[Questions à...] Quelle actualité dans le domaine « Compliance, Gouvernance & Responsabilités » ? - Questions à Martin Declosmenil, Adaltys Avocats

Mots clés : affaires • compliance • dirigeants d'entreprise • éthique • risque pénal

Dans un environnement économique de plus en plus marqué par l’instabilité et l’incertitude, les dirigeants d’entreprise doivent redoubler de vigilance pour respecter une législation complexe et foisonnante en matière d’éthique, de déontologie et de responsabilité civile et pénale. Il en va de la crédibilité et de la bonne santé financière des entités qu’ils dirigent, la moindre irrégularité pouvant se chiffrer en millions (ou milliards) d’euros de pénalités infligées par les instances de régulation. Lexbase a interrogé à ce sujet Martin Declosmenil, Adaltys Avocats*.

Lexbase : Pouvez-vous nous présenter les réglementations récentes introduisant de nouvelles responsabilités individuelles et collectives exposant les dirigeants ?

Martin Declosmenil : Depuis plusieurs années, le cadre réglementaire applicable aux entreprises, en France comme dans l’Union européenne, a connu d’importantes évolutions. La loi impose aux dirigeants de nouvelles obligations qui s’accompagnent d’un renforcement de leur responsabilité administrative, civile ou pénale.

Parmi les réglementations les plus récentes figurent la Directive « NIS 2 » (Directive (UE) n° 2022/2555 du 14 décembre 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union N° Lexbase : L3158MG3), ainsi que le Règlement « DORA » (Digital Operational Resilience Act) (Règlement (UE) n° 2022/2554 du 14 décembre 2022, sur la résilience opérationnelle éléments numériques N° Lexbase : L5831MRE), qui imposent des exigences accrues en matière de cybersécurité et de gestion des risques. La Directive « NIS 2 » vise à renforcer le niveau de cybersécurité des opérateurs de services essentiels des pays membres de l'UE. Elle n’a pas encore été transposée en droit français. L’article 5 du Règlement « DORA » impose des obligations strictes de gouvernance aux entités du secteur financier pour la gestion des risques liés aux technologies de l’information et de la communication (TIC). En cas de non-conformité à la réglementation « DORA », les États membres arrêtent des règles prévoyant des sanctions administratives et des mesures correctives appropriées.

Ces textes renforcent ainsi la responsabilité des entreprises en cas de manquement aux obligations instituées.

La tendance est à l’élargissement du cercle des personnes exposées à ces nouvelles responsabilités : non seulement les dirigeants sociaux exécutifs et non-exécutifs (présidents, directeurs généraux, administrateurs), mais aussi l’ensemble des membres des organes de direction, les responsables des dispositifs de conformité, notamment les Compliance officers, les délégués à la protection des données (DPO), les directeurs des systèmes d'information (DSI) et les responsables de la sécurité des systèmes d'information (RSSI), lesquels sont désormais directement concernés.

Le législateur et le régulateur imposent une vigilance renforcée, exigeant non seulement la conformité théorique aux normes, mais aussi une mise en œuvre effective et un contrôle opérationnel des mesures imposées.

Cette évolution réglementaire invite les entreprises à adopter une gestion active et traçable des risques, de la conformité et de la gouvernance interne. Les entreprises et leurs dirigeants doivent aujourd’hui prouver plus que jamais l’efficacité des dispositifs de maîtrise des risques qu’ils mettent en place tant en France qu’à l’étranger, sous peine de s’exposer à un panel de sanctions. Ce qui implique naturellement de bien maîtriser les règlementations applicables dans l’ensemble des pays où l’entreprise est implantée.

Lexbase : Quelles sont les nouvelles dispositions réglementaires en matière de responsabilités individuelle et collective ?

Martin Declosmenil : Les réglementations sont nombreuses depuis une dizaine d’années :  « Sapin 2 » (loi n° 2016-1691 du 9 décembre 2016, relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique N° Lexbase : L6340MSM), devoir de vigilance, RGPD, « CSRD » (Directive (UE) n° 2022/2464, du 14 décembre 2022 N° Lexbase : L1830MGU), Directive « NIS 2 », Règlement « DORA », etc. Cette multiplication des obligations réglementaires pesant sur les acteurs économiques a intensifié le risque de mise en cause des organes de gouvernance.

Le premier arrêt au fond sur le devoir de vigilance illustre ce risque de condamnation [1].

La Cour d’appel a confirmé, dans son ensemble, le jugement du tribunal judiciaire de Paris du 5 décembre 2023, qui avait enjoint à La Poste de revoir en profondeur son plan de vigilance.

Cette réglementation (loi n° 2017-399 du 27 mars 2017, relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre N° Lexbase : L6250MSB) impose d’identifier et de prévenir de façon effective les risques d’atteinte grave aux droits humains et fondamentaux, à la santé-sécurité ou à l’environnement, au sein des activités propres comme dans l’ensemble des chaînes d’approvisionnement ou de sous-traitance. Les entreprises astreintes doivent établir, mettre en œuvre, rendre public et évaluer de façon continue un plan de vigilance, sous peine d’engagement de leur responsabilité.

Parmi les règlementations majeures, il est aussi possible de citer la loi « Sapin 2 » du 9 décembre 2016 qui impose aux entreprises d’une certaine taille la mise en œuvre de mesures et procédures pour lutter contre la corruption. La responsabilité de la mise en œuvre du programme anticorruption incombe aux mandataires sociaux des sociétés assujetties.

