Partenaire 2018

délibérément au principe de la compliance en ce qu’il délègue aux entreprises et organismes concernés un devoir de vigilance sur la délin- quance professionnelle et un rôle normatif dans le dispositif de détection des infractions. La logique auto-normative est à ce point prégnante qu’elle confie un rôle de filtre pré-juridictionnel à l’entreprise. L’article 8 prescrit ainsi de définir une personne référente chargée de la réception des signalements (et à défaut le supérieur hié- rarchique) et de l’examen de « la recevabilité du signalement ». La nature de la délégation est telle que la sémantique du texte invite, « en dernier ressort », et après inaction successive de l’entre- prise ou des autorités, à la divulgation publique du signalement. Le récipiendaire du signalement se trouve ainsi placé dans une situation d’apprécia- tion juridique extrêmement délicate de la situation. À transmettre trop promptement un signalement abusif, il porterait atteinte aux intérêts de per- sonnes visées et à ceux de son entreprise. À retenir une information qui serait fondée, il encourrait une peine maximale d’un an d’emprisonnement et de 15000  € d’amende pour avoir « fait obstacle, de quelque façon que ce soit, à la transmission d’un signalement » 4 . La mise en place par l’entre- prise de sa propre procédure de conformité est encore plus exigeante en matière de corruption et de trafic d’influence. Les sociétés de plus de 500 salariés et réalisant plus de 100 millions d’euros de chiffre d’affaires devront se doter, en outre, d’un code de conduite interne, d’une cartogra- phie des risques, de procédures d’évaluation et de contrôle comptable, ainsi que, notamment, d’un dispositif de formation 5 . La mise en place d’un programme de conformité est même insti- tuée en peine au nouvel article 131-39-2 du Code pénal 6 . C’est dire que la décentralisation norma- tive est érigée en compétence obligatoire. C’est en particulier ce que l’on connaît en matière de concurrence. Les entreprises sont ainsi amenées à concevoir des programmes de conformité visant à établir les bonnes pratiques internes destinées à garantir l’absence de commission de pratiques anticoncurrentielles (ententes et abus de position dominante). En diffusant une culture de la concur- rence adaptée au mode de fonctionnement de l’organisation et à ses risques propres, l’entreprise devient un relais de la répression ou de la régu- lation. Que ce soit à titre préventif ou à la suite d’une sanction infligée par les autorités pour prévenir une réitération des pratiques en cause, ces engagements sont l’expression caractéristique de la compliance. Dans le même registre, il existe de nombreuses autres dispositions qui relèvent plus ou moins directement de ces mécanismes. En matière de banque, d’assurance ou de transactions financières, différentes réglementations obligent à mettre en œuvre des dispositifs de prévention de la fraude 7 . Mais c’est dernièrement surtout dans le domaine numérique que la compliance est la plus remarquable. L’autorégulation en matière numérique. - On ne pourra d’abord manquer d’observer que la loi pour une République numérique du 7 octobre 2016 8 a elle aussi utilisé le principe de règles internes. Le nouvel article L. 111-7-1 du Code de la consomma- tion prévoit que « les opérateurs de plateformes en ligne dont l’activité dépasse un seuil de nombre de connexions défini par décret élaborent et dif- fusent aux consommateurs des bonnes pratiques visant à renforcer les obligations de clarté, de transparence et de loyauté » prévues pour toutes les plateformes (moteurs de recherche, réseaux sociaux, marketplaces, comparateurs, sites de mise en relation ou de partage de contenu, etc.). L’article L. 111-7 prescrit en effet notamment de faire connaître les modalités de référencement/ classement par les plateformes et de révéler les liens d’intérêt et l’impact sur le classement. Les plateformes essentielles devront ainsi élaborer des chartes qui appliquent ces principes dans les conditions spécifiques au risque de manipula- tion des classements que l’on peut suspecter 9 . On trouve ici l’expression nette d’un caractère de la compliance : celui de préciser ou d’« instancier » 10 une règle générale. C’est le même changement de paradigme qu’emprunte le règlement européen 2016/679 du 27 avril 2016 sur les données person- nelles 