🚧Obligation de Compliance : construire une structure de Compliance produisant des effets crédibles au regard des Buts Monumentaux visés par le Législateur

Ce document de travail reproduit en note pop-up les textes législatifs et réglementaires, ce qui n'est pas fait dans le document publié.

Cet article dit ce qu'est l'Obligation de Compliance des entreprises. Plongeant dans la masse des très obligations de compliance, il prend comme méthode de classement celles qui relèvent d'une obligation de résultat et celles qui relèvent d'une obligation de moyen. Il justifie le choix de ce critère essentiel, qui change les objets et la charge de preuve des entreprises qui sont assujetties à une obligation de résultat lorsqu'il s'agit de mettre en place des "structures de compliance" et sont assujetties à une obligations de moyens quant au effets produits par ces structures de compliance. Puis dans un deuxième temps l'article analyse une à une les corpus ("Sapins 2", "Vigilance", CSRD, DSA, NIS2, DMA, DORA,AML-FT, gel des avoirs,....) et les obligations techniques de compliance qu'elles imposent pour les répartir selon les textes en obligations de résultat ou en obligation de moyens📎!footnote-4537. Ce tableau du droit positif ainsi dressé, renvoi étant fait à tous les articles des textes📎!footnote-4538 permet de montrer qu'en droit positif l'Obligation de Compliance a avant tout une dimension probatoire, ce qui est développée dans le troisième temps de l'article : l'entreprise doit montrer qu'elle a mis en place les structures de compliance (obligations de résultat) requises par les textes et c'est aux tiers qui lui reprochent les effets insatisfaisants que ces structures auraient selon elles produits) de démontrer qu'il y a de la part de l'entreprise une faute ou une négligence (obligation de moyen).

1. Besoin de clarté et simplicité de l'Obligation de Compliance 🎯 Des entreprises sont assujetties à une Obligation de Compliance. L'on peut se demander pourquoi celles-ci (les grandes) et non pas une autre catégorie, voire pourquoi pas toutes les entreprises, voire pourquoi pas tout le monde. L'on peut se demander pourquoi les entreprises qui ne sont pas sujets du système juridique dans lequel l'obligation a été émise y sont pourtant astreintes. L'on peut se demander pourquoi on les oblige à faire ceci ou à faire cela, et pas on ne les oblige pas à d'autres choses, puisqu'il est d'une façon générale important que les règles soient effectives. Parce qu'on ne comprend pas les contours de cette Obligation de compliance, l'observateur soupçonne l'arbitraire, la prise de pouvoir, une sorte de guerre, d'affrontement qui parait d'autant plus sans "foi ni loi". Cela serait d'autant plus inadmissible d'y être "obligé" que cette contrainte confuse prend forme juridique. De tout cela, on discute, souvent avec véhémence, dans un sens ou dans un autre, le spectre des positions étant très large : certains affirment qu'il devrait y avoir une Obligation de Compliance plus impérieuse, avec des sanctions colossales et des obligations de faire sur les Etats eux-mêmes, d'autres soutenant qu'il ne faudrait aucune obligation, seule l'éthique pouvant être admise.

Il apparait que toutes ces discussions n'ont le pied sûr que si l'Obligation de Compliance est définie.

De l'examen de tout le droit positif qui s'applique à tant d'obligations éparpillées qui sont reconnues comme étant des "obligations de compliance", nommées expressément ainsi, et dont la nomenclature sera dressée plus loin📎!footnote-3851, il se dégage ceci : l'Obligation de Compliance confie aux assujettis la construction de structures de compliance produisant des effets crédibles au regard des buts monumentaux visés par le législateur.

La présente étude a pour objet d'asseoir cette définition en la tirant directement du droit positif.

En effet, cette définition rend compte de l'ensemble du droit positif. Elle permet à la fois de désigner dans une même unité tous les divers mécanismes qui sont identifiés techniquement comme relevant du Droit de la Compliance et d'exclure des obligations qui n'en relèvent pas📎!footnote-3852.

Par la suite, d'une façon secondaire donc, des disputes peuvent clairement se construire, pour contester ou approuver l'existence d'une telle Obligation, pour proposer d'en infléchir la force ou d'en accroître la contrainte, pour proposer d'en multiplier les modalités, pour proposer d'en laisser plus ou moins la disposition aux acteurs, pour proposer d'en désigner de nouveaux sujets ou d'en soustraire des assujettis, pour proposer d'en modifier la portée, pour proposer d'en hiérarchiser ou articuler les sources, pour proposer de restreindre le nombre de celles-ci, etc.

Pour proposer tout cela et ne pas s'y perdre, il faut partir d'une définition simple et nette. Or le droit positif nous la donne. La définition qui ressort du droit positif en est toujours la même : le législateur (au sens formel) requiert d'un sujet de droit qu'il mette en place ou contribue au fonctionnement d'une structure pour produire des effets, notamment des comportements, qui vont converger vers la réalisation des Buts Monumentaux que ce législateur a l'ambition d'atteindre dans des systèmes cruciaux pour le futur.

Mais, alors même que l'examen de l'ensemble du droit positif la fournit, cette définition de l'Obligation de Compliance n'est pas clairement exprimée, ni par les textes, toujours ponctuels, ni par les auteurs, souvent attachés à une obligation particulière dont ils tireront une définition générale, face à laquelle des obligations particulières différentes apporteront une dissonance, voire une contradiction, discréditant la définition générale proposée.

Ainsi, partant d'un exemple particulier à une généralité affirmée, chacun ayant la sienne et ne se prévalant que d'une obligation particulière de compliance, suivant que l'on lit les uns ou les autres, il s'agirait pour les entreprises d'être obligées de donner à voir qu'elles respectent activement toutes les réglementations applicables ou bien, à l'autre bout du spectre, il s'agirait pour elles d'exercer un immense pouvoir, celui de se fixer d'une façon autonome des règles, dont elles fixeraient la teneur, la portée et les assujettis, à savoir elles-mêmes mais aussi les autres. Ou il s'agirait de les soumettre à une obligation adossée à la force du droit pénal, ou il s'agirait de concrétiser le désir de bien faire dans un élan éthique dont elles ne répondraient qu'à l'égard de la conscience des personnes et de l'effet de réputation.

Faute de pouvoir s'entendre, l'on finit par dire qu'il y aurait autant de définitions que de cas, qu'il faudrait être "pragmatique", que tout cela est très "complexe" et que sans définition unifiée, l'on verra bien ce que le prochain juge, français, européen, américain ou autre, dira suivant le cas et son humeur. La crainte du juge en est accrue.

L'espoir se tourne alors vers les algorithmes car en fournissant à la puissance algorithmiques tous les cas déjà passés et tous les jugements déjà émis par les uns et les autres, l'on pourrait par probabilité ainsi connaître la décision future. Faute de comprendre et de maîtriser l'Obligation de Compliance. Les algorithmes apparaissent alors comme seul espoir de la Compliance..., dont on aurait désespéré de comprendre quoi que ce soit.

L'objet de cette étude, et de cet ouvrage, est inverse.

Le Droit devant rester affaire humaine et les situations présentes et prochaines ne devant pas être produites ni seulement par les solutions passées, peut-être inadéquates, ni seulement par des projections vers le futur par le calcul probabiliste, il s'agit de clarifier et d'unifier L'Obligation de Compliance.

Cela est possible.

L'état actuel de confusion tient à des obstacles qui doivent tout d'abord être identifiés en prolégomènes, identification nécessaire pour dépasser ces obstacles.

PROLÉGOMÈNES : LES OBSTACLES À UNE DÉFINITION CLAIRE ET UNIFIÉE DE L'OBLIGATION DE COMPLIANCE

2. Première raison pour laquelle la clarté et la simplicité de l'Obligation de Compliance n'est pas perçue : l'état naissant du Droit de la Compliance 🎯 Pour cerner, concrétiser et faire respecter l'Obligation de Compliance pesant sur les entreprises, pour maintenir l'ambition de pouvoir s'appuyer sur l'unicité de cette Obligation de Compliance afin de pouvoir aisément en déduire son régime, il faudrait disposer d'une notion déjà solidement construite par le Droit. Mais concernant l'Obligation de Compliance, l'on ne bénéficie pas d'un tel luxe : parce que le Droit de la Compliance est encore lui-même une branche du Droit en émergence, sur la définition de laquelle les disputes se poursuivent, donnant lieu à un contentieux d'un type nouveau lui-même émergeant📎!footnote-3853, l'on pourrait donc qu'hésiter sur ce qu'est l'obligation de compliance qui en découle.

Or, en pratique, cela est dramatique parce que les conséquences de l'inexécution de l'Obligation de Compliance sont sévères, les entreprises assujetties protestant souvent contre le fait qu'elles ne savent pas les contours de ce à quoi elles sont obligées. Cette incertitude quant à savoir ce qu'est l'Obligation de Compliance, constatée par tous📎!footnote-3625, est pourtant inévitable. Elle n'est pas même un défaut, lequel serait une preuve d'une sorte de malformation : ce temps d'incertitude constitue un moment de la naissance d'une branche du Droit📎!footnote-3626 : parce que le Droit de la Compliance est en train d'émerger, l'Obligation qu'il engendre pour les acteurs est encore incertaine. Mais plus la construction de la branche du Droit va se consolider et plus ces incertitudes vont s'estomper. Il faut un peu de patience pour que Rome se construise📎!footnote-3839.

3. Deuxième raison pour laquelle la clarté et la simplicité de l'Obligation de Compliance n'est pas perçue : les très nombreuses obligations de compliance logées dans des branches elles-mêmes très différentes 🎯 C'est par le critère de l'assujettissement que l'on a tendance à identifier une obligation de compliance : plus la force de la contrainte est élevée et plus l'on repère un mécanisme de "compliance". C'est donc à l'impérieux Droit pénal qu'il est encore usuel de rattacher la Compliance📎!footnote-3854. Mais il est aujourd'hui acquis que les obligations s'ancrent dans toutes les branches du Droit. Cela rend difficile la perspective de son unicité, dès l'instant qu'elle n'est pas enfermée dans une branche du Droit, pouvant en pratique relevant d'une juridiction précise (le juge pénal, les structures administratives répressives) et un savoir universitaire aux contours établis (notamment le droit pénal et le droit administratif, la compliance étant présentée comme une sorte de complément qui les moderniserait).

En outre, à l'intérieure de toutes les branches du droit, ce sont de multiples obligations de compliance qui sont repérables et qu'il est difficile de classer📎!footnote-3840. Pour prendre l'exemple d'une chaine économique d'activités, le Droit international, le Droit des contrats, le Droit des sociétés, le Droit de la concurrence et le Droit de la distribution, le Droit du travail, ont des points de contact avec les obligations de compliance qui sont engendrées, notamment par la façon dont l'entreprise donneuse d'ordre doit avoir soin de la façon dont les personnes qui s'activent , salariés, collaborateurs, collaborateurs, fournisseurs, etc., sont traitées tout à long de la chaîne. Cette Obligation innerve la "chaîne de valeur" (notion managériale)📎!footnote-3808 mais les branches du Droit segmentent l'unicité à laquelle le souci de la personne exprimé par le législateur renvoie. Cela peut être certes dépassé puisque le Droit étant lui-même un système fonctionne en articulant les diverses branches📎!footnote-3809, mais cela constitue néanmoins un obstacle pour parvenir à une définition unique de l'Obligation de Compliance surplombant les branches du Droit📎!footnote-3841.

4. Troisième raison pour laquelle la clarté et la simplicité de l'Obligation de Compliance n'est pas perçue : les très nombreuses obligations de compliance logées dans des secteurs très divers 🎯 En outre, l'Obligation de Compliance s'adressant naturellement aux opérateurs cruciaux des secteurs régulés concerne de multiples secteurs, allant du secteur bancaire et financière où elle a pris son origine en réaction à la crise de 1929📎!footnote-3810, au secteur énergétique particulièrement impliqué dans le système climatique, à l'espace numérique, à l'espace spatial, etc. Or, la spécificité de chacun se traduit par des obligations qui lui sont propres et sont rappelés par chaque régulateur, par chaque spécialiste de chaque espace, de chaque organisation professionnelle. C"est sans doute l'émergence d'un "Contentieux Systémique" devant le juge de droit commun📎!footnote-3811, qui va rapprocher tous ces secteurs en ramenant ce qui leur est commun, par exemple le souci systémique de durabilité à laquelle les entreprises ont l'obligation de moyens de contribuer📎!footnote-3842.

5. Quatrième raison pour laquelle la clarté et la simplicité de l'Obligation de Compliance n'est pas perçue : les très nombreuses obligations de compliance logées dans des réglementations qui s'éloignent les unes des autres 🎯 Liée aux 3 phénomènes précédents, sont apparus des spécialistes, des articles, des ouvrages et des manifestations, liés à une seule réglementation, détaillant celle-ci et n'évoquant pas les autres. Cela est logique en ce que chaque réglementation, terme qui embrasse toute une variété de textes de différentes portée, contient à elle-seule de nombreuses obligations de compliance, déjà difficiles à mémoriser, à comprendre et à articuler entre elles. La finesse des descriptions et des analyses des solutions, souvent menées dans l'ignorance des analyses des solutions retenues pour les obligations, pourtant analogues, contenues dans d'autres réglementations, rend ainsi paradoxalement de plus en plus difficile à maîtriser un ensemble de réglementations qui deviennent de plus en plus autonomes les unes des autres. Ainsi plus on devient savant et plus on devient ignorant, paradoxe de la spécialisation.

L'expertise croissante développée à propos de chaque réglementation rend donc de plus en plus difficile l'émission d'une Obligation de Compliance. L'érudition sur les obligations de compliance, grandement facilitée par les recherches par algorithmes, est une force centrifuge qui rend l'Obligation de Compliance de plus en plus difficile à maîtriser. Sauf à tout abandonner aux algorithmes.

6. Cinquième raison pour laquelle la clarté et la simplicité de l'Obligation de Compliance n'est pas perçue : l'absence de distinction première entre les obligations qui sont sanctionnées par le seul fait que l'assujetti n'a pas atteint le résultat et les obligations qui ne contraignent qu'à un effort accompli au regard d'un but fixé 🎯 Mais la cinquième raison constitue le plus grand obstacle. En effet, lorsqu'on passe d'une obligation de compliance à une autre, on a l'impression qu'elles n'ont rien en commun. Parfois, certaines expriment une exigence telle que le seul fait pour l'assujetti de n'avoir pas obtenu le résultat demandé entraine sa condamnation. Parfois, d'autres obligations se contentent de requérir de l'assujetti de faire au mieux. Comment dès lors trouver une unicité dans cela ? Comment trouver un terrain d'entente entre ceux qui, voulant soumettre les entreprises auxquelles confiance n'est pas donnée, se prévalent toujours des exemples du premier type d'obligations, et ceux qui, rappelant que les entreprises ne peuvent pas tout, s'appuient sur les textes qui n'obligent celles-ci qu'à des diligences ?

L'on finit par se dire que le droit positif est bien mal fait... et que demain il aura, par la sagesse du temps, résolu tout seul tous ces obstacles📎!footnote-3843. Mais précisément c'est ici et maintenant que nous avons besoin d'une définition claire et unifiée de l'Obligation de Compliance.

7. Nécessité pratique de surmonter ici et maintenant ces obstacles pour définir l'Obligation de Compliance 🎯 En pratique, l'on ne peut pourtant se contenter d'attendre ces lendemains meilleurs où l'on se sera accordé sur les définitions de base. Justement parce que la Compliance oblige, et considérablement, les entreprise. Or, être obligé mais ne pas savoir exactement à quoi, n'est-ce pas dramatique ?

Parce qu'on ne peut donc en pratique attendre que la branche du Droit ait trouvé sa maturité, même si l'on doit tout faire pour aider à cela en produire en pratique la sécurité requise📎!footnote-3804, il faut s'efforcer de passer ces obstacles qui peuvent certes être le résultat de stratégies dolosives des divers acteurs concernés (les États, les entreprises, les parties prenantes, etc.) mais qui tiennent le plus souvent à la nature des choses (temps, structures économiques et juridiques), Il faut plutôt faire confiance au droit positif, déjà si fourni qu'on le présente sous l'expression péjorative de "masse réglementaire" mais qui recèle des lignes de force, pour dégager l'esprit qui l'anime. Car un Droit sans âme, cela n'existe pas tant que ce sont des êtres humains qui l'écriront📎!footnote-3844.

8. Partir des régimes déjà développés pour dégager l'unicité et la simplicité de l'Obligation de Compliance, obligation d'un nouveau type. Plan. 🎯 Pour cela il est ici proposé de partir des régimes que l'on peut observer en droit positif, en se penchant plus particulièrement sur le couple familier du Droit des obligations : "obligation de moyens / obligation de résultat", appliqué ici à l'obligation légale et parfois à l'obligation contractuelle (I). Si l'on scrute les textes et les jurisprudences, il apparaît que les diverses obligations sont tantôt de moyens et tantôt de résultat, suivant qu'elles sont comportementales ou structurelles, ne pouvant qu'être de moyens dès l'instant qu'il s'agit pour l'assujetti de tendre vers la réalisation des buts monumentaux pour lesquels l'obligation a été édictée, l'obligation probatoire d'une trajectoire crédible étant l'obligation centrale (II). Ainsi éclairée, l'Obligation de Compliance trouve son unicité, sa force et sa simplicité, étant supportable par l'entreprise qui doit la concrétiser parce qu'elle est en position de tendre avec effectivité, efficacité et efficience vers les buts monumentaux en vue desquels cette Obligation d'un nouveau type est générée (III).

I. LE COUPLE "OBLIGATION DE MOYENS / OBLIGATION DE RÉSULTAT", VOIE POUR APPRÉHENDER PAR LE DROIT POSITIF L'OBLIGATION DE COMPLIANCE

9. Partir du droit positif des obligations techniques de compliance, tantôt de moyens, tantôt de résultat 🎯 Pour ne pas continuer à plonger dans les disputes de définition sans jamais en sortir, inversons la méthode en partant des oppositions constatées dans l'intensité des contraintes issues des textes. Étudions le régime juridiques lui-même, appliqué à de multiples obligations que tous s'accordent à qualifier d'obligations de compliance, si diverses et si nombreuses, et trouvons à travers cela une voie permettant d'induire l'unicité de l'Obligation de Compliance.

