensuite les risques qui ne regardent pas le Droit, et que l'entreprise gère comme autant de considérations pour son action, comme les risques économiques, naturesl ou politiques, ainsi que les "risques de marché", à propos desquels les Autorités de marchés, comme l'Autorité de marché financier dresse régulièrement une "cartographie des risques"!footnote-1740 . Mais cette cartographie-là ne semble pas regarder le Droit, alors même qu'elle ne relève déjà plus de la seule bonne gestion interne de l'entreprise. Plus l'on lit des cartes et plus l'on observe leur diversité, sans savoir si elles constituent une "modalité" d'une obligation, constituant donc un objet juridique, ou si elle constitue une bonne façon de faire, ce qui est neutre pour le Droit. Mais de quoi aujourd'hui le Droit ne se mêle-t-il pas ? Surtout d'un fait aussi important et prégnant et coûteux que celui-là....

Or, l'on observe à quel point la "cartographie des risques" n'a pour l'instant été que peu pensée en Droit. En effet, lorsqu'il est exposé, et si souvent, qu'elle comprend à la fois des "risques économiques", des "risques politiques", et des "risques de conformité", alors pourtant que dans son ensemble elle n'est instrument d'un Droit de la Compliance, qui organise la totalité de la conformité, le juriste qui sans cesse ordonne n'arrive plus à suivre : comme la "conformité" pourrait-elle n'être qu'une partie d'un mécanisme qui lui-même n'est qu'une partie de la "conformité" ? L'on trouve de très nombreux écrits qui détaillent la cartographie, qui par une sorte d'effet de miroirs, dressent des cartographies des exigences pays par pays, textes par textes, secteurs par secteurs, loi par loi, des exigences de cartographies.... Nous sommes face à un chateau de cartes, toujours plus minutieusement décrite, sans jamais rencontrer de qualification juridique. Par exemple dresser une telle carte constitue-t-il un fait juridique ou un acte juridique ? Je ne vois pas la question même posée. Pourtant, les conséquences de régime en sont immenses. A supposer que cela ne soit qu'un fait juridique, peut-il être justificatif ? Les avocats y ont songé et ont plutôt trouvé porte fermée... Mais pourquoi ne serait-ce pas un acte juridique ? La catégorie juridique des actes juridiques unilatéraux est là pour l'accueillir. Dans ce cas, la cartographie des risques engage l'entreprise et l'on sent que les régulateurs et les juges le conçoivent de plus en plus ainsi. Mais si l'entreprise est engagée, auprès de qui l'est-elle ? Plus précisément encore, si elle devient débitrice de l'obligation de cartographier, même si aucune loi particulière ne le lui prescrit d'une façon précise, alors il existe nécessairement un créancier bénéficiaire de cette obligation. Qui est-il ? Et pourquoi l'est-il ?

L'essentiel de cette contribution est de poser ces questions. Elles sont élémentaires. Elles ouvrent des pistes, celles que l'exercice de qualification juridique, de mise en catégorie juridique et de définition juridique, ouvre. 

Si pour l'instant il a été peu pratiqué, la cartographie des risques étant étrangement laissé aux algorithmes, aptes à entasser des données et inaptes à définir et à qualifier juridiquement, cela tient peut-être au fait plus général que le Droit et le risque sont peu souvent directement associés. Le mécanisme de bonne gestion que constitue la cartographie des risques, notamment dans les organisations qui ne sont pas des entreprises mais sont en charge d'administrer et adoptent sans contrainte cette bonne méthode!footnote-1735, y incite lui-même d'autant moins qu'on peut lire qu'il s'agirait pour l'entité méticuleuse d'identifier par avance notamment le "risque juridique"!footnote-1731, c'est-à-dire l'application qui pourrait lui être fait du Droit, application incertaine, application contrariante. Combien de séminaires à succès sur le "risque pénal"... Comme en défense, les juristes exposent d'une façon trop générale que le Droit est constitué pour lutter contre le risque, lequel est un fait. En effet l'on répète à longueur de rapports que le système juridique est là pour "sécuriser", le réduisant parfois à cette performance technique tenant à sa nature même, par le principe de "sécurité juridique", que l'Etat par sa permanence, sa violence légitime, son imperium, nous donne en échange la paix, que le contrat par la "petite loi" qu'il constitue offre aux parties qui l'édictent un havre de sécurité pour cet îlot de stabilité dans un futur qu'on ne connait jamais tout à fait ; gare à nous si l'on sort de l'ordre juridique car l'on retombe dans le risque... Ainsi, soit l'on est dans le Droit, assujettis au Droit, et l'on bénéficie de sa sécurité spécifique, ce que les économistes désigneraient volontiers comme la "réglementation", soit on est dans la liberté de l'action, et l'on est alors dans le risque.... Il en serait comme pour les marchés, à propos desquels il faut choisir entre la liquidité et la sécurité :  si l'on veut de la liberté d'action, alors il faut moins de réglementation, et donc moins de sécurité, plus de risque.... Cette opposition traditionnelle et si souvent relayée en économie est remise en cause par l'obligation de cartographie des risques car si ceux-ci sont établis, ce n'est pas pour les connaître en soi mais pour les combattre, au-delà de l'obligation classique d'information sur les risques, dont on trouve de nombreux ancrages dans les branches du Droit, notamment le Droit des sociétés, notamment celles exposés aux marchés financiers (I). 

