Gouvernance

« Lanceurs d’alerte : Protection, traitement des alertes et leurs enjeux »


David Commarmond
Jeudi 16 Février 2023


Le Jeudi 24 février 2023, pendant une matinée, LEXPOSIA en collaboration avec le Cabinet SIMON ont organisé une session de formation intitulée « Lanceurs d’alerte, Protection, traitement des lanceurs d'alerte et leur enjeux ». Cette formation est destinée principalement aux juristes / avocats, mais aussi par son accessibilité à toutes personnes ayant à traiter ou converser avec ceux-ci. Pendant près de deux heures, c’est donc un focus sur l’impact de la nouvelle législation qui a été évoqué.



Pourquoi les acteurs de l’IE doivent s’emparer de cette thématique ?

La thématique des lanceurs d’alerte en dehors de l’aspect médiatique recouvre une réalité juridique réelle pour l’entreprise, elle est aussi pour le professionnel de l’IE synonyme de zone de turbulences, de lessiveuse qui ne vous laisse pas indemne.
 
C’est d’une banalité de dire que les entreprises sont soumises à des obligations juridiques qui leurs imposent de respecter des normes environnementales et sociales, si des manquements sont relevés, elles s’exposent à des infractions et de voir un lanceur d’alerte faire remonter auprès de l’entreprise (dans le meilleur des cas) le manquement, mais aussi à une instance tierce, extérieure qui pourra être beaucoup plus sévère. » L’articulation entre ces différentes étapes est complexe, les acteurs divers et nombreux, représentant des intérêts différents.
 
C’est pourquoi, connaître le cadre législatif, s’est pouvoir se protéger devant les autorités et devant un tribunal de la bonne foi de l’entreprise, de son chef d’entreprise, de protéger son patrimoine et par extension l’intérêt général.
 
Mais un cadre est plus étendu de l’entreprise, les enjeux sont nombreux, entre risques environnementaux, sociétaux, réputationnels, ce sont tous les services qui peuvent être touchés.


La Due intelligence prend tout son sens

La loi Sapin II, complétée par la loi Waserman de 2022, impose une vigilance accrue dans l’exercice de son activité. Cette obligation s’inscrit dans un mouvement plus large de la RSE, à l’instar de la RGPD.
 
C’est un exercice difficile qui demande à trouver un équilibre entre différentes exigences légales, de formalisme face à l’exercice de ce contrôle. Pour David Marais, intervenant et auteur d’un livre sur le sujet, ces contraintes font aussi «l’entreprise le 1er policier de France», c'est-à-dire qu’elle confère à l’entreprise un pouvoir très important, exorbitant dans le contrôle de ses salariés. A l’heure où le monde devient plus complexe et plus dangereux. L’explosion du risque cyber depuis la crise du Covid en est une nouvelle manifestation, la plus médiatique, dans un contexte géopolitique toujours plus tendu et incertain.
 
Le lanceur d’alerte peut donc un acteur qui doit être entendu et sa parole doit être recueillie par une oreille à l’écoute. Il peut signaler des faits que l’entreprise ignore car elle est peut-être une victime.


Briser les silos et opérer une prise de conscience.

David Marais, démontre dans son intervention l’importance du travail collaboratif et de la nécessité qu’à chaque étape les acteurs aient conscience de l’importance de leur rôle, des aspects légaux de leur travail. Pour lui, pendant trop longtemps les acteurs du monde de la prévention ignoraient le monde du contentieux, et inversement. L’absence de dialogue, l’absence de méthodologie et de continuité étaient des freins majeurs que nous commençons tout juste à lever.
 
Cet état de fait, redonne au droit une dimension centrale. Elle redonne à l’avocat un rôle primordial grâce au secret professionnel qui lui est attaché et qui ne peut être levé. A charge pour lui de superviser la mise en place des procédures, de garantir que les différents principes et droits sont respectés. Principes de transparence, pertinence, proportionnalité), trois limites (propriété privée, vie privée, loyauté de la preuve), les critères de licéité (informer préalablement le salarié sur l’éventuelle mesure de surveillance, informer sur son étendue et le degré d’intrusion, indiquer les raison légitimes justifiant la surveillance et l’accès, possibilité de mettre en place un système de surveillance moins intrusif que l’accès direct, informer sur les effet de la surveillance et l’utilisation des résultats, informer sur les bénéfices de garanties adéquates.
 
