🚧Compliance Obligation: build a compliance structure producing credible effects in the perspective of the Monumental Goals targeted by the Legislator

This article explains the Compliance Obligations of companies. Delving into the mass of compliance obligations, it uses the method of classification of those that are subject to an obligation of result and those that are subject to an obligation of means. He justifies the choice of this essential criterion, which changes the objects and burden of proof of companies that are subject to an obligation of result when it comes to setting up "compliance structures" and are subject to an obligation of means when it comes to the effects produced by these compliance structures. The article then goes on to analyse the various bodies of compliance regulations ("Sapins 2", "Vigilance", CSRD, DSA, NIS2, DMA, DORA, AML-FT, and so on) and the technical compliance obligations they impose, dividing them into obligations of result or obligations of means, depending on the texts📎!footnote-4537. This table of positive law, with reference to all the articles of the texts📎!footnote-4538 makes it possible to show that in positive law the Compliance Obligation has above all an evidential dimension, which is developed in the third part of the article: the company must show that it has set up the compliance structures (obligations of result) required by the texts and it is up to third parties who criticise it for the unsatisfactory effects that these structures would have produced according to them) to show that there is a fault or negligence on the part of the company (obligation of means)

1. The need for the Compliance Obligation 🎯Some companies are subject to a Compliance Obligation. One might ask why these companies (the large ones) and not another category, or even why not all companies, or even why not everyone. One may wonder why companies which are not subject to the legal system in which this obligation was issued are nevertheless subject to it. You might wonder why they are obliged to do this or that, but not other things, since it is generally important for rules to be effective. Because we don't understand the contours of this Compliance Obligation, observers suspect arbitrariness, a seizure of power, a kind of war, a confrontation that seems all the more 'lawless'. It would be all the more inadmissible to be 'forced' to do so because this confused constraint takes legal form. The spectrum of positions is very broad: some maintain that there should be a more imperative Compliance Obligation, with colossal sanctions and obligations on the States themselves to act, while others maintain that there should be no obligation at all, with only Ethics being acceptable.

It would appear that all these discussions will only have a firm footing if the Compliance Obligation is defined.

From an examination of all the positive regulations that applies to so many scattered obligations that are recognised as being "compliance obligations", expressly named as such, and whose nomenclature will be drawn up later📎!footnote-3851, the following emerges: the Compliance Obligation entrusts those subject to it with the construction of Compliance Structures that produce credible effects with regard to the Monumental Goals targeted by the Legislator.

The purpose of this study is to establish this definition by taking it directly from positive law.

Indeed, this definition takes account of all positive law. It makes it possible both to designate in a single unity all the various mechanisms that are technically identified as coming under Compliance Law and to exclude obligations that do not come under it📎!footnote-3852.

Subsequently, in a secondary manner, disputes may clearly arise, to contest or approve the existence of such an Obligation, to propose that its force be altered or its constraint increased, to propose that its modalities be multiplied, to propose that the actors be given more or less control over it, to propose that new subjects be designated or those subject to it be removed, to propose that its scope be modified, to propose that its sources be ranked or articulated, to propose that the number of sources be restricted, etc.

To put all this together and avoid getting lost in it, we need to start with a simple, clear definition. Positive law gives us that definition. The definition that emerges from positive law is always the same: the legislator (in the formal sense o author of regulations) requires subjects of law to put in place or contribute to the operation of a Compliance Structure to produce Effects, in particular behaviours, that will converge towards the achievement of the Monumental Goals that this legislator aims to reach in Systems that are crucial for the Future.

However, even though it is provided by an examination of all positive law, this definition of the Compliance Obligation is not clearly expressed, either by the texts, which are always specific, or by the authors, who are often attached to a particular technical compliance obligation from which they will draw a general definition, against which different specific obligations will provide a dissonance, or even a contradiction, discrediting the general definition proposed.

So, from a specific example to a stated generality, with everyone having his/her own and claiming only a specific compliance obligation, depending on whether you read one or the other, companies would be obliged to show that they are actively complying with all the applicable regulations, or else... at the other end of the spectrum, they would have to exercise an immense power, that of setting their own rules, the content, scope and subjects of which they would determine, at this other end of the spectrum, they would be exercising an immense power, that of autonomously setting their own rules, the content and scope of which they would determine, and who would be subject to them - themselves as well as others. Either they would be subject to an obligation backed by the force of Criminal Law, or they would give concrete expression to the desire to do the right thing in an ethical impulse for which they would be answerable only to the conscience of individuals and the effect of reputation.

In the absence of convergence for a general definition of Compliance Obligation, we end up saying that there are as many definitions as there are cases, that we have to be 'pragmatic', that it is all very 'complex' and that without a unified definition, we will see what the next Judge, whether French, Italian, British, Dutch, European, American or other, will say depending on the case and his or her mood. This increases the fear of the Judge.

Hope then turns to algorithms, because by providing algorithmic power with all the cases that have already occurred and all the judicial decisions that have already been made by the various bodies, we could, by probability, know what the future decision will be. In the absence of understanding and mastery of the Compliance Obligation. Algorithms therefore appear to be the only hope for Compliance..., for which we have despaired of understanding anything.

The purpose of this study, and of this book, is the opposite.

As the Law must remain a human affair and present and future situations must not be produced solely by past solutions, which may be inadequate, or solely by projections into the future using probabilistic calculations, the Compliance Obligation must be clarified and unified.

It can be done.

The current state of confusion is due to a number of obstacles that must first be identified in the Prolegomena, which are necessary to overcome them.

PROLEGOMENA: THE OBSTACLES TO A CLEAR AND UNIFIED DEFINITION OF THE COMPLIANCE OBLIGATION

2. The first reason why the clarity and simplicity of the Compliance Obligation is not perceived: the nascent state of Compliance Law 🎯 In order to define, give concrete form to and ensure respect for the Compliance Obligation incumbent on companies, and in order to maintain the ambition of being able to rely on the uniqueness of this Compliance Obligation in order to be able to easily deduce its regime, it would be necessary to have at one's disposal a concept that has already been solidly built by the Law. But we do not have such a luxury when it comes to the Compliance Obligation: because Compliance Law is itself still an emerging branch of the Law, on the definition of which disputes continue to arise, giving rise to a new type of litigation which is itself emerging📎!footnote-3853, one therefore hesitate as to what the resulting Compliance Obligation is.

In practice, however, this is dramatic because the consequences of failing to comply with the Compliance Obligation are severe, with companies subject to it often protesting that they do not know the contours of what they are obliged to do. This uncertainty as to what the Compliance Obligation is, noted by all📎!footnote-3625, is nevertheless unavoidable. It is not even a defect, which would be evidence of some kind of malformation: this period of uncertainty constitutes a moment in the birth of a branch of Law📎!footnote-3626: because the Law of Compliance is in the process of emerging, the Obligation it generates for the players is still uncertain. But the more the branch of law is consolidated, the more these uncertainties will disappear. A little patience is needed for Rome to be built📎!footnote-3839.

3. The second reason why the clarity and simplicity of the Compliance Obligation is not perceived is that there are so many compliance obligations in so many different sectors. 🎯 It is by the criterion of subjection that we tend to identify a compliance obligation: the greater the force of the constraint, the more we identify a "compliance" mechanism. Compliance is therefore still usually associated with Criminal Law📎!footnote-3854. But it is now accepted that these various compliance obligations are rooted in all branches of Law. This makes it difficult to see Compliance as being unique, as long as it is not confined to one branch of Law, which may in practice fall within the remit of a specific sort of courts (the criminal court, repressive administrative structures) and an established body of academic knowledge (in particular Criminal Law and Administrative Law, Compliance being presented simply as a sort of complement that would modernise them).

Moreover, within all branches of Law, there are multiple compliance obligations that are difficult to classify📎!footnote-3840. To take the example of an economic chain of activities, International Law, Contract Law, Company Law, Competition Law and Distribution Law, Labour Law, all have points of contact with the Compliance Obligations that are generated, in particular by the way in which the ordering company must take care of the way in which the people who work, employees, collaborators, suppliers, etc., are treated throughout the chain. This obligation permeates the "value chain" (a managerial concept)📎!footnote-3808 but the branches of Law segment the uniqueness to which the concern for the individual expressed by the legislator refers. This can certainly be overcome since the Law, being itself a system, functions by articulating the various branches📎!footnote-3809, but it nevertheless constitutes an obstacle to achieving a single definition of the Compliance Obligation overarching the branches of the Law📎!footnote-3841.

4. The third reason why the clarity and simplicity of the Compliance Obligation is not perceived is the large number of compliance obligations in a wide variety of sectors. 🎯 In addition, the Compliance Obligation, which is naturally addressed to the crucial operators in the regulated sectors, concerns multiple sectors, ranging from the banking and financial sector, where it originated in the US as a reaction to the 1929 crisis📎!footnote-3810, to the energy sector, which is particularly involved in the climate system, to digital space, etc. The specific nature of each sector results in obligations that are specific to it and are recalled by each regulator, each specialist in each area, each professional organisation, etc. The Compliance Obligation is also a requirement for the operators in the regulated sectors. Each regulator, each specialist in each area and each professional organisation is reminded of the specific obligations of each. It is undoubtedly the emergence of "Systemic Litigation" before the ordinary courts📎!footnote-3811, which will bring all these sectors together by bringing back what they have in common, for example the systemic concern for sustainability to which companies have an obligation to contribute📎!footnote-3842.

5. The fourth reason why the clarity and simplicity of the Compliance Obligation is not perceived is the large number of compliance obligations contained in regulations that are far removed from one another. 🎯 Linked to the 3 previous phenomena, specialists, articles, books and events have appeared, linked to a single regulatory corpus, detailing it and not mentioning the others. This is logical in that each regulatory blocks, a term that encompasses a whole variety of texts of varying scope, contains in itself numerous compliance obligations that are already difficult to memorise, understand and articulate. The finesse of the descriptions and analyses of the solutions, often carried out in ignorance of the analyses of the solutions adopted for the obligations, albeit similar, contained in other regulatory corpus, paradoxically makes it increasingly difficult to master a set of regulations which are becoming more and more autonomous from one another. The more knowledgeable we become, the more ignorant we become - it is the current paradox of specialisation.

The growing expertise developed in relation to each regulatory block therefore makes it increasingly difficult to issue a Compliance Obligation. The erudition of compliance obligations, greatly facilitated by algorithmic searches, is a centrifugal force that makes Compliance Obligations increasingly difficult to master. Unless you leave everything to the algorithms....

6. Fifth reason why the Clarity and Simplicity of the Compliance Obligation is not perceived: the absence of a primary distinction between obligations which are sanctioned solely by the fact that the person has not achieved the result and obligations which only require an effort to be made in relation to a set goal. 🎯 But the fifth reason is the biggest obstacle. When you go from one compliance obligation to another, you get the impression that they have nothing in common. In some cases, the requirements are so stringent that the mere fact that the corporate or the person has not achieved the desired result means that they will be condemned. Other compliance obligations simply require the legal personnel to do their best. So how can there be any uniqueness in all this? How can we find common ground between those who, wishing to subject companies that are not trusted, always rely on examples of the first type of obligations, and those who, pointing out that companies cannot do everything, rely on texts that only oblige them to take diligences?

We end up thinking that positive law is badly designed... and that tomorrow legal systems will, in the wisdom of time, have resolved all these obstacles by themselves📎!footnote-3843. But it is precisely here and now that we need a clear and unified definition of the Compliance Obligation.

7. Practical need to overcome these obstacles here and now in order to define the Compliance Obligation 🎯 In practice, however, we cannot simply wait for a better tomorrow when we will have agreed on the basic definitions. Precisely because Compliance obliges companies, and considerably so. But isn't it tragic to be obliged to do something but not know exactly what?

In practice, therefore, we cannot wait for the branch of Law to reach maturity, even if we must do all we can to help it do so by producing the requisite security in practice📎!footnote-3804, we must endeavour to overcome these obstacles, which may certainly be the result of deceitful strategies on the part of the various players involved (States, companies, stakeholders, etc.) but which more often than not have to do with the nature of things (time, economic and legal structures, etc.). Instead, we must trust positive law, which is already so dense that it is derogatorily referred to as a "regulatory mass", but which does contain lines of force, to identify the spirit that drives it. There is no such thing as law without a soul, as long as it is written by human beings📎!footnote-3844.

8. Starting from the legal regimes already developed, the Uniqueness and Simplicity of the Obligation de Compliance, a new type of obligation, will be highlighted. Plan. 🎯 To do this, we propose to start from the systems that can be observed in positive law, by looking more particularly at the familiar pair in the Contract Law: 'obligation of means/obligation of result', applied here to legal obligations and sometimes to contractual obligations (I). If we look at the texts and case law, it becomes clear that the various obligations are sometimes obligations of means and sometimes obligations of result, depending on whether they are about behavioural or about structural, and that they can only be obligations of means as soon as it is a question of the subject striving to achieve the Monumental Goals for which the obligation was enacted, the evidential obligation of a credible trajectory being the central obligation (II). Thus clarified, the Compliance Obligation finds its uniqueness, strength and simplicity, being bearable by the company which must implement it because the company is in a position to strive effectively, efficiently and effectively towards the Monumental Goals for which this new type of Obligation is generated (III).

I. THE "OBLIGATION OF MEANS/OBLIGATION OF RESULT" PAIRING, A WAY OF UNDERSTANDING THE COMPLIANCE OBLIGATION IN POSITIVE LAW

9. Using positive law as a starting point for technical compliance obligations, whether of means or of result 🎯 To avoid continuing to plunge into definitional disputes without ever getting out of them, let us reverse the method by starting from the oppositions observed in the intensity of the constraints arising from the texts. Let us study the legal regime itself, applied to the many obligations that everyone agrees qualify as compliance obligations, so diverse and so numerous, and through this find a way to induce the uniqueness of the Compliance Obligation.

On the basis of positive law📎!footnote-3620, the following observation can be made: sometimes companies subject to the law are sanctioned simply because they have not achieved the result that the text has targeted, which therefore refers to what is often referred to in Contract Law as an obligation of result; in fact, companies are only penalised if a triggering event is constituted by a fault or negligence and the occurrence of this triggering event is proven by the person seeking the company's condemnation, which attests to an obligation of means. The issue is above all evidential📎!footnote-3639. This evidentiary dimension, which determines whether or not the company will be convicted, shows that the qualification of result or means is essential: if the obligation is one of means, fault or negligence is an object of proof which must be demonstrated by the person making the complaint, whereas if the obligation is one of result, it is sufficient for the person making the complaint to show that the result was not achieved for the person against whom the reproach is made to be convicted. It's all there📎!footnote-3845.