En partant du droit positif📎!footnote-3620, on opère le constat suivant : parfois les entreprises assujetties sont sanctionnées du seul fait qu'elles n'ont pas atteint le résultat que le texte a visé, ce qui renvoie donc à ce que l'on appelle souvent en droit des contrats une obligation de résultat ; en effet les entreprises sont sanctionnées uniquement si un fait générateur est constitué par une faute ou une négligence et que la survenance de ce fait générateur est prouvée par celui qui demande la condamnation de l'entreprise, ce qui atteste d'une obligation de moyens. L'enjeu est avant tout probatoire📎!footnote-3639 . Cette dimension probatoire, qui fait que l'entreprise sera condamnée ou non montre que la qualification de résultat ou de moyen est essentielle : si l'obligation est de moyens, la faute ou la négligence est un objet de preuve dont la démonstration doit être apportée par celui qui se plaint, tandis que si l'obligation est de résultat, il suffit pour celui qui se plaint de montrer que le résultat n'est pas atteint pour que celui auquel le reproche est fait soit condamné. Tout est là📎!footnote-3845.

10. Les vertus du classement 🎯 Bien qu'il paraisse hasardeux de transposer à des obligations légales l'expression et le régime des obligations contractuelles📎!footnote-3675, partons donc de ce constat d'une pluralité d'obligations techniques, qui sont pour certaines des obligations de de moyens et pour d'autres des obligations de résultat (A). Cette pluralité ne constitue pas un obstacle définitif à la constitution d'une définition unique de ce qu'est l'Obligation de Compliance. Cela permet au contraire de l'éclaircir, de tracer les allées dans ce qui est si souvent qualifié de fatras juridique, de "masse réglementaire" immaitrisable📎!footnote-3756. Un tel répertoire permet aussi de classer dans trois catégories qui s'articulent la multitude des obligations de résultat qui sont engendrées par l'Obligation de Compliance et de mesurer qu'il faut exclure de poser celle-ci comme étant elle-même globalement une obligation de résultat (B).

A. LA DISTRIBUTION DES OBLIGATIONS TECHNIQUES DE COMPLIANCE EN OBLIGATIONS DE RÉSULTAT ET EN OBLIGATIONS DE MOYENS

11. Préserver et améliorer les comportements en continu en perspective des buts visés par les textes = obligation de moyens ; mettre en place en amont les structures visés par les textes = obligation de résultat 🎯 En effet, cette différence essentielle entre la masse des obligations de compliance qui sont des obligations de résultat et la masse des obligations de compliance qui sont des obligations de moyens, qui imprègne tout le système probatoire du Droit de la Compliance, n'entame pourtant pas cette unicité de l'Obligation de Compliance qui permet la définition de celle-ci.

En tant que l'entreprise obligée au titre du Droit de la Compliance participe à la réalisation des Buts Monumentaux qui fondent normativement celui-ci📎!footnote-3640, obligation légale éventuellement relayée par le contrat📎!footnote-3641, voire par l'éthique📎!footnote-3757, l'obligation ne peut être qu'une obligation de moyens, en raison même de cette nature téléologique et de l'ampleur des buts visés, par exemple l'heureux dénouement de la crise climatique ou l'égalité effective souhaitée entre les êtres humains. Le résultat visé est à la fois si ambitieux et si lointain que retenir autre chose qu'une obligation de moyens alors que le résultat envisagé est de cette ampleur et à cette distance revient à condamner d'avance toutes les entreprises, ce qui n'est pas admissible. Il est pourtant et néanmoins porteur de multiples obligations de résultat, dont le rôle est essentiel et qu'il faut dégager.

12. Articuler les obligations de résultat et de moyens avec les exigences d'effectivité, d'efficacité et d'efficience 🎯 En effet, ce principe acquis laisse place au fait que ces comportements demandés et les effets évalués sont jalonnés par des process mis en place par des outils structurels, le plus souvent légalement décrits, par exemple l'établissement d'un plan de vigilance ou des formations régulièrement organisées, ce qui relève du critère de l'effectivité de la Compliance : il s'agit alors d'obligations de résultat. À ce titre, il faut adopter un plan, un programme, il faut organiser des formations, il faut mettre en place un système d'alerte, etc. Si ce résultat n'est pas atteint, l'obligation n'est pas remplie. Tandis que les effets heureux produits par ces outils structurels (que sont ces plans, programmes, cartographie, evaluation, formations, etc.), effets heureux qui renvoient non pas à l'effectivité mais à l'efficacité il s'agit d' obligations de moyens. Par exemple, l'on peut contrôler la présence des apprenants dans la formation donnée, mais l'on ne peut qu'exiger l'effort de transmission d'une compétence, c'est-à-dire l'efficacité de cette formation. C'est encore plus le cas lorsqu'il s'agit d'obtenir la transformation de l'ensemble du système, c'est-à-dire une solidité acquise du système (bancaire, financier, climatique, etc.), une culture d'égalité (entre les êtres humains), un respect de chacun à l'égard de tous (préservation du pacte social) : il s'agit alors de préserver, voire de transformer les systèmes eux-mêmes, ce qui relève de l'efficience, ce pour quoi le bon sens conduit à exclure plus encore une obligation de résultat et à retenir une obligation de moyens. L'effet heureux sur l'ensemble du système est à la fois ce qui fonde toute la compliance mais ne peut engendre qu'une obligation de moyens.

13. L'enchâssement des obligations de moyens dans les obligations de résultat : la crédibilité des structures et process (obligations de résultat) à engendrer les comportements et effets attendus au regard des buts visés (obligations de moyens) : la crédibilité 🎯 Les deux masses d'obligations de résultat et d'obligations de moyens ne sont pas pour autant étanches : il existe au contraire une communication. En effet, c'est bien pour aboutir à cette transformation des systèmes (un numérique sûr, une durabilité des chaînes d'activités, une dégradation climatique enrayée, une souveraineté énergétique préservée, une culture de respect entre les êtres humains, etc.) qu'au départ les réglementations ont imposé aux entreprises par des obligations de résultats l'adoption des structures et des process : ont été ainsi construites les conditions "effectives" pour qu'apparaissent les comportements "efficaces" afin que les systèmes soient préservés dans la durée des risques et s'améliorent d'une façon "efficiente"📎!footnote-3846.

14. L'unicité de l'Obligation de Compliance par le continuum entre les structures et process (obligation de résultat), d'une part, les comportements et les cultures (obligations de moyens), continuum prenant son sens par les Buts Monumentaux de la Compliance 🎯L'Obligation de Compliance apparaît ainsi unifiée parce que graduellement, et quelles que soient les diverses obligations de compliance dont il s'agit, leur intensité ou leur secteur, les préalables structurels de process📎!footnote-3759 de l'Obligation de Compliance sont des techniques de résultat auxquelles le Droit, à travers notamment le Juge📎!footnote-3763, demandera qu'ils soient faits mais ne demandera pas plus, tandis que tendre vers la réalisation des Buts monumentaux précités sera une obligation de moyens, ce qui peut paraître plus léger, mais correspond à une ambition incommensurable, en ce qu'elle se situe à la hauteur de ces Buts📎!footnote-3760 : l'entreprise devra s'appuyer sur ses structures, par exemple une structure de formation, pour aller au-delà, par exemple que les personnes dont elle a la charge, comprennent ce qui leur a été enseigné, visant in fine à une efficience des systèmes, par exemple que les personnes ainsi éduquées diffusent une culture de respect d'autrui, renvoyant en Europe à une ambition de civilisation des systèmes📎!footnote-3761.

15. Ce que les entreprises, les autorités et les parties prenantes doivent prouver🎯 De cette articulation il résulte que les entreprises doivent montrer non pas tant ou seulement qu'elles ont bien suivi les process (résultat) mais que cela a produit des effets heureux et attendus📎!footnote-3762 qui convergent avec les buts recherchés par le Législateur📎!footnote-3758. Elles doivent aussi montrer que les structures mises en place étaient et sont en mesure de produire ces effets prévus et requis au regard des Buts Monumentaux : cette exigence de crédibilité ramène toujours à la dimension probatoire de l'Obligation de Compliance.

B. L'INADÉQUATION D'UNE OBLIGATION DE COMPLIANCE PENSÉE COMME OBLIGATION GLOBALE DE RÉSULTAT

16. Le risque de rendre l'Obligation de Compliance "insupportable" par son unification comme obligation globale de résultat 🎯 Méconnaître ces distinctions, cette gradation et cette articulation aurait des conséquences pratiques très graves. En effet, transformer l'Obligation de Compliance en son principe et toutes ses modalités en obligation de résultat alors que le Droit de la Compliance prend sa normativité dans les Buts Monumentaux visés, ce qui lui attache une très grande ambition📎!footnote-3676, à savoir la sauvegarde des systèmes à l'avenir📎!footnote-3847, n'aurait pas de sens car aucune entité n'a la puissance d'atteindre ici et maintenant un tel but. L'on ne doit demander à l'entreprise qui a mis en place les structures requises (plans, formations, évaluations, etc.) que des diligences raisonnables.

17. L'illustration par la Vigilance d'une articulation entre des structures imposées par une obligation de résultat (le plan) et des efforts demandés par une obligation de moyens (diligences) 🎯 C'est d'ailleurs expressément ce que fait la Directive du 13 juin 2024 sur le devoir de vigilance📎!footnote-3848. L'entreprise doit montrer qu'elle fait des efforts crédibles en s'appuyant sur les différentes structures qu'elle a mis en place (plan, programme, formation, évaluation, etc.). Dans ce qui est l'essentiel, c'est-à-dire non pas les process, qui ne sont qu'une condition (certes nécessaire), mais dans les comportements et les effets obtenus en continu ce sont des obligations de moyens que les textes engendrent à la charge de l'entreprise.

18. L'on ne peut demander aux entreprises de sauver immédiatement le monde en transformant l'effort requis en obligation de résultat : on peut leur demander de contribuer à concrétiser cette ambition : c'est une obligation de moyens 🎯 Pour qualifier en bloc l'Obligation de Compliance de l'entreprise en Obligation de résultat, il Il faudrait soutenir qu'il ne s'agit de demander aux grandes entreprises non pas de participer à la concrétisation de ces buts d'intérêt général global, mais d'exiger d'elles qu'elles transforment, et immédiatement, le monde en jardin d'Eden où la fraternité est acquise et où aucune pollution n'advient, tout risque étant jugulé. Cela n'est ni raisonnable ni rationnel de faire cela. C'est les condamner par avance car le manquement, ainsi conçu, serait par avance acquis.

19. L'on ne doit pas , pour limiter la contrainte pesant sur les entreprises, réduire la Compliance à des process mécaniques 🎯 Pour échapper à cela, une solution imaginée serait tout autant dommageable. En effet, l'idée pourrait d'abandonner cette définition du Droit de la compliance par les Buts Monumentaux, parce que définition trop ambitieuse, trop politique, trop idéaliste, pour exiger simplement des entreprises qu'elles obéissent aux ordres donnés par le Législateur, qu'elles montrer leur obéissance en tous points à toutes les réglementations applicables et peuvent offrir aux autorités politiques et à toutes parties prenantes une immédiate satisfaction, sauf à être sanctionnées. Qu'elles "cochent les cases" et qu'elles retournent à leur affaire, qui est de faire des affaires.

C'est alors réduire le Droit de la Compliance à la conformité. Ce système d'obéissance est peu libéral et les personnes soucieuses des libertés récusent cette conception qui se referme sur les États, les entreprises et les personnes qui y travaillent comme un étau📎!footnote-3642. Mais il ne faut réduire le Droit de la compliance à la conformité, qui n'est qu'un outil de celui-ci. Nous renvoyons ici à des travaux de définitions comparées entre les deux pour soutenir cela📎!footnote-3849.

20. L'on ne doit pas, pour autant, croire sur parole les entreprises dans leur affirmations d'obtenir demain les résultats voulus par d'autres ou par elles-mêmes 🎯 Mais autant l'on ne peut asservir les entreprises par une obligation d'obéir, totale et aveugle, l'on ne peut se contenter d'affirmations vertueuses des personnes qui, au nom des entreprises et à travers diverses déclarations, disent que demain le résultat sera obtenu, que plus tard l'égalité entre les êtres humains sera atteinte, qu'à terme l'équilibre climatique sera restauré, etc., et qu'on ne peut leur demander davantage parce qu'on ne peut répondre du futur et qu'on n'est responsable que des choses passées et non des choses futures📎!footnote-3850.

Il est effectivement très difficile d'engager la responsabilité pour inexécution d'une obligation lorsque celle-ci porte sur le futur, car constitue un oxymore le fait de n'avoir pas atteint des buts qui se situent dans l'avenir. C'est là encore la spécificité de la responsabilité Ex Ante engendrée par la Compliance📎!footnote-3812. Mais l'on peut encore surmonter cet obstacle.

21. Obliger à produire des effets crédibles au regard des Buts Monumentaux de la Compliance 🎯 En effet, il convient d'obliger les entreprises à montrer les effets que les structures de compliance, qu'elles ont bâties parce qu'elles y sont obligées ou parce qu'elles l'on voulu📎!footnote-3813, ont engendré, ces effets assurant la crédibilité des effets futurs annoncés. En cela, la notion de trajectoire est essentielle et constitue le cœur de l'obligation de compliance. Pour résumer, L'entreprise a une obligation de résultat dans la mise en place de la structure de compliance, une obligation de moyens dans l'usage de cette structure pour atteindre les buts monumentaux et une obligation probatoire de montrer qu'au regard des effets déjà produits il est crédible que la trajectoire permettra sa contribution effective à cette ambition qui pourra dans le futur être concrétisée. Cette obligation probatoire sera développée dans la suite de cette étude📎!footnote-3823.

II. LE CONSTAT D'UNE PLURALITÉ D'OBLIGATIONS DE RÉSULTAT ET D'OBLIGATIONS DE MOYENS, PIÈCES D'UNE OBLIGATION UNIQUE DE COMPLIANCE

22. Les obligations structurelles comme obligations de résultats ; les obligations comportementales comme obligations de moyens 🎯Si l'on répertorie les différentes réglementations, il apparaît le Législateur donne parfois des ordres aux entreprises en leur imposant de mettre en place des structures : il s'agit alors d'obligations de résultat (A). Mais les effets produits sur les comportements des personnes ou les obligations comportementales elles-mêmes constituent des obligations de moyens (B).

A. LA MISE EN PLACE PAR L'ENTREPRISE DES STRUCTURES REQUISES PAR LES LOIS ET RÉGLEMENTATIONS : OBLIGATIONS DE RÉSULTAT

23. Les 3 types d'obligations de résultats : les obligations de plano pour que l'entreprise construise la structure de compliance, les obligations secondaires dans la façon de la construire, les obligations conditionnées à l'apparition d'une situation 🎯L'examen de toutes les obligations auxquelles les lois de compliance assujettissent les entreprises amène a distinguer trois catégories d'obligations de résultat : des obligations consistant pour l'entreprise, de plano, à construire une structure de Compliance (1), des obligations de résultat secondaires liées à la construction et au fonctionnement de ces structures (2) et enfin des obligations de résultat dont le déclenchement est conditionné à l'apparition d'une situation particulière (3).

1. Obligations de résultat de plano pour que l'entreprise construise la structure de Compliance

24. L'obligation de résultat de constituer, conserver et tenir un registre de données à caractère personnel 🎯L'article 6 du Règlement sur la protection des données à caractère personnel, dit "RGPD"📎!footnote-3766, oblige l'entreprise assujettie à assurer ses fonctions de constitution, de conservation et de tenue du registre de données personnelles, à en désigner un "responsable"📎!footnote-3764 et à recueillir le consentement des personnes pour en faire usage. L'obtention de ce consentement, la réalité de celui-ci en ce qu'il traduit la libre volonté de la personne concernée à laisser l'entreprise disposer de cette information, ainsi que la transmission de ces informations ont donné lieu à un corps si important qu'on considère souvent qu'il constitue un Droit à part entière : le Droit des données personnelles📎!footnote-3765.

En Droit européen le consentement est conçu comme l'expression de la libre volonté et doit porter également sur l'usage pour lequel la donnée est traitée. En outre, le traitement de certaines données personnelles est interdit. En ce qui concerne plus particulièrement l'obligation de sécurité que les lois font peser sur l'entreprise assujettie, il apparaît que la mise en place d'une structure assurant la sécurité du registre est requise, mais la CNIL par sa décision du 7 août 2014📎!footnote-3673 pose que l'effet attendu ne peut être une sécurité absolue : il est attendu de l'entreprise qu'elle ait pris un niveau de sécurité satisfaisant, le constat d'un faille ne suffisant pas à engager sa responsabilité. L'on appréhende à travers cette décision la distinction qui va apparaître dans tous les textes entre la mise en place de ce que l'on pourrait appeler des "structures crédibles"📎!footnote-3674, obligation de résultat, et la production d'effets par ces structures, obligation de moyens. Il apparaît ainsi que la mise en place de la structure des registres et de leur garde est une obligation de résultat, la protection des personnes concernées contre l'usage sans leur volonté des informations est une obligation de moyens, mais il faut que dès le départ l'entreprise montre que la structure qu'elle a mis en place soit "crédible", c'est-à-dire soit suffisamment robuste et efficace pour produire raisonnablement cet effet-là, ce pour quoi l'entreprise fera par ailleurs diligence (obligations de moyens).

25. L'obligation de résultat de mettre en place une politique, un dispositif, des procédures internes, de gestion des risques, comprenant les différents Outils de Compliance visés par les lois 🎯 De nombreux textes de Compliance contiennent une obligation première consistant à imposer aux entreprises de mettre en place des dispositifs, politiques, procédures internes de gestion des risques systémiques que ceux-ci cherchent à prévenir. Les textes détaillent ensuite le contenu de cette obligation, qui correspond à l'adoption et la mise en oeuvre de divers Outils de Compliance : cartographie des risques, dispositif d'alerte, formation, etc. Ainsi, la loi "Sapin 2" oblige les entreprises assujetties à prendre des "mesures destinées à prévenir et à détecter la commission [...] de faits de corruption ou de trafic d'influence"📎!footnote-4479. En matière financière, le règlement anti-blanchiment exige que les entreprises assujetties "disposent de politiques, de procédures et de contrôles internes visant à garantir la conformité" aux règles anti-blanchiment et de gel des avoirs📎!footnote-4481, le droit national imposant quant à lui la mise en place d'une "organisation" et de "procédures internes"📎!footnote-4482. Le RIA impose notamment aux fournisseurs de SIA à haut risque de mettre en place un "système de gestion de la qualité", lequel comprend un "système de gestion des risques", qui implique une identification et évaluation des risques, l'adoption de mesures appropriées, etc.📎!footnote-4485. En matière de cybersécurité, le règlement DORA impose aux entités financières assujetties de disposer d'un "cadre de gestion du risque lié aux TIC", qui comprend notamment leurs stratégies, politiques et procédures pour "parer au risque lié aux TIC"📎!footnote-4486. Elles doivent également adopter des politiques et procédures de sauvegarde et des procédures et méthodes de restauration et de rétablissement📎!footnote-4487. La directive NIS 2 prévoit quant à elle que les entités essentielles doivent prendre des "mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information" auxquelles elles ont recours, puis là encore détaille par la suite le contenu de celles-ci📎!footnote-4488.

