Gouvernance et compliance : du nouveau avec la loi PACTE ?

L’objectif du présent article est d’approfondir cette analyse au travers du droit des sociétés actuel et des règles de compliance (soft ou hard) et de voir comment l’entrée en vigueur de la loi PACTE dans quelques semaines viendra affecter encore cette implication.

La gouvernance de la compliance

En complément des obligations d’information découlant du droit des sociétés, les lois récentes et les lignes directrices émises par les autorités de contrôle, auxquelles revient la charge de mettre en place ces lois, fournissent certaines prescriptions quant aux rôles de la direction.

La gestion des risques prend le pas sur le correctif. Dans un monde où l’administration a transféré un grand nombre d’obligations sur les entreprises, il leur appartient de mettre en place un système d’organisation préventif qui soit efficace.

Si on prend l’exemple de la loi Sapin II, qui met en place, à son article 17, l’obligation de disposer d’un programme de conformité anticorruption, il faut noter que l’obligation n’est pas à la charge de la société personne morale, mais à la charge des dirigeants. En ce qui concerne la société anonyme, ce sera donc le mandataire exécutif qui en aura la charge, à savoir le directeur général.

C’est ici une façon de responsabiliser un peu plus les dirigeants et de s’assurer que les mesures seront prises, puisque le dirigeant peut engager sa responsabilité si le programme n’est pas mis en place.

Toutefois, il ne faut pas oublier que la loi permet à l’Agence Française Anti-corruption (AFA) d’engager non seulement la responsabilité des dirigeants, mais aussi de la société, bien que l’obligation de mettre en place le programme ne repose que sur les personnes physiques.

Dès la publication de ses recommandations en décembre 2017 (1), l’AFA a d’ailleurs insisté sur l’importance de la gouvernance de la compliance, point qui n’avait pas été abordé par la loi autrement qu’en imposant aux dirigeants la responsabilité de la mise en place du programme de conformité.

En introduction, elle a ainsi fait une recommandation particulière sur l’« Engagement de l’instance dirigeante dans la prévention et la détection de faits de corruption ». L’AFA y précise qu’il appartient à l’instance dirigeante de mettre en œuvre une stratégie de gestion des risques ainsi qu’un programme de conformité anticorruption et que c’est avec leur engagement et l’approbation du dispositif mis en place que la démarche peut être engagée.

Préfigurant ainsi le Guide sur la fonction conformité (2), qui a été publié en février 2019, l’AFA y indique que la démarche volontariste de l’entreprise qui met en place son programme consiste à désigner un responsable conformité, le fameux compliance officer oublié par la loi.

Ainsi transparaît immédiatement la répartition des tâches nécessaire à toute entreprise pour assurer un contrôle des opérations au niveau de l’instance dirigeante (direction générale/conseil d’administration) détaillée ci-après.

À noter que l’exercice de la cartographie des risques doit se faire sur les activités actuelles de l’entreprise, mais aussi sur ce qui présente généralement le plus de risques :

• l’évaluation des tiers dont on ne contrôle pas les modalités de fonctionnement, et

• l’évaluation des partenaires de joint-ventures ou bien des cibles d’acquisition.

À titre d’exemple, les fusions ou acquisitions permettent généralement à une entreprise de se développer dans un domaine qu’elle connait moins bien : soit parce qu’il s’agit de s’implanter dans un pays qu’elle ne connaît pas, soit parce que l’opération permet d’étendre les activités dans une activité connexe ou complémentaire de l’activité d’origine.

Traditionnellement, ces opérations donnent lieu à une étape d’évaluation de l’entreprise cible qui permettra aux dirigeants de l’entreprise acquéreuse/bénéficiaire de déterminer la valeur de la cible et ainsi de faire une proposition de prix/valorisation tenant compte des risques ainsi identifiés.

Peu à peu, cette évaluation que l’on appellera souvent la due diligence d’acquisition s’est étendue aux domaines de la compliance, tels que le respect du droit de la concurrence ou bien les données à caractère personnel.

Depuis quelques années, les entreprises ajoutent à leurs contrôles une revue du programme de conformité anticorruption en place chez la cible ainsi qu’une analyse du risque de corruption. Il faut rappeler qu’en effet, si la structure sociale de la cible demeure une fois acquise, ce sont ses nouveaux dirigeants qui seront responsables pénalement en cas de découverte d’une infraction de corruption. Leur responsabilité personnelle est sans doute limitée, mais la responsabilité pénale de la personne morale devra être prise en charge par les acquéreurs/bénéficiaires. En droit français, en cas de fusion, dès lors qu’une société aura été absorbée, la personne morale disparaissant, sa responsabilité pénale ne pourra plus être mise en jeu.

C’est d’ailleurs ce que rappelle l’AFA dans le projet de Guide pratique qu’elle vient d’émettre à cet effet (3). Elle insiste sur le fait que les vérifications conformité au moment des acquisitions nécessitent l’implication des instances dirigeantes, en particulier aux fins de donner au responsable conformité les moyens humains et financiers nécessaires pour les réaliser, mais également pour éventuellement décider de ne pas procéder à l’acquisition si jamais les résultats des vérifications devaient révéler des risques de corruption élevés (décision de « no go »).