Pour David Marais. Ces précautions seront, au-delà de démontrer la loyauté de la preuve, utiles pour protéger l’entreprise et l’enquêteur de toute accusation pénale à leur encontre pour violation du secret des correspondances, atteintes aux STAD, ou modification / destruction de preuves.


Mauvaise Victime – Bon coupable : les enseignements des jurisprudences Kerviel, Lafarge et Alcatel.

Les jurisprudences Kerviel, Alcatel et Lafarge ont laissé dans le droit et la société civile de profondes cicatrices. Elles signent la fin d’un laisser-faire qui s’apparente à une « irresponsabilité économique  et politique de fait » des entreprises dans leur environnement. Dans l’affaire Kerviel, la cour de Cassation avait rendu une décision jugée à l'époque audacieuse : « En l’espèce, la cour d’Appel avait relevé, d’une part, l’existence et la persistance pendant plus d’un an d’un défaut de contrôle hiérarchique, négligence qui avait permis la réalisation de la fraude et concouru à la réalisation du dommage, et, d’autre part, l’absence de profit retiré par le prévenu des infractions commises. Elle avait également indiqué que, si la défaillance certaine des contrôles de sécurité de la banque avait été constatée et sanctionnée par la commission bancaire, aucune disposition de la loi ne permettait de réduire en raison d’une faute de la victime le montant des réparations dues à celle-ci par l’auteur d’une infraction intentionnelle contre les biens » (Dalloz 27 Mars 2014) (https://www.legifrance.gouv.fr/).
 
Il résulte une diminution substantielle des dommages et intérêts octroyés à la Société Générale. L’exposition au risque l’assimile à celle d’auteur de l’infraction. Elle voit sa responsabilité pénale engagée par les agissements délictuels de ses organes ou représentants commis pour son compte. La violation de ses obligations de compliance engagera la responsabilité de la personne morale.
 
Conséquence : La faute de la victime est prise en compte dans le calcul des dommages-intérêts. L’absence de contrôle ou d’enquête interne constitue une faute de la victime.
 
Dans l’Affaire Lafarge, c’est la compromission du siège, qui avait pour continuer à faire tourner une de ces cimenterie dans une Syrie en guerre civile, passer des accords avec des groupes rebelles (terroristes). Moyennant finances, le groupe avait pu continuer d’exploiter son usine. L’entreprise fut condamnée aux USA pour avoir soutenu matériellement une organisation terroriste dans un pays hostile. L’abandon des charges fut possible en plaidant coupable, et payant 778 millions de dollars à l’État Américain. En France, la société est aussi mise en examen pour « complicité de crime contre l’humanité » et « financement d’une entreprise terroriste ». L’affaire est encore à suivre. La décision américaine a toutefois eu un impact sur l’ensemble des entreprises françaises travaillant avec les USA. La suspicion et la méfiance s’étant étendue aux autres entreprises, de nombreux audits et missions de surveillance par les autorités américaines ont été menées. Cette suspicion a été particulièrement éprouvante, plus que les sanctions financières car les entreprises devaient se justifier sur tout élément suspect.

Conclusion : Dans un monde plus complexe et plus changeant, le dirigeant d’entreprise doit veiller à saisir les opportunités, se retirer d’un marché ou d’une zone géographique quand le risque géopolitique est trop grand. Le lanceur d’alerte dans ce contexte, est souvent un signal avant-coureur d’un danger bien plus grand, qui vient ajouter une partition dissonante. La tentation est grande de vouloir le faire taire. L’entreprise doit résister à cette tentation.
 