10. The virtues of ranking 🎯 Although it seems risky to transpose to legal obligations imposed by laws and regulations the expression and regime of contractual obligations📎!footnote-3675, let us therefore start from this observation of a plurality of technical obligations, some of which are obligations of means and others obligations of result (A). This plurality does not constitute a definitive obstacle to establishing a single definition of the Compliance Obligation. On the contrary, it makes it possible to shed light on the matter, to trace the paths through what is so often described as a legal hodgepodge, an unmanageable "regulatory mass"📎!footnote-3756. Such a repertory also makes it possible to classify in three interrelated categories the multitude of obligations of result that are generated by the Compliance Obligation and to measure that it is necessary to exclude posing the latter as being itself globally an obligation of result (B).

A. THE BREAKDOWN OF TECHNICAL COMPLIANCE OBLIGATIONS INTO OBLIGATIONS OF RESULT AND OBLIGATIONS OF MEANS

11. Maintain and improve behaviours on an ongoing basis with a view to achieving the goals set out in the legislation = obligation of means; implement the structures set out in the legislation = obligation of result 🎯Indeed, this essential difference between the mass of compliance obligations which are obligations of result and the mass of compliance obligations which are obligations of means, which permeates the entire evidentiary system of Compliance Law, does not, however, detract from the uniqueness of the Compliance Obligation which enables it to be defined.

Insofar as the company obliged under Compliance Law participates in the realisation of the Monumental Goals that normatively underpin it📎!footnote-364, a obligation imposed by regulations but possibly relayed by the contract📎!footnote-3641, or even by ethics📎!footnote-3757, the obligation can only be an obligation of means, by virtue of this very teleological nature and the scale of the goals pursued, for example the happy outcome of the climate crisis or the desired effective equality between human beings. The result sought is both so ambitious and so distant that to retain anything other than an obligation of means when the result envisaged is of such magnitude and distance is tantamount to condemning all undertakings in advance, which is unacceptable. However, it is nonetheless the bearer of numerous obligations to achieve results, the role of which is essential and which must be clarified.

Combining obligations to achieve results and provide resources with requirements for effectiveness, efficiency and effectiveness

12. Articuling obligations of result and obligations of means with requirements of effectiveness, efficacity and efficiency 🎯 Indeed, this established principle leaves room for the fact that the behaviours required and the effects assessed are marked out by processes put in place by structural tools, most often legally described, for example the establishment of a vigilance plan or regularly organised training, which come under the criterion of the "Effectiveness" of Compliance: these are obligations of result. As such, a plan or programme must be adopted, training must be organised, an early alert system must be set up, etc. If this result is not achieved, the obligation is not fulfilled. Whereas the positive effects produced by these structural tools (i.e. plans, programmes, mapping, evaluation, training, etc.) - positive effects that refer not to effectiveness but to "Efficacity" - are obligations of means.

For example, we can monitor the attendance of learners at training courses, which is contrôl of effectiveness, but we cannot demand that they obtain to pass on a skill, i.e. that the efficacity of the training. This is even more the case when the goal is to transform the system as a whole, i.e. to ensure that the system (banking, financial, climate, etc.) is sound, that there is a culture of equality (between human beings), and that everyone respects everyone else (preservation of the social pact): in this case, it is a question of preserving or even transforming the systems themselves, which is what efficiency is all about, and common sense dictates that an obligation of result should be ruled out and that an obligation to use one's best endeavours should be adopted.

13. The interweaving of obligations of means and obligations of results: the credibility of structures and processes (obligations of results) in generating the expected behaviours and effects with regard to the targeted goals (obligations of means): the Credibility 🎯 This does not mean that the two masses of obligations, obligations of result and obligations of means, are watertight: on the contrary, there is in communication. Indeed, it was in order to achieve this transformation of systems (digital security, sustainability of activity chains, halted climate degradation, preserved energy sovereignty, culture of respect between human beings, etc.) that regulations initially imposed on companies, through obligations of results, the adoption of structures and processes: the "effective" conditions were thus created for the emergence of "efficace" behaviours so that systems were preserved from risks over the long term and improved "efficiently"📎!footnote-3846.

14. The uniqueness of the Compliance Obligation through the continuum between structures and processes (obligation of result), on the one hand, and behaviours and cultures (obligations of means), on the other hand, a continuum which takes its meaning from the Compliance Monumental Goals 🎯The Compliance Obligation thus appears unified because gradually, and whatever the various compliance obligations in question, their intensity or their sector, the structural prerequisites of the process📎!footnote-3759 of the Compliance Obligation are techniques of result which the Law, in particular through the Judge📎!footnote-3763, will require them to be done but will not require anything more, whereas striving towards the achievement of the aforementioned Monumental Goals will be an obligation of means, which may seem lighter, but corresponds to an immeasurable ambition, in that it is on a par with these Goals📎!footnote-3760: the company will have to rely on its structures, for example a training structure, to go further, for example to ensure that the people in its care understand what they have been taught, aiming ultimately at system efficiency, for example that the people thus educated spread a culture of respect for others, referring in Europe to an ambition for civilising systems, especially the digital one 📎!footnote-3761.

15. What companies, authorities and stakeholders have to prove🎯 The result of this linkage is that companies must show not so much or only that they have followed the processes correctly (result) but that this has produced positive and expected effects📎!footnote-3762 which converge with the goals sought by the legislator📎!footnote-3758. They must also show that the structures put in place were and are capable of producing these expected and required effects with regard to the Monumental Goals: this Credibility requirement always brings us back to the evidential dimension of the Obligation of Compliance .

B. THE INADEQUACY OF A COMPLIANCE OBLIGATION CONCEIVED AS A GLOBAL OBLIGATION OF RESULT

16. The risk of making the Compliance Obligation "unbearable" by unifying it as a global obligation of result 🎯To ignore these distinctions, this gradation and this articulation would have very serious practical consequences. Indeed, transforming the Obligation of Compliance in its principle and all its modalities into an obligation of result, whereas Compliance Law takes its normativity from the Monumental Goals targeted, which attaches to it a very great ambition📎!footnote-3676, namely the safeguarding of systems in the future📎!footnote-3847, would make no sense because no entity has the power to achieve such a goal here and now. The company that has put in place the required structures (plans, training, assessments, etc.) should only be asked to take reasonable care.

17. Vigilance's illustration of a link between structures imposed by an obligation of result (the plan) and efforts required by an obligation of means (due diligence). 🎯 Indeed, this is expressly what the European Directive of 13 June 2024 on the duty of vigilance📎!footnote-3848 does. The company must show that it is making credible efforts by relying on the various structures it has put in place (policy, programme, training, assessment, etc.). In what is essential, i.e. not the processes, which are only a condition (albeit a necessary one), but in the behaviours and effects obtained on an ongoing basis it is obligations of means that the texts generate for the company.

18. Nobody can ask companies to save the world immediately by transforming the effort required into an obligation of result: we can ask them to contribute to making this ambition a reality: this is an obligation of means. 🎯 In order to qualify the company's Compliance Obligation as an obligation of result, it would have to be argued that it is not a question of asking large companies to participate in the achievement of these goals of global general interest, but of demanding that they transform, and immediately, the world into a Garden of Eden where fraternity is a given and where no pollution occurs, all risk being contained. This is neither reasonable nor rational. It would be to condemn them in advance, because the failure, conceived in this way, would be a foregone conclusion..

19. In order to limit the burden on companies, Compliance must not be reduced to mechanical processes. 🎯 To avoid this, a solution has been devised that would be just as damaging. The idea would be to abandon the definition of Compliance Law by its Monumental Goals, because it is too ambitious, too political, too idealistic, and simply require companies to obey the orders given by the legislator, to show that they obey all applicable regulations in every respect and can offer the political authorities and all stakeholders immediate satisfaction, unless they are penalised. Let them "tick the boxes" and get back to doing business.

This reduces Compliance Law to "conformity". This system of obedience is illiberal and those concerned about freedoms reject this conception, which closes in on States, companies and the people who work in them like a vice📎!footnote-3642. But Compliance Law must not be reduced to conformity, which is only one of its tools. We refer here to comparative definitional work between the two to support this affirmation📎!footnote-3849.

20. However, we should not take companies at their word that they will achieve the results desired by others or by themselves in the future. 🎯 But as much as we cannot enslave companies with a total and blind obligation to obey, we cannot be satisfied with virtuous assertions by people who, on behalf of companies and through various declarations, say that tomorrow the result will be obtained, that later equality between human beings will be achieved, that in the long term the climatic balance will be restored, etc., and that we cannot ask more of them because we cannot answer for the future and we are only responsible for past things and not for future things, and that we can't ask any more of them because we can't answer for the future and we're only responsible for the past, not the future📎!footnote-3850.

It is indeed very difficult to incur liability for non-performance of an obligation when it relates to the future, since it is an oxymoron not to have achieved goals that lie in the future. This, too, is the specificity of Ex Ante liability engendered by Compliance Law📎!footnote-3812. But this obstacle can still be overcome.

21. Forcing the production of credible effects with regard to Compliance's Monumental Goals 🎯 Companies should be obliged to show the effects that the Compliance Structures they have built because they are obliged to or because they wanted to📎!footnote-3813, have generated, as these effects ensure the credibility of the future effects announced. In this respect, the notion of Trajectory is essential and constitutes the heart of the Compliance Obligation. To sum up, the company has an obligation of result in setting up the compliance structure, an obligation of means in using this structure to achieve the Monumental Goals and an Evidential Obligation to show that, in view of the effects already produced, it is credible that the trajectory will enable it to make an effective contribution to this ambition, which may be achieved in the future. This evidential obligation will be developed in the remainder of this study📎!footnote-3823.

II. A MULTIPLICITY OF OBLIGATIONS OF RESULT AND OBLIGATIONS OF MEANS, PARTS OF A SINGLE COMPLIANCE OBLIGATION

22. Structural obligations as obligations of result; behavioural obligations as obligations of means 🎯If we look at the various regulations, it appears that the legislator sometimes gives orders to companies by requiring them to set up structures: these are obligations of result (A). But the effects produced on the behaviour of individuals or the behavioural obligations themselves constitute obligations of means (B).

A. SETTING UP THE STRUCTURES REQUIRED BY LAWS AND REGULATIONS: OBLIGATIONS OF RESULT

23. The 3 types of compliance obligations of result: de plano obligations for the company to build the compliance structure, secondary obligations in the way it is built, obligations conditional on the occurrence of a situation 🎯Examination of all the obligations to which Compliance Laws subject companies leads to distinguish three categories of obligations: obligations consisting of the company, de plano, building a Compliance Structure (1), secondary obligations linked to this construction and operation of these structures (2) and finally obligations whose triggering is conditional on the occurrence of a particular situation (3).

1. De plano companies obligations of result to build the Compliance Structure

24. L'obligation de résultat de constituer, conserver et tenir un registre de données à caractère personnel 🎯

L'article 6 du Règlement sur la protection des données à caractère personnel, dit "RGPD"📎!footnote-3766, oblige l'entreprise assujettie à assurer ses fonctions de constitution, de conservation et de tenue du registre de données personnelles, à en désigner un "responsable"📎!footnote-3764 et à recueillir le consentement des personnes pour en faire usage. L'obtention de ce consentement, la réalité de celui-ci en ce qu'il traduit la libre volonté de la personne concernée à laisser l'entreprise disposer de cette information, ainsi que la transmission de ces informations ont donné lieu à un corps si important qu'on considère souvent qu'il constitue un Droit à part entière : le Droit des données personnelles📎!footnote-3765.

En Droit européen le consentement est conçu comme l'expression de la libre volonté et doit porter également sur l'usage pour lequel la donnée est traitée. En outre, le traitement de certaines données personnelles est interdit. En ce qui concerne plus particulièrement l'obligation de sécurité que les lois font peser sur l'entreprise assujettie, il apparaît que la mise en place d'une structure assurant la sécurité du registre est requise, mais la CNIL par sa décision du 7 août 2014📎!footnote-3673 pose que l'effet attendu ne peut être une sécurité absolue : il est attendu de l'entreprise qu'elle ait pris un niveau de sécurité satisfaisant, le constat d'un faille ne suffisant pas à engager sa responsabilité. L'on appréhende à travers cette décision la distinction qui va apparaître dans tous les textes entre la mise en place de ce que l'on pourrait appeler des "structures crédibles"📎!footnote-3674, obligation de résultat, et la production d'effets par ces structures, obligation de moyens. Il apparaît ainsi que la mise en place de la structure des registres et de leur garde est une obligation de résultat, la protection des personnes concernées contre l'usage sans leur volonté des informations est une obligation de moyens, mais il faut que dès le départ l'entreprise montre que la structure qu'elle a mis en place soit "crédible", c'est-à-dire soit suffisamment robuste et efficace pour produire raisonnablement cet effet-là, ce pour quoi l'entreprise fera par ailleurs diligence (obligations de moyens).

25. L'obligation de résultat de mettre en place une politique, un dispositif, des procédures internes, de gestion des risques, comprenant les différents Outils de Compliance visés par les lois 🎯 De nombreux textes de Compliance contiennent une obligation première consistant à imposer aux entreprises de mettre en place des dispositifs, politiques, procédures internes de gestion des risques systémiques que ceux-ci cherchent à prévenir. Les textes détaillent ensuite le contenu de cette obligation, qui correspond à l'adoption et la mise en oeuvre de divers Outils de Compliance : cartographie des risques, dispositif d'alerte, formation, etc. Ainsi, la loi "Sapin 2" oblige les entreprises assujetties à prendre des "mesures destinées à prévenir et à détecter la commission [...] de faits de corruption ou de trafic d'influence"📎!footnote-4479. En matière financière, le règlement anti-blanchiment exige que les entreprises assujetties "disposent de politiques, de procédures et de contrôles internes visant à garantir la conformité" aux règles anti-blanchiment et de gel des avoirs📎!footnote-4481, le droit national imposant quant à lui la mise en place d'une "organisation" et de "procédures internes"📎!footnote-4482. Le RIA impose notamment aux fournisseurs de SIA à haut risque de mettre en place un "système de gestion de la qualité", lequel comprend un "système de gestion des risques", qui implique une identification et évaluation des risques, l'adoption de mesures appropriées, etc.📎!footnote-4485. En matière de cybersécurité, le règlement DORA impose aux entités financières assujetties de disposer d'un "cadre de gestion du risque lié aux TIC", qui comprend notamment leurs stratégies, politiques et procédures pour "parer au risque lié aux TIC"📎!footnote-4486. Elles doivent également adopter des politiques et procédures de sauvegarde et des procédures et méthodes de restauration et de rétablissement📎!footnote-4487. La directive NIS 2 prévoit quant à elle que les entités essentielles doivent prendre des "mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information" auxquelles elles ont recours, puis là encore détaille par la suite le contenu de celles-ci📎!footnote-4488.

