Dans le monde
de la compliance, on parle souvent de « Tone at the top »
en considérant que le programme de conformité ne sera pas mis en œuvre s’il n’y
a pas une impulsion forte venant de la direction. Toutefois, on ne précise pas
toujours de qui doit venir cette impulsion : de la direction générale ou
bien du conseil d’administration, si on prend l’exemple d’une société anonyme à
conseil d’administration. On ne dit pas non plus de quelle manière cette impulsion
doit être exercée.
L’objectif
du présent article est
d’approfondir cette analyse au travers du droit des sociétés actuel et des
règles de compliance (soft ou hard) et de voir comment l’entrée
en vigueur de la loi PACTE dans quelques semaines viendra affecter encore cette
implication.
La gouvernance de la compliance
En complément des obligations d’information découlant du droit des
sociétés, les lois récentes et les lignes directrices émises par les autorités
de contrôle, auxquelles revient la charge de mettre en place ces lois,
fournissent certaines prescriptions quant aux rôles de la direction.
La gestion
des risques prend le pas sur le correctif. Dans un monde où l’administration a
transféré un grand nombre d’obligations sur les entreprises, il leur appartient
de mettre en place un système d’organisation préventif qui soit efficace.
Si on prend
l’exemple de la loi Sapin II, qui met en place, à son article 17,
l’obligation de disposer d’un programme de conformité anticorruption, il faut
noter que l’obligation n’est pas à la charge de la société personne morale,
mais à la charge des dirigeants. En ce qui concerne la société anonyme, ce sera
donc le mandataire exécutif qui en aura la charge, à savoir le directeur
général.
C’est ici
une façon de responsabiliser un peu plus les dirigeants et de s’assurer que les
mesures seront prises, puisque le dirigeant peut engager sa responsabilité si
le programme n’est pas mis en place.
Toutefois,
il ne faut pas oublier que la loi permet à l’Agence Française Anti-corruption
(AFA) d’engager non seulement la responsabilité des dirigeants, mais aussi de
la société, bien que l’obligation de mettre en place le programme ne repose que
sur les personnes physiques.
Dès la
publication de ses recommandations en décembre 2017 (1), l’AFA a d’ailleurs
insisté sur l’importance de la gouvernance de la compliance, point qui n’avait
pas été abordé par la loi autrement qu’en imposant aux dirigeants la
responsabilité de la mise en place du programme de conformité.
En
introduction, elle a ainsi fait une recommandation particulière sur l’« Engagement de l’instance dirigeante dans la
prévention et la détection de faits de corruption ». L’AFA y précise qu’il
appartient à l’instance dirigeante de mettre en œuvre une stratégie de gestion
des risques ainsi qu’un programme de conformité anticorruption et que c’est
avec leur engagement et l’approbation du dispositif mis en place que la
démarche peut être engagée.
Préfigurant
ainsi le Guide sur la fonction conformité (2), qui a été publié en février
2019, l’AFA y indique que la démarche volontariste de l’entreprise qui met en
place son programme consiste à désigner un responsable conformité, le fameux compliance officer oublié par la loi.
Ainsi
transparaît immédiatement la répartition des tâches nécessaire à toute
entreprise pour assurer un contrôle des opérations au niveau de l’instance
dirigeante (direction générale/conseil d’administration) détaillée ci-après.
À
noter que l’exercice de la cartographie des risques doit se faire sur les activités
actuelles de l’entreprise, mais aussi sur ce qui présente généralement le plus
de risques :
•
l’évaluation des tiers dont on ne contrôle pas les modalités de fonctionnement,
et
• l’évaluation
des partenaires de joint-ventures ou bien des cibles d’acquisition.
À titre d’exemple,
les fusions ou acquisitions permettent généralement à une
entreprise de se développer dans un domaine qu’elle connait moins bien : soit
parce qu’il s’agit de s’implanter dans un pays qu’elle ne connaît pas, soit
parce que l’opération permet d’étendre les activités dans une activité connexe
ou complémentaire de l’activité d’origine.
