Cette chronique fera un léger pas de côté pour traiter de deux affaires d’actualité qui, bien qu’étrangères – à première vue – au secteur bancaire et financier, nous paraissent riches d’enseignements et de réflexions y compris dans le domaine qui nous préoccupe habituellement. En effet, dans un contexte international particulièrement chaotique, deux cas ont défrayé dernièrement la sphère médiatique internationale, prenant même une tournure politique et diplomatique1. Nous nous intéresserons ainsi à l’affaire Capgemini puis à l’affaire Anthropic, survenues l’une et l’autre en ce début d’année 2026. Ces deux affaires nous interpellent car elles posent, en substance, des questions qui pourraient se poser en termes analogues voire identiques à des entreprises financières sur le terrain de la RSE, des chaînes de valeur et du devoir de vigilance. Il nous semble donc intéressant de les analyser en ce qu’elles sont susceptibles de préfigurer les contentieux qui affecteront les banques et les entreprises soumises aux mêmes contraintes juridiques2 – que le devoir de vigilance s’évince de la loi française3 ou de la directive CS3D4.
De prime abord, l’affaire impliquant Capgemini et l’agence américaine Immigration and Customs Enforcement (ICE) ainsi que la controverse récente entre Anthropic et le Pentagone donnent un éclairage très net sur les nouvelles tensions entre entreprises technologiques et autorités publiques. Dans les deux situations, sur lesquelles nous allons plus longuement revenir, la controverse ne porte pas tant sur les technologies en elles-mêmes que sur leur intégration dans des politiques publiques coercitives et sur la question de savoir qui, de l’État ou de l’entreprise, est légitime pour en définir les limites et en contrôler les usages. Or, cette question devient cruciale au regard du devoir de vigilance, dès lors qu’une société mère doit s’assurer du contrôle de ses filiales et de la détermination du pouvoir final dans les chaînes de valeur.
Enjeux communs. Les deux affaires illustrent la difficulté pour les entreprises de contrôler les usages finaux de leurs technologies ou services, surtout lorsqu’ils sont intégrés dans des chaînes d’activités soumises à des régimes juridiques différents – notamment ceux relevant du droit américain. Nous présenterons donc l’une (1) et l’autre (2) en envisageant leurs incidences possibles dans la perspective du devoir de vigilance.
Le plan de vigilance. Capgemini est une société française qui relève du champ d’application du devoir de vigilance tel qu’établi par la loi française relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre. Elle doit donc « établir et mettre en œuvre de manière effective un plan de vigilance » destiné à « identifier les risques et à prévenir les atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l’environnement, résultant des activités de la société et de celles des sociétés qu’elle contrôle au sens du II de l’article L. 233-16 [du Code de commerce], directement ou indirectement, ainsi que des activités des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie, lorsque ces activités sont rattachées à cette relation »5. Pour mémoire, le plan de vigilance doit inclure une cartographie des risques, des procédures d’évaluation régulière de la situation des filiales et sous-traitants, des actions adaptées de prévention et d’atténuation, ainsi qu’un mécanisme d’alerte et de suivi.
L’affaire. Appliquée à l’affaire Capgemini, cette disposition conduit à s’interroger sur l’étendue de l’obligation de vigilance de la société mère à l’égard des activités exercées par une filiale implantée dans un autre ordre juridique, en particulier lorsque ses activités sont réalisées dans le cadre de contrats publics soumis à des règles spécifiques de confidentialité. En effet, la filiale américaine Capgemini Government Solutions (CGS) avait signé un contrat avec l’ICE portant sur la fourniture de services de skip tracing, c’est-à-dire des techniques permettant d’identifier et de localiser des personnes dont l’adresse ou la situation n’est pas connue, au moyen de bases de données et d’outils d’analyse6. Dans le cadre des activités de l’ICE, ces services avaient pour finalité de localiser des migrants en situation irrégulière afin de faciliter les opérations d’arrestation et d’expulsion menées par l’agence fédérale. La controverse s’est développée dans un contexte politique particulièrement sensible et la révélation de ces informations a suscité une réaction importante en France, tant au niveau politique que syndical7. Le 30 janvier 2026, le directeur général de Capgemini a déclaré publiquement que la direction du groupe n’aurait pris connaissance du contrat qu’à travers sa divulgation dans les médias. La direction de l’entreprise a alors annoncé la cession de l’intégralité de sa filiale Capgemini Government Solutions, motif pris que les règles juridiques applicables aux contrats gouvernementaux américains comportant des informations classifiées limitaient la capacité de la société mère à exercer un contrôle effectif sur certaines activités de cette filiale. Cette affaire met en lumière une difficulté structurelle de gouvernance pour les groupes internationaux intervenant dans des programmes gouvernementaux sensibles, lorsque les exigences de confidentialité imposées par l’État contractant restreignent la supervision exercée par la maison mère.