Enfin, la loi "Vigilance" engendre d'une façon semblable une obligation de résultat contraignant l'entreprise à adopter formellement un plan comprenant expressément des Outils de Compliance que le législateur a listé. Les effets produits par ces outils relèvent quant à eux d'une obligation de moyens, comme cela sera développé plus loin, mais l'adoption même de ce plan et la présence de tel ou tel mécanisme de Compliance visé par la loi sont quant à eux, pour l'entreprise assujettie, une obligation de résultat📎!footnote-4483.

De la même façon, la CS3D, même si elle n'impose pas l'adoption d'un plan formel de vigilance, impose aux entreprises assujetties l'intégration explicite du devoir de vigilance dans leurs politiques et leurs systèmes de gestion des risques, ce qui correspond donc à une obligation de résultat. Les autres textes européens qui se réfèrent à des mécanismes de vigilance n'exigent pas cette présence explicite des outils de vigilance au sein de la politique générale de l'entreprise ni dans leur système de gestion des risques. Ce formalisme peut éventuellement paraître excessif si l'entreprise parvient à produire par ailleurs les effets attendus par le Législateur.

26. L'obligation de résultat d'adopter un programme, un plan, ou un code de conduite Ex Ante visé par la loi 🎯Plusieurs lois exigent expressément des entreprises qu'elles adoptent de plano un plan ou un programme. C'est le cas de la loi "Sapin 2" qui, dans son article 17📎!footnote-3769 pose l'obligation pour l'entreprise d'adopter un "code de conduite" puis détaille un ensemble de mesures et procédures à mettre en oeuvre. Recopiant quasiment le mécanisme, la loi de 2017 dite "Vigilance"📎!footnote-3767, impose à l'entreprise d'adopter un plan de vigilance, listant les dispositifs qu'il doit comprendre ou auxquels il doit se référer. Ainsi l'entreprise qui n'en adopte pas alors qu'elle est assujettie à ces lois doit justifier l'inexécution de son obligation légale. Dans le même sens, la directive CS3D, si elle n'impose pas à l'entreprise d'établir un plan de vigilance semblable à celui de la loi française de 2017, l'oblige a intégrer le devoir de vigilance dans ses politiques et systèmes de gestion des risques, et précise que cela doit se matérialiser notamment par un code de conduite📎!footnote-4283.

27. L'obligation de résultat de mise en place d'un système d'alerte 🎯 Sous diverses appellations, de nombreux textes imposent à l'entreprise de mettre en place un système d'alerte, permettant à des personnes évoluant en son sein ou à des tiers de lui signaler de potentiels manquements, avec pour objectif que l'entreprise ainsi informée puisse dans un second temps agir. Tel est en premier lieu le cas de la loi "Sapin 2", laquelle contient les règles d'une sorte de droit commun de l'alerte et impose par ailleurs à l'entreprise de mettre en oeuvre un dispositif d'alerte interne à destination de ses employés📎!footnote-4082. Le mécanisme d'alerte est également une des mesures à inclure dans le plan de vigilance et à mettre en oeuvre au titre de la loi de 2017📎!footnote-4083. Il fait également partie des éléments composant le devoir de vigilance européen, les entreprises assujetties devant mettre en place un "mécanisme de notification et une procédure relative aux plaintes"📎!footnote-4085. Le DSA prévoit quant à lui l'obligation pour les fournisseurs de services d’hébergement de mettre en place des mécanismes de notification, permettant à toute personne de leur signaler un contenu illicite📎!footnote-4084. Sans prévoir directement l'obligation pour l'entreprise de mettre en place un dispositif d'alerte ou de signalement spécifique, le DMA prévoit que les signalement de ses violations relèvent de la directive sur le lancement d'alerte, de sorte que le dispositif d'alerte établi par les entreprises en application de ce texte et de ses dispositions nationales de transposition (en France la loi "Sapin 2") permet de lancer l'alerte sur les manquements à ses dispositions. En matière de lutte contre le blanchiment d'argent, le règlement européen relatif à la LCB-FT prévoit que les entreprises assujetties doivent établir des canaux de signalement interne📎!footnote-4086. Quant à la cybersécurité, les entités financières assujetties au règlement DORA ont l'obligation d'établir et mettre en oeuvre un processus de gestion des incidents liés aux TIC, lequel comprend notamment les procédures internes de remontée des informations, y compris les plaintes des clients liées aux TIC📎!footnote-4471.

28. L'obligation de résultat d'établissement d'une cartographie des risques 🎯La cartographie des risques est un outil central en Droit de la Compliance📎!footnote-4188, permettant à l'entreprise d'identifier les risques générés par son activité afin dans un second temps d'agir sur ceux-ci. Il est ainsi logique de retrouver l'obligation d'établir une cartographie des risques dans de nombreux textes de Compliance. Tel est le cas de la loi "Sapin 2", dont l'article 17 vise la cartographie des risques au titre des mesures et procédures que l'entreprise a l'obligation de mettre en place📎!footnote-4189. C'est également le cas en matière de vigilance, la loi de 2017 prévoyant que la cartographie des risques est l'un des éléments que doit comprendre le plan de vigilance📎!footnote-4190, et la CS3D disposant qu'au titre de leur devoir de vigilance les entreprises assujetties ont l'obligation de recenser et évaluer les incidences négatives réelles ou potentielles, notamment en réalisant une cartographie📎!footnote-4191. Quant à la CSRD, elle ne contient pas d'obligation expresse et directe pour l'entreprise d'établir une cartographie des risques. Toutefois, en obligeant l'entreprise à établir et publier un "rapport de durabilité" selon un principe de double matérialité, elle conduit l'entreprise à identifier et évaluer non seulement ses impacts sur les enjeux de durabilité (matérialité d'impact) mais encore les risques et opportunités en lien avec ces enjeux (matérialité financière). Ce faisant, le processus mis en oeuvre se rapproche d'une cartographie, si ce n'est des risques, plus largement des impacts, risques et opportunités. Par ailleurs, s'il n'impose pas expressément l'établissement d'une cartographie des risques, le corpus de règles relatif à la lutte contre le blanchiment d'argent et le financement du terrorisme oblige l'entreprise assujettie à mettre en place des politiques et procédures internes devant comprendre une "réalisation et [une] actualisation de l’évaluation des risques à l’échelle de l’entité"📎!footnote-4192, ce qui en droit français se traduit par une obligation de définir et mettre en place des dispositifs d'identification et d'évaluation des risques de blanchiment des capitaux et de financement du terrorisme auxquels elles sont exposées📎!footnote-4476. Le RGPD, quant à lui, ne pose pas d'obligation générale d'établissement d'une cartographie des risques. Toutefois, il prévoit que lorsque le traitement "est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques", alors le responsable de traitement doit préalablement effectuer une "analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel", cette analyse comprenant notamment une évaluation des risques pour les droits et libertés des personnes concernées📎!footnote-4289. Le DSA impose aux fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne de recenser, analyser et évaluer tout risque systémique généré par la conception ou le fonctionnement de leurs services et systèmes connexes ou de l'utilisation de leurs services📎!footnote-4290. Cela revient à leur imposer d'établir une cartographie des risques, laquelle n'a pas à être publiée mais doit être conservée en vue d'un éventuel contrôle par la Commission ou les autorités nationales📎!footnote-4291. L'IA Act appréhende les différents systèmes d'intelligence artificielle à travers les risques qu'ils génèrent et adopte une approche fondée sur les risques générés. Ainsi, pour les systèmes d'IA à haut risque, il est nécessaire d'établir un système de gestion des risques devant comprendre une identification et une analyse des risques que le système d'IA peut ou pourrait engendrer pour la santé la sécurité ou les droits fondamentaux📎!footnote-4292. De même, pour les modèles d'IA à usage général il convient d'identifier les risques systémiques qu'ils génèrent📎!footnote-4293. En matière de cybersécurité, les fabricants de produits comportant des éléments numériques ont l'obligation d'entreprendre une évaluation des risques de cybersécurité associés à leur produit, afin de recenser les risques et exigences essentielles de cybersécurité pertinents📎!footnote-4473. Spécifiquement pour les entités financières, le règlement DORA impose quant à lui, sans mentionner expressément le terme "cartographie", d'identifier de manière continue toutes les sources de risque lié aux TIC et d'évaluer les cybermenaces et les vulnérabilités des TIC qui concernent leurs fonctions "métiers" s’appuyant sur les TIC, leurs actifs informationnels et leurs actifs de TIC📎!footnote-4472. Enfin, la directive NIS 2 impose aux entités essentielles et importantes de prendre des mesures de gestion des risques de cybersécurité, ce qui se traduit notamment par des politiques d'analyse et des évaluations des risques, sans qu'une cartographie stricto sensu ne soit exigée📎!footnote-4474. Là encore, c'est l'existence d'un telle politique qui constitue une obligation de résultat, non sa production d'effets. En dernier lieu, là encore sans aller jusqu'à exiger expressément une cartographie des risques, le règlement déforestation impose aux entreprises assujetties de récolter de l'information quant au respect des exigences du texte par les produits visés et d'évaluer le risque de non-conformité de ceux-ci, ce qui revient in fine à exiger des opérateurs une forme de cartographie des risques📎!footnote-4475.

29. L'obligation de résultat d'une procédure de connaissance du client (LCB-FT) 🎯 En matière de lutte contre le blanchiment d'argent et le financement du terrorisme, le règlement anti-blanchiment impose à l'entreprise assujettie d'adopter des politiques et procédures internes qui lui permet notamment d'être vigilante à l'égard de ses clients📎!footnote-4497. Le droit interne prévoit que l'entreprise assujettie est tenue d'appliquer des "mesures de vigilance" à l'égard de ses clients, au titre desquelles elle a notamment l'obligation de résultat de mettre en place des "dispositifs d'identification et d'évaluation des risques de blanchiment des capitaux et de financement du terrorisme" ainsi qu'une "politique adaptée à ces risques"📎!footnote-4495. De même, les organismes financiers ont l'obligation de mettre en place des dispositifs adaptés permettant de détecter toute opération au bénéfice d’une personne ou d’une entité faisant l’objet d’une mesure de gel des avoirs constitue une obligation de résultat📎!footnote-4489. Enfin, au titre de la loi "Sapin 2", l'entreprise assujettie doit établir une procédure d'évaluation des tiers, notamment de ses clients📎!footnote-4496.

30. L'obligation de résultat d'une procédure d'évaluation régulière des tiers 🎯La procédure d'évaluation des tiers est une obligation issue des lois de Compliance, qu'il s'agisse de la loi dite "Vigilance", qui exige l'établissement d'une procédure d'évaluation des filiales, des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie📎!footnote-4275 ou de la loi "Sapin 2", qui prévoit également une telle procédure à son article 17, visant quant à elle les "clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques"📎!footnote-4193. C'est également le cas en matière d'anti-blanchiment, le règlement anti-blanchiment qui prévoiyant des obligations d'évaluation des clients au titre de des mesures de vigilance que l'opérateur assujetti doit déployer à l'égard de sa clientèle📎!footnote-4498, tout comme les dispositions de droit national!footnote-4499. Enfin la CS3D pose l'obligation pour les entreprises assujetties de procéder à des "évaluations périodiques" de leurs propres activités et mesures, de celles de leurs filiales et, lorsqu’elles sont liées à la chaîne d’activités de l’entreprise, de celles de leurs partenaires commerciaux📎!footnote-4501. En outre, la directive oblige les entreprises assujetties à recenser les incidences négatives réelles et potentielles non seulement de son activité mais encore de celle de ses filiales et partenaires commerciaux s'insérant dans leur chaîne d'activité, ce qui les conduit à mettre en place de telles procédures📎!footnote-4500.

31. L'obligation de résultat de mettre en place une formation 🎯 La formation est un outil central en matière de Compliance📎!footnote-4284, présent dans de nombreux textes de Compliance. Tel est le cas de la loi "Sapin 2"📎!footnote-4285, du règlement anti-blanchiment du 31 mai 2024📎!footnote-4459, ou bien encore des règles de droit national en matière de lutte contre le blanchiment d'argent et le financement du terrorisme📎!footnote-4477 et de gel des avoirs📎!footnote-4478. La CS3D mentionne les formations au titre des mesures de soutien qu'un opérateur assujetti doit fournir à un partenaire contractuel qui serait une PME, l'opérateur pouvant ainsi donner accès à des possibilités de formation📎!footnote-4286. Au titre du RGPD, les règles d'entreprise contraignantes doivent notamment comprendre une formation en matière de protection des données personnelles pour les employés ayant un accès permanent ou régulier à de telles données📎!footnote-4490. Le RIA impose quant à lui une obligation générale de maîtrise de l'IA, qui se traduit notamment par l'obligation pour les fournisseurs et déployeurs de prendre des mesures pour garantir, "dans toute la mesure du possible", "un niveau suffisant de maîtrise de l’IA pour leur personnel et les autres personnes s’occupant du fonctionnement et de l’utilisation des systèmes d’IA pour leur compte"📎!footnote-4491 et des obligations de formation, par exemple du fournisseurs à l'égard du déployeur d'un SIA à haut risque📎!footnote-4492. Comme le montre l'expression "dans [...] la mesure du possible", l'atteinte du résultat visé, c'est à dire que la formation permette d'augmenter les connaissances et compétences des participants afin d'engendrer, dans un second temps, des comportements qui auront un effet positif sur le système, constitue une obligation de moyens. Seule la mise en place d'une formation constitue une obligation de résultat. Enfin, en matière de cybersécurité, le règlement DORA impose quant à lui aux entités financières assujetties d'élaborer des "programmes de sensibilisation à la sécurité des TIC" ainsi que des "formations à la résilience opérationnelle numérique" et de les intégrer à leurs programmes de formation du personnel sous forme de modules obligatoires!footnote-4493.