Enfin, la loi "Vigilance" engendre d'une façon semblable une obligation de résultat contraignant l'entreprise à adopter formellement un plan comprenant expressément des Outils de Compliance que le législateur a listé. Les effets produits par ces outils relèvent quant à eux d'une obligation de moyens, comme cela sera développé plus loin, mais l'adoption même de ce plan et la présence de tel ou tel mécanisme de Compliance visé par la loi sont quant à eux, pour l'entreprise assujettie, une obligation de résultat📎!footnote-4483.

De la même façon, la CS3D, même si elle n'impose pas l'adoption d'un plan formel de vigilance, impose aux entreprises assujetties l'intégration explicite du devoir de vigilance dans leurs politiques et leurs systèmes de gestion des risques, ce qui correspond donc à une obligation de résultat. Les autres textes européens qui se réfèrent à des mécanismes de vigilance n'exigent pas cette présence explicite des outils de vigilance au sein de la politique générale de l'entreprise ni dans leur système de gestion des risques. Ce formalisme peut éventuellement paraître excessif si l'entreprise parvient à produire par ailleurs les effets attendus par le Législateur.

26. L'obligation de résultat d'adopter un programme, un plan, ou un code de conduite Ex Ante visé par la loi 🎯Plusieurs lois exigent expressément des entreprises qu'elles adoptent de plano un plan ou un programme. C'est le cas de la loi "Sapin 2" qui, dans son article 17📎!footnote-3769 pose l'obligation pour l'entreprise d'adopter un "code de conduite" puis détaille un ensemble de mesures et procédures à mettre en oeuvre. Recopiant quasiment le mécanisme, la loi de 2017 dite "Vigilance"📎!footnote-3767, impose à l'entreprise d'adopter un plan de vigilance, listant les dispositifs qu'il doit comprendre ou auxquels il doit se référer. Ainsi l'entreprise qui n'en adopte pas alors qu'elle est assujettie à ces lois doit justifier l'inexécution de son obligation légale. Dans le même sens, la directive CS3D, si elle n'impose pas à l'entreprise d'établir un plan de vigilance semblable à celui de la loi française de 2017, l'oblige a intégrer le devoir de vigilance dans ses politiques et systèmes de gestion des risques, et précise que cela doit se matérialiser notamment par un code de conduite📎!footnote-4283.

27. L'obligation de résultat de mise en place d'un système d'alerte 🎯 Sous diverses appellations, de nombreux textes imposent à l'entreprise de mettre en place un système d'alerte, permettant à des personnes évoluant en son sein ou à des tiers de lui signaler de potentiels manquements, avec pour objectif que l'entreprise ainsi informée puisse dans un second temps agir. Tel est en premier lieu le cas de la loi "Sapin 2", laquelle contient les règles d'une sorte de droit commun de l'alerte et impose par ailleurs à l'entreprise de mettre en oeuvre un dispositif d'alerte interne à destination de ses employés📎!footnote-4082. Le mécanisme d'alerte est également une des mesures à inclure dans le plan de vigilance et à mettre en oeuvre au titre de la loi de 2017📎!footnote-4083. Il fait également partie des éléments composant le devoir de vigilance européen, les entreprises assujetties devant mettre en place un "mécanisme de notification et une procédure relative aux plaintes"📎!footnote-4085. Le DSA prévoit quant à lui l'obligation pour les fournisseurs de services d’hébergement de mettre en place des mécanismes de notification, permettant à toute personne de leur signaler un contenu illicite📎!footnote-4084. Sans prévoir directement l'obligation pour l'entreprise de mettre en place un dispositif d'alerte ou de signalement spécifique, le DMA prévoit que les signalement de ses violations relèvent de la directive sur le lancement d'alerte, de sorte que le dispositif d'alerte établi par les entreprises en application de ce texte et de ses dispositions nationales de transposition (en France la loi "Sapin 2") permet de lancer l'alerte sur les manquements à ses dispositions. En matière de lutte contre le blanchiment d'argent, le règlement européen relatif à la LCB-FT prévoit que les entreprises assujetties doivent établir des canaux de signalement interne📎!footnote-4086. Quant à la cybersécurité, les entités financières assujetties au règlement DORA ont l'obligation d'établir et mettre en oeuvre un processus de gestion des incidents liés aux TIC, lequel comprend notamment les procédures internes de remontée des informations, y compris les plaintes des clients liées aux TIC📎!footnote-4471.

28. L'obligation de résultat d'établissement d'une cartographie des risques 🎯La cartographie des risques est un outil central en Droit de la Compliance📎!footnote-4188, permettant à l'entreprise d'identifier les risques générés par son activité afin dans un second temps d'agir sur ceux-ci. Il est ainsi logique de retrouver l'obligation d'établir une cartographie des risques dans de nombreux textes de Compliance. Tel est le cas de la loi "Sapin 2", dont l'article 17 vise la cartographie des risques au titre des mesures et procédures que l'entreprise a l'obligation de mettre en place📎!footnote-4189. C'est également le cas en matière de vigilance, la loi de 2017 prévoyant que la cartographie des risques est l'un des éléments que doit comprendre le plan de vigilance📎!footnote-4190, et la CS3D disposant qu'au titre de leur devoir de vigilance les entreprises assujetties ont l'obligation de recenser et évaluer les incidences négatives réelles ou potentielles, notamment en réalisant une cartographie📎!footnote-4191. Quant à la CSRD, elle ne contient pas d'obligation expresse et directe pour l'entreprise d'établir une cartographie des risques. Toutefois, en obligeant l'entreprise à établir et publier un "rapport de durabilité" selon un principe de double matérialité, elle conduit l'entreprise à identifier et évaluer non seulement ses impacts sur les enjeux de durabilité (matérialité d'impact) mais encore les risques et opportunités en lien avec ces enjeux (matérialité financière). Ce faisant, le processus mis en oeuvre se rapproche d'une cartographie, si ce n'est des risques, plus largement des impacts, risques et opportunités. Par ailleurs, s'il n'impose pas expressément l'établissement d'une cartographie des risques, le corpus de règles relatif à la lutte contre le blanchiment d'argent et le financement du terrorisme oblige l'entreprise assujettie à mettre en place des politiques et procédures internes devant comprendre une "réalisation et [une] actualisation de l’évaluation des risques à l’échelle de l’entité"📎!footnote-4192, ce qui en droit français se traduit par une obligation de définir et mettre en place des dispositifs d'identification et d'évaluation des risques de blanchiment des capitaux et de financement du terrorisme auxquels elles sont exposées📎!footnote-4476. Le RGPD, quant à lui, ne pose pas d'obligation générale d'établissement d'une cartographie des risques. Toutefois, il prévoit que lorsque le traitement "est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques", alors le responsable de traitement doit préalablement effectuer une "analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel", cette analyse comprenant notamment une évaluation des risques pour les droits et libertés des personnes concernées📎!footnote-4289. Le DSA impose aux fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne de recenser, analyser et évaluer tout risque systémique généré par la conception ou le fonctionnement de leurs services et systèmes connexes ou de l'utilisation de leurs services📎!footnote-4290. Cela revient à leur imposer d'établir une cartographie des risques, laquelle n'a pas à être publiée mais doit être conservée en vue d'un éventuel contrôle par la Commission ou les autorités nationales📎!footnote-4291. L'IA Act appréhende les différents systèmes d'intelligence artificielle à travers les risques qu'ils génèrent et adopte une approche fondée sur les risques générés. Ainsi, pour les systèmes d'IA à haut risque, il est nécessaire d'établir un système de gestion des risques devant comprendre une identification et une analyse des risques que le système d'IA peut ou pourrait engendrer pour la santé la sécurité ou les droits fondamentaux📎!footnote-4292. De même, pour les modèles d'IA à usage général il convient d'identifier les risques systémiques qu'ils génèrent📎!footnote-4293. En matière de cybersécurité, les fabricants de produits comportant des éléments numériques ont l'obligation d'entreprendre une évaluation des risques de cybersécurité associés à leur produit, afin de recenser les risques et exigences essentielles de cybersécurité pertinents📎!footnote-4473. Spécifiquement pour les entités financières, le règlement DORA impose quant à lui, sans mentionner expressément le terme "cartographie", d'identifier de manière continue toutes les sources de risque lié aux TIC et d'évaluer les cybermenaces et les vulnérabilités des TIC qui concernent leurs fonctions "métiers" s’appuyant sur les TIC, leurs actifs informationnels et leurs actifs de TIC📎!footnote-4472. Enfin, la directive NIS 2 impose aux entités essentielles et importantes de prendre des mesures de gestion des risques de cybersécurité, ce qui se traduit notamment par des politiques d'analyse et des évaluations des risques, sans qu'une cartographie stricto sensu ne soit exigée📎!footnote-4474. Là encore, c'est l'existence d'un telle politique qui constitue une obligation de résultat, non sa production d'effets. En dernier lieu, là encore sans aller jusqu'à exiger expressément une cartographie des risques, le règlement déforestation impose aux entreprises assujetties de récolter de l'information quant au respect des exigences du texte par les produits visés et d'évaluer le risque de non-conformité de ceux-ci, ce qui revient in fine à exiger des opérateurs une forme de cartographie des risques📎!footnote-4475.

29. L'obligation de résultat d'une procédure de connaissance du client (LCB-FT) 🎯 En matière de lutte contre le blanchiment d'argent et le financement du terrorisme, le règlement anti-blanchiment impose à l'entreprise assujettie d'adopter des politiques et procédures internes qui lui permet notamment d'être vigilante à l'égard de ses clients📎!footnote-4497. Le droit interne prévoit que l'entreprise assujettie est tenue d'appliquer des "mesures de vigilance" à l'égard de ses clients, au titre desquelles elle a notamment l'obligation de résultat de mettre en place des "dispositifs d'identification et d'évaluation des risques de blanchiment des capitaux et de financement du terrorisme" ainsi qu'une "politique adaptée à ces risques"📎!footnote-4495. De même, les organismes financiers ont l'obligation de mettre en place des dispositifs adaptés permettant de détecter toute opération au bénéfice d’une personne ou d’une entité faisant l’objet d’une mesure de gel des avoirs constitue une obligation de résultat📎!footnote-4489. Enfin, au titre de la loi "Sapin 2", l'entreprise assujettie doit établir une procédure d'évaluation des tiers, notamment de ses clients📎!footnote-4496.

30. L'obligation de résultat d'une procédure d'évaluation régulière des tiers 🎯La procédure d'évaluation des tiers est une obligation issue des lois de Compliance, qu'il s'agisse de la loi dite "Vigilance", qui exige l'établissement d'une procédure d'évaluation des filiales, des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie📎!footnote-4275 ou de la loi "Sapin 2", qui prévoit également une telle procédure à son article 17, visant quant à elle les "clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques"📎!footnote-4193. C'est également le cas en matière d'anti-blanchiment, le règlement anti-blanchiment qui prévoiyant des obligations d'évaluation des clients au titre de des mesures de vigilance que l'opérateur assujetti doit déployer à l'égard de sa clientèle📎!footnote-4498, tout comme les dispositions de droit national!footnote-4499. Enfin la CS3D pose l'obligation pour les entreprises assujetties de procéder à des "évaluations périodiques" de leurs propres activités et mesures, de celles de leurs filiales et, lorsqu’elles sont liées à la chaîne d’activités de l’entreprise, de celles de leurs partenaires commerciaux📎!footnote-4501. En outre, la directive oblige les entreprises assujetties à recenser les incidences négatives réelles et potentielles non seulement de son activité mais encore de celle de ses filiales et partenaires commerciaux s'insérant dans leur chaîne d'activité, ce qui les conduit à mettre en place de telles procédures📎!footnote-4500.

31. L'obligation de résultat de mettre en place une formation 🎯 La formation est un outil central en matière de Compliance📎!footnote-4284, présent dans de nombreux textes de Compliance. Tel est le cas de la loi "Sapin 2"📎!footnote-4285, du règlement anti-blanchiment du 31 mai 2024📎!footnote-4459, ou bien encore des règles de droit national en matière de lutte contre le blanchiment d'argent et le financement du terrorisme📎!footnote-4477 et de gel des avoirs📎!footnote-4478. La CS3D mentionne les formations au titre des mesures de soutien qu'un opérateur assujetti doit fournir à un partenaire contractuel qui serait une PME, l'opérateur pouvant ainsi donner accès à des possibilités de formation📎!footnote-4286. Au titre du RGPD, les règles d'entreprise contraignantes doivent notamment comprendre une formation en matière de protection des données personnelles pour les employés ayant un accès permanent ou régulier à de telles données📎!footnote-4490. Le RIA impose quant à lui une obligation générale de maîtrise de l'IA, qui se traduit notamment par l'obligation pour les fournisseurs et déployeurs de prendre des mesures pour garantir, "dans toute la mesure du possible", "un niveau suffisant de maîtrise de l’IA pour leur personnel et les autres personnes s’occupant du fonctionnement et de l’utilisation des systèmes d’IA pour leur compte"📎!footnote-4491 et des obligations de formation, par exemple du fournisseurs à l'égard du déployeur d'un SIA à haut risque📎!footnote-4492. Comme le montre l'expression "dans [...] la mesure du possible", l'atteinte du résultat visé, c'est à dire que la formation permette d'augmenter les connaissances et compétences des participants afin d'engendrer, dans un second temps, des comportements qui auront un effet positif sur le système, constitue une obligation de moyens. Seule la mise en place d'une formation constitue une obligation de résultat. Enfin, en matière de cybersécurité, le règlement DORA impose quant à lui aux entités financières assujetties d'élaborer des "programmes de sensibilisation à la sécurité des TIC" ainsi que des "formations à la résilience opérationnelle numérique" et de les intégrer à leurs programmes de formation du personnel sous forme de modules obligatoires!footnote-4493.

Ainsi, si l'existence de la formation (effectivité) constitue une obligation de résultat, la propension de celle-ci à atteindre le but fixé (efficacité) - en l'occurrence l'acquisition de connaissances par les participants - et à produire dans un second temps des effets sur le système (efficience) relèvent quant à elles d'obligations de moyens.

32. L'obligation de résultat de mettre en place un dispositif de contrôle interne, ou de suivi des mesures 🎯Les entreprises ne doivent pas seulement adopter des "mesures" permettant de détecter, prévenir et le cas échéant remédier aux risques visés par les différents textes de Compliance, elles ont en outre l'obligation de contrôler la production d'effets par celles-ci, afin le cas échéant d'adapter lesdites mesures, les changer ou en adopter de nouvelles. C'est pourquoi les différents textes de Compliance obligent les entreprises à mettre en place des dispositif de suivi des mesures prises. Tel est le cas de la loi "Sapin 2"📎!footnote-4287, de la loi "Vigilance"📎!footnote-4288 ou bien encore de la CS3D!footnote-4502. L'IA Act prévoit quant à lui une procédure d'évaluation de la conformité fondée sur le contrôle interne, à laquelle doivent recourir certains fournisseurs de SIA à haut risque pour évaluer la conformité de celui-ci📎!footnote-4503. Il en va de même pour le fabricant qui aurait à démontrer la conformité d'un produit comportant des éléments numérique au règlement cyberrésilience📎!footnote-4509. Le règlement DORA impose quant à lui aux entittés financières assujetties de disposer d'un cadre de contrôle interne📎!footnote-4510. En matière de lutte contre le blanchiment d'argent et le financement du terrorisme, le règlement européen du 31 mai 2024 prévoit que les entreprises assujetties doivent mettre en place des mesures de contrôle interne📎!footnote-4504, tout comme le droit national📎!footnote-4505, y compris en matière de gel des avoirs📎!footnote-4506. Le DSA comme le DMA obligent les entreprises assujetties à mettre en place une fonction de vérification de la conformité, chargé d'opérer un contrôle du respect du règlement📎!footnote-4508. Enfin, le règlement déforestation prévoit également la mise en place de mesures de contrôle interne, afin de détecter et prévenir le risque de non-conformité au règlement des produits en cause📎!footnote-4507.

2. Obligations de résultat secondaires dans la construction et le fonctionnement des structures de Compliance

33. Obligation de concertation avec les parties prenantes : exigence de la loi Vigilance et de la CS3D ; absence d'exigence de la CSRD 🎯Afin de satisfaire son Obligation de Compliance, l'entreprise a besoin d'information. C'est à ce titre qu'il est courant de retrouver dans les textes des incitations, voire des obligations, de dialogue avec les parties prenantes. Ainsi, en matière de vigilance, si en application de la loi française dite "Vigilance" le plan de vigilance "a vocation à être élaboré en association avec les parties prenantes"📎!footnote-4461 - ce qui ne signifie pas co-construit - le mécanisme d'alerte qu'il comprend doit quant à lui être élaboré "en concertation avec les organisations syndicales représentatives"📎!footnote-4462, ce qui va plus loin que la simple association et "suppose une transmission d'éléments d'information et un échange de points de vue et de propositions sur la rédaction du contenu et la mise en oeuvre du mécanisme à établir, en vue, et donc en amont, de son élaboration"📎!footnote-4463. Dans le même sens, la CS3D impose une association des parties prenantes aux différents stades du devoir de vigilance, de la collecte des informations à l'élaboration d’indicateurs qualitatifs et quantitatifs de suivi📎!footnote-4466. L'entreprise a ainsi l'obligation de "mener des échanges constructifs avec les parties prenantes"📎!footnote-4464 et de prendre des "mesures appropriées pour mettre en place des échanges efficaces avec les parties prenantes"📎!footnote-4465. De manière plus spécifique, le texte prévoit que la "politique en matière de devoir de vigilance" est "élaborée après concertation avec les salariés de l’entreprise et leurs représentants"📎!footnote-4480.

