La France, contrairement aux pays anglo-saxons, a une tradition de droit civil. Son système juridique est dérivé de l’ancien droit romain puis napoléonien. Les activités économiques y sont de longue date régies par des codes qui sont des ensembles de lois et règles promulgués par un pouvoir central (le Roi, l’Empereur, la République) et imposés aux agents économiques. Le premier code forestier date de 1349, le code minier a pour origine une ordonnance royale de 1413. Le code civil, issu directement du code Napoléon de 1804 demeure la pierre angulaire qui définit pour les particuliers les obligations, interdictions et les sanctions en cas de manquement. Le mouvement de codification s’amplifie au XIXe siècle avec la promulgation du code de commerce (1807) et code pénal (1810) alors que les activités bancaires et financières sont régulées par diverses lois et dispositions réglementaires. À l’époque contemporaine, la Loi bancaire de 1984 constitue un texte de base qui sera amendé et complété plusieurs fois. L’ensemble de ces textes constituera finalement à partir de 1999 le code monétaire et financier (COMOFI) qui connaîtra lui-même plusieurs révisions[1].
Aux États-Unis le processus est différent et le cadre juridique est influencé tant par la dimension géographique du pays que par son histoire. Les Américains proclament leur indépendance en 1776 mais établissent un système fédéral décentralisé et un cadre juridique inspiré de la Common Law anglaise. Dès 1803 la Cour Suprême affirme sa prééminence judiciaire et son autorité constitutionnelle (arrêt Marbury vs Madison). Les banques et les activités financières sont alors réglementées au niveau des États et leurs activités essentiellement régies par le droit des contrats. Même si, au XXe siècle, s’établit le cadre moderne de la vie économique avec la création du système bancaire fédéral en 1913 et la création des organes de supervision tels la SEC (Securities and Exchange Commission) en 1934, les États comme l’État fédéral sont considérés comme des justiciables ordinaires et ne disposent pas d’un ordre juridique séparé : il est particulièrement difficile d’expliquer à un étudiant en droit américain le rôle et la position du Conseil d’État français.
En somme, en France, contrairement aux États-Unis, l’activité économique est encadrée par des règles édictées par un pouvoir supérieur auquel les personnes, individus ou sociétés, sont tenues d’obéir. Forts de ce riche héritage juridique et historique, les dirigeants d’entreprise français ont initialement considéré la « conformité » (traduction littérale de « compliance ») comme une série d’obligations réglementaires auxquelles il fallait se soumettre sans chercher à les interpréter. Par exemple le COMOFI dispose[2] que tout client d’une banque doit être identifié et « lorsque le client est une personne physique, par la présentation de l’original d’un document officiel en cours de validité comportant sa photographie et soit par la prise d’une copie de ce document, soit par la collecte des mentions suivantes : les nom, prénoms, date et lieu de naissance de la personne, ainsi que la nature, les date et lieu de délivrance du document et les nom et qualité de l’autorité ou de la personne qui a délivré le document et, le cas échéant, l’a authentifié. » Pour être « en conformité », il suffira aux dirigeants de la banque de transmettre ces instructions, souvent mot pour mot, aux chargés de comptes et de veiller à ce que leurs ordres soient exécutés. Dans ce cadre il n’est pas nécessaire juridiquement pour les dirigeants de s’interroger sur les activités du client ou les risques qu’il présente pour l’établissement. Les dirigeants ont un simple rôle hiérarchique et mécanique : donner des directives de façon à ce que toutes les lois et règlements en vigueur soient respectés ; leur responsabilité n’est engagée que dans la limite de leur pouvoir hiérarchique. Or dans un environnement ou les transactions sont entremêlées et les rôles des acteurs économiques s’enchevêtrent, il devient problématique de déterminer les responsabilités individuelles. Une approche plus globaliste s’est donc graduellement imposée.
Dans son article « La compliance en quête de définition »[3], le professeur Antoine Gaudemet écrit : « Littéralement la notion de compliance est étrangère à la culture juridique française […] construite sur l’idée de légalité, c’est-à-dire sur [le principe] qu’existent des règles qui ordonnent des conduites, dictent des interdits et menacent ceux qui les enfreignent d’une peine prononcée au terme d’un procès…par un juge. La légalité organise un face-à-face vertical de chaque individu, de chaque entreprise avec la loi. »
Or si la compliance au sens anglo-saxon inclut bien une responsabilité de type hiérarchique et la sanction des manquements, le concept est plus large que celui de la conformité au sens français. Plus spécifiquement la compliance implique une approche holistique et comprend une dimension éthique.