En cas de manquement constaté, la commission des sanctions peut prononcer une sanction pécuniaire dont le montant ne peut excéder 200 000 euros pour les personnes physiques et un million d'euros pour les personnes morales. La désignation d’un responsable de la fonction conformité ne dispense en aucun cas l’instance dirigeante de sa propre responsabilité. À cela s’ajoute l’ensemble des règlementations étrangères anticorruption applicables, notamment aux États-Unis (FCPA) ou sur le territoire britannique (UK Bribery Act) mais pas uniquement.

Par ailleurs, le RGPD a fait émerger une responsabilité renforcée et directe des dirigeants eu égard à la conformité des traitements de données à caractère personnel réalisés au sein de l’entreprise. Les manquements à ces obligations sont susceptibles d’entraîner des sanctions administratives, financières et, dans certains cas, la mise en cause des dirigeants à titre personnel.

Les décisions récentes rappellent enfin que les grands principes en matière de responsabilités individuelles et collectives sont anciens. Ils sont fondés notamment sur le principe de responsabilité du fait personnel et la responsabilité des personnes morales.

À titre d’exemple, le 29 avril 2025, le tribunal correctionnel de Paris a condamné deux filiales d’un groupe à des peines d’amende pour des faits de corruption d’agent public étranger et d’association de malfaiteurs en vue de commettre une extorsion. Le directeur juridique et conformité du groupe a été condamné à trois ans d’emprisonnement dont dix-huit mois de bracelet électronique et le directeur de la filiale locale concernée par les faits à deux ans d’emprisonnement avec mandat d’arrêt. Le groupe a interjeté appel de la décision, qui n’est donc pas définitive.

Lexbase : Quel est leur impact concret sur les rôles et responsabilités au sein de l'entreprise ?

Martin Declosmenil : Plus que jamais, l’instance dirigeante doit s’engager dans une politique de tolérance zéro à l’égard de toute infraction et promouvoir la culture de l’éthique et de la conformité au sein de l’entreprise.

Les évolutions réglementaires imposent également aux entreprises de mettre en place au sein de leur organisation une gouvernance de la fonction conformité/compliance compétente dans plusieurs domaines et qui dispose d’un accès direct à l’instance dirigeante.

La gestion des nouveaux risques juridiques implique le déploiement de procédures internes articulées autour de la prévention, la détection et la remédiation. Les entreprises doivent formaliser chacune des étapes de leur programme de conformité et conserver un historique des actions menées afin de pouvoir démontrer les actions réalisées lors de tout contrôle ou audit.

Les obligations réglementaires imposent par ailleurs aux entreprises la mise en place de processus de supervision, la mise à jour des plans de prévention des risques et des mesures de gestion de crise.

Les dirigeants non-exécutifs doivent exiger d’être informés des mesures mises en place pour satisfaire aux obligations réglementaires et veiller à ce que les risques soient convenablement identifiés et maîtrisés.

La traçabilité des actions et la capacité à auditer les procédures sont désormais des critères d’appréciation centrale dans l’engagement de la responsabilité.

Lexbase : Quelles sont les bonnes pratiques et outils pour anticiper, se protéger et agir efficacement ?

Martin Declosmenil : En synthèse, l’engagement de l’instance dirigeante et la traçabilité des actions de conformité/compliance demeurent les meilleures garanties pour anticiper, limiter l’exposition aux risques et exercer sereinement les fonctions dirigeantes dans un contexte normatif renforcé.

Le droit des affaires a, en outre, une dimension pénale importante. La réalisation d’une cartographie des risques pénaux permet d’identifier de manière exhaustive les risques auxquels l’organisation est exposée du fait de ses activités.

Devant l’inflation législative, ce recensement des risques est précieux pour la mise en place d’un dispositif efficace de délégations de pouvoirs permettant de parfaire la maîtrise des risques au sein de l’entreprise. Ne pas mettre en place un tel dispositif expose les dirigeants exécutifs. Les juges du fond et la Cour de cassation le rappellent régulièrement.

La délégation de pouvoirs au sens pénal est un outil vertueux qui contribue à formaliser les rôles et responsabilités opérationnels et juridiques, et donc la chaîne décisionnaire en permettant aux dirigeants de transférer une partie de leurs pouvoirs à des collaborateurs dûment identifiés et remplissant les conditions requises pour que le transfert de responsabilité pénale puisse s’opérer.

Le délégataire doit être pourvu de la compétence, de l’autorité et des moyens nécessaires pour remplir la mission déléguée. Cette organisation contribue ainsi directement à la maîtrise du risque de non-compliance. Chaque délégataire est clairement informé des responsabilités qui lui sont déléguées et des moyens mis à sa disposition.

Concernant les dirigeants, la souscription d’une police d’assurance responsabilité civile des mandataires sociaux (RCMS/D&O) est aussi indispensable. L’assurance permet de protéger les dirigeants et les délégataires à l’égard des éventuelles réclamations de parties prenantes victimes ou des poursuites initiées par des autorités judiciaires ou administratives. Bien évidemment, les fautes intentionnelles ne sont pas couvertes.

En complément, l’auto-évaluation régulière des organes de gouvernance notamment au regard des risques de non-compliance et, lorsque nécessaire, le recours à une évaluation externe, constituent des leviers essentiels pour protéger l’entreprise et ses dirigeants, et surtout pour les aider à progresser dans un environnement réglementaire qui s’est fortement complexifié.

© Reproduction interdite, sauf autorisation écrite préalable