Il convient toutefois de souligner que ces diverses obligations de prise en compte, d'association des parties prenantes ne vont pas jusqu'à permettre à celles-ci de décider de la stratégie et de la gestion de l'entreprise, ni même de "co-décider". La distinction entre les shareholders et les stakeholders demeure. Les parties prenantes sont consultées parce qu'elles matérialisent une partie des intérêts qui sont extérieurs à l'entreprise et qu'on lui demande de connaître et de "prendre en considération".

Au contraire, une telle exigence ne figure pas dans la CSRD. Il est en effet essentiel de distinguer l'obligation de faire, de l'obligation de dire, de l'incitation à consulter les parties prenantes. Dans la CSRD, il ne s'agit aucunement d'une obligation de faire qui consisterait à consulter les parties prenantes dans l'élaboration du rapport de durabilité, mais simplement, d'une part d'une recommandation d'associer celles-ci dans l'élaboration du rapport📎!footnote-4467, et d'autre part d'une obligation de dire, qui consiste pour l'entreprise à reporter sur la manière dont les intérêts et points de vue des parties prenantes sont "pris en considération par l’entreprise dans sa stratégie et son modèle économique"📎!footnote-4460. En revanche, si les entreprises organisent une telle concertation, ce que de fait elles font, c'est parce qu'elles font usage de leur volonté et non pas pour obéir à la loi📎!footnote-4468.

D'une façon plus générale, les diverses réglementations ne posent pas une consultation des parties prenantes📎!footnote-4469. La tendance de certains auteurs à désigner la consultation des parties prenantes comme étant une sorte de règle générale n'est donc pas exacte. Il s'agit davantage d'une pratique mise en place par les organes de direction.

34. Obligation de publicité des structures de Compliance 🎯 Plusieurs textes de Compliance obligent les entreprises non seulement à adopter des structures de Compliance, mais encore à rendre compte de celles-ci en les exposant dans un document rendu public. Tel est le cas de la loi "Vigilance", qui oblige l'entreprise à publier son plan de vigilance et le compte-rendu effectif de la mise en oeuvre de celui-ci dans son rapport de gestion📎!footnote-4511. La CS3D impose quant à elle à l'entreprise assujettie de "communiquer publiquement sur le devoir de vigilance", en publiant sur leur site internet une "déclaration annuelle" qui correspond à un "rapport sur les questions couvertes par la [...] directive"📎!footnote-4512.

La CSRD impose quant à elle aux entreprises assujetties de publier des informations en matière de durabilité - plus connues sous l'appellation "rapport de durabilité" -, au sein d'une section de leur rapport de gestion📎!footnote-4513.

On mesure en pratique que les entreprises publient davantage que la loi ne les y contraint, soit qu'elles rendent spontanément disponible des informations qui ne sont que quérables à l'initiative des personnes intéressées, soit qu'elles publient des informations qui pourraient demeurer purement et simplement internes. Il s'agit alors d'une politique volontaire qui leur est propre.

35. L'obligation de résultat d'organiser un système interne de sanctions disciplinaires : exigence de la loi "Sapin 2" 🎯L'article 17 de la loi dite "Sapin 2"!footnote-3778 impose à l'entreprise la mise en place d'un "régime disciplinaire permettant de sanctionner les salariés de la société en cas de violation du code de conduite de la société". Il n'y a que la loi "Sapin 2" qui oblige les entreprises à l'adoption d'un tel système de sanction disciplinaire. On observe en pratique que des entreprises ont choisi d'organiser spontanément un tel système pour accroitre l'efficacité d'autres corpus réglementaires.

3. Obligations de résultat conditionnée à l'apparition d'une situation particulière

36. L'obligation de résultat conditionnée de mettre en place des actions adaptées et suivies d'atténuation des atteintes ou des risques d'atteinte : apparition de cette obligation s'il apparaît une perspective d'atteintes graves ou de risques avérés 🎯Les textes de Compliance sont fondés sur une approche par les risques. Ainsi, une fois que l'entreprise a identifié les risques que le texte en cause cherche à prévenir, notamment via une cartographie de ceux-ci, elle doit agir en considération de ceux-ci. Les textes obligent ainsi les entreprises à adopter des "mesures adaptées", des "mesures appropriées", etc., c'est-à-dire des mesures adéquates et proportionnées au regard des risques qu'elles ont identifiés, afin de prévenir la réalisation de ceux-ci et le cas échéant d'y remédier voire de réparer. C'est donc cette identification première d'un risque, qui déclenche l'obligation d'adoption par l'entreprise assujettie de telles mesures. En outre, si l'adoption et la mise en place de la mesure, le fait qu'elle existe (effectivité), constitue une obligation de résultat, le caractère "adapté" ou "approprié" de celle-ci, c'est à dire sa capacité à atteindre le but fixé (efficacité) et à produire des effets systémiques (efficience), constitue nécessairement une obligation de moyens.

La loi dite "Sapin 2" impose aux entreprises de mettre en place un "dispositif de contrôle et d'évaluation interne des mesures mises en œuvre"📎!footnote-4514. La loi "Vigilance" pose que l'entreprise doit prendre des "actions adaptées d'atténuation des risques et de prévention des atteintes graves" et doit organiser le suivi de ces actions📎!footnote-4515. De nombreux textes européens obligent l'entreprise à prendre des "mesures appropriées" afin de prévenir les risques identifiés. Tel est le cas du règlement déforestation!footnote-4519, de la CS3D, qui oblige à prendre des "mesures appropriées" notamment afin de prévenir les "incidences négatives"📎!footnote-4516, ou bien encore le RIA, qui au titre du système de gestion des risques mis en place en cas de système d'IA à haut risque impose "l’adoption de mesures appropriées et ciblées de gestion des risques, conçues pour répondre aux risques identifiés"📎!footnote-4517. Toujours au regard des risques identifiés et de manière proportionnée, le RGPD exige du responsable de traitement et de son éventuel sous-traitant de mettre en oeuvre des "techniques et organisationnelles appropriées"📎!footnote-4518. Le DSA oblige les fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne à mettre en place des mesures d'atténuation des risques, désignées comme "mesures d’atténuation raisonnables, proportionnées et efficaces, adaptées aux risques systémiques spécifiques recensés"📎!footnote-4520. L'on retrouve là encore l'adoption de telles mesures au regard des risques identifiés et la proportionnalité. Tel est également le cas en matière de lutte contre le blanchiment d'argent et le financement du terrorisme, le règlement européen du 31 mai 2024, qui exige l'adoption de "mesures appropriées" de gestion des risques📎!footnote-4521, ou du droit national qui, au titre des obligations de vigilance à l'égard de la clientèle, exigent la mise en place d'une "politique adaptée" aux risques identifiés📎!footnote-4522. Enfin, en matière de cybersécurité, les fabricants de produits comportant des éléments numérique doivent disposer de "politiques et procédures appropriées" en application du règlement cyberrésilience📎!footnote-4523, les entités financières doivent déployer des "outils, [...] stratégies et [...] procédures appropriés en matière de sécurité des TIC aux termes du règlement DORA et, enfin, en application de la directive NIS 2, les entités essentielles et importantes doivent adopter des "mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information" auxquels elles ont recours📎!footnote-4524.

La mise en place de telles mesures "adaptées" ou "appropriées", le fait qu'elles existent (effectivité), constitue une obligation de résultat. En revanche, la production d'effets par celles-ci qui sont de nature à atteindre les objectifs fixés par la règle (efficacité) et ainsi à affecter le système (efficience), relève quant à elle d'une obligation de moyens.

En outre, dès l'instant que la mesure élaborée par l'entreprise assujettie porte effectivement sur la difficulté ou la défaillance identifiée, elle est présumée adaptée. C'est donc à celui qui se prévaudrait de la mesure effectivement adoptée, en alléguant qu'elle est néanmoins inadaptée, de démontrer son inadaptation.

37. L'obligation de résultat conditionnée de transmission ou de non-transmission d'information à des tiers : apparition de cette obligation si l'on est détenteur de l'information 🎯 En matière de lutte contre le blanchiment d'argent et le financement du terrorisme, les professionnels assujettis ont l'obligation de déclarer à Tracfin les sommes ou opérations portant sur des sommes "dont elles savent, soupçonnent ou ont de bonnes raisons de soupçonner qu'elles proviennent d'une infraction passible d'une peine privative de liberté supérieure à un an ou sont liées au financement du terrorisme"📎!footnote-4533. Les personnes qui n'entreraient pas dans la liste des professionnels assujettis (, etc.) et qui "dans l'exercice de leur profession, réalisent, contrôlent ou conseillent des opérations entraînant des mouvements de capitaux" ont quant à elle l'obligation d'effectuer une déclaration au procureur pour des opérations dont elles ont connaissance et dont elles savent que les sommes en cause proviennent d'une infraction visée à l'article L. 561-15 du CMF📎!footnote-4534.

Ces obligations de déclaration se déclenchent en raison de la connaissance de la provenance illégale des sommes pour la seconde et de la connaissance, du soupçon ou de l'existence d'indices permettant de soupçonner cette origine illégale pour la première. Dans les deux cas ces obligations n'imposent pas à l'opérateur de rechercher des informations quant à l'origine des fonds. D'autres obligations, notamment de vigilance, l'amèneront pour partie à le faire. Mais ici il n'a pas à chercher à collecter des informations, il n'a pas une obligation de savoir. En revanche, s'il acquiert cette connaissance, ou s'il soupçonne ou devrait soupçonner, en raison des éléments de faits entourant les sommes ou l'opération, que celles-ci présentant un caractère illégal, alors son obligation de déclaration se déclenche.

Toutefois, il se peut que cette obligation de déclaration soit bloquée, en ce qu'elle se heurterait à un secret. Ainsi et par exemple, les avocats qui interviennent dans une activité juridictionnelle ou donnent une consultation juridique (à condition que celle-ci ne soit pas fournies à des fins de blanchiment de capitaux ou de financement du terrorisme et/ou que l'avocat ne sache pas que c'est à cette fin que le client le demande) n'ont pas à effectuer de déclaration📎!footnote-4535. Le secret, qui constitue une obligation de non-transmission d'information, fait ainsi, par exception, échec à leur obligation de déclaration, c'est à dire de transmission d'information. En outre, ce même secret justifie que, lorsqu'ils interviennent au titre de leur activité de conseil et hors consultation juridique, leur obligation de déclaration soit aménagée : il existe un filtre du bâtonnier, de sorte qu'ils ne transmettent pas l'information directement à Tracfin mais à leur bâtonnier, qui à son tour communiquera l'information à Tracfin s'il estime que les conditions sont réunies📎!footnote-4536.

38. L'obligation de résultat conditionnée d'action sur un contenu illicite : apparition de cette obligation si l'on est détenteur de l'information - le DSA 🎯 Le DSA commence par poser que les fournisseurs de service de la société de l'information ne sont en principe pas "responsables" du simple transport, de la mise en cache ou de l'hébergement de contenus illicites📎!footnote-4526. L'on retrouve ici la traditionnelle distinction entre l'éditeur et l'hébergeur d'un contenu, le second n'étant en principe pas responsable en raison de celui-ci📎!footnote-4530. Ces mêmes opérateurs n'ont en outre aucune obligation générale de "surveillance ou de recherche active de faits" illicites📎!footnote-4525.

Toutefois, à partir du moment où l'opérateur assujetti acquiert la connaissance de l'existence d'un contenu illicite, par une injonction d'agir émanant des autorités publiques📎!footnote-4527 ou par une notification émanant de toute personne📎!footnote-4528 ou d'un signaleur de confiance📎!footnote-4529, il perd le bénéfice de cette exemption de responsabilité et a l'obligation d'agir sur le contenu en cause📎!footnote-4531. Le déclenchement de son obligation d'agir est ainsi conditionnée à son information préalable, par un tiers, de l'existence d'un contenu illicite. En revanche, le fait pour l'opérateur de procéder "de [sa] propre initiative, de bonne foi et avec diligence, à des enquêtes volontaires" ou de prendre "d’autres mesures destinées à détecter, à identifier et à retirer des contenus illicites, ou à rendre l’accès à ces contenus impossible" ne lui fait pas perdre le bénéfice des exemptions précitées et ne déclenche pas d'obligation d'action📎!footnote-4532.

39. L'enjeu majeur de la charge de prouver l'existence de la situation déclenchant l'obligation de résultat 🎯Lorsque la situation est constituée, par exemple lorsque l'information est connue, lorsque la sanction est prononcée, l'obligation de compliance est de résultat : l'entreprise doit transmettre l'information ou au contraire ne pas la communiquer, l'établissement doit geler les avoirs. Mais la question est de savoir qui doit prouver l'existence même de cette situation qui déclenche l'obligation de résultat : est-ce celui qui doit agir (transmettre l'information, rendre indisponible l'information, rendre l'indisponible l'avoir, etc.) ou est-ce celui qui veut bénéficier de l'exécution de l'obligation de résultat ? Par exemple l'Autorité de régulation, ou une partie prenante ? Est-ce à eux de démontrer que celui qu'ils désignent comme assujetti à cette obligation était bien dans la situation qui le contraignait ? Ou doit-on considérer que c'est encore à l'entreprise de démontrer qu'elle était dans la situation requise pour agir (et geler par exemple un avoir) ou pour ne pas agir (et par exemple ne transmettre une information car les éléments constituant un soupçon n'étaient pas réunis) ?.

Parce que nous sommes dans un système libéral, c'est à celui qui prétend que l'entreprise aurait dû agir ou aurait dû ne pas agir de démontrer qu'elle était dans une situation qui avait engendré son obligation (par exemple un fonctionnement objectivement anormal d'un compte bancaire, obligeant l'établissement à opérer des contrôles et à transmettre des informations sur les personnes).

Parce que les charges de preuve ne sont pas si tranchées en pratique, les entreprises doivent toujours préconstituer la preuve de leurs diligences dans le contrôle des situations dans lesquelles elles sont impliquées (flux d'argent, gestion d'infrastructure impliquant les personnes et la nature) même si la charge de preuve ne leur incombe pas car dans un débat autour d'une Obligation de Compliance qui se traduit par une action en continu la passivité probatoire n'est pas pour autant adéquate.

B. LES EFFETS ATTENDUS DU FONCTIONNEMENT DE LA STRUCTURE DE COMPLIANCE, CONSTITUTIFS D'OBLIGATIONS DE MOYENS

40. De Droit, tout ce qui n'est pas une obligation de résultat doit recevoir le statut d'une obligation de moyens 🎯Dans un Etat de Droit fondé sur la liberté des personnes, tout ce qui n'est pas une action précise expressément exigée par la loi à la charge des personnes assujetties mais relève d'une mission générale doit être qualifiée d'une obligation de moyens. Cela implique que le fait de ne pas atteindre le résultat immédiatement ne constitue pas un manquement avéré à la prescription légale, la responsabilité de l'assujetti à la loi supposant la démonstration d'une faute ou d'une négligence.

41. La notion de "diligence raisonnable", expression même de l'obligation de moyens : la CS3D, pointe avancée de l'Obligation de Compliance 🎯La directive du 13 juin 2024 sur le devoir de vigilance demande aux entreprises assujetties de faire preuve de "diligences raisonnables". Cela suppose qu'au-delà de la mise en place des structures mêmes de compliance, par exemple un plan ou un système d'alerte, et de certaines façons de faire expressément visées, comme la concertation ou la formation, elles doivent agir pour viser à obtenir les effets attendus par le législateur. Ce dispositif qui consiste à attendre des entreprises des actions qui engendrent des effets orientés vers les buts visés par le législateur lui-même, qui est la ratio legis du devoir de vigilance et en fait la "pointe avancée" du Droit de la compliance📎!footnote-3806, peut donc être généralisé à toutes les obligations de compliance qui ne relèvent pas des 3 catégories d'obligations de résultat précédemment décrites📎!footnote-3807.

42. L'exemple de l'obligation de formation 🎯La formation est une obligation essentielle engendrée par le Droit de la Compliance📎!footnote-3814. Dans sa part de structure, c'est-à-dire son organisation matérielle, la présence d'enseignants, la tenue des cours, le nombre d'heures, la sollicitation d'apprenants visés, l'existence de contrôles, etc., il s'agit d'une obligation de résultat. Mais quant à savoir si ceux-ci ont compris ce qui leur a inculqué, ce qui relève de l'efficacité, cela ne peut plus qu'être une obligation de moyens. Quant au bénéfice sur l'ensemble du système, pour accroître la probité générale ou la protection de l'écosystème sur lequel chacun doit veiller, cela relève plus encore de l'obligation de moyens. Cette articulation a des effets sur l'organisation probatoire car les moyens de preuve sont ici plus aisés pour satisfaire l'obligation de résultat que pour satisfaire l'obligation de moyens📎!footnote-3815. Elle en a aussi sur la sanction d'une inexécution car la responsabilité de l'entreprise est engagée si elle n'a pas mis en place les formations mais elle ne l'est pas si les personnes présentes n'ont pas compris.

43. L'organisation libre des outils essentiels pour remplir son Obligation de Compliance: exemples de l'enquêtes interne 🎯Parce que les obligations ne résultat ne concernent que la mise en place des structures de compliance, les obligations secondaires de leur fonctionnaire et les conséquences mécaniques de l'apparition de certaines situations📎!footnote-3816, les entreprises choisissent la façon dont ces plans, programmes, audit, formations, évaluations, etc., doivent être organisés. Cette liberté est la corrélation de l'obligation de moyens qu'est la leur. Est exemplaire de cela la technique de l'enquête interne📎!footnote-3817. Celle-ci est organisée librement par les entreprises et si celles-ci doivent être améliorées, comme les informations qui en résultent doivent être mieux protégées📎!footnote-3818,

44. La référence majeure au droit commun de la responsabilité 🎯Ainsi, dès l'instant qu'on ne se trouve pas dans une obligation structurelle visée par la loi (établissement d'un plan, d'un système d'alerte, etc.), comme le dit expressément la loi du 23 mars 2017sur le devoir de vigilance et comme cela doit s'appliquer pour toutes les manifestations techniques de l'Obligations de Compliance, les conditions du droit commun de la responsabilité s'appliquent : une faute ou une négligence doit être relevée pour que la responsabilité soit engagée. Une fois la structure de compliance est mise en place, l'on ne peut demander qu'ici et maintenant le but soit atteint. L'on peut demander que des diligences raisonnables soient accomplies, cela et pas plus que cela. Comme la structure de compliance et son fonctionnement ne prennent sens qu'au regard des Buts Monumentaux pour la concrétisation desquels tous ces dispositifs systémiques ont été mis en place, il faut que ces diligences produisent des effets qui concrétisent au fur et à mesure du temps des effets qui donnent une crédibilité à une trajectoire qui relie en probabilité la structure mise en place et l'ambition exprimée (probité ancrée ; équilibre climatique assuré, égalité atteinte, etc.). Ce point sera développé par la suite📎!footnote-3824.