Traditionnellement,
ces opérations donnent lieu à une étape d’évaluation de l’entreprise cible qui
permettra aux dirigeants de l’entreprise acquéreuse/bénéficiaire de déterminer
la valeur de la cible et ainsi de faire une proposition de prix/valorisation
tenant compte des risques ainsi identifiés.
Peu à peu,
cette évaluation que l’on appellera souvent la due diligence
d’acquisition s’est étendue aux domaines de la compliance, tels que le respect
du droit de la concurrence ou bien les données à caractère personnel.
Depuis
quelques années, les entreprises ajoutent à leurs contrôles une revue du
programme de conformité anticorruption en place chez la cible ainsi qu’une
analyse du risque de corruption. Il faut rappeler qu’en effet, si la structure
sociale de la cible demeure une fois acquise, ce sont ses nouveaux dirigeants
qui seront responsables pénalement en cas de découverte d’une infraction de
corruption. Leur responsabilité personnelle est sans doute limitée, mais la
responsabilité pénale de la personne morale devra être prise en charge par les
acquéreurs/bénéficiaires. En droit français, en cas de fusion, dès lors qu’une
société aura été absorbée, la personne morale disparaissant, sa responsabilité
pénale ne pourra plus être mise en jeu.
C’est
d’ailleurs ce que rappelle l’AFA dans le projet de Guide pratique qu’elle vient
d’émettre à cet effet (3). Elle insiste sur le fait que les vérifications
conformité au moment des acquisitions nécessitent l’implication des instances
dirigeantes, en particulier aux fins de donner au responsable conformité les
moyens humains et financiers nécessaires pour les réaliser, mais également pour
éventuellement décider de ne pas procéder à l’acquisition si jamais les
résultats des vérifications devaient révéler des risques de corruption élevés
(décision de « no go »).
Ces moyens
humains et financiers que l’instance dirigeante doit donner au compliance
officer ne doivent pas se limiter aux cas exceptionnels que sont les
acquisitions mais doivent être l’accompagnement nécessaire à la mise en œuvre
du programme de conformité dans son ensemble. Ce n’est d’ailleurs pas limité
aux questions de corruption. L’AFA nous le rappelle dans son guide pratique qui
lui-même est largement inspiré des Guidelines du G29 sur le délégué à la protection
des données (4).
Outre les
questions de moyens, il convient que le choix du compliance officer se
porte sur une personne qui disposera d’un accès effectif à la direction
générale et notamment au comité exécutif. Il faut qu’il puisse reporter au plus
haut de l’entreprise et également avoir un accès au comité d’audit du conseil
d’administration quand il existe, ou bien au conseil d’administration lui-même.
Le rôle et les responsabilités
des instances dirigeantes en droit des sociétés, appliqués à la compliance
Dans le
cadre des réformes compliance, la nécessaire implication des instances
dirigeantes a été rappelée à plusieurs reprises par les tribunaux.
Ainsi,
dans l’affaire concernant la Banque Postale, la Commission des sanctions de
l’Autorité de contrôle Prudentiel et de Résolution (ACPR) a sanctionné la
Banque Postale (5), considérant que les insuffisances des directions de la
sécurité et des opérations financières, de la conformité et du contrôle interne
étaient telles qu’elles n’avaient pas attiré l’attention du directoire sur les
décalages successifs des projets de filtrage des clients en matière de lutte
anti-blanchiment et le terrorisme et que «
l’évocation très générale des sujets… au cours des réunions du comité des
risques du conseil de surveillance n’équivaut pas à une information de ce
comité ».
Plus globalement, et hors des frontières françaises, la mise en œuvre de
sanctions pécuniaires significatives à l’encontre des sociétés conduit
également à regarder de plus près la question de la responsabilité des
instances dirigeantes. Ainsi, dans le cadre des retombées de la sanction de
1,3 milliard de dollars US contre Siemens pour corruption et pots-de-vin,
la société a poursuivi individuellement onze anciens membres de son
conseil d’administration et de surveillance pour ne pas avoir correctement
supervisé les pratiques commerciales de la société, entraînant
neuf condamnations à payer entre 1 et 5 millions de dollars par
administrateur. Siemens continue d’intenter des poursuites en dommages-intérêts
contre deux autres administrateurs.