11 . Alors que jusqu’ici la protection des droits informatiques reposait sur un mécanisme de déclaration des traitements réalisés à l’autorité de contrôle, les entreprises devront désormais tenir un registre et définir les modalités d’utilisation de leurs fichiers en fonction des risques qu’elles représentent. « L’“accountabilité” marque la rup- ture majeure avec l’ancien cadre légal [...] [elle] implique que l’entreprise soit désormais le premier garant de la protection des données qu’elle traite. Elle devra donc autoévaluer les risques et enjeux de la mise en œuvre d’un traitement de données à caractère personnel » 12 . Sans entrer dans un détail excessif du texte, l’article 6 du règlement établit un principe de proportionnalité entre l’étendue des traitements autorisés et la nature, la portée, la finalité du traitement et la sensibilité des données concernées. Mais il appartient au responsable du traitement de retenir les opérations qu’il estime légitimes en tenant compte des différentes exigences. Par la définition interne des traitements, le responsable élabore, sous le contrôle d’un délégué à la protection des données, les normes de traitement en vigueur dans l’organisme. C’est donc une application pratique très notable de la conformité qui va se généraliser lors de l’entrée en vigueur du texte. Extension du domaine de la compliance. - Cette conception de la compliance conduit à faire évo- luer la conception réductrice que l’on a pu en avoir lorsque l’on se bornait à y ranger seulement les chartes et engagements éthiques des entreprises dans le cadre de leur politique de responsabilité sociale et environnementale. Mais il ne faut pas non plus exclure ces formes du champ de la com- pliance sans que l’on puisse d’ailleurs, à défaut de définition ou de corpus homogène, en identifier de périmètre suffisamment clair. De cet ensemble hétéroclite que constitue le vaste champ de la compliance, le juriste (continental) est tenté d’en rechercher les traits communs pour en dégager, sinon un droit de la compliance, en tout cas une matrice commune. Mais, la compliance n’est mani- festement pas une branche du droit, elle apparaît plutôt comme « une façon de faire du droit » ou d’appliquer le droit dans un objectif de gestion des risques. Dans ces conditions, la question centrale consiste à s’interroger sur les traits communs, les mécanismes et les moyens pour élaborer un L ’ A C T U A L I T É J U R I D I Q U E 2 0 1 8 P A R F I D U C I A L L E G A L B Y L A M Y | 7 2 PE et Cons. UE, règl. (UE) n° 2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE : JOUE n° L 119, 4 mai 2016, p. 1. - V. not. JCP E 2016, act. 422 ; JCP E 2016, dossier 1323 à 1329. 3 N. Lenoir et A. Jacquin, Les lanceurs d’alerte dans le projet de loi « Sapin II » : JCP E 2016, act.291. -F. Verdun, Projet de loi Sapin 2 : statut du lanceur d’alerte etprogramme anticorruption au regard du droit social : JCP E 2016, 1647. 4 L. n° 2016-1691, 9 déc. 2016, préc., spéc. art. 13. 5 L. n° 2016-1691, 9 déc. 2016, préc., spéc. art. 17. 6 L. n° 2016-1691, 9 déc. 2016, préc., spéc. art. 18. 7 Mise en application des accords de Bâle II, PE et Cons. UE, dir. 2009/138/CE, 25 nov. 2009, sur l’accès aux activités de l’assurance et de la réassurance et leur exercice, dite Solvabilité : JOUE n° L 335, 17 déc. 2009, p. 1. 8 L. n° 2016-1321, 7 oct. 2016 : JO 8 oct. 2016, texte n° 1. - V. notamment sur cette loi, JCP E 2016, act. 789. - J. Lasserre Capdeville, Loi République numérique : évolutions intéressant les services de paiement et la monnaie électronique : JCP E 2016, 1676. - D. Forest, La gouvernementalité algorithmique : JCP E 2016, 932. 9 Sur les risques de manipulation du classement et leur importance pour le jeu de la concurrence, V. L.-M. Augagneur, Vers de nouveaux paradigmes du droit dans l’économie numérique : RTD com 2015, p. 455. 10 Nous reprenons ici délibérément un angli- cisme (d’étymologie latine) emprunté au domaine informatique. L’instanciation consiste à créer un nouvel objet à partir d’un modèle ou d’une classe. Il s’agit donc d’un exemple applicatif d’un objet dans un environnement déterminé. 11 PE et Cons. UE, règl. (UE) n° 2016/679, 27 avr. 2016, préc. 12 X. Lemarteleur, Règlement UE sur la protection des données personnelles, entre réformisme et conservatisme : Rev. int. Compliance 2016, étude 103.

RkJQdWJsaXNoZXIy MTMyNw==