Ces moyens humains et financiers que l’instance dirigeante doit donner au compliance officer ne doivent pas se limiter aux cas exceptionnels que sont les acquisitions mais doivent être l’accompagnement nécessaire à la mise en œuvre du programme de conformité dans son ensemble. Ce n’est d’ailleurs pas limité aux questions de corruption. L’AFA nous le rappelle dans son guide pratique qui lui-même est largement inspiré des Guidelines du G29 sur le délégué à la protection des données (4).

Outre les questions de moyens, il convient que le choix du compliance officer se porte sur une personne qui disposera d’un accès effectif à la direction générale et notamment au comité exécutif. Il faut qu’il puisse reporter au plus haut de l’entreprise et également avoir un accès au comité d’audit du conseil d’administration quand il existe, ou bien au conseil d’administration lui-même.

Le rôle et les responsabilités des instances dirigeantes en droit des sociétés, appliqués à la compliance

Dans le cadre des réformes compliance, la nécessaire implication des instances dirigeantes a été rappelée à plusieurs reprises par les tribunaux.

Ainsi, dans l’affaire concernant la Banque Postale, la Commission des sanctions de l’Autorité de contrôle Prudentiel et de Résolution (ACPR) a sanctionné la Banque Postale (5), considérant que les insuffisances des directions de la sécurité et des opérations financières, de la conformité et du contrôle interne étaient telles qu’elles n’avaient pas attiré l’attention du directoire sur les décalages successifs des projets de filtrage des clients en matière de lutte anti-blanchiment et le terrorisme et que « l’évocation très générale des sujets… au cours des réunions du comité des risques du conseil de surveillance n’équivaut pas à une information de ce comité ».

Plus globalement, et hors des frontières françaises, la mise en œuvre de sanctions pécuniaires significatives à l’encontre des sociétés conduit également à regarder de plus près la question de la responsabilité des instances dirigeantes. Ainsi, dans le cadre des retombées de la sanction de 1,3 milliard de dollars US contre Siemens pour corruption et pots-de-vin, la société a poursuivi individuellement onze anciens membres de son conseil d’administration et de surveillance pour ne pas avoir correctement supervisé les pratiques commerciales de la société, entraînant neuf condamnations à payer entre 1 et 5 millions de dollars par administrateur. Siemens continue d’intenter des poursuites en dommages-intérêts contre deux autres administrateurs.

En France, les règles de compliance et la jurisprudence conduisent ainsi à analyser la répartition des pouvoirs dans les sociétés anonymes à conseil d’administration, et à s’interroger sur l’implication et la responsabilité de chacun de ces organes dans la mise en œuvre des programmes de compliance.

Le Code de commerce définit la répartition des pouvoirs entre la direction générale et le conseil d’administration : la direction générale représente la société vis-à-vis des tiers (article L. 225-56 du Code de commerce) et assume la direction générale de la société (article L. 225-51-1 Du Code de commerce). Le conseil d’administration détermine les orientations de l’activité de la société et veille à leur mise en œuvre (article L. 225-35 du Code de commerce).

La jurisprudence a eu à de nombreuses reprises, l’occasion de rappeler la répartition des pouvoirs entre les deux organes (6). La jurisprudence a par ailleurs eu à se positionner à plusieurs reprises sur le fait que si la direction générale doit se saisir des questions de compliance, elle doit aussi être mise en mesure de le faire.

Dans le cadre de la mise en œuvre des programmes de compliance, cette répartition de pouvoirs implique donc la nécessité d’une communication accrue entre les deux organes.

Le conseil d’administration :

• supervise le dispositif de compliance,

• vérifie les objectifs et les dispositifs de compliance décidés et mis en œuvre par la direction générale ainsi que leur adaptation à l’entreprise et leur efficacité,

• s’assure de l’existence d’un processus de vérification du fonctionnement des contrôles internes,

• fait en sorte que la démarche compliance soit prise en compte et intégrée dans le processus décisionnel du conseil d’administration.

La direction générale :

• engage une démarche compliance/gestion des risques,

• s’assure des ressources et moyens financiers et humains proportionnés aux enjeux des risques,

• met en œuvre le programme de compliance, avec le support des différentes fonctions,

• s’assure que le programme est adapté (à la taille de l’entreprise, à son activité, à sa propre culture, et aux cultures locales),

• communique en interne et en externe sur la politique compliance. Elle fournit à l’administrateur l’information nécessaire.

Par ailleurs, si le directeur général doit pouvoir parfaitement éclairer le conseil d’administration sur le fonctionnement du programme de conformité en cours, il peut être utile que le compliance officer soit invité à y participer au moins une à deux fois par an pour pouvoir répondre aux questions spécifiques que pourrait lui poser le conseil telles que : la cartographie des risques est-elle établie régulièrement, quelle est la conséquence de la détection des red flags, ou encore comment l’efficacité du programme de conformité est-elle mesurée ?