Il résulte de ce système de compliance que l'obligation première des entreprises est donc de nature probatoire et tient dans le dessin qui se trace au jour le jour de cette trajectoire entre la structure mise en place et ces Buts Monumentaux. Si les entreprises maîtrisent les contours de cette obligatoire probatoire, elles maîtriseront mieux en conséquence la responsabilité Ex Ante qui leur incombe en évitant la responsabilité Ex Post démesurée que certains voudront voir fondre sur elles.

5III.L'APPRÉCIATION DU COMPORTEMENT DES ENTREPRISES ASSUJETTIES DANS L'EXÉCUTION DE LEUR OBLIGATION DE COMPLIANCE

45. (annonce de plan) 🎯 L’étude des multiples obligations de compliance exposée ci-avant permet de faire ressortir des traits communs à celles-ci, permettant de cerner l’Obligation de Compliance. Il en résulte que celle-ci est en premier lieu une obligation probatoire mise à la charge des entreprises assujetties (A). Cela ne signifie pas qu’elle serait purement « formelle ». Cela signifie qu’elle impose à l’entreprise d’être en mesure de prouver qu’elle a mis en place les structures de Compliance exigées par la Loi et qu’elle a fait ses meilleurs efforts pour obtenir les comportements recherchés. Cela a des conséquences directes sur la responsabilité des entreprises assujetties (B).

46. Le plus important : les obligations de moyens et non les obligations de résultat 🎯Les multiples obligations de résultat qui sont imposées par les textes pour mettre en place les structures de compliance et les faires fonctionner n'ont de sens que pour obtenir des effets, et notamment des comportements, qui soient efficaces et efficients au regard des Buts Monumentaux de la Compliance : éradiquer le blanchiment, rééquilibrer le climat, instaurer l'égalité entre les êtres humains, etc. Ce chemin, cette trajectoire, entre les structures mises en place (plan, programme, alerte, évaluation, etc.) et ces ambitions, est jalonnés d'obligations qui ne peuvent être que des obligations de moyens mais ce sont ces obligations de moyens qui sont les plus importantes puisque ce sont elles qui portent les changement (la baisse de la criminalité systémique sous-jacente au blanchiment, la fin des harcèlements, le respect de la vérité et des êtres humains, la reconnaissance de ce que la nature nous apporte). C'est donc ces obligations-la, obligations de moyens, qui sont les plus importantes. Les obligations de résultat n'existent que pour que les obligations de moyens puissent exister à leur tour.

A. L'OBLIGATION DE COMPLIANCE, AVANT TOUT UNE OBLIGATION PROBATOIRE À LA CHARGE DES ENTREPRISES ASSUJETTIES PAR LA LOI

47. L'obligation de compliance : essentiellement une obligation probatoire 🎯L'Obligation de Compliance est donc avant tout une obligation probatoire. Quelque soit sa place processuelle, l'entreprise doit montrer qu'elle a mis en place de plano la structure de compliance que lui impose les lois et réglementation ainsi que les mécanismes qu'au sein de celle-ci ces mêmes sources prévoient. De la même façon, parce que l'entreprise est assujettie à l'Obligation de Compliance, qui s'illustre ensuite dans une multitude d'obligations techniques, de diverses natures (légales, contractuelles, éthiques, etc.) l'entreprise doit montrer qu'elle existent l'obligation de moyens qui lui fait aller de cette obligation de résultat de mise en place de la structure de compliance à l'accomplissement des buts monumentaux fixés par le législateur (au sens formel).

Mais la difficulté en est grave car l'essentiel est bien la réalisation des Buts Monumentaux, c'est-à-dire le futur, ce qui constitue un objet probatoire à première vue inaccessible (1) ; c'est pourquoi l'objet de preuve ne peut être la concrétisation des Buts Monumentaux mais la crédibilité de leur atteindre (2).

1. Une obligation probatoire e difficile à satisfaire

48. Une obligation probatoire délicate : comment prouver l'efficacité d'une structure ? 🎯Cela est assez aisé pour l'entreprise lorsqu'il s'agit d'une obligation de résultat. Par exemple, elle produira le plan publié, la cartographie des risques établie, les évaluations menées. Mais cela est beaucoup plus difficile pour les obligations de moyens. Tout d'abord, l'entreprise doit prouver que par la structure mise en place elle a obtenu des effets, c'est-à-dire prouver l'efficacité des structures. L'exemple a été pris de la formation qui non seulement doit se tenir (résultat) mais encore doit apprendre aux personnes à avoir un comportement adéquat. C'est au sein même des entreprises que l'apprentissage probatoire doit se faire car c'est ensuite à travers ceux qui ont appris ceux qui ont mis en place la structure d'apprentissage que l'on juge.

Cela est d'autant plus difficile qu'une partie ne pouvant se prévaloir de preuves qu'elle s'est fabriquée seule à son bénéfice📎!footnote-3825, l'entreprise doit toujours procéduraliser l'établissement de ses preuves, recourant notamment à des tiers de confiance, ce qui contribue à la constitution d'un "marché" florissant de la compliance et à la multiplication de ces obligations.

49. Un objet probatoire inatteignable : comment prouver demain ? Les engagements comme solution procédurale alternative 🎯L'obligation probatoire paraît insupportable lorsqu'on prétend exiger de l'entreprise qu'elle ait l'obligation de prouver ici et maintenant que demain elle aura atteint les Buts Monumentaux pour la réalisation desquels on lui impose ce carrousel d'obligations de compliance. Car l'on ne peut pas connaître demain et l'on ne peut pas apporter une telle preuve. L'on ne peut qu'affirmer qu'on fera tout pour : cela existe qu'actuellement les "engagements" tendent à remplacer les preuves parce qu'un engagement peut porter sur le futur, ce que ne peut faire une preuve.

Mais l'engagement comporte lui-même ses limites, notamment en ce qu'il est distinct du contrat📎!footnote-3819. C'est pourquoi il n'est inséré comme remède qu'à travers un autre outil, soit un contrat en bonne et due forme📎!footnote-3820, soit comme mode alternative des poursuites, la CJIP ou la CRPC étant un engagement de compliance qui remplace alors la preuve et prend directement prise sur le futur.

50. Le déplacement d'objet de preuve : prouver que l'entreprise fera effectivement demain ce que ses représentants disent aujourd'hui 🎯Cela produit alors un déplacement d'objet de preuve : l'entreprise doit prouver qu'elle fera bien demain ce qu'elle dit qu'elle fera. Il y a de multiples moyens pour satisfaire une telle charge de preuve. L'on peut se suffire de l'éthique. Ou de la pression des marchés, si l'entreprise y est exposée, ou des investisseurs et prêteurs, si l'entreprise y est exposée, ou de l'opinion publique, si l'entreprise y est exposée et sensible.

Si l'on ne s'en contente pas, il faudra que les engagements prennent une forme plus juridique, c'est-à-dire celle du contrat, l'arbitrage international pouvant ici prendre une place essentielle📎!footnote-3821. L'insertion de tiers de confiance, de moniteurs notamment, va également dans ce sens. L'externalisation d'un budget ad hoc est aussi un moyen de prouver que cela sera fait. Le croisement des deux, c'est-à-dire un budget par avance à un tiers peut relever d'une technique probante.

Si les tiers qui sont donc présents en permanence dans le futur sont désignés par un juge, cela mettra en continuum l'obligation probatoire, reflet de l'Obligation de Compliance qui elle-même est en continuum puisqu'elle a pour objet : cela est logique, puisque la première est au cœur de la seconde. Cela conforte l'obligation managériale pour les entreprises de constituer en continu le dossier probatoire de leurs diligences, les mises en cause judiciaire n'étant pas des à-coup mais une pointe dans cette culture probatoire usuelle à développer📎!footnote-3822.

2. La constitution d'une preuve d'une trajectoire crédible dans les effets produits par la structure de compliance au regard des buts poursuivis par le Législateur

51. La trajectoire, objet central de l'obligation probatoire 🎯Comme l'a affirmé le Conseil d'Etat dans ses arrêts Grande-Synthe et le Tribunal administratif de Paris dans son jugement ..., l'assujetti doit montrer que la structure et les comportements passés et présents attestent d'une "trajectoire" qui permet de penser que, sauf événement contraire que nul ne peut évoquer sans preuve (par exemple la faillite de l'entreprise), le déroulement du temps futur amènera aux finalités visées au départ. La trajectoire, indissociable de la technique du plan, replace le juge dans une position Ex Ante ; cela explique notamment pourquoi le juge des procédures collectives est par nature familier du Droit de la Compliance, puisqu'il manie les plans, les engagements et les trajectoires dans la perspective d'un objectif de redressement📎!footnote-3826.

52. La crédibilité de la trajectoire, objet d'un faisceau d'indices 🎯C'est à l'entreprise de montrer qu'elle suit une trajectoire qui à partir de la structure de compliance qu'elle a mise en place produit des effets qui, par le développements du temps et parce que l'entreprise ne changera pas sa stratégie, permet d'atteindre les objectifs. Cette crédibilité doit être produite par tous les éléments probants que l'entreprise doit ou peut constituer (elle peut en effet être empêcher de les constituer, notamment parce que des informations sont interdites à l'accès ou à la production). A cela s'ajoute le pouvoir d'instruction des juges, qui peuvent nommer des experts ou recourir à des amici curiae.

53. Le "raisonnable", pendant du "crédible" 🎯L'appréciation qui est faite de cette crédibilité par les parties prenantes et in fine par le juge doit être raisonnable. Par exemple il est raisonnable de penser que l'entreprise ne changera pas sa stratégie. La notion de "raisonnable" 📎!footnote-3827 est centrale dans la conception que Perelman a de l'office du juge qui statue selon des standards et éprouve les affirmations d'une façon raisonnable en présence de divers cercles d'auditoires, ce qui correspond ici aux différents cercles de parties prenantes auxquelles l'entreprise rend des comptes📎!footnote-3828..

54. Renversement possible de la preuve, si la preuve est apportée du caractère non-crédible de la trajectoire 🎯Une fois cela établi, et établi en continu, l'entreprise donnant à savoir sa structure de compliance et la trajectoire concrétisée par les effets produits par celle-ci, notamment dans les comportements engendrés, doit montrer qu'elle suit une trajectoire qui à partir de la structure de compliance qu'elle a mise en place produit des effets, elle a satisfait sa charge de preuve.

C'est alors aux personnes qui n'en sont pas satisfait d'alléguer que l'Obligation de Compliance n'a pas été exécutée. Par exemple qu'un plan n'a pas été adopté. Ou qu'une trajectoire n'est pas crédible. La charge de prouver cela repose que la personne qui formule une telle allégation. Si des faits alimentent une telle allégation, alors la responsabilité de l'entreprise pourra être engagée.

B. LA RESPONSABILITÉ DES ENTREPRISES ENGENDRÉE PAR L'OBLIGATION DE COMPLIANCE

55. Une responsabilité ex ante, comme charge d'une ambition politique pour le futur 🎯 Les entreprises sont aujourd'hui, de force ou de gré en charge des grandes missions sociétales face à un avenir incertain. C'est à ce titre qu'on a pu comparaître l'Obligation de Compliance et la puissance qui en résulte📎!footnote-3830 à une délégation de la puissance publique📎!footnote-3831. La responsabilité est alors synonyme de pouvoir légitime📎 !footnote-3832 attachée à une situation particulière impliquant une action, et en rien à une sanction, qui interviendra au regard du passé, alors qu'il s'agissait de prendre en charge une façon d'agir pour faire en sorte que l'avenir, qui est l'objet du Droit de la Compliance, soit selon une volonté précédemment exprimée📎!footnote-3833. Mais lorsqu'une personne demande l'engagement de la responsabilité d'une entreprise devant un juge📎!footnote-3834, il faut qu'elle apporte la preuve d'une violation d'une obligation de compliance.

1. La responsabilité civile engagée en cas de l'absence de structures mises en place ou de structures inaptes à engendrer tout effet crédible au regard des buts monumentaux visés par la loi

56. Avant tout comportement, une responsabilité retenue ex ante en l'absence de structure de compliance crédible 🎯 S'il apparaît que l'entreprise n'a pas mis en place l'un des éléments structurels de l'obligation de compliance, qui sont pourtant autant pour elle autant d'obligations de résultat auxquelles les textes l'assujettissent, sa responsabilité sera engagée. Cela sera d'autant plus aisée que les textes prévoient souvent précisément les modalités, notamment les délais (par exemple concernant le plan de vigilance), la crédibilité et le caractère raisonnable des diligences dans cette mise en place étant appréciés selon les standards usuels.

2. La démonstration nécessaire d'une faute ou la négligence pour engager la responsabilité de l'assujetti à une obligation qui demeure par principe une obligation de moyens

57. La nécessité d'un fait générateur 🎯 Si la structure de compliance a été mise en place, et les obligations de résultat qui l'entourent accomplies📎!footnote-3835, et qu'une trajectoire crédible se déploie au regard des Buts Monumentaux de la Compliance (la crédibilité étant une forme de preuve📎!footnote-3836) alors la responsabilité de l'entreprise ne peut pas être engagée faute de fait générateur. Pour qu'elle ne soit, il faut que celui qui l'allègue apporte la preuve d'une faute ou d'une négligence.

58. L'absence de responsabilité spéciale 🎯 En cela, et comme le rappelle expressément la loi de 2017 sur le devoir de vigilance, ce à quoi la Directive du 13 juin 2024 ne déroge pas, la responsabilité qui peut frapper l'assujetti relève du droit commun de la responsabilité. Il ne suffit pas qu'existe une obligation spéciale de compliance, qui consiste donc pour certaines personnes juridiques📎!footnote-3837, que cela engendre pour autant une responsabilité spéciale. Une responsabilité spéciale se caractérise par un régime spéciale. S'il fallait qu'à chaque obligation spéciale (il y a des centaines) soit attachée une responsabilité spéciale, le droit commun de la responsabilité n'existerait plus📎!footnote-3838.

59. Conclusion. L'Obligation de Compliance, obligation unifiée et spéciale 🎯 Il apparait ainsi que certains sujets sont, de par leur position, c'est-à-dire leur puissance, leurs informations, leurs technologies, leur implantation, soumis à une Obligation de Compliance qui consiste toujours à construire une structure de compliance produisant des effets crédibles au regard des buts monumentaux visés par le Législateur.

________

Le présent document de travail reproduit d'une façon exhaustive les dispositions des règlements, directives, règlements et autres corpus contraignants, ce qui permet au lecteur d'avoir à sa disposition les textes précis visés. Ces textes ainsi reproduits ne figureront pas dans l'article publié dans l'ouvrage L'Obligation de Compliance.

Ce travail très important et très précieux pour toutes les personnes impliquées dans l'élaboration et la mise en oeuvre des Outils de Compliance, ainsi que les Contentieux Systémiques qui en naissent, n'a été possible que grâce au travail d'Alex Nicollet, junior editor du Journal of Regulation & Compliance (JoRC), qui a procédé à la recherche systématique dans tous les corpus de Compliance et à leur classement au regard des différents types d'obligations de compliance requises. Qu'il en soit ici vivement remercié.

Voir dans la présente étude la démonstration de cela menée tout d'abord d'une façon analytique dans la première partie (I.mettre le titre) puis d'une façon synthétique (II. mettre le titre).

et qui relèvent simplement du fait d'obéir à la loi, d'exécuter ses engagements contractuels. Car sinon tout devient obligation de compliance, le Droit de la Compliance n'étant alors lui-même que le Droit lui-même en ce qu'il se caractérise par le fait qu'il contraint. Sur ce point de base, 🕴️M.-A. Frison-Roche, 📝 Le Droit de la Compliance, 2016.

🕴️M.-A. Frison-Roche (dir.),📕 Contentieux systémique émergeant, 2025.

Cambridge, Cambridge handbook, (citation à compléter)

🕴️M.-A. Frison-Roche, 🚧Naissances d'une branche du Droit : le Droit de la Compliance, 2023.

Sur l'idée que l'écoulement du temps, notamment nécessaire à la construction de la jurisprudence, est nécessaire, est en lui-même un facteur de progrès, v. 🕴️M.-A. Frison-Roche, 📝 Le devoir de vigilance : progresser, in🕴️Ch. Maubernard & 🕴️A. Brès (dir.), 📗Le devoir de vigilance. L'âge de la maturité ? 2024 (v. le document de travail bilingue sous-jacent).

même si c'est pour s'émouvoir que ce Droit pénal qui ordonne et oblige se mâtine, voire se dénature, lorsqu'il incorpore des outils de compliance qui relèvent davantage de l'accord. Sur cette question, v.🕴️G. Beaussonnie, 📝Droit pénal et Compliance font-ils système ?, in 🕴️M.-A. Frison-Roche (dir.), 📕Les buts monumentaux de la Compliance, 2022. La CJIP est ainsi l'objet de nombreuses interrogations, . par ex., 🕴️S.-M. Cabon, 📝Théorie et pratique de la négociation dans la justice pénale, in 🕴️M.-A. Frison-Roche & Matthieu Boissavy (dir.), 📕 Compliance et droits de la défense. Enquêtes internes - CJIP - CRPC, 2023. , Sur ce mouvement général, 🕴️M.-A. Frison-Roche, 📝 Les conditions requises pour favoriser la "contractualisation" du droit, 2024.

C'est l'objet même de la première partie de cette étude que de les classer, afin de les maîtriser. v. n°00 et s.

Sur l'articulation entre les notions managériales et les notions juridiques, v. J.-Ph. Denis et N. ..., ..., et E. Maclouf, ..., in ....L'obligation de compliance,

Sur l'articulation que l'Obligation de Compliance requiert avec les diverses branches du Droit, v. (citer les contributions de la partie de l'ouvrage à ce propos)

Comme le contrat, la propriété ou la famille y sont parvenus, ce pourquoi Carbonnier les désigna comme les "piliers" du Droit.

🕴️M.-A. Frison-Roche, Compliance : hier, aujourd'hui, demain....

mafr, Le contentieux systémique, 2024.