Ainsi, si l'existence de la formation (effectivité) constitue une obligation de résultat, la propension de celle-ci à atteindre le but fixé (efficacité) - en l'occurrence l'acquisition de connaissances par les participants - et à produire dans un second temps des effets sur le système (efficience) relèvent quant à elles d'obligations de moyens.

32. L'obligation de résultat de mettre en place un dispositif de contrôle interne, ou de suivi des mesures 🎯Les entreprises ne doivent pas seulement adopter des "mesures" permettant de détecter, prévenir et le cas échéant remédier aux risques visés par les différents textes de Compliance, elles ont en outre l'obligation de contrôler la production d'effets par celles-ci, afin le cas échéant d'adapter lesdites mesures, les changer ou en adopter de nouvelles. C'est pourquoi les différents textes de Compliance obligent les entreprises à mettre en place des dispositif de suivi des mesures prises. Tel est le cas de la loi "Sapin 2"📎!footnote-4287, de la loi "Vigilance"📎!footnote-4288 ou bien encore de la CS3D!footnote-4502. L'IA Act prévoit quant à lui une procédure d'évaluation de la conformité fondée sur le contrôle interne, à laquelle doivent recourir certains fournisseurs de SIA à haut risque pour évaluer la conformité de celui-ci📎!footnote-4503. Il en va de même pour le fabricant qui aurait à démontrer la conformité d'un produit comportant des éléments numérique au règlement cyberrésilience📎!footnote-4509. Le règlement DORA impose quant à lui aux entittés financières assujetties de disposer d'un cadre de contrôle interne📎!footnote-4510. En matière de lutte contre le blanchiment d'argent et le financement du terrorisme, le règlement européen du 31 mai 2024 prévoit que les entreprises assujetties doivent mettre en place des mesures de contrôle interne📎!footnote-4504, tout comme le droit national📎!footnote-4505, y compris en matière de gel des avoirs📎!footnote-4506. Le DSA comme le DMA obligent les entreprises assujetties à mettre en place une fonction de vérification de la conformité, chargé d'opérer un contrôle du respect du règlement📎!footnote-4508. Enfin, le règlement déforestation prévoit également la mise en place de mesures de contrôle interne, afin de détecter et prévenir le risque de non-conformité au règlement des produits en cause📎!footnote-4507.

2. Obligations de résultat secondaires dans la construction et le fonctionnement des structures de Compliance

33. Obligation de concertation avec les parties prenantes : exigence de la loi Vigilance et de la CS3D ; absence d'exigence de la CSRD 🎯Afin de satisfaire son Obligation de Compliance, l'entreprise a besoin d'information. C'est à ce titre qu'il est courant de retrouver dans les textes des incitations, voire des obligations, de dialogue avec les parties prenantes. Ainsi, en matière de vigilance, si en application de la loi française dite "Vigilance" le plan de vigilance "a vocation à être élaboré en association avec les parties prenantes"📎!footnote-4461 - ce qui ne signifie pas co-construit - le mécanisme d'alerte qu'il comprend doit quant à lui être élaboré "en concertation avec les organisations syndicales représentatives"📎!footnote-4462, ce qui va plus loin que la simple association et "suppose une transmission d'éléments d'information et un échange de points de vue et de propositions sur la rédaction du contenu et la mise en oeuvre du mécanisme à établir, en vue, et donc en amont, de son élaboration"📎!footnote-4463. Dans le même sens, la CS3D impose une association des parties prenantes aux différents stades du devoir de vigilance, de la collecte des informations à l'élaboration d’indicateurs qualitatifs et quantitatifs de suivi📎!footnote-4466. L'entreprise a ainsi l'obligation de "mener des échanges constructifs avec les parties prenantes"📎!footnote-4464 et de prendre des "mesures appropriées pour mettre en place des échanges efficaces avec les parties prenantes"📎!footnote-4465. De manière plus spécifique, le texte prévoit que la "politique en matière de devoir de vigilance" est "élaborée après concertation avec les salariés de l’entreprise et leurs représentants"📎!footnote-4480.

Il convient toutefois de souligner que ces diverses obligations de prise en compte, d'association des parties prenantes ne vont pas jusqu'à permettre à celles-ci de décider de la stratégie et de la gestion de l'entreprise, ni même de "co-décider". La distinction entre les shareholders et les stakeholders demeure. Les parties prenantes sont consultées parce qu'elles matérialisent une partie des intérêts qui sont extérieurs à l'entreprise et qu'on lui demande de connaître et de "prendre en considération".

Au contraire, une telle exigence ne figure pas dans la CSRD. Il est en effet essentiel de distinguer l'obligation de faire, de l'obligation de dire, de l'incitation à consulter les parties prenantes. Dans la CSRD, il ne s'agit aucunement d'une obligation de faire qui consisterait à consulter les parties prenantes dans l'élaboration du rapport de durabilité, mais simplement, d'une part d'une recommandation d'associer celles-ci dans l'élaboration du rapport📎!footnote-4467, et d'autre part d'une obligation de dire, qui consiste pour l'entreprise à reporter sur la manière dont les intérêts et points de vue des parties prenantes sont "pris en considération par l’entreprise dans sa stratégie et son modèle économique"📎!footnote-4460. En revanche, si les entreprises organisent une telle concertation, ce que de fait elles font, c'est parce qu'elles font usage de leur volonté et non pas pour obéir à la loi📎!footnote-4468.

D'une façon plus générale, les diverses réglementations ne posent pas une consultation des parties prenantes📎!footnote-4469. La tendance de certains auteurs à désigner la consultation des parties prenantes comme étant une sorte de règle générale n'est donc pas exacte. Il s'agit davantage d'une pratique mise en place par les organes de direction.

34. Obligation de publicité des structures de Compliance 🎯 Plusieurs textes de Compliance obligent les entreprises non seulement à adopter des structures de Compliance, mais encore à rendre compte de celles-ci en les exposant dans un document rendu public. Tel est le cas de la loi "Vigilance", qui oblige l'entreprise à publier son plan de vigilance et le compte-rendu effectif de la mise en oeuvre de celui-ci dans son rapport de gestion📎!footnote-4511. La CS3D impose quant à elle à l'entreprise assujettie de "communiquer publiquement sur le devoir de vigilance", en publiant sur leur site internet une "déclaration annuelle" qui correspond à un "rapport sur les questions couvertes par la [...] directive"📎!footnote-4512.

La CSRD impose quant à elle aux entreprises assujetties de publier des informations en matière de durabilité - plus connues sous l'appellation "rapport de durabilité" -, au sein d'une section de leur rapport de gestion📎!footnote-4513.

On mesure en pratique que les entreprises publient davantage que la loi ne les y contraint, soit qu'elles rendent spontanément disponible des informations qui ne sont que quérables à l'initiative des personnes intéressées, soit qu'elles publient des informations qui pourraient demeurer purement et simplement internes. Il s'agit alors d'une politique volontaire qui leur est propre.

35. L'obligation de résultat d'organiser un système interne de sanctions disciplinaires : exigence de la loi "Sapin 2" 🎯L'article 17 de la loi dite "Sapin 2"!footnote-3778 impose à l'entreprise la mise en place d'un "régime disciplinaire permettant de sanctionner les salariés de la société en cas de violation du code de conduite de la société". Il n'y a que la loi "Sapin 2" qui oblige les entreprises à l'adoption d'un tel système de sanction disciplinaire. On observe en pratique que des entreprises ont choisi d'organiser spontanément un tel système pour accroitre l'efficacité d'autres corpus réglementaires.

3. Obligations de résultat conditionnée à l'apparition d'une situation particulière

36. L'obligation de résultat conditionnée de mettre en place des actions adaptées et suivies d'atténuation des atteintes ou des risques d'atteinte : apparition de cette obligation s'il apparaît une perspective d'atteintes graves ou de risques avérés 🎯Les textes de Compliance sont fondés sur une approche par les risques. Ainsi, une fois que l'entreprise a identifié les risques que le texte en cause cherche à prévenir, notamment via une cartographie de ceux-ci, elle doit agir en considération de ceux-ci. Les textes obligent ainsi les entreprises à adopter des "mesures adaptées", des "mesures appropriées", etc., c'est-à-dire des mesures adéquates et proportionnées au regard des risques qu'elles ont identifiés, afin de prévenir la réalisation de ceux-ci et le cas échéant d'y remédier voire de réparer. C'est donc cette identification première d'un risque, qui déclenche l'obligation d'adoption par l'entreprise assujettie de telles mesures. En outre, si l'adoption et la mise en place de la mesure, le fait qu'elle existe (effectivité), constitue une obligation de résultat, le caractère "adapté" ou "approprié" de celle-ci, c'est à dire sa capacité à atteindre le but fixé (efficacité) et à produire des effets systémiques (efficience), constitue nécessairement une obligation de moyens.

La loi dite "Sapin 2" impose aux entreprises de mettre en place un "dispositif de contrôle et d'évaluation interne des mesures mises en œuvre"📎!footnote-4514. La loi "Vigilance" pose que l'entreprise doit prendre des "actions adaptées d'atténuation des risques et de prévention des atteintes graves" et doit organiser le suivi de ces actions📎!footnote-4515. De nombreux textes européens obligent l'entreprise à prendre des "mesures appropriées" afin de prévenir les risques identifiés. Tel est le cas du règlement déforestation!footnote-4519, de la CS3D, qui oblige à prendre des "mesures appropriées" notamment afin de prévenir les "incidences négatives"📎!footnote-4516, ou bien encore le RIA, qui au titre du système de gestion des risques mis en place en cas de système d'IA à haut risque impose "l’adoption de mesures appropriées et ciblées de gestion des risques, conçues pour répondre aux risques identifiés"📎!footnote-4517. Toujours au regard des risques identifiés et de manière proportionnée, le RGPD exige du responsable de traitement et de son éventuel sous-traitant de mettre en oeuvre des "techniques et organisationnelles appropriées"📎!footnote-4518. Le DSA oblige les fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne à mettre en place des mesures d'atténuation des risques, désignées comme "mesures d’atténuation raisonnables, proportionnées et efficaces, adaptées aux risques systémiques spécifiques recensés"📎!footnote-4520. L'on retrouve là encore l'adoption de telles mesures au regard des risques identifiés et la proportionnalité. Tel est également le cas en matière de lutte contre le blanchiment d'argent et le financement du terrorisme, le règlement européen du 31 mai 2024, qui exige l'adoption de "mesures appropriées" de gestion des risques📎!footnote-4521, ou du droit national qui, au titre des obligations de vigilance à l'égard de la clientèle, exigent la mise en place d'une "politique adaptée" aux risques identifiés📎!footnote-4522. Enfin, en matière de cybersécurité, les fabricants de produits comportant des éléments numérique doivent disposer de "politiques et procédures appropriées" en application du règlement cyberrésilience📎!footnote-4523, les entités financières doivent déployer des "outils, [...] stratégies et [...] procédures appropriés en matière de sécurité des TIC aux termes du règlement DORA et, enfin, en application de la directive NIS 2, les entités essentielles et importantes doivent adopter des "mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information" auxquels elles ont recours📎!footnote-4524.

La mise en place de telles mesures "adaptées" ou "appropriées", le fait qu'elles existent (effectivité), constitue une obligation de résultat. En revanche, la production d'effets par celles-ci qui sont de nature à atteindre les objectifs fixés par la règle (efficacité) et ainsi à affecter le système (efficience), relève quant à elle d'une obligation de moyens.

En outre, dès l'instant que la mesure élaborée par l'entreprise assujettie porte effectivement sur la difficulté ou la défaillance identifiée, elle est présumée adaptée. C'est donc à celui qui se prévaudrait de la mesure effectivement adoptée, en alléguant qu'elle est néanmoins inadaptée, de démontrer son inadaptation.

37. L'obligation de résultat conditionnée de transmission ou de non-transmission d'information à des tiers : apparition de cette obligation si l'on est détenteur de l'information 🎯 En matière de lutte contre le blanchiment d'argent et le financement du terrorisme, les professionnels assujettis ont l'obligation de déclarer à Tracfin les sommes ou opérations portant sur des sommes "dont elles savent, soupçonnent ou ont de bonnes raisons de soupçonner qu'elles proviennent d'une infraction passible d'une peine privative de liberté supérieure à un an ou sont liées au financement du terrorisme"📎!footnote-4533. Les personnes qui n'entreraient pas dans la liste des professionnels assujettis (, etc.) et qui "dans l'exercice de leur profession, réalisent, contrôlent ou conseillent des opérations entraînant des mouvements de capitaux" ont quant à elle l'obligation d'effectuer une déclaration au procureur pour des opérations dont elles ont connaissance et dont elles savent que les sommes en cause proviennent d'une infraction visée à l'article L. 561-15 du CMF📎!footnote-4534.

Ces obligations de déclaration se déclenchent en raison de la connaissance de la provenance illégale des sommes pour la seconde et de la connaissance, du soupçon ou de l'existence d'indices permettant de soupçonner cette origine illégale pour la première. Dans les deux cas ces obligations n'imposent pas à l'opérateur de rechercher des informations quant à l'origine des fonds. D'autres obligations, notamment de vigilance, l'amèneront pour partie à le faire. Mais ici il n'a pas à chercher à collecter des informations, il n'a pas une obligation de savoir. En revanche, s'il acquiert cette connaissance, ou s'il soupçonne ou devrait soupçonner, en raison des éléments de faits entourant les sommes ou l'opération, que celles-ci présentant un caractère illégal, alors son obligation de déclaration se déclenche.

Toutefois, il se peut que cette obligation de déclaration soit bloquée, en ce qu'elle se heurterait à un secret. Ainsi et par exemple, les avocats qui interviennent dans une activité juridictionnelle ou donnent une consultation juridique (à condition que celle-ci ne soit pas fournies à des fins de blanchiment de capitaux ou de financement du terrorisme et/ou que l'avocat ne sache pas que c'est à cette fin que le client le demande) n'ont pas à effectuer de déclaration📎!footnote-4535. Le secret, qui constitue une obligation de non-transmission d'information, fait ainsi, par exception, échec à leur obligation de déclaration, c'est à dire de transmission d'information. En outre, ce même secret justifie que, lorsqu'ils interviennent au titre de leur activité de conseil et hors consultation juridique, leur obligation de déclaration soit aménagée : il existe un filtre du bâtonnier, de sorte qu'ils ne transmettent pas l'information directement à Tracfin mais à leur bâtonnier, qui à son tour communiquera l'information à Tracfin s'il estime que les conditions sont réunies📎!footnote-4536.