La définition de la compliance est ouverte à débat. Quelques juristes conservateurs, hommes politiques cocardiers ou organismes défenseurs de la langue française refusent d’utiliser le mot même s’ils concordent avec le concept. Mais comme le démontre la création du Cercle de la Compliance[4] en 2011, l’expression est maintenant généralement acceptée et indique avant tout un comportement vertueux dans la vie des affaires. Pour le professeur Gaudemet, la compliance est « un ensemble de techniques, juridiques et de gestion, dont la mise en œuvre est imposée aux entreprises de tailles significatives dans le but de contrôler l’application effective des règles, juridiques et éthiques, qui leur sont applicables et de diminuer le risque de violation de ces règles»[5]. Pour revenir à notre exemple précédent, l’application de l’article du COMOFI sur l’identification des clients individuels, dans le cadre de la compliance les dirigeants d’une banque doivent non seulement donner des instructions à leurs subordonnés pour que les stipulations de la loi soient respectées mais de surcroît s’assurer que les employés aient un comportement éthique, qu’ils aient une formation adéquate (les instruisant en particulier des typologies de blanchiment), qu’ils puissent utiliser un système de lancement d’alerte pour dénoncer d’éventuels manquements et que l’ensemble des procédures en place soient efficaces. On pourrait ainsi qualifier la compliance de « conformité plus ».
Le respect des lois exige que ceux auxquels elles s’appliquent soient en conformité (« be in compliance ») mais l’expression a pris un sens supplémentaire à la fin du siècle dernier avec la mise en œuvre du FCPA (Foreign Corrupt Practice Act), des « Sentencing Guidelines » (lignes directrices) et de la jurisprudence qui en découlent.
Le FCPA, loi votée en réaction aux scandales du Watergate et Lockheed, a pour objectif de mettre la corruption hors la loi. Promulgué en 1977 puis amendé en 1998 avec un champ d’application élargi, son texte est connu pour son extraterritorialité : ses dispositions peuvent s’appliquent aux individus et entreprises, américaines ou non, qui commettent certains actes criminels, comme le versement de pots-de-vin, quel qu’en soit la forme, et/ou la falsification des écritures comptables. Il demande que les entreprises non seulement respectent des règles éthiques mais de surcroît établissent des mécanismes de contrôle internes efficaces (efficient) et un cadre qui réduit les risques d’infraction. Il exige la mise en place de tout un environnement qui satisfasse des critères qui peuvent évoluer et sont souvent définis de manière qualitative. La compliance est la mise en place et le contrôle de ces exigences. Cette détermination se fait au niveau de chaque entreprise ce qui a pour corollaire que les procédures, les programmes de compliance, varient d’une société à une autre. Les critères d’évaluation sont donc difficiles à cerner, rendant la tâche des superviseurs délicate avec de forts risques de différences d’appréciation d’un inspecteur à l’autre. Ainsi un mécanisme, les Sentencing Guidelines, établi sous la supervision du législateur, a été créé pour réduire ces risques de disparité et harmoniser l’administration des sanctions. Les guidelines, dont l’équivalent en français serait les lignes directrices, sont un document public, revu et mis à jour périodiquement. Il fait l’objet de discussions et commentaires et sert de base à l’administration des inspections et, s’il y a lieu, des sanctions. Les guidelines s’appliquent tout autant aux entreprises, aux autorités de contrôle et aux magistrats qui se prononcent sur les cas litigieux. Avec la promulgation en 1991 de la première édition des US Sentencing Guidelines, puis la jurisprudence créée par les solutions juridiques apportées aux cas qui sont l’objet de poursuites, leurs normes seront reprises par les recommandations du GAFI[6] et l’OCDE (« Convention sur la lutte contre la corruption »[7]) et intégrées dans les législations des États signataires, dont la France.