V. les articles précurseurs de 🕴️François Ancel, 📝Le principe processuel de compliance : un nouveau principe directeur du procès ?, in🕴️M.-A. Frison-Roche (dir.), 📕La juridictionnalisation de la compliance,2023 ; 📝Quel rôle pour le juge aujourd'hui dans la compliance ? Quel office processuel du juge dans la compliance ?,in🏛️Conseil d'Etat et 🏛️Cour de cassation, 📗De la régulation à la compliance: quel rôle pour le juge ?, 2024.

Sur l'idée comme quoi il y aurait une "immaturité" (et qu'il faut donc attendre), v. 🕴️Ch. Maubernard & 🕴️A. Brès (dir.), 📗Le devoir de vigilance. L'âge de la maturité ? 2024.

Voir par exemple à propos de la Vigilance, pointe avancée de la Compliance, 🕴️M.-A. Frison-Roche, "Vigilance : progresser", 2024.

🕴️J.-L. Halperin, 📗Une histoire des droits dans le monde , 2024, notamment l'introduction qui insiste sur la pertinence de la théorie du Droit de Hart (source primaire et sources secondaires du Droit, produisant un ordre juridique), p. 10 et s.

Comme, selon la même méthode, l'on partira de la diversité des sources pour trouver néanmoins l'unicité de l'Obligation de Compliance : 🕴️M.-A. Frison-Roche, 📝 Will, Heart and Calculation, in 🕴️M.-A. Frison-Roche (ed.), 📘Compliance Obligation, 2024.

🕴️M.-A. Frison-Roche, 📝Le juge, l'obligation de compliance et l'entreprise. Le système probatoire de la Compliance, in 🕴️M.-A. Frison-Roche (dir.), 📕La juridictionnalisation de la Compliance, 2023.

Il en résultera que l'Obligation de Compliance est avant l'obligation probatoire. Sur cela, v. infra n°00 et s.

Il peut être pourtant dangereux d'appliquer à une obligation légale une distinction qui n'est usuelle qu'en droit des contrats. En effet, d'une part une personne obéit à la loi sans que son consentement soit requis (le contrat social suffit à engendrer le principe d'obéissance), d'autre part son assujettissement à la loi profite sans doute à tous les autres sujets de droit, et ceux-ci peuvent se prévaloir d'un manquement mais ils ne deviennent pas pour autant "créancier" de l'obligation légale à l'égard de l'assujetti : ils doivent démontrer un fait générateur constitué par une faute ou une négligence. Le fait que certains auteurs qualifient systématiquement les entreprises de "débitrices" de l'Obligation de Compliance, entraînant une confusion entre obligation légale et obligation contractuelle, leur permet ensuite de soutenir que les tiers pourraient bénéficier d'indemnisations sans avoir à démontrer un dommage, un fait générateur et un lien de causalité, puisqu'ils seraient comme des créanciers. V. sur ce point, 🕴️M.-A. Frison-Roche, 📝L'Obligation de Compliance, entre Volonté et Consentement : obligation sur obligation vaut, in 🕴️M.-A. Frison-Roche (dir.), 📕L'Obligation de Compliance, 2024.

A quoi s'ajoute la grande diversité des sources. Mais cela aussi est maîtrisable, v. 🕴️M.-A. Frison-Roche , 📝La volonté, le cœur et le calcul, les trois traits cernant l'Obligation de Compliance, in 🕴️M.-A. Frison-Roche (dir.), 📕L'Obligation de Compliance, 2024.

🕴️M.-A. Frison-Roche (dir.), 📕Les Buts Monumentaux de la Compliance, 2022.

🕴️M.-A. Frison-Roche, 📝Contrat de compliance, clauses de compliance, 2022

v. M.-A. Frison-Roche , 📝La volonté, le cœur et le calcul, les trois traits cernant l'Obligation de Compliance, in M.-A. Frison-Roche (dir.), 📕L'Obligation de Compliance, 2024.

Sur le caractère central de la crédibilité, v. infra n°00 ; v. aussi 🕴️M.-A. Frison-Roche, 📝.. in 🕴️M.-A. Frison-Roche (dir.), 📕Contentieux systémique émergent, 2025.

Ch. Lapp, in Les buts monumentaux de la compliance

🕴️M.-A. Frison-Roche (dir.), 📕La juridictionnalisation de la Compliance, 2023.

🕴M.-A. Frison-Roche, 📝Les Buts Monumentaux, cœur battant du Droit de la Compliance, in 🕴M.-A. Frison-Roche (dir.), 📕Les Buts Monumentaux de la Compliance, 2024.

🕴️M.-A. Frison-Roche (dir.), L'Europe de la compliance, 2019.

🕴️M.-A. Frison-Roche, obligation sur obligation vaut

🕴M.-A. Frison-Roche, 📝Les Buts Monumentaux, cœur battant du Droit de la Compliance, in M.-A. Frison-Roche (dir.), 📕Les Buts Monumentaux de la Compliance, 2024.

Donnant corrélativement une grande unité au "Contentieux systémique" qui en résulte. Voir la démonstration de cette grande unité traduite mais aussi produite par ce "Contentieux systémique", notamment par l'ajustement organisationnel que les juridictions choisissent d'opérer, our la démonstration de cela, 🕴️M.-A. Frison-Roche, 📝... in🕴️M.-A. Frison-Roche (dir.),📕 Contentieux systémique émergeant, 2025.

dans cette note attachée au paragraphe 17 de l'étude noter quelques exemple des diligences raisonnables que la directive CS2D du 13 juin 2024 exige des entreprises, merci.

Voir par ex. 🕴️M.-A. Frison-Roche, 📝Les entreprises "cruciales" et leur régulation, in 🕴️A. Supiot (dir.), 📗L'entreprise dans un monde sans frontières. Perspectives économiques et juridiques, 2015.

V. not. 🕴️M.-A. Frison-Roche (dir.), 📕 Les buts monumentaux de la compliance, 2022 ; 🕴️M.-A. Frison-Roche, 📝Compliance et conformité : les distinguer pour mieux les articuler, 2024.

Sur la difficulté des engagements, v. 🕴️M.-A. Frison-Roche, 📝 A quoi engagent les engagements, in 🕴️M.-A. Frison-Roche (dir.), 📕 L'obligation de compliance, 2025. Sur l'engagement comme procédé ayant tendance à remplacer à tort l'obligation probatoire, v. infra n°00.

🕴️M.-A. Frison-Roche, La Responsabilité Ex Ante, pilier du Droit de la Compliance, 2021.

🕴️M.-A. Frison-Roche, Obligation sur obligation vaut...

III. A, .... (mettre le titre) ; n°00 et s.

mettre l'article 6 RGPD ... ; mettre une ou deux doctrines....

c'est-à-dire une personne ayant la charge et le pouvoir : 🕴️M.-A. Frison-Roche, concevoir le pouvoir, 2021 ; ..... in Les puissances privées..., 2024.

Sur la constitution du Droit des données personnelles, v. par ex. ....

CNIL, sanct., 7 août 2014,

L'aptitude de ces structures à produire l'effet recherché, par exemple la sécurité visée, est un enjeu probatoire : qui doit prouver la suffisance de ces structures ? À première vue, parce que c'est un ordre de la Loi au titre de l'Obligation de Compliance à laquelle l'entreprise est légalement assujettie, c'est à l'entreprise de prouver la crédibilité des structures qu'elle a mises en place pour engendrer l'effet recherché. Mais une fois prouvé, cela suffit. Le fait qu'il y a eu un comportement contraire, par exemple quelqu'un qui ait pu profiter d'une faille de sécurité, n'engage pas de ce seul fait sa responsabilité.

Loi Sapin 2, art. 17 : "I.-Les présidents, les directeurs généraux et les gérants d'une société employant au moins cinq cents salariés, ou appartenant à un groupe de sociétés dont la société mère a son siège social en France et dont l'effectif comprend au moins cinq cents salariés, et dont le chiffre d'affaires ou le chiffre d'affaires consolidé est supérieur à 100 millions d'euros sont tenus de prendre les mesures destinées à prévenir et à détecter la commission, en France ou à l'étranger, de faits de corruption ou de trafic d'influence selon les modalités prévues au II. [...] II.-Les personnes mentionnées au I mettent en œuvre les mesures et procédures suivantes :" le texte visant ensuite un code de conduite, une cartographie des risques, un dispositif de formation, etc.

Règlement anti-blanchiment, art. 9, 1. : "1. Les entités assujetties disposent de politiques, de procédures et de contrôles internes visant à garantir la conformité au présent règlement, au règlement (UE) 2023/1113 et à tout acte administratif émis par tout superviseur, et, en particulier: a) à atténuer et gérer efficacement les risques de blanchiment de capitaux et de financement du terrorisme identifiés au niveau de l’Union, de l’État membre et de l’entité assujettie; b) outre l’obligation d’appliquer des sanctions financières ciblées, à atténuer et gérer les risques d’absence de mise en œuvre et de contournement de sanctions financières ciblées.".

CMF, art. L. 561-32 pour la lutte contre le blanchiment d'argent et le financement du terrorisme : "I. – Les personnes mentionnées à l'article L. 561-2 mettent en place une organisation et des procédures internes pour lutter contre le blanchiment des capitaux et le financement du terrorisme, tenant compte de l'évaluation des risques prévue à l'article L. 561-4-1. En tenant compte du volume et de la nature de leur activité ainsi que des risques présentés par les relations d'affaires qu'elles établissent, elles déterminent un profil de la relation d'affaires permettant d'exercer la vigilance constante prévue à l'article L. 561-6.", et L. 562-4-1 pour le gel des avoirs : "I.-Les personnes mentionnées à l'article L. 561-2 mettent en place une organisation et des procédures internes pour la mise en œuvre des mesures de gel des avoirs et d'interdiction de mise à disposition ou d'utilisation des fonds ou ressources économiques prévues au présent chapitre, aux articles L. 712-4 et L. 712-10 et par les règlements européens portant mesures restrictives pris en application des articles 75 ou 215 du traité sur le fonctionnement de l'Union européenne, ainsi que l'interdiction de contournement de ces mesures. Elles veillent à l'application de ces dispositions dans leurs succursales établies en dehors du territoire national. ".

RIA, art. 16 et 17, renvoyant au système de gestion des risques de l'art. 9, 1. : "1. Un système de gestion des risques est établi, mis en œuvre, documenté et tenu à jour en ce qui concerne les systèmes d’IA à haut risque.".

Règlement DORA, art. 6 : "1. Les entités financières disposent d’un cadre de gestion du risque lié aux TIC solide, complet et bien documenté, faisant partie de leur système global de gestion des risques, qui leur permet de parer au risque lié aux TIC de manière rapide, efficiente et exhaustive et de garantir un niveau élevé de résilience opérationnelle numérique.
2. Le cadre de gestion du risque lié aux TIC englobe au moins les stratégies, les politiques, les procédures, les protocoles et les outils de TIC qui sont nécessaires pour protéger dûment et de manière appropriée tous les actifs informationnels et les actifs de TIC, y compris les logiciels, le matériel informatique, les serveurs, ainsi que toutes les composantes et infrastructures physiques pertinentes, telles que les locaux, centres de données et zones sensibles désignées, afin de garantir que tous les actifs informationnels et actifs de TIC sont correctement protégés contre les risques, y compris les dommages et les accès ou utilisations non autorisés.".

Règlement DORA, art. 12, 1. : "1. Dans le but de veiller à la restauration des systèmes et des données des TIC en limitant au maximum la durée d’indisponibilité, les perturbations et les pertes, aux fins de leur cadre de gestion du risque lié aux TIC, les entités financières définissent et documentent: a) des politiques et procédures de sauvegarde qui précisent la portée des données concernées par la sauvegarde et la fréquence minimale de celle-ci, en fonction de la criticité des informations ou du niveau de confidentialité des données; b) des procédures et méthodes de restauration et de rétablissement.".

Directive NIS 2, art. 21, 1. "1. Les États membres veillent à ce que les entités essentielles et importantes prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services.".

C. com., art. L. 225-102-1 : "Le plan comporte les mesures de vigilance raisonnable propres à identifier les risques et à prévenir les atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l'environnement, résultant des activités de la société et de celles des sociétés qu'elle contrôle au sens du II de l'article L. 233-16, directement ou indirectement, ainsi que des activités des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie, lorsque ces activités sont rattachées à cette relation." ; v. infra n° 00 et n° 00.

mettre le titre exact de la loi Sapin 2 et recopier (au moins en partie) son article 17 qui décrit l'adoption de la cartographie, du système d'alerte, etc.

donner le titre exact de la loi Vigilance ; 🕴️M.-A. Frison-Roche, Les buts monumentaux de la vigilance..... in La société vigilante, 2023.

CS3D, art. art. 7 : "[…] 2. La politique en matière de devoir de vigilance visée au paragraphe 1 est élaborée après concertation avec les salariés de l’entreprise et leurs représentants, et contient l’ensemble des éléments suivants : […] b) un code de conduite décrivant les règles et principes à suivre dans l’ensemble de l’entreprise et de ses filiales, et par les partenaires commerciaux directs ou indirects de l’entreprise conformément à l’article 10, paragraphe 2, point b), à l’article 10, paragraphe 4, à l’article 11, paragraphe 3, point c), ou à l’article 11, paragraphe 5".

Loi Sapin 2, art. 17, II., 2° : "Les personnes mentionnées au I mettent en œuvre les mesures et procédures suivantes : [...] 2° Un dispositif d'alerte interne destiné à permettre le recueil des signalements émanant d'employés et relatifs à l'existence de conduites ou de situations contraires au code de conduite de la société".

Loi vigilance / C. Com., art. L.225-102-1 : "Le plan a vocation à être élaboré en association avec les parties prenantes de la société, le cas échéant dans le cadre d'initiatives pluripartites au sein de filières ou à l'échelle territoriale. Il comprend les mesures suivantes : [...] 4° Un mécanisme d'alerte et de recueil des signalements relatifs à l'existence ou à la réalisation des risques, établi en concertation avec les organisations syndicales représentatives dans ladite société".

CS3D, art. 5, f) : "établir et maintenir un mécanisme de notification et une procédure relative aux plaintes conformément à l’article 14" et art. 14, "Les États membres veillent à ce que les entreprises permettent aux personnes et aux entités énumérées au paragraphe 2 de déposer des plaintes auprès d’elles lorsque ces personnes ou entités ont des préoccupations légitimes quant aux incidences négatives réelles ou potentielles en ce qui concerne les activités des entreprises en question, les activités de leurs filiales ou les activités de leurs partenaires commerciaux dans les chaînes d’activités des entreprises.".

DSA, art. 16 : "Les fournisseurs de services d’hébergement mettent en place des mécanismes permettant à tout particulier ou à toute entité de leur signaler la présence au sein de leur service d’éléments d’information spécifiques que le particulier ou l’entité considère comme du contenu illicite. Ces mécanismes sont faciles d’accès et d’utilisation et permettent la soumission de notifications exclusivement par voie électronique.".

Règlement anti-blanchiment, art. 14, 2. : "Les entités assujetties établissent des canaux de signalement interne qui satisfont aux exigences énoncées dans la directive (UE) 2019/1937.".

Règlement DORA, art. 17, 3., d) : "3. Le processus de gestion des incidents liés aux TIC visé au paragraphe 1: [...] d) établit des plans pour la communication à l’intention du personnel, des parties prenantes externes et des médias, conformément à l’article 14, et pour la notification aux clients, les procédures internes de remontée des informations, y compris les plaintes des clients liées aux TIC, ainsi que pour la fourniture d’informations aux entités financières qui agissent en tant que contreparties, le cas échéant;".

🕴️M.-A. Frison-Roche, 📝Dresser des cartographies des risques comme obligation et le paradoxe des "risques de conformité", in 🕴️M.-A. Frison-Roche (dir.), 📕Les outils de la Compliance, 2021.

Loi Sapin 2, art. 17, II., 2° : "II. - Les personnes mentionnées au I mettent en oeuvre les mesures et procédures suivantes : [...] 3° Une cartographie des risques prenant la forme d'une documentation régulièrement actualisée et destinée à identifier, analyser et hiérarchiser les risques d'exposition de la société à des sollicitations externes aux fins de corruption, en fonction notamment des secteurs d'activités et des zones géographiques dans lesquels la société exerce son activité".

C. com., art. L.225-102-1 : "Le plan a vocation à être élaboré en association avec les parties prenantes de la société, le cas échéant dans le cadre d'initiatives pluripartites au sein de filières ou à l'échelle territoriale. Il comprend les mesures suivantes : 1° Une cartographie des risques destinée à leur identification, leur analyse et leur hiérarchisation".

CS3D, art. 5 : "1. Les États membres veillent à ce que les entreprises fassent preuve d’un devoir de vigilance en matière de droits de l’homme et d’environnement fondé sur les risques tel que défini aux articles 7 à 16 («devoir de vigilance») en prenant les mesures suivantes: [...] recenser et évaluer les incidences négatives réelles ou potentielles conformément à l’article 8 et, si nécessaire, hiérarchiser les incidences négatives réelles et potentielles conformément à l’article 9" et art. 8 : "1. Les États membres veillent à ce que les entreprises prennent des mesures appropriées pour recenser et évaluer les incidences négatives réelles et potentielles découlant de leurs propres activités ou de celles de leurs filiales et, lorsqu’elles sont liées à leurs chaînes d’activités, de celles de leurs partenaires commerciaux, conformément au présent article. 2.Dans le cadre de l’obligation définie au paragraphe 1, compte tenu des facteurs de risque pertinents, les entreprises prennent des mesures appropriées pour: cartographier leurs propres activités, celles de leurs filiales et, lorsqu’elles sont liées à leurs chaînes d’activités, celles de leurs partenaires commerciaux, afin de recenser les domaines généraux dans lesquels les incidences négatives sont les plus susceptibles de se produire et d’être les plus graves; procéder, sur la base des résultats de la cartographie visée au point a), à une évaluation approfondie de leurs propres activités, de celles de leurs filiales et, lorsqu’elles sont liées à leurs chaînes d’activités, de celles de leurs partenaires commerciaux, dans les domaines dans lesquels les incidences négatives ont été recensées comme étant les plus susceptibles de se produire et les plus graves.".

Règlement anti-blanchiment, art. 9 : "1. Les entités assujetties disposent de politiques, de procédures et de contrôles internes visant à garantir la conformité au présent règlement, au règlement (UE) 2023/1113 et à tout acte administratif émis par tout superviseur [...] 2. Les politiques, procédures et contrôles visés au paragraphe 1 comprennent : a) les politiques et procédures internes, y compris en particulier : i) la réalisation et l’actualisation de l’évaluation des risques à l’échelle de l’entité".

