Gouvernance et compliance : du nouveau avec la loi PACTE ?

L’objectif du présent article est d’approfondir cette analyse au travers du droit des sociétés actuel et des règles de compliance (soft ou hard) et de voir comment l’entrée en vigueur de la loi PACTE dans quelques semaines viendra affecter encore cette implication.

La gouvernance de la compliance

En complément des obligations d’information découlant du droit des sociétés, les lois récentes et les lignes directrices émises par les autorités de contrôle, auxquelles revient la charge de mettre en place ces lois, fournissent certaines prescriptions quant aux rôles de la direction.

La gestion des risques prend le pas sur le correctif. Dans un monde où l’administration a transféré un grand nombre d’obligations sur les entreprises, il leur appartient de mettre en place un système d’organisation préventif qui soit efficace.

Si on prend l’exemple de la loi Sapin II, qui met en place, à son article 17, l’obligation de disposer d’un programme de conformité anticorruption, il faut noter que l’obligation n’est pas à la charge de la société personne morale, mais à la charge des dirigeants. En ce qui concerne la société anonyme, ce sera donc le mandataire exécutif qui en aura la charge, à savoir le directeur général.

C’est ici une façon de responsabiliser un peu plus les dirigeants et de s’assurer que les mesures seront prises, puisque le dirigeant peut engager sa responsabilité si le programme n’est pas mis en place.

Toutefois, il ne faut pas oublier que la loi permet à l’Agence Française Anti-corruption (AFA) d’engager non seulement la responsabilité des dirigeants, mais aussi de la société, bien que l’obligation de mettre en place le programme ne repose que sur les personnes physiques.

Dès la publication de ses recommandations en décembre 2017 (1), l’AFA a d’ailleurs insisté sur l’importance de la gouvernance de la compliance, point qui n’avait pas été abordé par la loi autrement qu’en imposant aux dirigeants la responsabilité de la mise en place du programme de conformité.

En introduction, elle a ainsi fait une recommandation particulière sur l’« Engagement de l’instance dirigeante dans la prévention et la détection de faits de corruption ». L’AFA y précise qu’il appartient à l’instance dirigeante de mettre en œuvre une stratégie de gestion des risques ainsi qu’un programme de conformité anticorruption et que c’est avec leur engagement et l’approbation du dispositif mis en place que la démarche peut être engagée.

Préfigurant ainsi le Guide sur la fonction conformité (2), qui a été publié en février 2019, l’AFA y indique que la démarche volontariste de l’entreprise qui met en place son programme consiste à désigner un responsable conformité, le fameux compliance officer oublié par la loi.

Ainsi transparaît immédiatement la répartition des tâches nécessaire à toute entreprise pour assurer un contrôle des opérations au niveau de l’instance dirigeante (direction générale/conseil d’administration) détaillée ci-après.

À noter que l’exercice de la cartographie des risques doit se faire sur les activités actuelles de l’entreprise, mais aussi sur ce qui présente généralement le plus de risques :

• l’évaluation des tiers dont on ne contrôle pas les modalités de fonctionnement, et

• l’évaluation des partenaires de joint-ventures ou bien des cibles d’acquisition.

À titre d’exemple, les fusions ou acquisitions permettent généralement à une entreprise de se développer dans un domaine qu’elle connait moins bien : soit parce qu’il s’agit de s’implanter dans un pays qu’elle ne connaît pas, soit parce que l’opération permet d’étendre les activités dans une activité connexe ou complémentaire de l’activité d’origine.

Traditionnellement, ces opérations donnent lieu à une étape d’évaluation de l’entreprise cible qui permettra aux dirigeants de l’entreprise acquéreuse/bénéficiaire de déterminer la valeur de la cible et ainsi de faire une proposition de prix/valorisation tenant compte des risques ainsi identifiés.

Peu à peu, cette évaluation que l’on appellera souvent la due diligence d’acquisition s’est étendue aux domaines de la compliance, tels que le respect du droit de la concurrence ou bien les données à caractère personnel.

Depuis quelques années, les entreprises ajoutent à leurs contrôles une revue du programme de conformité anticorruption en place chez la cible ainsi qu’une analyse du risque de corruption. Il faut rappeler qu’en effet, si la structure sociale de la cible demeure une fois acquise, ce sont ses nouveaux dirigeants qui seront responsables pénalement en cas de découverte d’une infraction de corruption. Leur responsabilité personnelle est sans doute limitée, mais la responsabilité pénale de la personne morale devra être prise en charge par les acquéreurs/bénéficiaires. En droit français, en cas de fusion, dès lors qu’une société aura été absorbée, la personne morale disparaissant, sa responsabilité pénale ne pourra plus être mise en jeu.