L’entreprise peut-être ou avoir été un cheval de Troie, un bouc émissaire, une victime collatérale à “l’insu de son plein gré” pour reprendre une célèbre expression d’une stratégie malveillante d’un concurrent, d’un Etat. Vouloir conserver un monopole ou un avantage stratégique à tout prix peut s’avérer risquer dans un jeu de puissance et de démonstration de force, surtout si par malchance on se retrouve entre le marteau et l’enclume.



Interview de David Marais, Avocat, intervenant


D C : Pouvez-vous vous présenter ?
DM : Avocat depuis 2005, associé au cabinet Simon, responsable du département droit pénal de l’entreprise et compliance, ce qui regroupe un champ très large d’actions (Droit pénal, compliance : audits, mise en place de plans d’action, cartographie des risques). Je suis titulaire de deux DEA. Après dix ans à mon compte, j’ai acquis un titre d’expert en « protection des entreprises et intelligence économique » (« PEIE » ; Titre RNCP 7 eq. Master 2),. Je suis aussi membre du GAPEIE (Groupe des Acteurs de la Protection des Entreprises et Intelligence Economique) et j’enseigne à l'INHESJ (Institut National des Hautes Etudes sur la Sécurité et la Justice devenu IHEMI)
 
DC : Comment êtes vous venu à l’Intelligence économique ?
DM : Deux passions professionnelles m’animent, la Criminologie et la compliance / Gestion de risque, j’ai envisagé un temps de m’investir dans la criminologie, je suis devenu un gros consommateur et lecteur d’ouvrage sur le sujet cependant, pour suivre un cursus dans le domaine j’aurais dû partir au Canada ou aux États-Unis pendant deux ans et abandonner les clients de mon cabinet. Mais cela m’aurait été impossible, de plus retrouver le statut d’étudiant après avoir été indépendant pendant dix ans était une autre difficulté. C’est pourquoi je me suis dirigé vers ma seconde passion, la compliance, en suivant des cours à l'INHESJ (Institut National des Hautes Etudes sur la Sécurité et la Justice) pour obtenir une certification équivalent à un Master 2 en « protection des entreprises et intelligence économique », un Titre RNCP 7.
 
DC : Pouvez-vous présenter votre ouvrage ?
DM : L’idée est venue pendant que je suivais mes cours à l’INHESJ sur la protection des entreprises. La question qui revenait incessamment était la gestion du risque mais il n’était pas réellement conscient que derrière les risques exposés et discutés, se cachait souvent le risque pénal : de subir ou de commettre une infraction.
J’ai également compris que la PEIE était une boîte à outils de disciplines et de méthodes dans laquelle on pouvait piocher et dans laquelle devaient figurer en bonne place ledroit pénal et la compliance.
J’ai évoqué ces thématiques auprès de l’administration, qui m’a donné carte blanche pour enseigner un cours d’initiation de droit pénal. Depuis j’interviens régulièrement à l’INHESJ, où j’interviens sur la gestion du risque pénal : Comment protéger l’entreprise, notamment avec la compliance et l’intelligence économique ? Comment une entreprise commet une infraction ?. Quelles infractions ? Comment réagir et se défendre ? Comment une entreprise devient-elle victime d’une infraction ? lesquelles ? Comment agir ?
 
Cette opportunité m’a donné l’idée de coucher mes réflexions sur le papier et d’écrire ce livre. Cette formation est devenue la deuxième partie du livre, très « pratico-pratique ».
 
J’ai voulu ajouter à cela l’idée, qui me paraît évidente, que la PEIE, notamment la compliance, a besoin du pénal (puisque le risque pénal conscientisé ou non est toujours le principal) et que le pénal a besoin de la PEIE, notamment de la compliance pour obtenir du renseignement et/ou pour amoindrir voire supprimer une responsabilité pénale. Ce j’appelle le continuum de « l’audit à l’audience » permettant une gestion « à 360° » du risque pénal.
Poser cette théorie en première partie du livre me semblait utile, j’ai en effet constaté que les professionnels du risque n’étaient pas sensibilisés à la question pénale dans leur cursus, et à l’inverse dans le contentieux, les avocats avaient tendance à négliger trop systématiquement les professionnels du risque ou les directions juridiques. Ces deux comportements sont incompréhensibles. Le contentieux se prive de renseignements et d’informations qui peuvent être essentielles. De même, l’absence de formation au risque pénal, pourtant le principal, des spécialistes du risque est une aberration.
 