Les enseignements. Plusieurs points méritent commentaire. Tout d’abord, l’affaire Capgemini c/ ICE constitue un exemple très concret des tensions qui s’exercent sur la gouvernance des entreprises prises entre le respect des obligations contractuelles à l’étranger et le devoir de vigilance imposé par le droit français (et demain européen). De manière plus générale, les entreprises multinationales sont confrontées à la quadrature du cercle : respecter leurs engagements contractuels vis-à-vis des administrations étrangères, tout en respectant les contraintes juridiques nationales auxquelles elles demeurent soumises, ainsi que les attentes éthiques et sociales exprimées dans leur pays d’origine.
Ensuite, un autre point de réflexion porte sur la responsabilité de la société mère à l’égard des activités de ses filiales. Selon le droit français, le plan doit contenir « des procédures d’évaluation régulière de la situation des filiales, des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie, au regard de la cartographie des risques »8. Dans le même sens, la directive CS3D prévoit expressément que les entreprises doivent intégrer le devoir de vigilance dans leurs politiques et leurs systèmes de gestion (article 7).
Par ailleurs, l’article 8, paragraphe 1, précise que l’identification des incidences négatives doit couvrir les activités propres de l’entreprise ainsi que celles de ses filiales : « les entreprises prennent des mesures appropriées pour recenser et évaluer les incidences négatives réelles et potentielles découlant de leurs propres activités ou de celles de leurs filiales et, lorsqu’elles sont liées à leurs chaînes d’activités, de celles de leurs partenaires commerciaux ». Cette exigence jette un trouble sur l’argumentation de la direction de la société : en effet, l’argument d’une absence de connaissance par la société mère des activités de sa filiale peut difficilement être concilié avec l’obligation de mettre en place des mécanismes internes permettant l’identification des risques liés aux activités du groupe.
Un troisième point de réflexion concerne l’identification des risques en matière de droits fondamentaux. La directive impose aux entreprises de procéder à une évaluation des incidences négatives potentielles sur les droits humains et l’environnement. Cette évaluation doit être effectuée à la lumière des droits protégés par les instruments internationaux mentionnés dans la directive, laquelle énumère les conventions et droits fondamentaux dont le respect doit être pris en considération dans le cadre de l’exercice du devoir de vigilance. Dans le contexte de l’affaire considérée, on peut se poser la question de la qualification des services technologiques ou de fourniture de données destinés à faciliter des opérations d’arrestation ou d’expulsion menées par une autorité publique étrangère : s’agit-il de risques d’atteinte aux droits fondamentaux ? Le lien de causalité entre la mise à disposition de ces prestations technologiques et leurs usages attentatoires aux droits fondamentaux mérite une analyse argumentée qui ne relève pas de l’évidence.
Un quatrième point de réflexion porte sur les mesures correctrices que les entreprises doivent adopter lorsqu’une incidence négative est identifiée. La directive prévoit que les entreprises doivent prendre des mesures appropriées pour mettre fin aux incidences négatives réelles ou en réduire l’ampleur. L’article 10 impose ainsi aux entreprises d’adopter les mesures nécessaires pour mettre fin aux incidences négatives identifiées dans leurs propres activités ou dans celles de leurs filiales. L’article 11 prévoit en outre que les entreprises doivent remédier aux incidences négatives lorsqu’elles se sont effectivement produites. Dans ce contexte, peut-on considérer que la décision d’une entreprise de céder une filiale impliquée dans une activité controversée est une réponse suffisante au regard des obligations de prévention ou de cessation prévues par la directive ?