C’est d’ailleurs ce que rappelle l’AFA dans le projet de Guide pratique qu’elle vient d’émettre à cet effet (3). Elle insiste sur le fait que les vérifications conformité au moment des acquisitions nécessitent l’implication des instances dirigeantes, en particulier aux fins de donner au responsable conformité les moyens humains et financiers nécessaires pour les réaliser, mais également pour éventuellement décider de ne pas procéder à l’acquisition si jamais les résultats des vérifications devaient révéler des risques de corruption élevés (décision de « no go »).

Ces moyens humains et financiers que l’instance dirigeante doit donner au compliance officer ne doivent pas se limiter aux cas exceptionnels que sont les acquisitions mais doivent être l’accompagnement nécessaire à la mise en œuvre du programme de conformité dans son ensemble. Ce n’est d’ailleurs pas limité aux questions de corruption. L’AFA nous le rappelle dans son guide pratique qui lui-même est largement inspiré des Guidelines du G29 sur le délégué à la protection des données (4).

Outre les questions de moyens, il convient que le choix du compliance officer se porte sur une personne qui disposera d’un accès effectif à la direction générale et notamment au comité exécutif. Il faut qu’il puisse reporter au plus haut de l’entreprise et également avoir un accès au comité d’audit du conseil d’administration quand il existe, ou bien au conseil d’administration lui-même.

Le rôle et les responsabilités des instances dirigeantes en droit des sociétés, appliqués à la compliance

Dans le cadre des réformes compliance, la nécessaire implication des instances dirigeantes a été rappelée à plusieurs reprises par les tribunaux.

Ainsi, dans l’affaire concernant la Banque Postale, la Commission des sanctions de l’Autorité de contrôle Prudentiel et de Résolution (ACPR) a sanctionné la Banque Postale (5), considérant que les insuffisances des directions de la sécurité et des opérations financières, de la conformité et du contrôle interne étaient telles qu’elles n’avaient pas attiré l’attention du directoire sur les décalages successifs des projets de filtrage des clients en matière de lutte anti-blanchiment et le terrorisme et que « l’évocation très générale des sujets… au cours des réunions du comité des risques du conseil de surveillance n’équivaut pas à une information de ce comité ».

Plus globalement, et hors des frontières françaises, la mise en œuvre de sanctions pécuniaires significatives à l’encontre des sociétés conduit également à regarder de plus près la question de la responsabilité des instances dirigeantes. Ainsi, dans le cadre des retombées de la sanction de 1,3 milliard de dollars US contre Siemens pour corruption et pots-de-vin, la société a poursuivi individuellement onze anciens membres de son conseil d’administration et de surveillance pour ne pas avoir correctement supervisé les pratiques commerciales de la société, entraînant neuf condamnations à payer entre 1 et 5 millions de dollars par administrateur. Siemens continue d’intenter des poursuites en dommages-intérêts contre deux autres administrateurs.

En France, les règles de compliance et la jurisprudence conduisent ainsi à analyser la répartition des pouvoirs dans les sociétés anonymes à conseil d’administration, et à s’interroger sur l’implication et la responsabilité de chacun de ces organes dans la mise en œuvre des programmes de compliance.

Le Code de commerce définit la répartition des pouvoirs entre la direction générale et le conseil d’administration : la direction générale représente la société vis-à-vis des tiers (article L. 225-56 du Code de commerce) et assume la direction générale de la société (article L. 225-51-1 Du Code de commerce). Le conseil d’administration détermine les orientations de l’activité de la société et veille à leur mise en œuvre (article L. 225-35 du Code de commerce).

La jurisprudence a eu à de nombreuses reprises, l’occasion de rappeler la répartition des pouvoirs entre les deux organes (6). La jurisprudence a par ailleurs eu à se positionner à plusieurs reprises sur le fait que si la direction générale doit se saisir des questions de compliance, elle doit aussi être mise en mesure de le faire.

Dans le cadre de la mise en œuvre des programmes de compliance, cette répartition de pouvoirs implique donc la nécessité d’une communication accrue entre les deux organes.

Le conseil d’administration :

• supervise le dispositif de compliance,

• vérifie les objectifs et les dispositifs de compliance décidés et mis en œuvre par la direction générale ainsi que leur adaptation à l’entreprise et leur efficacité,

• s’assure de l’existence d’un processus de vérification du fonctionnement des contrôles internes,

• fait en sorte que la démarche compliance soit prise en compte et intégrée dans le processus décisionnel du conseil d’administration.

La direction générale :

• engage une démarche compliance/gestion des risques,

• s’assure des ressources et moyens financiers et humains proportionnés aux enjeux des risques,

• met en œuvre le programme de compliance, avec le support des différentes fonctions,

• s’assure que le programme est adapté (à la taille de l’entreprise, à son activité, à sa propre culture, et aux cultures locales),

• communique en interne et en externe sur la politique compliance. Elle fournit à l’administrateur l’information nécessaire.

Par ailleurs, si le directeur général doit pouvoir parfaitement éclairer le conseil d’administration sur le fonctionne