CMF, art. L. 561-4-1 : "Les personnes mentionnées à l'article L. 561-2 appliquent les mesures de vigilance destinées à mettre en œuvre les obligations qu'elles tiennent du présent chapitre en fonction de l'évaluation des risques présentés par leurs activités en matière de blanchiment de capitaux et de financement du terrorisme.

A cette fin, elles définissent et mettent en place des dispositifs d'identification et d'évaluation des risques de blanchiment des capitaux et de financement du terrorisme auxquels elles sont exposées ainsi qu'une politique adaptée à ces risques. Elles élaborent en particulier une classification des risques en question en fonction de la nature des produits ou services offerts, des conditions de transaction proposées, des canaux de distribution utilisés, des caractéristiques des clients, ainsi que du pays ou du territoire d'origine ou de destination des fonds.".

RGPD, art. 35, 1. et 7 : "1. Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires.

[…]

7. L'analyse contient au moins: […]

c) une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1".

DSA, art. 34 : "1. Les fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne recensent, analysent et évaluent de manière diligente tout risque systémique au sein de l’Union découlant de la conception ou du fonctionnement de leurs services et de leurs systèmes connexes, y compris des systèmes algorithmiques, ou de l’utilisation faite de leurs services.".

DSA, art. 34, 3. : "3. Les fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne conservent les documents justificatifs des évaluations des risques pendant au moins trois ans après la réalisation de ces évaluations, et les communiquent à la Commission et au coordinateur pour les services numériques de l’État membre d’établissement, à leur demande.".

IA Act, art. 9 : "1. Un système de gestion des risques est établi, mis en œuvre, documenté et tenu à jour en ce qui concerne les systèmes d’IA à haut risque.

2. Ce système de gestion des risques s’entend comme étant un processus itératif continu qui est planifié et se déroule sur l’ensemble du cycle de vie d’un système d’IA à haut risque et qui doit périodiquement faire l’objet d’un examen et d’une mise à jour méthodiques. Il comprend les étapes suivantes:

a) l’identification et l’analyse des risques connus et raisonnablement prévisibles que le système d’IA à haut risque peut poser pour la santé, la sécurité ou les droits fondamentaux lorsque le système d’IA à haut risque est utilisé conformément à sa destination".

IA Act, art. 65 : "1. Outre les obligations énumérées aux articles 53 et 54, les fournisseurs de modèles d’IA à usage général présentant un risque systémique:

a) effectuent une évaluation des modèles sur la base de protocoles et d’outils normalisés reflétant l’état de la technique, y compris en réalisant et en documentant des essais contradictoires des modèles en vue d’identifier et d’atténuer les risques systémiques;

b) évaluent et atténuent les risques systémiques éventuels au niveau de l’Union, y compris leurs origines, qui peuvent découler du développement, de la mise sur le marché ou de l’utilisation de modèles d’IA à usage général présentant un risque systémique".

Règlement cyberrésilience, dont l'article 13 impose notamment une évaluation des risques de cybersécurité liés à un produit comportant des éléments numériques.

Règlement DORA, art. 8, 2. : "2. Les entités financières identifient, de manière continue, toutes les sources de risque lié aux TIC, en particulier l’exposition au risque vis-à-vis d’autres entités financières et émanant de celles-ci, et évaluent les cybermenaces et les vulnérabilités des TIC qui concernent leurs fonctions «métiers» s’appuyant sur les TIC, leurs actifs informationnels et leurs actifs de TIC. Les entités financières examinent régulièrement, et au moins une fois par an, les scénarios de risque qui ont des incidences sur elles.".

Directive NIS 2, art. 21 : "2. Les mesures visées au paragraphe 1 sont fondées sur une approche «tous risques» qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre les incidents, et elles comprennent au moins: a)les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information; b)la gestion des incidents; c)la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises; d)la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs; e)la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités; f)des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité; g)les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité; h)des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement; i)la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs; j)l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.

3. Les États membres veillent à ce que, lorsqu’elles examinent lesquelles des mesures visées au paragraphe 2, point d), du présent article sont appropriées, les entités tiennent compte des vulnérabilités propres à chaque fournisseur et prestataire de services direct et de la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisé. Les États membres veillent également à ce que, lorsqu’elles examinent lesquelles des mesures visées audit point sont appropriées, les entités soient tenues de prendre en compte les résultats des évaluations coordonnées des risques pour la sécurité des chaînes d’approvisionnement critiques, effectuées conformément à l’article 22, paragraphe 1.".

Règlement déforestation, art. 9 sur la collecte d'information et art. 10 sur l'évaluation des risques : "1. Les opérateurs vérifient et analysent les informations recueillies conformément à l’article 9 ainsi que tout autre document pertinent. Sur la base de ces informations et de cette documentation, les opérateurs procèdent à une évaluation du risque visant à déterminer s’il existe un risque que les produits en cause destinés à être mis sur le marché ou exportés ne soient pas conformes. Les opérateurs ne mettent pas les produits en cause sur le marché ni ne les exportent, sauf si l’évaluation du risque révèle l’existence d’un risque nul ou seulement négligeable que les produits en cause soient non conformes.".

Règlement anti-blanchiment, art. 9, 2., a), iii) : "2. Les politiques, procédures et contrôles visés au paragraphe 1 comprennent: [...] iii) la vigilance à l’égard de la clientèle aux fins de la mise en œuvre du chapitre III du présent règlement, y compris des procédures pour déterminer si le client, le bénéficiaire effectif, ou la personne pour le compte ou au profit de laquelle une transaction ou une activité est menée est une personne politiquement exposée ou un membre de la famille ou une personne connue pour être étroitement associée;".

CMF, art. L. 561-4-1, al. 1 et 2 : "Les personnes mentionnées à l'article L. 561-2 appliquent les mesures de vigilance destinées à mettre en œuvre les obligations qu'elles tiennent du présent chapitre en fonction de l'évaluation des risques présentés par leurs activités en matière de blanchiment de capitaux et de financement du terrorisme.

ACPR, Commission des sanctions, 27 nov. 2012, n° 2011-03 : "Considérant que, selon le paragraphe 2.2 de l’article 11-7 du règlement n° 97-02 du CRBF susvisé, les banques doivent se doter de dispositifs adaptés à leurs activités permettant de détecter toute opération au bénéfice d’une personne ou d’une entité faisant l’objet d’une mesure de gel des fonds, instruments financiers et ressources économiques ; que les mesures de gel ainsi visées sont aussi bien celles prises dans le cadre communautaire déjà mentionné que celles que peut prendre en complément le ministre chargé de l’économie en vertu de l’article L. 562-1 du COMOFI ; que l’aptitude des dispositifs (dont elles doivent se doter) à la détection des opérations litigieuses met à la charge des banques une obligation de résultat ;".

Loi Sapin 2, art. 17, II., 4° : "II.-Les personnes mentionnées au I mettent en œuvre les mesures et procédures suivantes : [...] 4° Des procédures d'évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques ;".

C. com., art. L.225-102-1 : "[Le plan de vigilance] comprend les mesures suivantes : [...] 2° Des procédures d'évaluation régulière de la situation des filiales, des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie, au regard de la cartographie des risques".

Loi Sapin 2, art. 17, II. : "II. - Les personnes mentionnées au I mettent en oeuvre les mesures et procédures suivantes : [...] 4° Des procédures d'évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques".

Règlement anti-blanchiment, art. 20.

CS3D, art. 15 : "Les États membres veillent à ce que les entreprises procèdent à des évaluations périodiques de leurs propres activités et mesures, de celles de leurs filiales et, lorsqu’elles sont liées à la chaîne d’activités de l’entreprise, de celles de leurs partenaires commerciaux, afin d’évaluer la mise en œuvre et de contrôler l’adéquation et l’efficacité du recensement, de la prévention, de l’atténuation, de la suppression et de la réduction au minimum des incidences négatives Ces évaluations sont fondées, le cas échéant, sur des indicateurs qualitatifs et quantitatifs et sont réalisées sans retard injustifié après qu’un changement important est intervenu, mais au moins tous les 12 mois et chaque fois qu’il existe des motifs raisonnables de croire que de nouveaux risques liés à ces incidences négatives peuvent survenir. Lorsqu’il y a lieu, la politique en matière de devoir de vigilance, les incidences négatives recensées et les mesures appropriées qui en découlent sont mises à jour en fonction des résultats de ces évaluations et compte dûment tenu des informations pertinentes communiquées par les parties prenantes.".

CS3D, art. 8.

🕴🏻M.-A. Frison-Roche, 📝La formation : contenu et contenant de la Compliance, in 🕴🏻M.-A. Frison-Roche (dir.), 📕Les outils de la Compliance, 2021.

Loi Sapin 2, art. 17, II. "II. - Les personnes mentionnées au I mettent en œuvre les mesures et procédures suivantes : [...] 6° Un dispositif de formation destiné aux cadres et aux personnels les plus exposés aux risques de corruption et de trafic d'influence".

Règlement antiblanchiment, art. 12 : "Les entités assujetties prennent des mesures pour veiller à ce que les membres de leur personnel ou les personnes se trouvant dans une situation comparable dont la fonction l’exige, y compris leurs agents et distributeurs, aient connaissance des exigences découlant du présent règlement, du règlement (UE) 2023/1113 et de tout acte administratif émis par tout superviseur, et de l’évaluation des risques à l’échelle de l’entité, ainsi que des politiques, procédures et contrôles internes en place dans l’entité assujettie, y compris en ce qui concerne le traitement des données à caractère personnel aux fins du présent règlement.

Les mesures visées au premier alinéa comprennent la participation des membres du personnel ou des personnes se trouvant dans une situation comparable, y compris des agents et distributeurs, à des programmes spécifiques de formation continue visant à les aider à reconnaître les opérations susceptibles d’être liées au blanchiment de capitaux ou au financement du terrorisme et à les instruire sur la manière de procéder en pareil cas. Ces programmes de formation sont adaptés à leurs fonctions ou activités et aux risques de blanchiment de capitaux et de financement du terrorisme auxquels l’entité assujettie est exposée, et sont dûment documentés.".

CMF, art. L. 561-34, al. 2 : "Dans le même but, elles mettent en place toute action de formation utile." et art. R.561-38-1 : "Les personnes mentionnées à l'article L. 561-2 s'assurent que les personnes participant à la mise en œuvre des obligations prévues au présent chapitre disposent d'une expérience, d'une qualification et d'une position hiérarchique adéquates pour exercer leurs missions. En outre, elles veillent à ce que ces personnes bénéficient de formations adaptées à leurs fonctions ou activités, à leur position hiérarchique ainsi qu'aux risques identifiés par la classification des risques mentionnée à l'article L. 561-4-1 et à ce qu'elles aient accès aux informations nécessaires à l'exercice de leurs fonctions ou activités. ".

CMF, art. R. 562-1 : "Les personnes mentionnées à l'article L. 561-2 veillent à ce que les personnels qui participent à la mise en œuvre des mesures mentionnées au premier alinéa bénéficient de formations appropriées et aient accès aux informations nécessaires à l'exercice de leurs fonctions ou activités. Les agents mentionnés à l'article L. 523-1 et les personnes auxquelles les établissements de monnaie électronique ont recours en vue de distribuer de la monnaie électronique au sens de l'article L. 525-8 sont assimilés aux personnels des personnes mentionnées à l'article L. 521-1 pour l'application de ces dispositions."

CS3D, art. 10 et 11, rédigés en termes identiques sur ce point, v. pour l'article 10 : "2. Les entreprises sont tenues de prendre les mesures appropriées suivantes, selon les besoins: [...] e) fournir un soutien ciblé et proportionné à une PME qui est un partenaire commercial de l’entreprise, si cela est nécessaire à la lumière des ressources, des connaissances et des contraintes de la PME, y compris en lui donnant accès à des possibilités de renforcement des capacités, de formation ou de mise à niveau des systèmes de gestion ou en facilitant un tel accès et, lorsque le respect du code de conduite ou du plan d’action en matière de prévention compromettrait la viabilité de la PME, en lui fournissant un soutien financier ciblé et proportionné, par exemple un financement direct, des prêts à taux d’intérêt réduit, des garanties quant au maintien de l’approvisionnement ou une aide à l’obtention d’un financement".

RGPD, art. 47, 2. n) : "2. Les règles d'entreprise contraignantes visées au paragraphe 1 précisent au moins: [...] n) la formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel.".

RIA, art. 4 : "Les fournisseurs et les déployeurs de systèmes d’IA prennent des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l’IA pour leur personnel et les autres personnes s’occupant du fonctionnement et de l’utilisation des systèmes d’IA pour leur compte, en prenant en considération leurs connaissances techniques, leur expérience, leur éducation et leur formation, ainsi que le contexte dans lequel les systèmes d’IA sont destinés à être utilisés, et en tenant compte des personnes ou des groupes de personnes à l’égard desquels les systèmes d’IA sont destinés à être utilisés.".

RIA, art. 9, 5., c) : "5. Les mesures de gestion des risques visées au paragraphe 2, point d), sont telles que le risque résiduel pertinent associé à chaque danger ainsi que le risque résiduel global lié aux systèmes d’IA à haut risque sont jugés acceptables. Pour déterminer les mesures de gestion des risques les plus adaptées, il convient de veiller à: [...] c) fournir aux déployeurs les informations requises conformément à l’article 13 et, éventuellement, une formation. ".

100

Règlement DORA, art. 13, 6. : "6. Les entités financières élaborent des programmes de sensibilisation à la sécurité des TIC et des formations à la résilience opérationnelle numérique qu’elles intègrent à leurs programmes de formation du personnel sous forme de modules obligatoires. Ces programmes et formations sont destinés à tous les employés et aux membres de la direction et présentent un niveau de complexité proportionné à leurs fonctions. Le cas échéant, les entités financières incluent également les prestataires tiers de services TIC dans leurs programmes de formation pertinents conformément à l’article 30, paragraphe 2, point i).".

101

Loi Sapin 2, art. 17, II. "II. - Les personnes mentionnées au I mettent en œuvre les mesures et procédures suivantes : [...] 8° Un dispositif de contrôle et d'évaluation interne des mesures mises en œuvre."

102

C. com., art. L.225-102-1 : "[Le plan de vigilance] comprend les mesures suivantes : [...] 5° Un dispositif de suivi des mesures mises en œuvre et d'évaluation de leur efficacité"

103

104

RIA, art. 43, qui renvoie à l'annexe VI : "1. La procédure d'évaluation de la conformité fondée sur le contrôle interne est la procédure d'évaluation de la conformité décrite aux points 2, 3 et 4.

2. Le fournisseur vérifie que le système de gestion de la qualité établi est conforme aux exigences de l'article 17.

3. Le fournisseur examine les informations contenues dans la documentation technique afin d'évaluer la conformité du système d'IA aux exigences essentielles pertinentes énoncées au chapitre III, section 2.

4. Le fournisseur vérifie également que le processus de conception et de développement du système d'IA et son système de surveillance après commercialisation prévu à l'article 72 sont cohérents avec la documentation technique.".

105

Règlement cyberrésilience, art. 32.

106

Règlement DORA, art. 5, 1. : "1. Les entités financières disposent d’un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente du risque lié aux TIC, conformément à l’article 6, paragraphe 4, en vue d’atteindre un niveau élevé de résilience opérationnelle numérique.".

107

108

CMF, art. L. 561-2, I. : "I. – Les personnes mentionnées à l'article L. 561-2 mettent en place une organisation et des procédures internes pour lutter contre le blanchiment des capitaux et le financement du terrorisme, tenant compte de l'évaluation des risques prévue à l'article L. 561-4-1. En tenant compte du volume et de la nature de leur activité ainsi que des risques présentés par les relations d'affaires qu'elles établissent, elles déterminent un profil de la relation d'affaires permettant d'exercer la vigilance constante prévue à l'article L. 561-6.".

109

CMF, art. L. 562-4-1, I. : "I.-Les personnes mentionnées à l'article L. 561-2 mettent en place une organisation et des procédures internes pour la mise en œuvre des mesures de gel des avoirs et d'interdiction de mise à disposition ou d'utilisation des fonds ou ressources économiques prévues au présent chapitre, aux articles L. 712-4 et L. 712-10 et par les règlements européens portant mesures restrictives pris en application des articles 75 ou 215 du traité sur le fonctionnement de l'Union européenne, ainsi que l'interdiction de contournement de ces mesures. Elles veillent à l'application de ces dispositions dans leurs succursales établies en dehors du territoire national.".

110

DSA, art. 41 ; DMA, art. 28.

111

Règlement déforestation, art. 11, 2. : "2. Les opérateurs mettent en place des stratégies, des contrôles et des procédures suffisants et proportionnés pour atténuer et gérer efficacement les risques détectés de non-conformité des produits en cause. Ces politiques, contrôles et procédures comprennent notamment:

a)les pratiques en matière de gestion des risques de modèles, la production de rapports, la tenue de registres, le contrôle interne et la gestion de la conformité, y compris la désignation d’un responsable de la conformité au niveau de l’encadrement pour les opérateurs qui ne sont pas des PME;

b)une fonction d’audit indépendante chargée de vérifier les stratégies, contrôles et procédures internes visés au point a) pour tous les opérateurs qui ne sont pas des PME.".

112

113

C. com., art. L.225-102-1 : "4° Un mécanisme d'alerte et de recueil des signalements relatifs à l'existence ou à la réalisation des risques, établi en concertation avec les organisations syndicales représentatives dans ladite société".

114

CA Paris, La Poste.

115

La proposition de directive dite "content" du "Package Omnibus I" réduirait les étapes concernées par cette obligation, en n'imposant désormais plus d'association pour la décision de suspension ou de rupture d'une relation commerciale et pour l"élaboration d’indicateurs qualitatifs et quantitatifs de suivi.

116

CS3D, art. 5, 1., e) : "mener des échanges constructifs avec les parties prenantes conformément à l’article 13"

117

CS3D, art. 13, 1 : "Les États membres veillent à ce que les entreprises prennent des mesures appropriées pour mettre en place des échanges efficaces avec les parties prenantes, conformément au présent article."

118

CS3D, art. 7, 2. : "2. La politique en matière de devoir de vigilance visée au paragraphe 1 est élaborée après concertation avec les salariés de l’entreprise et leurs représentants [...]".