38. L'obligation de résultat conditionnée d'action sur un contenu illicite : apparition de cette obligation si l'on est détenteur de l'information - le DSA 🎯 Le DSA commence par poser que les fournisseurs de service de la société de l'information ne sont en principe pas "responsables" du simple transport, de la mise en cache ou de l'hébergement de contenus illicites📎!footnote-4526. L'on retrouve ici la traditionnelle distinction entre l'éditeur et l'hébergeur d'un contenu, le second n'étant en principe pas responsable en raison de celui-ci📎!footnote-4530. Ces mêmes opérateurs n'ont en outre aucune obligation générale de "surveillance ou de recherche active de faits" illicites📎!footnote-4525.

Toutefois, à partir du moment où l'opérateur assujetti acquiert la connaissance de l'existence d'un contenu illicite, par une injonction d'agir émanant des autorités publiques📎!footnote-4527 ou par une notification émanant de toute personne📎!footnote-4528 ou d'un signaleur de confiance📎!footnote-4529, il perd le bénéfice de cette exemption de responsabilité et a l'obligation d'agir sur le contenu en cause📎!footnote-4531. Le déclenchement de son obligation d'agir est ainsi conditionnée à son information préalable, par un tiers, de l'existence d'un contenu illicite. En revanche, le fait pour l'opérateur de procéder "de [sa] propre initiative, de bonne foi et avec diligence, à des enquêtes volontaires" ou de prendre "d’autres mesures destinées à détecter, à identifier et à retirer des contenus illicites, ou à rendre l’accès à ces contenus impossible" ne lui fait pas perdre le bénéfice des exemptions précitées et ne déclenche pas d'obligation d'action📎!footnote-4532.

39. L'enjeu majeur de la charge de prouver l'existence de la situation déclenchant l'obligation de résultat 🎯Lorsque la situation est constituée, par exemple lorsque l'information est connue, lorsque la sanction est prononcée, l'obligation de compliance est de résultat : l'entreprise doit transmettre l'information ou au contraire ne pas la communiquer, l'établissement doit geler les avoirs. Mais la question est de savoir qui doit prouver l'existence même de cette situation qui déclenche l'obligation de résultat : est-ce celui qui doit agir (transmettre l'information, rendre indisponible l'information, rendre l'indisponible l'avoir, etc.) ou est-ce celui qui veut bénéficier de l'exécution de l'obligation de résultat ? Par exemple l'Autorité de régulation, ou une partie prenante ? Est-ce à eux de démontrer que celui qu'ils désignent comme assujetti à cette obligation était bien dans la situation qui le contraignait ? Ou doit-on considérer que c'est encore à l'entreprise de démontrer qu'elle était dans la situation requise pour agir (et geler par exemple un avoir) ou pour ne pas agir (et par exemple ne transmettre une information car les éléments constituant un soupçon n'étaient pas réunis) ?.

Parce que nous sommes dans un système libéral, c'est à celui qui prétend que l'entreprise aurait dû agir ou aurait dû ne pas agir de démontrer qu'elle était dans une situation qui avait engendré son obligation (par exemple un fonctionnement objectivement anormal d'un compte bancaire, obligeant l'établissement à opérer des contrôles et à transmettre des informations sur les personnes).

Parce que les charges de preuve ne sont pas si tranchées en pratique, les entreprises doivent toujours préconstituer la preuve de leurs diligences dans le contrôle des situations dans lesquelles elles sont impliquées (flux d'argent, gestion d'infrastructure impliquant les personnes et la nature) même si la charge de preuve ne leur incombe pas car dans un débat autour d'une Obligation de Compliance qui se traduit par une action en continu la passivité probatoire n'est pas pour autant adéquate.

B. LES EFFETS ATTENDUS DU FONCTIONNEMENT DE LA STRUCTURE DE COMPLIANCE, CONSTITUTIFS D'OBLIGATIONS DE MOYENS

40. De Droit, tout ce qui n'est pas une obligation de résultat doit recevoir le statut d'une obligation de moyens 🎯Dans un Etat de Droit fondé sur la liberté des personnes, tout ce qui n'est pas une action précise expressément exigée par la loi à la charge des personnes assujetties mais relève d'une mission générale doit être qualifiée d'une obligation de moyens. Cela implique que le fait de ne pas atteindre le résultat immédiatement ne constitue pas un manquement avéré à la prescription légale, la responsabilité de l'assujetti à la loi supposant la démonstration d'une faute ou d'une négligence.

41. La notion de "diligence raisonnable", expression même de l'obligation de moyens : la CS3D, pointe avancée de l'Obligation de Compliance 🎯La directive du 13 juin 2024 sur le devoir de vigilance demande aux entreprises assujetties de faire preuve de "diligences raisonnables". Cela suppose qu'au-delà de la mise en place des structures mêmes de compliance, par exemple un plan ou un système d'alerte, et de certaines façons de faire expressément visées, comme la concertation ou la formation, elles doivent agir pour viser à obtenir les effets attendus par le législateur. Ce dispositif qui consiste à attendre des entreprises des actions qui engendrent des effets orientés vers les buts visés par le législateur lui-même, qui est la ratio legis du devoir de vigilance et en fait la "pointe avancée" du Droit de la compliance📎!footnote-3806, peut donc être généralisé à toutes les obligations de compliance qui ne relèvent pas des 3 catégories d'obligations de résultat précédemment décrites📎!footnote-3807.

42. L'exemple de l'obligation de formation 🎯La formation est une obligation essentielle engendrée par le Droit de la Compliance📎!footnote-3814. Dans sa part de structure, c'est-à-dire son organisation matérielle, la présence d'enseignants, la tenue des cours, le nombre d'heures, la sollicitation d'apprenants visés, l'existence de contrôles, etc., il s'agit d'une obligation de résultat. Mais quant à savoir si ceux-ci ont compris ce qui leur a inculqué, ce qui relève de l'efficacité, cela ne peut plus qu'être une obligation de moyens. Quant au bénéfice sur l'ensemble du système, pour accroître la probité générale ou la protection de l'écosystème sur lequel chacun doit veiller, cela relève plus encore de l'obligation de moyens. Cette articulation a des effets sur l'organisation probatoire car les moyens de preuve sont ici plus aisés pour satisfaire l'obligation de résultat que pour satisfaire l'obligation de moyens📎!footnote-3815. Elle en a aussi sur la sanction d'une inexécution car la responsabilité de l'entreprise est engagée si elle n'a pas mis en place les formations mais elle ne l'est pas si les personnes présentes n'ont pas compris.

43. L'organisation libre des outils essentiels pour remplir son Obligation de Compliance: exemples de l'enquêtes interne 🎯Parce que les obligations ne résultat ne concernent que la mise en place des structures de compliance, les obligations secondaires de leur fonctionnaire et les conséquences mécaniques de l'apparition de certaines situations📎!footnote-3816, les entreprises choisissent la façon dont ces plans, programmes, audit, formations, évaluations, etc., doivent être organisés. Cette liberté est la corrélation de l'obligation de moyens qu'est la leur. Est exemplaire de cela la technique de l'enquête interne📎!footnote-3817. Celle-ci est organisée librement par les entreprises et si celles-ci doivent être améliorées, comme les informations qui en résultent doivent être mieux protégées📎!footnote-3818,

44. La référence majeure au droit commun de la responsabilité 🎯Ainsi, dès l'instant qu'on ne se trouve pas dans une obligation structurelle visée par la loi (établissement d'un plan, d'un système d'alerte, etc.), comme le dit expressément la loi du 23 mars 2017sur le devoir de vigilance et comme cela doit s'appliquer pour toutes les manifestations techniques de l'Obligations de Compliance, les conditions du droit commun de la responsabilité s'appliquent : une faute ou une négligence doit être relevée pour que la responsabilité soit engagée. Une fois la structure de compliance est mise en place, l'on ne peut demander qu'ici et maintenant le but soit atteint. L'on peut demander que des diligences raisonnables soient accomplies, cela et pas plus que cela. Comme la structure de compliance et son fonctionnement ne prennent sens qu'au regard des Buts Monumentaux pour la concrétisation desquels tous ces dispositifs systémiques ont été mis en place, il faut que ces diligences produisent des effets qui concrétisent au fur et à mesure du temps des effets qui donnent une crédibilité à une trajectoire qui relie en probabilité la structure mise en place et l'ambition exprimée (probité ancrée ; équilibre climatique assuré, égalité atteinte, etc.). Ce point sera développé par la suite📎!footnote-3824.

Il résulte de ce système de compliance que l'obligation première des entreprises est donc de nature probatoire et tient dans le dessin qui se trace au jour le jour de cette trajectoire entre la structure mise en place et ces Buts Monumentaux. Si les entreprises maîtrisent les contours de cette obligatoire probatoire, elles maîtriseront mieux en conséquence la responsabilité Ex Ante qui leur incombe en évitant la responsabilité Ex Post démesurée que certains voudront voir fondre sur elles.

5III.L'APPRÉCIATION DU COMPORTEMENT DES ENTREPRISES ASSUJETTIES DANS L'EXÉCUTION DE LEUR OBLIGATION DE COMPLIANCE

45. (annonce de plan) 🎯 L’étude des multiples obligations de compliance exposée ci-avant permet de faire ressortir des traits communs à celles-ci, permettant de cerner l’Obligation de Compliance. Il en résulte que celle-ci est en premier lieu une obligation probatoire mise à la charge des entreprises assujetties (A). Cela ne signifie pas qu’elle serait purement « formelle ». Cela signifie qu’elle impose à l’entreprise d’être en mesure de prouver qu’elle a mis en place les structures de Compliance exigées par la Loi et qu’elle a fait ses meilleurs efforts pour obtenir les comportements recherchés. Cela a des conséquences directes sur la responsabilité des entreprises assujetties (B).

46. Le plus important : les obligations de moyens et non les obligations de résultat 🎯Les multiples obligations de résultat qui sont imposées par les textes pour mettre en place les structures de compliance et les faires fonctionner n'ont de sens que pour obtenir des effets, et notamment des comportements, qui soient efficaces et efficients au regard des Buts Monumentaux de la Compliance : éradiquer le blanchiment, rééquilibrer le climat, instaurer l'égalité entre les êtres humains, etc. Ce chemin, cette trajectoire, entre les structures mises en place (plan, programme, alerte, évaluation, etc.) et ces ambitions, est jalonnés d'obligations qui ne peuvent être que des obligations de moyens mais ce sont ces obligations de moyens qui sont les plus importantes puisque ce sont elles qui portent les changement (la baisse de la criminalité systémique sous-jacente au blanchiment, la fin des harcèlements, le respect de la vérité et des êtres humains, la reconnaissance de ce que la nature nous apporte). C'est donc ces obligations-la, obligations de moyens, qui sont les plus importantes. Les obligations de résultat n'existent que pour que les obligations de moyens puissent exister à leur tour.

A. L'OBLIGATION DE COMPLIANCE, AVANT TOUT UNE OBLIGATION PROBATOIRE À LA CHARGE DES ENTREPRISES ASSUJETTIES PAR LA LOI

47. L'obligation de compliance : essentiellement une obligation probatoire 🎯L'Obligation de Compliance est donc avant tout une obligation probatoire. Quelque soit sa place processuelle, l'entreprise doit montrer qu'elle a mis en place de plano la structure de compliance que lui impose les lois et réglementation ainsi que les mécanismes qu'au sein de celle-ci ces mêmes sources prévoient. De la même façon, parce que l'entreprise est assujettie à l'Obligation de Compliance, qui s'illustre ensuite dans une multitude d'obligations techniques, de diverses natures (légales, contractuelles, éthiques, etc.) l'entreprise doit montrer qu'elle existent l'obligation de moyens qui lui fait aller de cette obligation de résultat de mise en place de la structure de compliance à l'accomplissement des buts monumentaux fixés par le législateur (au sens formel).

Mais la difficulté en est grave car l'essentiel est bien la réalisation des Buts Monumentaux, c'est-à-dire le futur, ce qui constitue un objet probatoire à première vue inaccessible (1) ; c'est pourquoi l'objet de preuve ne peut être la concrétisation des Buts Monumentaux mais la crédibilité de leur atteindre (2).

1. Une obligation probatoire e difficile à satisfaire

48. Une obligation probatoire délicate : comment prouver l'efficacité d'une structure ? 🎯Cela est assez aisé pour l'entreprise lorsqu'il s'agit d'une obligation de résultat. Par exemple, elle produira le plan publié, la cartographie des risques établie, les évaluations menées. Mais cela est beaucoup plus difficile pour les obligations de moyens. Tout d'abord, l'entreprise doit prouver que par la structure mise en place elle a obtenu des effets, c'est-à-dire prouver l'efficacité des structures. L'exemple a été pris de la formation qui non seulement doit se tenir (résultat) mais encore doit apprendre aux personnes à avoir un comportement adéquat. C'est au sein même des entreprises que l'apprentissage probatoire doit se faire car c'est ensuite à travers ceux qui ont appris ceux qui ont mis en place la structure d'apprentissage que l'on juge.

Cela est d'autant plus difficile qu'une partie ne pouvant se prévaloir de preuves qu'elle s'est fabriquée seule à son bénéfice📎!footnote-3825, l'entreprise doit toujours procéduraliser l'établissement de ses preuves, recourant notamment à des tiers de confiance, ce qui contribue à la constitution d'un "marché" florissant de la compliance et à la multiplication de ces obligations.

49. Un objet probatoire inatteignable : comment prouver demain ? Les engagements comme solution procédurale alternative 🎯L'obligation probatoire paraît insupportable lorsqu'on prétend exiger de l'entreprise qu'elle ait l'obligation de prouver ici et maintenant que demain elle aura atteint les Buts Monumentaux pour la réalisation desquels on lui impose ce carrousel d'obligations de compliance. Car l'on ne peut pas connaître demain et l'on ne peut pas apporter une telle preuve. L'on ne peut qu'affirmer qu'on fera tout pour : cela existe qu'actuellement les "engagements" tendent à remplacer les preuves parce qu'un engagement peut porter sur le futur, ce que ne peut faire une preuve.