Enfin, la conformité elle-même est devenue un enjeu du procès pénal. La jurisprudence d’ailleurs va dans ce sens, elle sanctionne les entreprises qui n’ont pas de services juridiques et de compliance dignes de ce nom. L’absence ou la présence de cellules d’alertes incompétente peuvent faire de l’entreprise une mauvaise victime (Voir la Jurisprudence Kerviel précédemment cité), car elle n’a pas mis en place les moyens et les procédures pour éviter le préjudice, voire elle les a laissé faire en toute connaissance de cause. A l’inverse dans l’affaire pétrole contre nourriture d’Alcatel, vous êtes un bon coupable. Certes vous aviez des services d’alerte, mais vous avez été complaisant avec les corrupteurs donc vous êtes complices, donc coupable.
 
Le rôle de l’avocat est donc aujourd’hui de discuter avec tous les acteurs pour que devant le juge celui-ci puisse éclairer sa décision et rapporter les faits et dédouaner la personne morale pour laquelle il plaide.C’est pour cela que le titre du livre est « la gestion du risque pénal à 360° de l’Audit à l’audience ». La continuité n’est pas un vain mot, tous les acteurs ont à gagner à travailler la main dans la main, du premier jour de l’audit au premier jour de l’audience. C’est une conviction que j’ai acquis pendant cette année.
 
DC: Si nous devions retenir de votre intervention du 24 février ?
DM : La loi Sapin II et la loi Waserman donnent un statut très protecteur au lanceur d’alerte.
Le traitement de l’alerte doit entrer dans des canaux de signalement, elle doit être recevable et faire l’objet d’une enquête interne. Cette enquête est particulièrement essentielle, elle est le ciment de toute la procédure.
Enfin, la question de la preuve est essentielle, les enquêtes internes se doivent d’être parfaites sur le plan pénal pour être recevable devant les tribunaux. L’enquête interne peut aller très loin, mais elle a des limites, elle se heurte au domicile, à la vie privée. La requête 145 va vite mais elle est limitée. La plainte devant les autorités est plus longue mais plus puissante. Ces deux procédures peuvent être utilisées conjointement.
 
DC : Comment peut évoluer ce statut ?
DM : La jurisprudence peut bien sûr apporter sa pierre à l’édifice, le législateur aussi, dans la mesure où pour le moment on a encore un empilement de textes. Nous pourrions imaginer une meilleure harmonisation, mais pour l’essentiel on enregistre pas d’incohérences. Globalement nous pouvons dire que nous sommes dans la norme européenne, nous n’accusons pas de retard. Cependant comme la RGPD, la mise en œuvre est encore en phase d’apprentissage.

 

 


Pour aller plus loin

En savoir plus sur le livre
Date de parution  15/03/2022
Editeur  L'harmattan
Collection    Droit privé et sciences criminelles
Format  15cm x 24cm
Nombre de pages  168


Télécharger le rapport 2021 sur les alertes professionnelles :
https://www.integrityline.com/fr/expertise/livres-blancs/rapport-sur-les-alertes-professionnelles/
 
Télécharger le livre blanc transposition directive européenne :
(https://www.integrityline.com/fr/expertise/livres-blancs/protection-lanceurs-dalerte-france/)

Ecouter le podcast de France Culture SuperFail :
Un exemple de procédure (le canard enchaîné)
Le traitement de l'affaire Fillon (France Culture - Mécanique du Journalisme)

Sur les aspects légaux : 
https://www.service-public.fr/particuliers/vosdroits/F32031
https://www.simonassocies.com/simon-associes/qui-sommes-nous/