119

Règlement délégué ESRS, ESRS 1, 3.1 : "24. Le dialogue avec les parties prenantes affectées est un élément essentiel pour le processus permanent de vigilance raisonnable de l’entreprise (voir chapitre 4 Vigilance raisonnable) et pour l’évaluation de la matérialité en matière de durabilité. Il est également crucial pour les processus d’identification et d’évaluation des impacts négatifs, réels et potentiels, qui contribuent à leur tour au processus d’évaluation visant à identifier les impacts matériels aux fins de l’information en matière de durabilité (voir section 3.4 de la présente norme).".

120

V. not. règlement délégué ESRS, ESRS 2, "Exigence de publication SBM-2 — Intérêts et points de vue des parties prenantes".

121

Pour plus de développements, v. Obligation sur Obligation vaut et A quoi engagent les engagements.

122

RGPD - consultation parties prenantes concerne les autorités publiques (et moins présent)

IA Act - consultation parties prenantes concerne les autorités publiques

Data Act - consultation parties prenantes concerne les autorités publiques

DGA - consultation parties prenantes concerne les autorités publiques

R LCBFT - non (1 occurrence dans un considérant)

D LCBFT - consultation parties prenantes concerne les autorités publiques

Cyberrésilience - consultation parties prenantes concerne les autorités publiques

DORA - communication aux parties prenantes, donc pas concertation

NIS 2 - concerne les autorités publiques : information des parties prenantes et inclusion de celles-ci dans le plan national

DSA - concerne les autorités publiques et pas une concertation

DMA - non

123

C. com., art. L. 225-102-1 : "Le plan de vigilance et le compte rendu de sa mise en œuvre effective sont rendus publics et inclus dans le rapport de gestion mentionné au deuxième alinéa de l'article L. 225-100.".

124

CS3D, art. 5, 1., h) et art. 16.

125

CSRD, art. 1er.

126

Loi "Sapin 2", art. 17 : "7° Un régime disciplinaire permettant de sanctionner les salariés de la société en cas de violation du code de conduite de la société".

127

Loi Sapin 2, art. 17, II., 8° : "II.-Les personnes mentionnées au I mettent en œuvre les mesures et procédures suivantes : [...] 8° Un dispositif de contrôle et d'évaluation interne des mesures mises en œuvre.".

128

C. com., art. L. 225-102-1 : "Le plan a vocation à être élaboré en association avec les parties prenantes de la société, le cas échéant dans le cadre d'initiatives pluripartites au sein de filières ou à l'échelle territoriale. Il comprend les mesures suivantes : [...] 3° Des actions adaptées d'atténuation des risques ou de prévention des atteintes graves ; [...] 5° Un dispositif de suivi des mesures mises en œuvre et d'évaluation de leur efficacité.".

129

Règlement déforestation, art. 11 : "1. À l’exception des cas où une évaluation du risque effectuée conformément à l’article 10 révèle qu’il existe un risque nul ou seulement négligeable que les produits en cause soient non conformes, l’opérateur, avant de mettre les produits en cause sur le marché ou de les exporter, adopte des procédures et mesures d’atténuation du risque appropriées pour parvenir à un risque nul ou seulement négligeable. Ces procédures et mesures peuvent inclure l’un ou l’autre des éléments suivants:

a) une demande d’informations, de données ou de documents supplémentaires;

b) la réalisation d’enquêtes ou d’audits indépendants;

c) l’adoption d’autres mesures ayant trait aux exigences en matière d’informations énoncées à l’article 9.".

130

CS3D, art. 10 : "1. Les États membres veillent à ce que les entreprises prennent les mesures appropriées pour prévenir ou, lorsque la prévention n’est pas possible ou pas possible dans l’immédiat, pour atténuer de manière adéquate les incidences négatives potentielles qui ont été ou auraient dû être recensées en vertu de l’article 8, conformément à l’article 9 et au présent article.

2. Les entreprises sont tenues de prendre les mesures appropriées suivantes, selon les besoins:

a) si nécessaire, en raison de la nature ou de la complexité des mesures requises pour la prévention, élaborer et mettre en œuvre sans retard injustifié un plan d’action en matière de prévention, assorti de calendriers raisonnables et clairement définis pour la mise en œuvre des mesures appropriées et d’indicateurs qualitatifs et quantitatifs permettant de mesurer les améliorations; les entreprises peuvent élaborer leurs plans d’action en coopération avec les initiatives sectorielles ou multipartites; le plan d’action en matière de prévention est adapté aux activités et à la chaîne d’activités des entreprises;

b) s’efforcer d’obtenir de la part d’un partenaire commercial direct des garanties contractuelles par lesquelles ce dernier s’engage à respecter le code de conduite de l’entreprise et, en tant que de besoin, un plan d’action en matière de prévention, notamment en instaurant des garanties contractuelles correspondantes de la part de ses partenaires, dans la mesure où leurs activités font partie de la chaîne d’activités de l’entreprise. Lorsque de telles garanties contractuelles sont obtenues, le paragraphe 5 s’applique;

c) réaliser les investissements financiers ou non financiers, les ajustements ou les améliorations nécessaires, par exemple dans les installations, les processus et infrastructures de production ou d’autres processus et infrastructures opérationnels;

d) apporter les modifications ou améliorations nécessaires au plan d’entreprise, aux stratégies globales et aux activités de l’entreprise, y compris les pratiques en matière d’achat, de conception et de distribution;

e) fournir un soutien ciblé et proportionné à une PME qui est un partenaire commercial de l’entreprise, si cela est nécessaire à la lumière des ressources, des connaissances et des contraintes de la PME, y compris en lui donnant accès à des possibilités de renforcement des capacités, de formation ou de mise à niveau des systèmes de gestion ou en facilitant un tel accès et, lorsque le respect du code de conduite ou du plan d’action en matière de prévention compromettrait la viabilité de la PME, en lui fournissant un soutien financier ciblé et proportionné, par exemple un financement direct, des prêts à taux d’intérêt réduit, des garanties quant au maintien de l’approvisionnement ou une aide à l’obtention d’un financement;

f) dans le respect du droit de l’Union, y compris du droit de la concurrence, collaborer avec d’autres entités, y compris, le cas échéant, pour renforcer la capacité de l’entreprise à prévenir ou à atténuer l’incidence négative, en particulier lorsque aucune autre mesure n’est appropriée ou efficace.".

131

RIA, art. 9, 2. : "2. Ce système de gestion des risques s’entend comme étant un processus itératif continu qui est planifié et se déroule sur l’ensemble du cycle de vie d’un système d’IA à haut risque et qui doit périodiquement faire l’objet d’un examen et d’une mise à jour méthodiques. Il comprend les étapes suivantes:

a)l’identification et l’analyse des risques connus et raisonnablement prévisibles que le système d’IA à haut risque peut poser pour la santé, la sécurité ou les droits fondamentaux lorsque le système d’IA à haut risque est utilisé conformément à sa destination;

b)l’estimation et l’évaluation des risques susceptibles d’apparaître lorsque le système d’IA à haut risque est utilisé conformément à sa destination et dans des conditions de mauvaise utilisation raisonnablement prévisible;

c)l’évaluation d’autres risques susceptibles d’apparaître, sur la base de l’analyse des données recueillies au moyen du système de surveillance après commercialisation visé à l’article 72;

d)l’adoption de mesures appropriées et ciblées de gestion des risques, conçues pour répondre aux risques identifiés en vertu du point a).".

132

RGPD, art. 32, 1. : "1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

a) la pseudonymisation et le chiffrement des données à caractère personnel;

b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.".

133

DSA, art. 35 : "1. Les fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne mettent en place des mesures d’atténuation raisonnables, proportionnées et efficaces, adaptées aux risques systémiques spécifiques recensés conformément à l’article 34, en tenant compte en particulier de l’incidence de ces mesures sur les droits fondamentaux. Ces mesures peuvent inclure, le cas échéant".

134

Règlement anti-blanchiment, art. 10 : "Avant le lancement de nouveaux produits, services ou pratiques commerciales, y compris l’utilisation de nouveaux canaux de distribution et de technologies nouvelles ou en cours de développement, en liaison avec des produits et services nouveaux ou préexistants, ou avant de commencer à fournir un service ou produit existant à un nouveau segment de clientèle ou dans une nouvelle zone géographique, les entités assujetties recensent et évaluent, en particulier, les risques de blanchiment de capitaux et de financement du terrorisme qui y sont liés et prennent des mesures appropriées afin de gérer et d’atténuer ces risques." et art. 20.

135

CMF, art. L. 561-4-1, al. 2 : "A cette fin, elles définissent et mettent en place des dispositifs d'identification et d'évaluation des risques de blanchiment des capitaux et de financement du terrorisme auxquels elles sont exposées ainsi qu'une politique adaptée à ces risques. Elles élaborent en particulier une classification des risques en question en fonction de la nature des produits ou services offerts, des conditions de transaction proposées, des canaux de distribution utilisés, des caractéristiques des clients, ainsi que du pays ou du territoire d'origine ou de destination des fonds.".

136

Règlement cyberrésilience, art. 13, 8. : "[...] Les fabricants disposent de politiques et de procédures appropriées, notamment les politiques de divulgation coordonnée des vulnérabilités mentionnées à l’annexe I, partie II, point 5), pour traiter et corriger les vulnérabilités potentielles du produit comportant des éléments numériques signalées par des sources internes ou externes.".

137

Directive NIS 2, art. 21 : "1. Les États membres veillent à ce que les entités essentielles et importantes prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services.

Les mesures visées au premier alinéa garantissent, pour les réseaux et les systèmes d’information, un niveau de sécurité adapté au risque existant, en tenant compte de l’état des connaissances et, s’il y a lieu, des normes européennes et internationales applicables, ainsi que du coût de mise en œuvre. Lors de l’évaluation de la proportionnalité de ces mesures, il convient de tenir dûment compte du degré d’exposition de l’entité aux risques, de la taille de l’entité et de la probabilité de survenance d’incidents et de leur gravité, y compris leurs conséquences sociétales et économiques.".

138

CMF, art. L. 561-15 : "".

139

CMF, art. L. 561-1 : "Les personnes autres que celles mentionnées à l'article L. 561-2 qui, dans l'exercice de leur profession, réalisent, contrôlent ou conseillent des opérations entraînant des mouvements de capitaux, sont tenues de déclarer au procureur de la République les opérations dont elles ont connaissance et qui portent sur des sommes qu'elles savent provenir de l'une des infractions mentionnées à l'article L. 561-15.".

140

CMF, art. L. 561-3, II. : "II. – Les avocats au Conseil d'Etat et à la Cour de cassation, les avocats et les personnes mentionnées au 18° de l'article L. 561-2 dans l'exercice d'une activité mentionnée au I ne sont pas soumis aux dispositions de la section 4 du présent chapitre et de l'article L. 561-25 lorsque l'activité se rattache à une procédure juridictionnelle, que les informations dont ils disposent soient reçues ou obtenues avant, pendant ou après cette procédure, y compris dans le cadre de conseils relatifs à la manière d'engager ou d'éviter une telle procédure, non plus que lorsqu'ils donnent des consultations juridiques, à moins qu'elles n'aient été fournies à des fins de blanchiment de capitaux ou de financement du terrorisme ou en sachant que le client les demande aux fins de blanchiment de capitaux ou de financement du terrorisme.".

141

CMF, art. L. 561-17, al. 1er : "Par dérogation aux articles L. 561-15 et L. 561-16, l'avocat au Conseil d'Etat et à la Cour de cassation ou l'avocat ou la caisse des règlements pécuniaires des avocats communique la déclaration, selon le cas, au président de l'ordre des avocats au Conseil d'Etat et à la Cour de cassation ou au bâtonnier de l'ordre auprès duquel l'avocat est inscrit ou au bâtonnier de l'ordre auprès duquel est inscrit l'avocat ayant déposé les fonds, effets ou valeurs faisant l'objet de cette déclaration. Dès lors que les conditions fixées à l'article L. 561-3 sont remplies, ces autorités transmettent la déclaration au service mentionné à l'article L. 561-23, dans les délais et selon les modalités définis par décret en Conseil d'Etat.".

142

DSA, art. 4, 5 et 6.

143

Pour une présentation des obligations de vigilance des opérateurs assujettis au DSA, v. G. Loiseau, in cet ouvrage.

144

DSA, art. 8 : "Les fournisseurs de services intermédiaires ne sont soumis à aucune obligation générale de surveiller les informations qu’ils transmettent ou stockent ou de rechercher activement des faits ou des circonstances révélant des activités illégales.".

145

DSA, art. 9.

146

DSA, art. 16.

147

DSA, art. 22.

148

Pour une présentation complète et détaillée des obligations des opérateurs numériques en lien avec le DSA, v. G. Loiseau, in cet ouvrage.

149

DSA, art. 7 : "Les fournisseurs de services intermédiaires ne doivent pas être réputés inéligibles aux exemptions de responsabilité prévues aux articles 4, 5 et 6 du simple fait qu’ils procèdent de leur propre initiative, de bonne foi et avec diligence, à des enquêtes volontaires ou prennent d’autres mesures destinées à détecter, à identifier et à retirer des contenus illicites, ou à rendre l’accès à ces contenus impossible, ou qu’ils prennent les mesures nécessaires pour se conformer aux exigences du droit de l’Union et du droit national conforme au droit de l’Union, y compris les exigences énoncées dans le présent règlement.".

150

sur le fait que le devoir de vigilance est la "pointe avancée" du Droit de la Compliance, v. 🕴️M.-A. Frison-Roche...

151

Les obligations de résultat de plano visant à mettre en place la structure de compliance (n°00), les obligations de résultat secondaire visant à organiser la construction ou le fonctionnement de cette structure (n°00), les obligations de résultat conditionnées qui ne se déclenchent que lorsqu'une situation particulière apparaît (n°00).

152

🕴️M.-A. Frison-Roche, La formation, contenant et contenu...., in ....

153

pour plus de développement, 🕴️M.-A. Frison-Roche, 📝Le juge, l'obligation de compliance et l'entreprise. Le système probatoire de la Compliance, in 🕴️M.-A. Frison-Roche (dir.), 📕La juridictionnalisation de la Compliance, 2023.

154

Sur ces trois sortes d'obligations de résultat, v.supra n°00 et s., n°00 et s. et n°00 et s.

155

Ainsi l'enquête interne n'est pas l'objet d'une obligation de compliance à proprement parler. C'est un moyen spontanément mis en place par les entreprises pour satisfaire son obligation de compliance, par exemple de lutte contre la corruption. Pour une description de son usage dans un groupe international, v. par ex. 🕴️O. Catherine, 📝La spécificité des enquêtes internes pratiquées par les groupes internationaux, in 🕴️M.-A. Frison-Roche et 🕴️M. Boissavy (dir.), 📕Compliance et droit de la défense. Enquête interne - CJIP - CRPC, 2024.

156

Sur l'ensemble de ces questions qui sont avant tout des questions probatoires, impliquant directement les droits de la défense, v. 🕴️M.-A. Frison-Roche et 🕴️M. Boissavy (dir.), 📕Compliance et droit de la défense. Enquête interne - CJIP - CRPC, 2024.

157

III. B. (mettre le titre) ; n°00 et s.

158

Sur cette difficulté probatoire pour l'entreprise de ne pouvoir se fabriquer des preuves alors que l'objet de preuve qui lui est imposé est l'efficacité de son propre comportement, v. Thibaud Goujon-Béthan (on va voir quel article mettre....).

159

mafr, Engagement, ..., in L'obligation de compliance

160

mafr (dir.), Compliance et contrat, 2025.

161

E. Silva-Romero, article à venir, in L'obligation de compliance.

162

dans ce sens, mafr, preuve..., in La juridictionnalisation....

163

V. dans ce sens J.-B. Barbieri, .., in L'obligation de compliance

164

Perelman, Le raisonnable .... Sur la notion de "raisonnable" et de "déraisonnable", voir à la suite de travaux de Perelman les travaux du centre de logique de Bruxelles....

V. aussi sous l'angle plus particulièrement probatoire, du même centre, La preuve....

165

mafr, L'obligation processuelle, prototype de l'obligation de compliance, in L'obligation de compliance.

166

🕴️M.-A. Frison-Roche, 📝Concevoir le pouvoir, 2021, in Mélanges Emmanuel Gaillard, 2025 ; 📝L'usage des puissances privées par le droit de la compliance pour servir les droits de l'homme, in J. Andriantzimbazovina (dir.), 📗Puissances privées et droits de l'Homme. Essai d'analyse juridique, 2024.

167

🕴️A. Rouyère, 📝Approche sectorielle de quelles visages de l'entreprise en droit administratif. L'entreprise compliante : une délégation de la puissance publique ?, 2024.

168

Notamment illustrée par la Compliance environnementale, 🕴️M.-A. Frison-Roche, 📝 La Compliance environnementale...; la responsabilité liée à la compliance environnementale....;🕴️M. Torre-Schaub,📝 La compliance environnementale et climatique, in 🕴️M.-A. Frison-Roche (dir.), 📕L'obligation de compliance, 2025.

169

Sur cette idée même de responsabilité ex ante, 🕴️M.-A. Frison-Roche, La responsabilité ex ante, pilier du Droit de la Compliance, 2022 ; sur la place des volontés dans l'élaboration de l'Obligation de Compliance, 🕴️M.-A. Frison-Roche, 📝La volonté, le coeur et le calcul, les trois traits cernant l'Obligation de Compliance ; 📝Obligation sur Obligation vaut, in 🕴️M.-A. Frison-Roche (dir.), 📕L'obligation de compliance, 2025.

170

Sur l'aptitude à demander l'engagement d'une telle responsabilité, v. 🕴️M.-A. Frison-Roche,📝 L'Obligation processuelle, prototype de l'Obligation de Compliance, in 🕴️M.-A. Frison-Roche (dir.), 📕L'obligation de compliance, 2025.

171

V. supra n°00 et s.

172

V.supra n°00 et s.

173

par exemple les entreprises bancaires, financières, énergétiques, numériques, etc. Voir à ce propos (mettre les contributions sur les opérateurs sectoriels), in 🕴️M.-A. Frison-Roche (dir.), 📕L'obligation de compliance, 2025

174

Sur la défense de l'idée même d'un "principe général", v.🕴️G. Viney, 📝 Pour ou contrat un "principe général" de responsabilité pour faute ? Une question posée à propos de l'harmonisation des droit civils européens, 2001.

Recevez nos newsletters

🚧Obligation de Compliance : construire une structure de Compliance produisant des effets crédibles au regard des Buts Monumentaux visés par le Législateur

les commentaires sont désactivés pour cette fiche