Mais l'engagement comporte lui-même ses limites, notamment en ce qu'il est distinct du contrat📎!footnote-3819. C'est pourquoi il n'est inséré comme remède qu'à travers un autre outil, soit un contrat en bonne et due forme📎!footnote-3820, soit comme mode alternative des poursuites, la CJIP ou la CRPC étant un engagement de compliance qui remplace alors la preuve et prend directement prise sur le futur.

50. Le déplacement d'objet de preuve : prouver que l'entreprise fera effectivement demain ce que ses représentants disent aujourd'hui 🎯Cela produit alors un déplacement d'objet de preuve : l'entreprise doit prouver qu'elle fera bien demain ce qu'elle dit qu'elle fera. Il y a de multiples moyens pour satisfaire une telle charge de preuve. L'on peut se suffire de l'éthique. Ou de la pression des marchés, si l'entreprise y est exposée, ou des investisseurs et prêteurs, si l'entreprise y est exposée, ou de l'opinion publique, si l'entreprise y est exposée et sensible.

Si l'on ne s'en contente pas, il faudra que les engagements prennent une forme plus juridique, c'est-à-dire celle du contrat, l'arbitrage international pouvant ici prendre une place essentielle📎!footnote-3821. L'insertion de tiers de confiance, de moniteurs notamment, va également dans ce sens. L'externalisation d'un budget ad hoc est aussi un moyen de prouver que cela sera fait. Le croisement des deux, c'est-à-dire un budget par avance à un tiers peut relever d'une technique probante.

Si les tiers qui sont donc présents en permanence dans le futur sont désignés par un juge, cela mettra en continuum l'obligation probatoire, reflet de l'Obligation de Compliance qui elle-même est en continuum puisqu'elle a pour objet : cela est logique, puisque la première est au cœur de la seconde. Cela conforte l'obligation managériale pour les entreprises de constituer en continu le dossier probatoire de leurs diligences, les mises en cause judiciaire n'étant pas des à-coup mais une pointe dans cette culture probatoire usuelle à développer📎!footnote-3822.

2. La constitution d'une preuve d'une trajectoire crédible dans les effets produits par la structure de compliance au regard des buts poursuivis par le Législateur

51. La trajectoire, objet central de l'obligation probatoire 🎯Comme l'a affirmé le Conseil d'Etat dans ses arrêts Grande-Synthe et le Tribunal administratif de Paris dans son jugement ..., l'assujetti doit montrer que la structure et les comportements passés et présents attestent d'une "trajectoire" qui permet de penser que, sauf événement contraire que nul ne peut évoquer sans preuve (par exemple la faillite de l'entreprise), le déroulement du temps futur amènera aux finalités visées au départ. La trajectoire, indissociable de la technique du plan, replace le juge dans une position Ex Ante ; cela explique notamment pourquoi le juge des procédures collectives est par nature familier du Droit de la Compliance, puisqu'il manie les plans, les engagements et les trajectoires dans la perspective d'un objectif de redressement📎!footnote-3826.

52. La crédibilité de la trajectoire, objet d'un faisceau d'indices 🎯C'est à l'entreprise de montrer qu'elle suit une trajectoire qui à partir de la structure de compliance qu'elle a mise en place produit des effets qui, par le développements du temps et parce que l'entreprise ne changera pas sa stratégie, permet d'atteindre les objectifs. Cette crédibilité doit être produite par tous les éléments probants que l'entreprise doit ou peut constituer (elle peut en effet être empêcher de les constituer, notamment parce que des informations sont interdites à l'accès ou à la production). A cela s'ajoute le pouvoir d'instruction des juges, qui peuvent nommer des experts ou recourir à des amici curiae.

53. Le "raisonnable", pendant du "crédible" 🎯L'appréciation qui est faite de cette crédibilité par les parties prenantes et in fine par le juge doit être raisonnable. Par exemple il est raisonnable de penser que l'entreprise ne changera pas sa stratégie. La notion de "raisonnable" 📎!footnote-3827 est centrale dans la conception que Perelman a de l'office du juge qui statue selon des standards et éprouve les affirmations d'une façon raisonnable en présence de divers cercles d'auditoires, ce qui correspond ici aux différents cercles de parties prenantes auxquelles l'entreprise rend des comptes📎!footnote-3828..

54. Renversement possible de la preuve, si la preuve est apportée du caractère non-crédible de la trajectoire 🎯Une fois cela établi, et établi en continu, l'entreprise donnant à savoir sa structure de compliance et la trajectoire concrétisée par les effets produits par celle-ci, notamment dans les comportements engendrés, doit montrer qu'elle suit une trajectoire qui à partir de la structure de compliance qu'elle a mise en place produit des effets, elle a satisfait sa charge de preuve.

C'est alors aux personnes qui n'en sont pas satisfait d'alléguer que l'Obligation de Compliance n'a pas été exécutée. Par exemple qu'un plan n'a pas été adopté. Ou qu'une trajectoire n'est pas crédible. La charge de prouver cela repose que la personne qui formule une telle allégation. Si des faits alimentent une telle allégation, alors la responsabilité de l'entreprise pourra être engagée.

B. LA RESPONSABILITÉ DES ENTREPRISES ENGENDRÉE PAR L'OBLIGATION DE COMPLIANCE

55. Une responsabilité ex ante, comme charge d'une ambition politique pour le futur 🎯 Les entreprises sont aujourd'hui, de force ou de gré en charge des grandes missions sociétales face à un avenir incertain. C'est à ce titre qu'on a pu comparaître l'Obligation de Compliance et la puissance qui en résulte📎!footnote-3830 à une délégation de la puissance publique📎!footnote-3831. La responsabilité est alors synonyme de pouvoir légitime📎 !footnote-3832 attachée à une situation particulière impliquant une action, et en rien à une sanction, qui interviendra au regard du passé, alors qu'il s'agissait de prendre en charge une façon d'agir pour faire en sorte que l'avenir, qui est l'objet du Droit de la Compliance, soit selon une volonté précédemment exprimée📎!footnote-3833. Mais lorsqu'une personne demande l'engagement de la responsabilité d'une entreprise devant un juge📎!footnote-3834, il faut qu'elle apporte la preuve d'une violation d'une obligation de compliance.

1. La responsabilité civile engagée en cas de l'absence de structures mises en place ou de structures inaptes à engendrer tout effet crédible au regard des buts monumentaux visés par la loi

56. Avant tout comportement, une responsabilité retenue ex ante en l'absence de structure de compliance crédible 🎯 S'il apparaît que l'entreprise n'a pas mis en place l'un des éléments structurels de l'obligation de compliance, qui sont pourtant autant pour elle autant d'obligations de résultat auxquelles les textes l'assujettissent, sa responsabilité sera engagée. Cela sera d'autant plus aisée que les textes prévoient souvent précisément les modalités, notamment les délais (par exemple concernant le plan de vigilance), la crédibilité et le caractère raisonnable des diligences dans cette mise en place étant appréciés selon les standards usuels.

2. La démonstration nécessaire d'une faute ou la négligence pour engager la responsabilité de l'assujetti à une obligation qui demeure par principe une obligation de moyens

57. La nécessité d'un fait générateur 🎯 Si la structure de compliance a été mise en place, et les obligations de résultat qui l'entourent accomplies📎!footnote-3835, et qu'une trajectoire crédible se déploie au regard des Buts Monumentaux de la Compliance (la crédibilité étant une forme de preuve📎!footnote-3836) alors la responsabilité de l'entreprise ne peut pas être engagée faute de fait générateur. Pour qu'elle ne soit, il faut que celui qui l'allègue apporte la preuve d'une faute ou d'une négligence.

58. L'absence de responsabilité spéciale 🎯 En cela, et comme le rappelle expressément la loi de 2017 sur le devoir de vigilance, ce à quoi la Directive du 13 juin 2024 ne déroge pas, la responsabilité qui peut frapper l'assujetti relève du droit commun de la responsabilité. Il ne suffit pas qu'existe une obligation spéciale de compliance, qui consiste donc pour certaines personnes juridiques📎!footnote-3837, que cela engendre pour autant une responsabilité spéciale. Une responsabilité spéciale se caractérise par un régime spéciale. S'il fallait qu'à chaque obligation spéciale (il y a des centaines) soit attachée une responsabilité spéciale, le droit commun de la responsabilité n'existerait plus📎!footnote-3838.

59. Conclusion. L'Obligation de Compliance, obligation unifiée et spéciale 🎯 Il apparait ainsi que certains sujets sont, de par leur position, c'est-à-dire leur puissance, leurs informations, leurs technologies, leur implantation, soumis à une Obligation de Compliance qui consiste toujours à construire une structure de compliance produisant des effets crédibles au regard des buts monumentaux visés par le Législateur.

________Cet article dit ce qu'est l'Obligation de Compliance des entreprises. Plongeant dans la masse des très obligations de compliance, il prend comme méthode de classement celles qui relèvent d'une obligation de résultat et celles qui relèvent d'une obligation de moyen. Il justifie le choix de ce critère essentiel, qui change les objets et la charge de preuve des entreprises qui sont assujetties à une obligation de résultat lorsqu'il s'agit de mettre en place des "structures de compliance" et sont assujetties à une obligations de moyens quant au effets produits par ces structures de compliance. Puis dans un deuxième temps l'article analyse une à une les corpus ("Sapins 2", "Vigilance", CSRD, DSA, NIS2, DMA, DORA,AML-FT, Avoir des avoirs,....) et les obligations techniques de compliance qu'elles imposent pour les répartir selon les textes en obligations de résultat ou en obligation de moyens📎!footnote-4537. Ce tableau du droit positif ainsi dressé, renvoi étant fait à tous les articles des textes📎!footnote-4538 permet de montrer qu'en droit positif l'Obligation de Compliance a avant tout une dimension probatoire, ce qui est développée dans le troisième temps de l'article : l'entreprise doit montrer qu'elle a mis en place les structures de compliance (obligations de résultat) requises par les textes et c'est aux tiers qui lui reprochent les effets insatisfaisants que ces structures auraient selon elles produits) de démontrer qu'il y a de la part de l'entreprise une faute ou une négligence (obligation de moyen).

1. Besoin de clarté et simplicité de l'Obligation de Compliance 🎯 Des entreprises sont assujetties à une Obligation de Compliance. L'on peut se demander pourquoi celles-ci (les grandes) et non pas une autre catégorie, voire pourquoi pas toutes les entreprises, voire pourquoi pas tout le monde. L'on peut se demander pourquoi les entreprises qui ne sont pas sujets du système juridique dans lequel l'obligation a été émise y sont pourtant astreintes. L'on peut se demander pourquoi on les oblige à faire ceci ou à faire cela, et pas on ne les oblige pas à d'autres choses, puisqu'il est d'une façon générale important que les règles soient effectives. Parce qu'on ne comprend pas les contours de cette Obligation de compliance, l'observateur soupçonne l'arbitraire, la prise de pouvoir, une sorte de guerre, d'affrontement qui parait d'autant plus sans "foi ni loi". Cela serait d'autant plus inadmissible d'y être "obligé" que cette contrainte confuse prend forme juridique. De tout cela, on discute, souvent avec véhémence, dans un sens ou dans un autre, le spectre des positions étant très large : certains affirment qu'il devrait y avoir une Obligation de Compliance plus impérieuse, avec des sanctions colossales et des obligations de faire sur les Etats eux-mêmes, d'autres soutenant qu'il ne faudrait aucune obligation, seule l'éthique pouvant être admise.

Il apparait que toutes ces discussions n'ont le pied sûr que si l'Obligation de Compliance est définie.

De l'examen de tout le droit positif qui s'applique à tant d'obligations éparpillées qui sont reconnues comme étant des "obligations de compliance", nommées expressément ainsi, et dont la nomenclature sera dressée plus loin📎!footnote-3851, il se dégage ceci : l'Obligation de Compliance confie aux assujettis la construction de structures de compliance produisant des effets crédibles au regard des buts monumentaux visés par le législateur.

La présente étude a pour objet d'asseoir cette définition en la tirant directement du droit positif.

En effet, cette définition rend compte de l'ensemble du droit positif. Elle permet à la fois de désigner dans une même unité tous les divers mécanismes qui sont identifiés techniquement comme relevant du Droit de la Compliance et d'exclure des obligations qui n'en relèvent pas📎!footnote-3852.

Par la suite, d'une façon secondaire donc, des disputes peuvent clairement se construire, pour contester ou approuver l'existence d'une telle Obligation, pour proposer d'en infléchir la force ou d'en accroître la contrainte, pour proposer d'en multiplier les modalités, pour proposer d'en laisser plus ou moins la disposition aux acteurs, pour proposer d'en désigner de nouveaux sujets ou d'en soustraire des assujettis, pour proposer d'en modifier la portée, pour proposer d'en hiérarchiser ou articuler les sources, pour proposer de restreindre le nombre de celles-ci, etc.

Pour proposer tout cela et ne pas s'y perdre, il faut partir d'une définition simple et nette. Or le droit positif nous la donne. La définition qui ressort du droit positif en est toujours la même : le législateur (au sens formel) requiert d'un sujet de droit qu'il mette en place ou contribue au fonctionnement d'une structure pour produire des effets, notamment des comportements, qui vont converger vers la réalisation des Buts Monumentaux que ce législateur a l'ambition d'atteindre dans des systèmes cruciaux pour le futur.

Mais, alors même que l'examen de l'ensemble du droit positif la fournit, cette définition de l'Obligation de Compliance n'est pas clairement exprimée, ni par les textes, toujours ponctuels, ni par les auteurs, souvent attachés à une obligation particulière dont ils tireront une définition générale, face à laquelle des obligations particulières différentes apporteront une dissonance, voire une contradiction, discréditant la définition générale proposée.

Ainsi, partant d'un exemple particulier à une généralité affirmée, chacun ayant la sienne et ne se prévalant que d'une obligation particulière de compliance, suivant que l'on lit les uns ou les autres, il s'agirait pour les entreprises d'être obligées de donner à voir qu'elles respectent activement toutes les réglementations applicables ou bien, à l'autre bout du spectre, il s'agirait pour elles d'exercer un immense pouvoir, celui de se fixer d'une façon autonome des règles, dont elles fixeraient la teneur, la portée et les assujettis, à savoir elles-mêmes mais aussi les autres. Ou il s'agirait de les soumettre à une obligation adossée à la force du droit pénal, ou il s'agirait de concrétiser le désir de bien faire dans un élan éthique dont elles ne répondraient qu'à l'égard de la conscience des personnes et de l'effet de réputation.