En France, les règles de compliance et la jurisprudence conduisent ainsi à analyser la
répartition des pouvoirs dans les sociétés anonymes à conseil d’administration,
et à s’interroger sur l’implication et la responsabilité de chacun de ces
organes dans la mise en œuvre des programmes de compliance.
Le Code de commerce définit la répartition des pouvoirs entre la
direction générale et le conseil d’administration : la direction générale
représente la société vis-à-vis des tiers (article L. 225-56 du Code de commerce) et assume la direction générale de
la société (article L. 225-51-1 Du Code de
commerce). Le conseil d’administration détermine les orientations de l’activité
de la société et veille à leur mise en œuvre (article L. 225-35 du Code de commerce).
La jurisprudence a eu à de nombreuses reprises, l’occasion de rappeler
la répartition des pouvoirs entre les deux organes (6). La jurisprudence a par
ailleurs eu à se positionner à plusieurs reprises sur le fait que si la
direction générale doit se saisir des questions de compliance, elle doit
aussi être mise en mesure de le faire.
Dans le cadre de la mise en œuvre des programmes de compliance, cette
répartition de pouvoirs implique donc la nécessité d’une communication accrue
entre les deux organes.
Le conseil
d’administration :
• supervise le dispositif de compliance,
• vérifie les
objectifs et les dispositifs de compliance décidés et mis en œuvre par
la direction générale ainsi que leur adaptation à l’entreprise et leur efficacité,
• s’assure de
l’existence d’un processus de vérification du fonctionnement des contrôles
internes,
• fait en
sorte que la démarche compliance soit prise en compte et intégrée dans
le processus décisionnel du conseil d’administration.
La direction
générale :
• engage une
démarche compliance/gestion des risques,
• s’assure des
ressources et moyens financiers et humains proportionnés aux enjeux des
risques,
• met en œuvre
le programme de compliance, avec le support des différentes fonctions,
• s’assure que
le programme est adapté (à la taille de l’entreprise, à son activité, à sa
propre culture, et aux cultures locales),
• communique
en interne et en externe sur la politique compliance. Elle fournit à
l’administrateur l’information nécessaire.
Par
ailleurs, si le directeur général doit pouvoir parfaitement éclairer le conseil
d’administration sur le fonctionnement du programme de conformité en cours, il
peut être utile que le compliance officer soit invité à y participer au
moins une à deux fois par an pour pouvoir répondre aux questions spécifiques
que pourrait lui poser le conseil telles que : la cartographie des risques
est-elle établie régulièrement, quelle est la conséquence de la détection des red
flags, ou encore comment l’efficacité du programme de conformité est-elle
mesurée ?
Finalement,
pour reprendre l’exemple des opérations d’acquisition, qui du directeur général
ou du conseil d’administration au sein de l’instance dirigeante doit prendre
les décisions ? Compte tenu des règles du droit des sociétés, le pouvoir décisionnaire
appartient au directeur général, après avoir pris conseil auprès des organes de
surveillance internes (Comex, conseil d’administration). Une procédure interne
pourra par ailleurs prévoir une répartition précise des pouvoirs.
L’impact de la loi PACTE
Dès 1995, le rapport Viénot sur la gouvernance des conseils
d’administrations soulignait que le conseil d’administration agit dans
l’intérêt social de l’entreprise, défini comme l’intérêt supérieur de
l’entreprise considérée comme un agent économique autonome. La définition
insiste sur le fait que l’entreprise poursuit ses fins propres, distinctes de
celles de ses actionnaires, de ses salariés et de ses parties prenantes, et
qu’elles résident dans une certaine continuité, et l’on ajouterait aujourd’hui
durabilité.