Enfin, un dernier point de réflexion concerne les tensions susceptibles d’apparaître entre les obligations de vigilance imposées par le droit de l’Union ou les droits nationaux et certaines contraintes juridiques résultant des ordres juridiques d’États tiers. Les entreprises opérant à l’international peuvent être confrontées à des régimes juridiques spécifiques qui limitent la transparence ou la supervision de certaines activités, notamment dans le cadre de contrats publics comportant des exigences de confidentialité ou de sécurité. L’affaire Capgemini met ainsi en lumière les difficultés pratiques que peuvent rencontrer les entreprises multinationales lorsqu’elles doivent concilier les exigences de vigilance imposées par le droit de l’Union avec les contraintes juridiques et contractuelles propres aux États tiers dans lesquels elles exercent certaines de leurs activités.
Une autre affaire, celle qui a opposé Anthropic au Département de la Défense des États-Unis, a suscité bien des commentaires. Cette affaire apporte un éclairage complémentaire au cas précédent. La société Anthropic, qui développe des modèles d’intelligence artificielle (IA) de grande taille, a accepté de collaborer avec les autorités américaines pour certains usages liés à la sécurité nationale. Cependant, elle a refusé d’accorder au Pentagone un droit d’utilisation illimité de ses modèles. La direction d’Anthropic a notamment exprimé son opposition à l’emploi de ces technologies dans des domaines tels que la surveillance de masse ou les systèmes d’armes autonomes. Or, du point de vue du Département de la Défense (DoD), l’intégration de l’IA dans les capacités militaires suppose précisément que ces outils puissent être mobilisés dans l’ensemble des usages jugés légaux par l’État. Le différend porte donc directement sur la capacité de l’entreprise à imposer des restrictions d’usage à un contractant étatique, afin de conserver le contrôle des finalités des technologies concernées.
Après l’échec des négociations, le 27 février 2026, le président Trump a ordonné à toutes les agences fédérales de « cesser immédiatement » l’utilisation des technologies d’Anthropic, tandis que le secrétaire à la Défense a désigné Anthropic comme un « risque pour la chaîne d’approvisionnement nationale » (supply chain risk)9. Cette désignation interdit aux contractants du DoD de mener toute activité commerciale avec Anthropic, y compris en dehors des contrats fédéraux – une mesure que la société qualifie d’illégale et sans précédent pour une société américaine10.
Dans les deux cas, Capgemini comme Anthropic, le cœur du conflit réside dans la détermination de l’autorité compétente pour fixer les limites d’usage de technologies dites « dual-use », c’est-à-dire susceptibles d’applications civiles comme militaires ou sécuritaires. Dans l’affaire Capgemini, l’entreprise invoque la contrainte des règles étatiques (notamment celles liées aux contrats gouvernementaux, au secret et au régime de sécurité nationale) pour justifier la cession de la filiale suite à la perte de contrôle dans ses chaînes de valeur. À l’inverse, le cas Anthropic met en scène la situation où une entreprise tente d’imposer ses propres standards éthiques à l’État, au risque d’entrer en conflit avec les impératifs stratégiques de ce dernier11. Dans les deux cas, comment une entreprise comme Capgemini ou Anthropic peut-elle anticiper la possible utilisation de ses technologies ou services pour des activités à haut risque et a-t-elle les moyens juridiques de les limiter voire de s’y opposer face à un contractant étatique ?
Au-delà de leurs différences apparentes, ces deux controverses témoignent d’une transformation plus profonde de la relation entre puissance publique et entreprises technologiques. Les infrastructures numériques – IA, traitement massif de données, cloud computing – sont devenues des composantes essentielles des politiques régaliennes contemporaines, qu’il s’agisse de sécurité intérieure, de contrôle des frontières ou de défense nationale. Or, contrairement aux infrastructures traditionnelles de souveraineté, ces technologies sont majoritairement développées et contrôlées par des acteurs privés. Il en résulte une situation d’interdépendance nouvelle. Les États dépendent des capacités techniques et de l’innovation des entreprises technologiques pour maintenir leur avantage stratégique, tandis que ces entreprises restent dépendantes de l’accès aux marchés publics, aux cadres réglementaires et, dans certains cas, aux financements publics. Cette relation crée un espace de friction dans lequel se redéfinit la question fondamentale du contrôle politique des technologies. La question de savoir qui peut légitimement déterminer les conditions d’usage de ces technologies – l’État, l’entreprise ou une combinaison des deux – constitue ainsi l’un des enjeux juridiques et politiques majeurs de la gouvernance des grandes entreprises. Un cas d’école pour les entreprises du secteur bancaire et financier lorsque se posera à elles la question du contrôle dans leurs chaînes de valeur à l’aune de leur devoir de vigilance.