Faute de pouvoir s'entendre, l'on finit par dire qu'il y aurait autant de définitions que de cas, qu'il faudrait être "pragmatique", que tout cela est très "complexe" et que sans définition unifiée, l'on verra bien ce que le prochain juge, français, européen, américain ou autre, dira suivant le cas et son humeur. La crainte du juge en est accrue.

L'espoir se tourne alors vers les algorithmes car en fournissant à la puissance algorithmiques tous les cas déjà passés et tous les jugements déjà émis par les uns et les autres, l'on pourrait par probabilité ainsi connaître la décision future. Faute de comprendre et de maîtriser l'Obligation de Compliance. Les algorithmes apparaissent alors comme seul espoir de la Compliance..., dont on aurait désespéré de comprendre quoi que ce soit.

L'objet de cette étude, et de cet ouvrage, est inverse.

Le Droit devant rester affaire humaine et les situations présentes et prochaines ne devant pas être produites ni seulement par les solutions passées, peut-être inadéquates, ni seulement par des projections vers le futur par le calcul probabiliste, il s'agit de clarifier et d'unifier L'Obligation de Compliance.

Cela est possible.

L'état actuel de confusion tient à des obstacles qui doivent tout d'abord être identifiés en prolégomènes, identification nécessaire pour dépasser ces obstacles.

PROLÉGOMÈNES : LES OBSTACLES À UNE DÉFINITION CLAIRE ET UNIFIÉE DE L'OBLIGATION DE COMPLIANCE

2. Première raison pour laquelle la clarté et la simplicité de l'Obligation de Compliance n'est pas perçue : l'état naissant du Droit de la Compliance 🎯 Pour cerner, concrétiser et faire respecter l'Obligation de Compliance pesant sur les entreprises, pour maintenir l'ambition de pouvoir s'appuyer sur l'unicité de cette Obligation de Compliance afin de pouvoir aisément en déduire son régime, il faudrait disposer d'une notion déjà solidement construite par le Droit. Mais concernant l'Obligation de Compliance, l'on ne bénéficie pas d'un tel luxe : parce que le Droit de la Compliance est encore lui-même une branche du Droit en émergence, sur la définition de laquelle les disputes se poursuivent, donnant lieu à un contentieux d'un type nouveau lui-même émergeant📎!footnote-3853, l'on pourrait donc qu'hésiter sur ce qu'est l'obligation de compliance qui en découle.

Or, en pratique, cela est dramatique parce que les conséquences de l'inexécution de l'Obligation de Compliance sont sévères, les entreprises assujetties protestant souvent contre le fait qu'elles ne savent pas les contours de ce à quoi elles sont obligées. Cette incertitude quant à savoir ce qu'est l'Obligation de Compliance, constatée par tous📎!footnote-3625, est pourtant inévitable. Elle n'est pas même un défaut, lequel serait une preuve d'une sorte de malformation : ce temps d'incertitude constitue un moment de la naissance d'une branche du Droit📎!footnote-3626 : parce que le Droit de la Compliance est en train d'émerger, l'Obligation qu'il engendre pour les acteurs est encore incertaine. Mais plus la construction de la branche du Droit va se consolider et plus ces incertitudes vont s'estomper. Il faut un peu de patience pour que Rome se construise📎!footnote-3839.

3. Deuxième raison pour laquelle la clarté et la simplicité de l'Obligation de Compliance n'est pas perçue : les très nombreuses obligations de compliance logées dans des branches elles-mêmes très différentes 🎯 C'est par le critère de l'assujettissement que l'on a tendance à identifier une obligation de compliance : plus la force de la contrainte est élevée et plus l'on repère un mécanisme de "compliance". C'est donc à l'impérieux Droit pénal qu'il est encore usuel de rattacher la Compliance📎!footnote-3854. Mais il est aujourd'hui acquis que les obligations s'ancrent dans toutes les branches du Droit. Cela rend difficile la perspective de son unicité, dès l'instant qu'elle n'est pas enfermée dans une branche du Droit, pouvant en pratique relevant d'une juridiction précise (le juge pénal, les structures administratives répressives) et un savoir universitaire aux contours établis (notamment le droit pénal et le droit administratif, la compliance étant présentée comme une sorte de complément qui les moderniserait).

En outre, à l'intérieure de toutes les branches du droit, ce sont de multiples obligations de compliance qui sont repérables et qu'il est difficile de classer📎!footnote-3840. Pour prendre l'exemple d'une chaine économique d'activités, le Droit international, le Droit des contrats, le Droit des sociétés, le Droit de la concurrence et le Droit de la distribution, le Droit du travail, ont des points de contact avec les obligations de compliance qui sont engendrées, notamment par la façon dont l'entreprise donneuse d'ordre doit avoir soin de la façon dont les personnes qui s'activent , salariés, collaborateurs, collaborateurs, fournisseurs, etc., sont traitées tout à long de la chaîne. Cette Obligation innerve la "chaîne de valeur" (notion managériale)📎!footnote-3808 mais les branches du Droit segmentent l'unicité à laquelle le souci de la personne exprimé par le législateur renvoie. Cela peut être certes dépassé puisque le Droit étant lui-même un système fonctionne en articulant les diverses branches📎!footnote-3809, mais cela constitue néanmoins un obstacle pour parvenir à une définition unique de l'Obligation de Compliance surplombant les branches du Droit📎!footnote-3841.

4. Troisième raison pour laquelle la clarté et la simplicité de l'Obligation de Compliance n'est pas perçue : les très nombreuses obligations de compliance logées dans des secteurs très divers 🎯 En outre, l'Obligation de Compliance s'adressant naturellement aux opérateurs cruciaux des secteurs régulés concerne de multiples secteurs, allant du secteur bancaire et financière où elle a pris son origine en réaction à la crise de 1929📎!footnote-3810, au secteur énergétique particulièrement impliqué dans le système climatique, à l'espace numérique, à l'espace spatial, etc. Or, la spécificité de chacun se traduit par des obligations qui lui sont propres et sont rappelés par chaque régulateur, par chaque spécialiste de chaque espace, de chaque organisation professionnelle. C"est sans doute l'émergence d'un "Contentieux Systémique" devant le juge de droit commun📎!footnote-3811, qui va rapprocher tous ces secteurs en ramenant ce qui leur est commun, par exemple le souci systémique de durabilité à laquelle les entreprises ont l'obligation de moyens de contribuer📎!footnote-3842.

5. Quatrième raison pour laquelle la clarté et la simplicité de l'Obligation de Compliance n'est pas perçue : les très nombreuses obligations de compliance logées dans des réglementations qui s'éloignent les unes des autres 🎯 Liée aux 3 phénomènes précédents, sont apparus des spécialistes, des articles, des ouvrages et des manifestations, liés à une seule réglementation, détaillant celle-ci et n'évoquant pas les autres. Cela est logique en ce que chaque réglementation, terme qui embrasse toute une variété de textes de différentes portée, contient à elle-seule de nombreuses obligations de compliance, déjà difficiles à mémoriser, à comprendre et à articuler entre elles. La finesse des descriptions et des analyses des solutions, souvent menées dans l'ignorance des analyses des solutions retenues pour les obligations, pourtant analogues, contenues dans d'autres réglementations, rend ainsi paradoxalement de plus en plus difficile à maîtriser un ensemble de réglementations qui deviennent de plus en plus autonomes les unes des autres. Ainsi plus on devient savant et plus on devient ignorant, paradoxe de la spécialisation.

L'expertise croissante développée à propos de chaque réglementation rend donc de plus en plus difficile l'émission d'une Obligation de Compliance. L'érudition sur les obligations de compliance, grandement facilitée par les recherches par algorithmes, est une force centrifuge qui rend l'Obligation de Compliance de plus en plus difficile à maîtriser. Sauf à tout abandonner aux algorithmes.

6. Cinquième raison pour laquelle la clarté et la simplicité de l'Obligation de Compliance n'est pas perçue : l'absence de distinction première entre les obligations qui sont sanctionnées par le seul fait que l'assujetti n'a pas atteint le résultat et les obligations qui ne contraignent qu'à un effort accompli au regard d'un but fixé 🎯 Mais la cinquième raison constitue le plus grand obstacle. En effet, lorsqu'on passe d'une obligation de compliance à une autre, on a l'impression qu'elles n'ont rien en commun. Parfois, certaines expriment une exigence telle que le seul fait pour l'assujetti de n'avoir pas obtenu le résultat demandé entraine sa condamnation. Parfois, d'autres obligations se contentent de requérir de l'assujetti de faire au mieux. Comment dès lors trouver une unicité dans cela ? Comment trouver un terrain d'entente entre ceux qui, voulant soumettre les entreprises auxquelles confiance n'est pas donnée, se prévalent toujours des exemples du premier type d'obligations, et ceux qui, rappelant que les entreprises ne peuvent pas tout, s'appuient sur les textes qui n'obligent celles-ci qu'à des diligences ?

L'on finit par se dire que le droit positif est bien mal fait... et que demain il aura, par la sagesse du temps, résolu tout seul tous ces obstacles📎!footnote-3843. Mais précisément c'est ici et maintenant que nous avons besoin d'une définition claire et unifiée de l'Obligation de Compliance.

7. Nécessité pratique de surmonter ici et maintenant ces obstacles pour définir l'Obligation de Compliance 🎯 En pratique, l'on ne peut pourtant se contenter d'attendre ces lendemains meilleurs où l'on se sera accordé sur les définitions de base. Justement parce que la Compliance oblige, et considérablement, les entreprise. Or, être obligé mais ne pas savoir exactement à quoi, n'est-ce pas dramatique ?

Parce qu'on ne peut donc en pratique attendre que la branche du Droit ait trouvé sa maturité, même si l'on doit tout faire pour aider à cela en produire en pratique la sécurité requise📎!footnote-3804, il faut s'efforcer de passer ces obstacles qui peuvent certes être le résultat de stratégies dolosives des divers acteurs concernés (les États, les entreprises, les parties prenantes, etc.) mais qui tiennent le plus souvent à la nature des choses (temps, structures économiques et juridiques), Il faut plutôt faire confiance au droit positif, déjà si fourni qu'on le présente sous l'expression péjorative de "masse réglementaire" mais qui recèle des lignes de force, pour dégager l'esprit qui l'anime. Car un Droit sans âme, cela n'existe pas tant que ce sont des êtres humains qui l'écriront📎!footnote-3844.

8. Partir des régimes déjà développés pour dégager l'unicité et la simplicité de l'Obligation de Compliance, obligation d'un nouveau type. Plan. 🎯 Pour cela il est ici proposé de partir des régimes que l'on peut observer en droit positif, en se penchant plus particulièrement sur le couple familier du Droit des obligations : "obligation de moyens / obligation de résultat", appliqué ici à l'obligation légale et parfois à l'obligation contractuelle (I). Si l'on scrute les textes et les jurisprudences, il apparaît que les diverses obligations sont tantôt de moyens et tantôt de résultat, suivant qu'elles sont comportementales ou structurelles, ne pouvant qu'être de moyens dès l'instant qu'il s'agit pour l'assujetti de tendre vers la réalisation des buts monumentaux pour lesquels l'obligation a été édictée, l'obligation probatoire d'une trajectoire crédible étant l'obligation centrale (II). Ainsi éclairée, l'Obligation de Compliance trouve son unicité, sa force et sa simplicité, étant supportable par l'entreprise qui doit la concrétiser parce qu'elle est en position de tendre avec effectivité, efficacité et efficience vers les buts monumentaux en vue desquels cette Obligation d'un nouveau type est générée (III).

I. LE COUPLE "OBLIGATION DE MOYENS / OBLIGATION DE RÉSULTAT", VOIE POUR APPRÉHENDER PAR LE DROIT POSITIF L'OBLIGATION DE COMPLIANCE

9. Partir du droit positif des obligations techniques de compliance, tantôt de moyens, tantôt de résultat 🎯 Pour ne pas continuer à plonger dans les disputes de définition sans jamais en sortir, inversons la méthode en partant des oppositions constatées dans l'intensité des contraintes issues des textes. Étudions le régime juridiques lui-même, appliqué à de multiples obligations que tous s'accordent à qualifier d'obligations de compliance, si diverses et si nombreuses, et trouvons à travers cela une voie permettant d'induire l'unicité de l'Obligation de Compliance.

En partant du droit positif📎!footnote-3620, on opère le constat suivant : parfois les entreprises assujetties sont sanctionnées du seul fait qu'elles n'ont pas atteint le résultat que le texte a visé, ce qui renvoie donc à ce que l'on appelle souvent en droit des contrats une obligation de résultat ; en effet les entreprises sont sanctionnées uniquement si un fait générateur est constitué par une faute ou une négligence et que la survenance de ce fait générateur est prouvée par celui qui demande la condamnation de l'entreprise, ce qui atteste d'une obligation de moyens. L'enjeu est avant tout probatoire📎!footnote-3639 . Cette dimension probatoire, qui fait que l'entreprise sera condamnée ou non montre que la qualification de résultat ou de moyen est essentielle : si l'obligation est de moyens, la faute ou la négligence est un objet de preuve dont la démonstration doit être apportée par celui qui se plaint, tandis que si l'obligation est de résultat, il suffit pour celui qui se plaint de montrer que le résultat n'est pas atteint pour que celui auquel le reproche est fait soit condamné. Tout est là📎!footnote-3845.

10. Les vertus du classement 🎯 Bien qu'il paraisse hasardeux de transposer à des obligations légales l'expression et le régime des obligations contractuelles📎!footnote-3675, partons donc de ce constat d'une pluralité d'obligations techniques, qui sont pour certaines des obligations de de moyens et pour d'autres des obligations de résultat (A). Cette pluralité ne constitue pas un obstacle définitif à la constitution d'une définition unique de ce qu'est l'Obligation de Compliance. Cela permet au contraire de l'éclaircir, de tracer les allées dans ce qui est si souvent qualifié de fatras juridique, de "masse réglementaire" immaitrisable📎!footnote-3756. Un tel répertoire permet aussi de classer dans trois catégories qui s'articulent la multitude des obligations de résultat qui sont engendrées par l'Obligation de Compliance et de mesurer qu'il faut exclure de poser celle-ci comme étant elle-même globalement une obligation de résultat (B).

