le management des risques au coeur du droit de la conformité
Le management des risques s’affirme comme la clé de voute des obligations de conformité des entreprises. C’est le cas en matière de lutte contre le blanchiment qui prévoit, pour les entreprises assujetties, l’obligation de mettre en œuvre des « systèmes d’évaluation et de gestion des risques de blanchiment » (article L561-32 du Code monétaire et financier). Plus explicite, l’article 17-3 de la loi Sapin 2[1] vise la mise en œuvre d’une « cartographie des risques de corruption du trafic d’influence ». De même, le plan vigilance prévu à l’article L225–102–4–1 du Code de commerce, issu de la loi sur le devoir de vigilance des sociétés mères[2], doit comprendre « une cartographie des risques destinée à leur identification, leur analyse et leur hiérarchisation ». Enfin, le règlement européen sur les données personnelles [3]oblige le responsable de traitement à déclarer à l’autorité ses seuls traitements de données qui lui apparaitront « à risque » au terme, donc, d’une procédure de gestion des risques.
À travers l’obligation de cartographie des risques, le législateur exige que l’entreprise identifie et évalue ses risques avant de mettre en œuvre des plans de traitement proportionnés à leur gravité. Le programme de conformité doit reposer sur un réel diagnostic des risques qui puisse être le garant d’un programme de conformité efficace, à défaut de quoi celui-ci sera suspecté d’être seulement formel. Il doit être souligné que l’identification des risques de commission d’une infraction, n’est pas la reconnaissance de l’infraction elle-même. Le législateur n’exige pas (encore…) que l’entreprise se dénonce, mais en revanche exige qu’elle soit consciente des risques que son activité génère et qu’elle mette des actions pour les réduire.
Le management des risques, aujourd’hui inscrit dans le droit positif, doit faire parties des compétences du juriste[4]. Les directions juridiques qui ont mis en œuvre une cartographie des risques juridiques sont familiarisées avec la méthodologie du management des risques. Les informations recueillies à l’occasion de cet exercice pourront d’ailleurs alimenter les cartographies exigées par la loi. Les directions juridiques peuvent donc voir les nouvelles obligations légales une opportunité leur permettant notamment de mener une collaboration efficace avec le risk management et le contrôle interne et plus globalement d’améliorer la culture juridique de l’entreprise.
[1] Loi n°2016-1691 du 9 décembre 2016relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique
[2] Proposition de loi relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre adoptée le 21 février 2017
[3] Règlement (UE) 2016/679 en date du 27 avril 2016
[4] Voir ISO 31000 « Management du risque. Principes et lignes directrices » et « La cartographie : un outil de gestion des risques » Collection Maîtrise des risques AMRAE