Actuellement, en matière de compliance, les législations américaine et française sont proches, surtout depuis la loi Sapin 2 de 2016. Des deux côtés de l’Atlantique, les exigences de la compliance se précisent peu à peu et les régulateurs encouragent les entreprises à coopérer avec les autorités. Une entreprise coopérative, c’est-à-dire qui fournit de son chef des informations qui peuvent être incriminantes et met en place des procédures correctives, sera sanctionnée beaucoup moins sévèrement que celle qui essaye de dissimuler ses manquements. Il est généralement admis que pour être considéré « efficace » un programme de compliance doit inclure les éléments suivants[8] :
– un code de conduite écrit et public qui précise en particulier les situations de conflit d’intérêts et les interdictions d’accepter des faveurs ou exercer indûment son influence ;
– la description des sanctions en cas de manquement et les procédures disciplinaires applicables ;
des procédures couvrant les lanceurs d’alerte et garantissant leur protection ;
– une cartographie des risques auxquels l’entreprise est exposée, régulièrement mise à jour ;
des procédures de vigilance (due diligence) s’appliquant de façon sélective et graduelle en suivant la cartographie des risques ;
– des systèmes de contrôle internes et externes permettant de démasquer de possibles omissions ou infractions et réduire les possibilités de fraude ;
– des programmes de formation adéquats permettant de sensibiliser le personnel, les cadres et les administrateurs aux risques de fraude, et un système permettant de vérifier le suivi de ces formations ;
– un système de contrôle interne et externe qui permette d’évaluer l’efficacité des mesures de compliance. Généralement l’organigramme de l’entreprise comportera trois « lignes de défense » autonomes : les chargés de relations ou front office/business line, le contrôle interne ou service de compliance et le contrôle ou audit externe.
À ces exigences s’ajoute l’adoption des « meilleures pratiques » (best practices) qui font souvent l’objet de lignes directrices, éléments de droit souple publiés par les autorités de supervision. Ainsi l’implication personnelle des dirigeants et administrateurs, directement et par des comités spécialisés, dans les questions de compliance, est recommandée pour insuffler un climat de responsabilité dans l’ensemble de l’entreprise (tone at the top).
Les principales entreprises françaises ayant des activités internationales étaient familières des exigences de la compliance bien avant la promulgation de la loi Sapin 2 qui, en fait, entérinait au plan législatif des pratiques déjà connues et parfois appliquées. Certes des parlementaires ont vu dans l’adoption de la compliance une soumission à un imperium[9] juridique américain et des journalistes dénoncèrent un abandon de souveraineté[10]. Mais pour les professionnels de la finance l‘adoption des nouvelles normes ne posait pas de problèmes sérieux car elles étaient déjà au moins partiellement en vigueur. De plus les entreprises se sont rendu compte que la compliance bien comprise pouvait générer des avantages : la cartographie des risques conduit à une optimisation des ressources et la connaissance approfondie de la clientèle permet de développer de nouvelles sources de revenus. Ainsi l’instauration de la compliance en France a globalement été bien acceptée. Nous verrons dans un prochain article que ce ne fut pas le cas de la justice négociée. n
[1] La dernière édition, datée du 1er septembre 2019, est consultable sur le site Légifrance : https://www.legifrance.gouv.fr/affichcode.do?cidTexte=LEGITEXT000006072026.
[2] Article R. 561-51, 3e paragraphe.
[3] Article paru dans la revue Défis n° 9-2018.
[4] Voir : https://www.lecercledelacompliance.com/association/.
[5] Op. cit., page 8.
[6] Le Groupe d’action financière (GAFI) est un organisme intergouvernemental créé en 1989. Ses recommandations doivent être transcrites dans les lois nationales des États membres.
[7] La convention internationale est entrée en vigueur en 1999 et a été complétée par des dispositions supplémentaires en 2009. Voir : http://www.oecd.org
[8] D’après Carole Basri et Alizee Dill, « Framework in implementing an efficient compliance program », dans Revue trimestrielle de droit financier, n° 2017-1.
[9] Formule employée à maintes reprises lors du débat parlementaire sur le projet de loi Sapin 2.
[10] Voir en particulier Ali Laidi, Le Droit, nouvelle arme de guerre économique, Actes Sud, 2019.