Finalement, pour reprendre l’exemple des opérations d’acquisition, qui du directeur général ou du conseil d’administration au sein de l’instance dirigeante doit prendre les décisions ? Compte tenu des règles du droit des sociétés, le pouvoir décisionnaire appartient au directeur général, après avoir pris conseil auprès des organes de surveillance internes (Comex, conseil d’administration). Une procédure interne pourra par ailleurs prévoir une répartition précise des pouvoirs.

L’impact de la loi PACTE

Dès 1995, le rapport Viénot sur la gouvernance des conseils d’administrations soulignait que le conseil d’administration agit dans l’intérêt social de l’entreprise, défini comme l’intérêt supérieur de l’entreprise considérée comme un agent économique autonome. La définition insiste sur le fait que l’entreprise poursuit ses fins propres, distinctes de celles de ses actionnaires, de ses salariés et de ses parties prenantes, et qu’elles résident dans une certaine continuité, et l’on ajouterait aujourd’hui durabilité.

Dans la continuité, la loi PACTE, définitivement adoptée par l’Assemblée nationale le 11 avril 2019, s’est inspirée du rapport Senard-Notat (« L’entreprise, objet d’intérêt collectif »), visant à renforcer la prise en considération des enjeux sociaux et environnementaux dans la stratégie et l’activité des entreprises.

La loi PACTE prévoit ainsi que l’article 1833du Code civil est complété par un alinéa ainsi rédigé : « La société est gérée dans son intérêt social, en prenant en considération les enjeux sociaux et environnementaux de son activité ».

L’intérêt social est ainsi défini que les instances dirigeantes (aussi bien la direction générale que le conseil d’administration) devront prendre en compte non plus seulement les intérêts financiers immédiats des actionnaires et investisseurs, mais également les « enjeux sociaux et environnementaux de son activité ». Cette obligation vient ainsi ajouter à la responsabilité des instances dirigeantes, désormais pris entre le fer et l’enclume, entre satisfaction des intérêts des actionnaires et nécessité de se conformer à l’intérêt social nouvellement défini.

Cela laisse entrevoir un certain nombre de difficultés dans la mise en œuvre pratique de cette nouvelle disposition, et son efficacité, d’autant plus que les dirigeants de sociétés par actions restent révocables ad nutum.

La loi PACTE prévoit également que l’article 1835du Code civil est complété par une phrase ainsi rédigée : « Les statuts peuvent préciser une raison d’être, constituée des principes dont la société se dote et pour le respect desquels elle entend affecter des moyens dans la réalisation de son activité. »

L’introduction de la notion de raison d’être en droit des sociétés participe de la même volonté de renforcer la conscience sociale des entreprises, pour que la recherche de rentabilité ne soit pas l’unique objectif du modèle économique français.

Là encore, la portée du texte reste toutefois limitée puisque l’introduction de cette notion est facultative.

L’avenir nous dira si et comment l’introduction de ces deux nouvelles notions viendra effectivement modifier les comportements entrepreneuriaux et comment, dans les sociétés anonymes à conseil d’administration, la direction générale et le conseil d’administration verront concrètement leurs responsabilités modifiées sous l’impact de cette nouvelle loi.

NOTES :

1) Recommandations destinées à aider les personnes morales de droit public et de droit privé à prévenir et à détecter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêt, de détournement de fonds publics et de favoritisme,

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000036246476&dateTexte=&categorieLien=id

2) Guide pratique La fonction conformité anticorruption dans l’entreprise,

https://www.agence-francaise-anticorruption.gouv.fr/files/files/2019-01-29_-_Guide_pratique_fonction_conformite.pdf

3) Guide pratique : Les vérifications anticorruption dans le cadre des fusions-acquisitions, https://www.agence-francaise-anticorruption.gouv.fr/files/files/2019-04-15%20-Guide%20pratique%20fusions%20acquisitions%20-%20PROJET.pdf

4) https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

5) Décision du 21 décembre 2018, https://acpr.banque-france.fr/sites/default/files/media/2018/12/24/181221_decision_lbp_anonymisee_pour_envoi_com.pdf

6) C. Com. 23 mars 2010, n° 09-12.207. Le DG à l’égard des tiers accomplit les actes juridiques de la société (article L. 225-51 du Code de commerce).

CA Versailles 20 fév. 2018, n° 16/090491. Le président d’un conseil d’administration qui dépose une déclaration de cessation des paiements excède ses pouvoirs.

CA Rennes 23 sept. 2014, n° 13/08191. Dans une affaire où le président du conseil d’administration est présenté comme le représentant légal de la société dans une déclaration d’appel, et où les fonctions de président et DG étaient dissociées, seul le DG avait un tel pouvoir.

Caroline Blondel,

Avocat au barreau de Paris,

GGV Avocats – Rechtsanwälte

Maria Lancri,

Avocat au barreau de Paris,

GGV Avocats - Rechtsanwälte