Dès lors, puisqu'il y a sous l'information classique de la prétention politique, de la volonté de "prévenir" le mal, qui se transforme rapidement dans la volonté de "promouvoir" le bien, le nouveau apparaît. La nouveauté est tout d'abord institutionnelle (II). En cela, la loi dite "Sapin 2", à travers l'instauration de l'Agence Française Anticorruption, a institutionnalisé ce mécanisme par lequel les entreprises "exposées" aux marchés financiers ou/et aux investisseurs internationaux, ou/et au commerce internationaux, présentent d'une façon claire et ordonnée -c'est-à-dire par une carte - les risques qu'ils ont identifiés dans leurs actions présentes et futures, doivent plus concrètement rendre des comptes sur leur organisation structurelle. Des autorités publiques vont superviser les entreprises exposées à ces risques. Certes les banques y sont juridiquement accoutumées, mais les banques sont dans un secteur qui est régulé et supervisé. Ce qui est remarquable tient au fait que le Droit de la Compliance vient appliquer via l'exigence de cartographie des risques la technique juridique de supervision à des entreprises qui agissent dans des secteurs qui ne sont pas supervisés, qui ne sont parfois pas même régulés. Ainsi, elles deviennent strucurellement transparentes. Le principe libéral selon lequel une entreprise ne rend compte que de son comportement et non de son organisation interne en est entamé. Ainsi, par la seule technique imposée par le Droit, la méthode de transparence, propre aux entreprises supervisées devient générale, dès l'instant qu'un risque existe. C'est une nouveauté radicale, puisque le risque dont il s'agit n'est pas un risque de secteur et qu'une crise générale n'est plus à craindre. La rupture est ainsi opérée avec le Droit de la supervision qui jusqu'ici était insécable du Droit de la Régulation, l'obligation de cartographie des risques s'appliquant à tout "opérateur crucial" exposé au risque de corruption, en ce que celle-ci doit être combattue d'une façon globale. 

Dès lors, la cartographie des risque est un outil qui, au-delà de la simple description, prend sa définition d'une façon téléologique. Son but est de prévenir des risques qui compromettent des ambitions qui ne sont pas toujours de nature économique mais qui sont de nature politique (III). La lutte contre la corruption n'en est qu'un exemple, la loi dite "vigilance" exigeant elle-aussi une "cartographie des risques" en matière de droits humains, tandis que cette technique est reprise par des textes plus ou moins contraignant en matière environnementale. Certes des entreprises en position de porter de telles ambitions politiques, de force - en raison de leur position - ou de grè - par leur raison d'être ou par leur politique de responsabilité sociétale -, doivent le supporter, les transformant en acteurs politiques majeurs. Elles ne sauraient pour autant se substituer aux Autorités publiques, lesquelles d'une part fixent les "buts monumentaux" qu'il s'agit d'atteindre d'une part et qui d''autre part supervisent en Ex Ante et en Ex Post la mise en place et le fonctionnement de ces outils au sein des entreprises cruciales. 

