Guerre, tensions économiques, cyberattaques : comment les juristes d’entreprise gèrent-ils les conflits ?

Dirigeants arrêtés, risque de financer le terrorisme… Si les crises ont un impact sur les entreprises, elles renforcent en parallèle le rôle stratégique du juriste. En matière de guerre économique d’abord, où les États peuvent exercer une pression considérable, selon une conférence du dernier congrès de l’Association française des juristes d’entreprise (AFJE).

C’est notamment le cas avec le FCPA (Foreign Corrupt Practices Act), loi états-unienne anti-corruption qui a la particularité d’être extraterritoriale. Le texte s’applique aux actes commis aux Etats-Unis, y compris par des entités étrangères, mais aussi à toute société cotée dans le pays, à ses ressortissants, ainsi qu’aux flux en dollars ou aux données transitant par des serveurs américains (typiquement, via les Gafam).

Les lanceurs d’alerte peuvent aussi obtenir une partie de l’amende infligée suite à leurs révélations sur une société cotée… Et les Etats-Unis appliquent des sanctions secondaires aux individus et organisations qui commercent avec des entités sous sanctions. D’un autre côté, un pays peut aussi sanctionner des entreprises qui le quittent. Celles-ci se retrouvent ainsi prises en étau.

La conflictualité ne se limite d’ailleurs pas au terrain économique. Elle se joue aussi dans le cyberespace. Les cyberattaques peuvent provoquer des perturbations opérationnelles, engager la responsabilité de l’entreprise vis-à-vis de tiers ou encore entraîner des fuites de données et des atteintes à la réputation. À cela s’ajoute la déstabilisation informationnelle, via la diffusion de fausses informations.

Conflits armés : attention à la corruption

Mais le type de guerre le plus emblématique reste le conflit armé. Si la sécurité des salariés est évidemment la première urgence, les juristes doivent toujours être consultés, souligne-t-on au Congrès de l’AFJE. Car payer des milices de sécurité, des passeurs pour évacuer les salariés ou un groupe armé pour continuer son activité peut être assimilé, selon les cas, à un manquement au devoir de vigilance, voire à de la corruption ou au financement de terrorisme.

« A ce titre, l’affaire Lafarge est emblématique », selon l’avocat Charles Dagham, associé du cabinet Norton Rose Fullright LLP. Lui-même a dû évaluer les risques pour des clients miniers qui faisaient protéger sites et salariés en Afrique par des milices violentes.

Et lors d’un coup d’Etat, qui représente l’Etat légitime, et donc à qui payer les impôts ? Au gouvernement déclaré, conseille Charles Dagham. La question est plus complexe quand deux entités revendiquent le pouvoir, et encore « différente quand il s’agit d’une milice : normalement, on ne doit pas lui verser quoi que ce soit, sauf en cas de risque physique pour les personnes ».

S’il est préférable de rester en contact avec l’ambassade, Charles Dagham précise que sa validation dans l’urgence d’une situation ambigüe ne dédouane pas l’entreprise de sa responsabilité.

Noémie Wallaert, directrice juridique et conformité de Décathlon et administratrice de l’AFJE, assure que lorsque la Russie a déclaré la guerre à l’Ukraine, Décathlon a évacué ses salariés français mais maintenu ses magasins ouverts car les salariés locaux voulaient continuer à travailler, ce qui a suscité des accusations de « chercher à faire des profits malgré la guerre ».

Elle invite aussi à réfléchir à un point peu pris en compte : quitter un territoire et cesser d’y exploiter une marque durant un certain temps permet aux concurrents de la reprendre.

Cartographie et anticipation

Face à ces situations, le juriste a besoin d’une approche très méthodique. A commencer par une cartographie de l’ensemble des risques. Encore faut-il avoir toutes les données : « Par le passé, j’ai découvert lors d’une visio-conférence que notre CEO avait la double nationalité franco-américaine. » se souvient ainsi Noémie Wallaert.

La directrice juridique insiste sur l’importance d’un « programme de conformité dynamique », régulièrement revu, assorti du « budget et l’autorité » nécessaires à son application. Une politique de « risk assesment » ainsi que l’évaluation de toutes les personnes et organisations avec lesquelles l’entreprise travaille est également nécessaire.

Noémie Wallaert conseille aussi des tests : faux hameçonnage, envoi d’un faux contrat avec une personne visée par des sanctions, pour voir s’ils « passent toute la chaîne d’approbation ».

L’ensemble des données est à cartographier : localisation, accès, risques potentiels… Charles Dagham insiste sur la loi de blocage, qui interdit le partage à des autorités étrangères de données se trouvant en France. Mais les entreprises partagent certaines données entre plusieurs pays, et doivent donc arbitrer. « Posez-vous la question : voulez-vous envoyer certaines informations à vos équipes dans les pays étrangers ? ».

L’avocat ajoute que les services de l’Etat dont le Service de l’information stratégique et de la sécurité économiques (Sisse) peuvent aider dans ces situations.

Autre point d’attention durant un conflit : s’assurer que la destination d’un produit vendu soit bien définie dans le contrat, pour éviter un détournement dont l’entreprise pourrait être tenue responsable. L’enseigne, restée en Russie un certain temps après le début de la guerre, devait veiller à ne pas fournir de « biens à double usage », qui auraient pu être utilisés pour la guerre.

Durant une crise, des décisions sont prises en urgence. Il est alors trop tard pour y réfléchir : le service juridique doit établir en amont un plan d’action, qui décrète dans quelles conditions, à quel stade, telle est envisagée. Notamment pour assurer un « rôle clé de continuité de l’activité », rappelle Noémie Wallaert, si les dirigeants sont injoignables, coincés dans une zone de conflit…

D’autres points de vigilance doivent également être anticipés : traçabilité des diligences, sécurisation des contrats et cohérence des clauses de conformité. Charles Dagham souligne toutefois que la plupart du temps, la guerre n’entre pas dans le champ des cas de force majeure, étant généralement prévisible. Noémie Wallaert suggère aussi de vérifier les assurances, notamment la D&O (responsabilité des dirigeants), qui couvre les frais en cas de procès.

Connecté à tous les services

Pour mener à bien ces missions, le juriste doit être en lien avec tous les services et « très connecté à la stratégie de l’entreprise », pointe Noémie Wallaert, par exemple pour anticiper les risques juridiques en cas d’implantation dans un nouveau pays. Il doit sensibiliser les équipes opérationnelles sur les risques juridiques et de conformité.

Face aux cyber menaces, un travail main dans la main avec la direction des systèmes d’information est nécessaire. Pas lors de l’attaque, mais très en amont. Par ailleurs, « le temps légal n’est pas le temps digital », assure Noémie Wallaert.

D’où l’importance de travailler avec le service communication, qui détient non seulement « les éléments de langage en cas de communication publique », mais aussi les outils pour suivre la couverture médiatique d’un sujet sensible, et déterminer s’il est pertinent de répondre à des accusations ou s’il vaut mieux les laisser s’éteindre seules.

« Le juriste n’est pas seul décisionnaire mais a un rôle clé, assure Noémie Wallaert. Parfois on doit un peu pousser la porte pour entrer dans une réunion de crise, parce que les opérationnels n’ont pas une vision complète des implications juridiques. Ils pensent média et image, humain et rapatriement, et le légal arrive en bout de course. A défaut d’être chef d’orchestre, il faut a minima être partie prenante ».