Dans la continuité, la loi PACTE, définitivement adoptée
par l’Assemblée nationale le 11 avril 2019, s’est inspirée du rapport
Senard-Notat (« L’entreprise, objet
d’intérêt collectif »), visant à renforcer la prise en considération des
enjeux sociaux et environnementaux dans la stratégie et l’activité des
entreprises.
La loi PACTE prévoit ainsi que l’article 1833du Code
civil est complété par un alinéa ainsi rédigé : « La société est
gérée dans son intérêt social, en prenant en considération les enjeux sociaux
et environnementaux de son activité ».
L’intérêt
social est ainsi défini que les instances dirigeantes (aussi bien la direction
générale que le conseil d’administration) devront prendre en compte non plus seulement
les intérêts financiers immédiats des actionnaires et investisseurs, mais
également les « enjeux sociaux et
environnementaux de son activité ». Cette obligation vient ainsi ajouter à la responsabilité des
instances dirigeantes, désormais pris entre le fer et l’enclume, entre
satisfaction des intérêts des actionnaires et nécessité de se conformer à l’intérêt social nouvellement défini.
Cela laisse entrevoir un certain nombre de difficultés dans la mise en œuvre
pratique de cette nouvelle disposition, et son efficacité, d’autant plus que
les dirigeants de sociétés par actions restent révocables ad nutum.
La loi PACTE
prévoit également que l’article 1835du Code civil est complété par une phrase ainsi rédigée :
« Les statuts peuvent préciser une raison d’être, constituée des
principes dont la société se dote et pour le respect desquels elle entend
affecter des moyens dans la réalisation de son activité. »
L’introduction de la notion de raison d’être en droit des sociétés
participe de la même volonté de renforcer la conscience sociale des
entreprises, pour que la recherche de rentabilité ne soit pas l’unique objectif
du modèle économique français.
Là encore, la portée du texte reste toutefois limitée puisque l’introduction
de cette notion est facultative.
L’avenir nous dira si et comment l’introduction de ces deux nouvelles
notions viendra effectivement modifier les comportements entrepreneuriaux et
comment, dans les sociétés anonymes à conseil d’administration, la direction
générale et le conseil d’administration verront concrètement leurs
responsabilités modifiées sous l’impact de cette nouvelle loi.
NOTES :
1)
Recommandations destinées à aider les personnes morales de droit public et de
droit privé à prévenir et à détecter les faits de corruption, de trafic
d’influence, de concussion, de prise illégale d’intérêt, de détournement de
fonds publics et de favoritisme,
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000036246476&dateTexte=&categorieLien=id
2)
Guide pratique La fonction conformité anticorruption dans l’entreprise,
https://www.agence-francaise-anticorruption.gouv.fr/files/files/2019-01-29_-_Guide_pratique_fonction_conformite.pdf
3)
Guide pratique : Les vérifications anticorruption dans le cadre des
fusions-acquisitions, https://www.agence-francaise-anticorruption.gouv.fr/files/files/2019-04-15%20-Guide%20pratique%20fusions%20acquisitions%20-%20PROJET.pdf
4)
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048
5)
Décision du 21 décembre
2018, https://acpr.banque-france.fr/sites/default/files/media/2018/12/24/181221_decision_lbp_anonymisee_pour_envoi_com.pdf
6)
C. Com. 23 mars 2010,
n° 09-12.207. Le DG à l’égard des tiers accomplit les actes juridiques de
la société (article L. 225-51 du Code de commerce).
CA
Versailles 20 fév. 2018,
n° 16/090491. Le président d’un conseil d’administration qui dépose une
déclaration de cessation des paiements excède ses pouvoirs.
CA
Rennes 23 sept. 2014, n° 13/08191. Dans une affaire où le président du
conseil d’administration est présenté comme le représentant légal de la société
dans une déclaration d’appel, et où les fonctions de président et DG étaient
dissociées, seul le DG avait un tel pouvoir.
Caroline Blondel,
Avocat au barreau de Paris,
GGV Avocats – Rechtsanwälte
Maria Lancri,
Avocat au barreau de Paris,
GGV Avocats - Rechtsanwälte