A. LA DISTRIBUTION DES OBLIGATIONS TECHNIQUES DE COMPLIANCE EN OBLIGATIONS DE RÉSULTAT ET EN OBLIGATIONS DE MOYENS

11. Préserver et améliorer les comportements en continu en perspective des buts visés par les textes = obligation de moyens ; mettre en place en amont les structures visés par les textes = obligation de résultat 🎯 En effet, cette différence essentielle entre la masse des obligations de compliance qui sont des obligations de résultat et la masse des obligations de compliance qui sont des obligations de moyens, qui imprègne tout le système probatoire du Droit de la Compliance, n'entame pourtant pas cette unicité de l'Obligation de Compliance qui permet la définition de celle-ci.

En tant que l'entreprise obligée au titre du Droit de la Compliance participe à la réalisation des Buts Monumentaux qui fondent normativement celui-ci📎!footnote-3640, obligation légale éventuellement relayée par le contrat📎!footnote-3641, voire par l'éthique📎!footnote-3757, l'obligation ne peut être qu'une obligation de moyens, en raison même de cette nature téléologique et de l'ampleur des buts visés, par exemple l'heureux dénouement de la crise climatique ou l'égalité effective souhaitée entre les êtres humains. Le résultat visé est à la fois si ambitieux et si lointain que retenir autre chose qu'une obligation de moyens alors que le résultat envisagé est de cette ampleur et à cette distance revient à condamner d'avance toutes les entreprises, ce qui n'est pas admissible. Il est pourtant et néanmoins porteur de multiples obligations de résultat, dont le rôle est essentiel et qu'il faut dégager.

12. Articuler les obligations de résultat et de moyens avec les exigences d'effectivité, d'efficacité et d'efficience 🎯 En effet, ce principe acquis laisse place au fait que ces comportements demandés et les effets évalués sont jalonnés par des process mis en place par des outils structurels, le plus souvent légalement décrits, par exemple l'établissement d'un plan de vigilance ou des formations régulièrement organisées, ce qui relève du critère de l'effectivité de la Compliance : il s'agit alors d'obligations de résultat. À ce titre, il faut adopter un plan, un programme, il faut organiser des formations, il faut mettre en place un système d'alerte, etc. Si ce résultat n'est pas atteint, l'obligation n'est pas remplie. Tandis que les effets heureux produits par ces outils structurels (que sont ces plans, programmes, cartographie, evaluation, formations, etc.), effets heureux qui renvoient non pas à l'effectivité mais à l'efficacité il s'agit d' obligations de moyens. Par exemple, l'on peut contrôler la présence des apprenants dans la formation donnée, mais l'on ne peut qu'exiger l'effort de transmission d'une compétence, c'est-à-dire l'efficacité de cette formation. C'est encore plus le cas lorsqu'il s'agit d'obtenir la transformation de l'ensemble du système, c'est-à-dire une solidité acquise du système (bancaire, financier, climatique, etc.), une culture d'égalité (entre les êtres humains), un respect de chacun à l'égard de tous (préservation du pacte social) : il s'agit alors de préserver, voire de transformer les systèmes eux-mêmes, ce qui relève de l'efficience, ce pour quoi le bon sens conduit à exclure plus encore une obligation de résultat et à retenir une obligation de moyens. L'effet heureux sur l'ensemble du système est à la fois ce qui fonde toute la compliance mais ne peut engendre qu'une obligation de moyens.

13. L'enchâssement des obligations de moyens dans les obligations de résultat : la crédibilité des structures et process (obligations de résultat) à engendrer les comportements et effets attendus au regard des buts visés (obligations de moyens) : la crédibilité 🎯 Les deux masses d'obligations de résultat et d'obligations de moyens ne sont pas pour autant étanches : il existe au contraire une communication. En effet, c'est bien pour aboutir à cette transformation des systèmes (un numérique sûr, une durabilité des chaînes d'activités, une dégradation climatique enrayée, une souveraineté énergétique préservée, une culture de respect entre les êtres humains, etc.) qu'au départ les réglementations ont imposé aux entreprises par des obligations de résultats l'adoption des structures et des process : ont été ainsi construites les conditions "effectives" pour qu'apparaissent les comportements "efficaces" afin que les systèmes soient préservés dans la durée des risques et s'améliorent d'une façon "efficiente"📎!footnote-3846.

14. L'unicité de l'Obligation de Compliance par le continuum entre les structures et process (obligation de résultat), d'une part, les comportements et les cultures (obligations de moyens), continuum prenant son sens par les Buts Monumentaux de la Compliance 🎯L'Obligation de Compliance apparaît ainsi unifiée parce que graduellement, et quelles que soient les diverses obligations de compliance dont il s'agit, leur intensité ou leur secteur, les préalables structurels de process📎!footnote-3759 de l'Obligation de Compliance sont des techniques de résultat auxquelles le Droit, à travers notamment le Juge📎!footnote-3763, demandera qu'ils soient faits mais ne demandera pas plus, tandis que tendre vers la réalisation des Buts monumentaux précités sera une obligation de moyens, ce qui peut paraître plus léger, mais correspond à une ambition incommensurable, en ce qu'elle se situe à la hauteur de ces Buts📎!footnote-3760 : l'entreprise devra s'appuyer sur ses structures, par exemple une structure de formation, pour aller au-delà, par exemple que les personnes dont elle a la charge, comprennent ce qui leur a été enseigné, visant in fine à une efficience des systèmes, par exemple que les personnes ainsi éduquées diffusent une culture de respect d'autrui, renvoyant en Europe à une ambition de civilisation des systèmes📎!footnote-3761.

15. Ce que les entreprises, les autorités et les parties prenantes doivent prouver🎯 De cette articulation il résulte que les entreprises doivent montrer non pas tant ou seulement qu'elles ont bien suivi les process (résultat) mais que cela a produit des effets heureux et attendus📎!footnote-3762 qui convergent avec les buts recherchés par le Législateur📎!footnote-3758. Elles doivent aussi montrer que les structures mises en place étaient et sont en mesure de produire ces effets prévus et requis au regard des Buts Monumentaux : cette exigence de crédibilité ramène toujours à la dimension probatoire de l'Obligation de Compliance.

B. L'INADÉQUATION D'UNE OBLIGATION DE COMPLIANCE PENSÉE COMME OBLIGATION GLOBALE DE RÉSULTAT

16. Le risque de rendre l'Obligation de Compliance "insupportable" par son unification comme obligation globale de résultat 🎯 Méconnaître ces distinctions, cette gradation et cette articulation aurait des conséquences pratiques très graves. En effet, transformer l'Obligation de Compliance en son principe et toutes ses modalités en obligation de résultat alors que le Droit de la Compliance prend sa normativité dans les Buts Monumentaux visés, ce qui lui attache une très grande ambition📎!footnote-3676, à savoir la sauvegarde des systèmes à l'avenir📎!footnote-3847, n'aurait pas de sens car aucune entité n'a la puissance d'atteindre ici et maintenant un tel but. L'on ne doit demander à l'entreprise qui a mis en place les structures requises (plans, formations, évaluations, etc.) que des diligences raisonnables.

17. L'illustration par la Vigilance d'une articulation entre des structures imposées par une obligation de résultat (le plan) et des efforts demandés par une obligation de moyens (diligences) 🎯 C'est d'ailleurs expressément ce que fait la Directive du 13 juin 2024 sur le devoir de vigilance📎!footnote-3848. L'entreprise doit montrer qu'elle fait des efforts crédibles en s'appuyant sur les différentes structures qu'elle a mis en place (plan, programme, formation, évaluation, etc.). Dans ce qui est l'essentiel, c'est-à-dire non pas les process, qui ne sont qu'une condition (certes nécessaire), mais dans les comportements et les effets obtenus en continu ce sont des obligations de moyens que les textes engendrent à la charge de l'entreprise.

18. L'on ne peut demander aux entreprises de sauver immédiatement le monde en transformant l'effort requis en obligation de résultat : on peut leur demander de contribuer à concrétiser cette ambition : c'est une obligation de moyens 🎯 Pour qualifier en bloc l'Obligation de Compliance de l'entreprise en Obligation de résultat, il Il faudrait soutenir qu'il ne s'agit de demander aux grandes entreprises non pas de participer à la concrétisation de ces buts d'intérêt général global, mais d'exiger d'elles qu'elles transforment, et immédiatement, le monde en jardin d'Eden où la fraternité est acquise et où aucune pollution n'advient, tout risque étant jugulé. Cela n'est ni raisonnable ni rationnel de faire cela. C'est les condamner par avance car le manquement, ainsi conçu, serait par avance acquis.

19. L'on ne doit pas , pour limiter la contrainte pesant sur les entreprises, réduire la Compliance à des process mécaniques 🎯 Pour échapper à cela, une solution imaginée serait tout autant dommageable. En effet, l'idée pourrait d'abandonner cette définition du Droit de la compliance par les Buts Monumentaux, parce que définition trop ambitieuse, trop politique, trop idéaliste, pour exiger simplement des entreprises qu'elles obéissent aux ordres donnés par le Législateur, qu'elles montrer leur obéissance en tous points à toutes les réglementations applicables et peuvent offrir aux autorités politiques et à toutes parties prenantes une immédiate satisfaction, sauf à être sanctionnées. Qu'elles "cochent les cases" et qu'elles retournent à leur affaire, qui est de faire des affaires.

C'est alors réduire le Droit de la Compliance à la conformité. Ce système d'obéissance est peu libéral et les personnes soucieuses des libertés récusent cette conception qui se referme sur les États, les entreprises et les personnes qui y travaillent comme un étau📎!footnote-3642. Mais il ne faut réduire le Droit de la compliance à la conformité, qui n'est qu'un outil de celui-ci. Nous renvoyons ici à des travaux de définitions comparées entre les deux pour soutenir cela📎!footnote-3849.

20. L'on ne doit pas, pour autant, croire sur parole les entreprises dans leur affirmations d'obtenir demain les résultats voulus par d'autres ou par elles-mêmes 🎯 Mais autant l'on ne peut asservir les entreprises par une obligation d'obéir, totale et aveugle, l'on ne peut se contenter d'affirmations vertueuses des personnes qui, au nom des entreprises et à travers diverses déclarations, disent que demain le résultat sera obtenu, que plus tard l'égalité entre les êtres humains sera atteinte, qu'à terme l'équilibre climatique sera restauré, etc., et qu'on ne peut leur demander davantage parce qu'on ne peut répondre du futur et qu'on n'est responsable que des choses passées et non des choses futures📎!footnote-3850.

Il est effectivement très difficile d'engager la responsabilité pour inexécution d'une obligation lorsque celle-ci porte sur le futur, car constitue un oxymore le fait de n'avoir pas atteint des buts qui se situent dans l'avenir. C'est là encore la spécificité de la responsabilité Ex Ante engendrée par la Compliance📎!footnote-3812. Mais l'on peut encore surmonter cet obstacle.

21. Obliger à produire des effets crédibles au regard des Buts Monumentaux de la Compliance 🎯 En effet, il convient d'obliger les entreprises à montrer les effets que les structures de compliance, qu'elles ont bâties parce qu'elles y sont obligées ou parce qu'elles l'on voulu📎!footnote-3813, ont engendré, ces effets assurant la crédibilité des effets futurs annoncés. En cela, la notion de trajectoire est essentielle et constitue le cœur de l'obligation de compliance. Pour résumer, L'entreprise a une obligation de résultat dans la mise en place de la structure de compliance, une obligation de moyens dans l'usage de cette structure pour atteindre les buts monumentaux et une obligation probatoire de montrer qu'au regard des effets déjà produits il est crédible que la trajectoire permettra sa contribution effective à cette ambition qui pourra dans le futur être concrétisée. Cette obligation probatoire sera développée dans la suite de cette étude📎!footnote-3823.

II. LE CONSTAT D'UNE PLURALITÉ D'OBLIGATIONS DE RÉSULTAT ET D'OBLIGATIONS DE MOYENS, PIÈCES D'UNE OBLIGATION UNIQUE DE COMPLIANCE

22. Les obligations structurelles comme obligations de résultats ; les obligations comportementales comme obligations de moyens 🎯Si l'on répertorie les différentes réglementations, il apparaît le Législateur donne parfois des ordres aux entreprises en leur imposant de mettre en place des structures : il s'agit alors d'obligations de résultat (A). Mais les effets produits sur les comportements des personnes ou les obligations comportementales elles-mêmes constituent des obligations de moyens (B).

A. LA MISE EN PLACE PAR L'ENTREPRISE DES STRUCTURES REQUISES PAR LES LOIS ET RÉGLEMENTATIONS : OBLIGATIONS DE RÉSULTAT

23. Les 3 types d'obligations de résultats : les obligations de plano pour que l'entreprise construise la structure de compliance, les obligations secondaires dans la façon de la construire, les obligations conditionnées à l'apparition d'une situation 🎯L'examen de toutes les obligations auxquelles les lois de compliance assujettissent les entreprises amène a distinguer trois catégories d'obligations de résultat : des obligations consistant pour l'entreprise, de plano, à construire une structure de Compliance (1), des obligations de résultat secondaires liées à la construction et au fonctionnement de ces structures (2) et enfin des obligations de résultat dont le déclenchement est conditionné à l'apparition d'une situation particulière (3).

1. Obligations de résultat de plano pour que l'entreprise construise la structure de Compliance

24. L'obligation de résultat de constituer, conserver et tenir un registre de données à caractère personnel 🎯L'article 6 du Règlement sur la protection des données à caractère personnel, dit "RGPD"📎!footnote-3766, oblige l'entreprise assujettie à assurer ses fonctions de constitution, de conservation et de tenue du registre de données personnelles, à en désigner un "responsable"📎!footnote-3764 et à recueillir le consentement des personnes pour en faire usage. L'obtention de ce consentement, la réalité de celui-ci en ce qu'il traduit la libre volonté de la personne concernée à laisser l'entreprise disposer de cette information, ainsi que la transmission de ces informations ont donné lieu à un corps si important qu'on considère souvent qu'il constitue un Droit à part entière : le Droit des données personnelles📎!footnote-3765.