2

OCDE, Bueb, J.-P., Risk mapping methodology. Developping practical tools for procurement, 2008,  : "OBJECTIVES OF RISKS MAPPING • Put in place efficient means to reduce risks of frauds and corruption; • Have more efficient investigations by concentrating the efforts on “sensitive” processes, methods or persons. "

3

Autorité des Marchés financiers, Cartographie des risques, 2017

4

Dyens, S., La nécessité de dresser une cartographie des risques juridiques, 2012. Dans cet article qui présente le Droit comme un risque pour l'action de l'Etat et la bonne fin des politiques publiques, il s'agit de bien organiser en Ex Ante les administrations. 

13 septembre 2019

Base Documentaire : Doctrine

Référence complète : Hautereau-Boutonnet, M., Le risques de procès climatique contre Total : la mise à l'épreuve contractuelle du plan de vigilance, in Revue des contrats, n°3, Lextenso, 2019, p.95

 

Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"

4 juillet 2019

Base Documentaire : Autorité de Contrôle Prudentiel et de résolution (A.C.P.R.)

1 juillet 2019

Base Documentaire : Soft Law

Référence complète : Cartographie AMF des marchés et des risques, in Bulletin Joly Bourse, Lextenso, n°04, 2019, p.7

 

Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"

 

 

5 juin 2019

Base Documentaire : Doctrine

Référence complète : Thierache, C., RGPD vs Cloud Act : le nouveau cadre légal américain est-il anti-RGPD ?, in La Revue juridique Dalloz IP/IT,  n°6, 2019, p.367

 

Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"

3 octobre 2018

Base Documentaire : Doctrine

Référence complète : Dyens, S., La cartographie des risques, outils central de la compliance publique, in AJCT, 2018, p.491

 

Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"

12 janvier 2018

Base Documentaire : Doctrine

Référence complète : Schlegel, F., La cartographie des risques, pierre angulaire de la réglementation Sapin 2, in La LJA, 2018.

 

Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"

22 décembre 2017

Base Documentaire : Soft Law

3 juillet 2017

Base Documentaire : Soft Law

Référence complète : AMF, cartographie des risques 2017, in Droit financier, Lextenso, 2017, 108 p.

 

L’AMF a publié sa cartographie 2017 qui constitue un panorama de l’évolution sur un an des risques liés à l’actualité économique, financière et réglementaire. Elle analyse le financement de l’économie, les marchés ainsi que l’épargne des ménages et la gestion collective.

 

Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"

2 février 2017

Base Documentaire : Doctrine

Référence complète : Brosses (de), S., Gestion, cartographie des risques. Un pilotage vigilant, in Juris associations, Dalloz, n°570, 2017, p.43

 

Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"

2 janvier 2017

Base Documentaire : Doctrine

Référence complète : Boursier, M.-E., L'impact de l'ordonnance du 1er décembre 2016 sur la cartographie des risques des entreprises, in Bulletin Joly Bourse, Lextenso, n°116, 2017, p. 6.

 

Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"

 

9 décembre 2016

Base Documentaire : 02. Lois

3 octobre 2016

Base Documentaire : Doctrine

Référence complète : Samuelian, M., Les actions juridiques et réglementaires à l'épreuve des risques cartographiés par l'AMF, in Bulletin Joly Bourse, n°10, Lextenso, 2016, p. 440

 

Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"

11 décembre 2013

Base Documentaire : Doctrine

Référence complète : Collard, Christophe, et Christophe Roquilly. « Les risques juridiques et leur cartographie :proposition de méthodologie », La Revue des Sciences de Gestion, vol. 263-264, no. 5, 2013, pp. 45-55.

 

Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"

 

 

1 octobre 2012

Base Documentaire : Doctrine

Référence complète : Oster, T., Droit de la concurrence et assurance : cartographie des risques au lendemain de l'enquête sectorielle de la commission européenne et de l'adoption du nouveau règlement d'exemption catégorielle, in RGDA, n°4, Lextenso, 2012, p. 959.

 

Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"

7 mars 2012

Base Documentaire : Doctrine

Référence complète : Dyens, S., La nécessité de dresser une cartographie des risques juridiques, in AJ Collectivités Territoriales, 2012, p.131

8 juillet 2008

Base Documentaire : Doctrine

Référence générale: Bueb, J.-P., Risk mapping methodology. Developing practical tools for procurement. Workshop on Investment and Anti-Corruption Policies in the framework of the International Compact for Iraq, in OECD, Paris, 8-10 juillet 2008, 20 p.

 

Lire le rapport.