Lutte contre la fraude et la corruption : Les programmes à l’épreuve des contrôles
Les risques encourus par les entreprises en matière de fraude et de corruption n’ont jamais été aussi élevés puisque la réglementation et les obligations liées à la conformité n’ont, elles, jamais été aussi contraignantes et nombreuses. Les entreprises d’une certaine taille sont parfaitement conscientes de ces risques et les dirigeants ont impulsé la mise en place des process de conformité, et donc d’outils. Mais encore faut-il que ceux-ci soient efficaces car, aujourd’hui, la seule bonne volonté ne satisfait pas les autorités réglementaires.
Les avancées technologiques et le renforcement des différentes réglementations (RGPD/Sapin 2) ont notamment pour conséquence d’accroître les risques de fraude et de corruption. Les entreprises sont-elles conscientes de ce qu’elles encourent ?
Jean-Baptiste de Courcel et Frédéric Loeper : La réglementation anti-corruption n’est pas nouvelle : la convention OCDE sur la lutte contre la corruption a fêté ses 21 ans en décembre dernier. Les États-Unis s’étaient dotés du Foreign Corrupt Act (FCPA) à la fin des années 70. Et à partir du début des années 2010, on a observé en Europe un renforcement de cette réglementation anti-corruption avec notamment le UK Bribery Act, au Royaume-Uni, en 2010, et la loi Sapin 2, en 2016, en France.
Aujourd’hui, les standards de lutte contre la corruption sont partiellement harmonisés au plan international dans les grands pays développés qui se sont dotés de règles de mises en conformité ou de parquets spécialisés (le parquet national financier a été créé en 2015, en France).
Quant au RGPD, même s’il instaure de nouvelles obligations pour les entreprises en matière de protection des données, les fondements de ce règlement reposent sur la loi informatique et liberté, datant de 1978.
Ainsi, Sapin 2 et le RGPD ont renforcé des dispositifs existants avec des changements majeurs comme, par exemple, l’obligation de mettre en place, en interne, des mesures préventives anti-corruption ou encore l’instauration du « droit à l’oubli », dans le cadre du RGPD.
Mécaniquement, le cadre juridique étant plus contraignant qu’auparavant, le risque pour les entreprises de ne pas se conformer à la loi est plus élevé. Nos clients – les grandes entreprises – en sont tout à fait conscients, raison pour laquelle la plupart d’entre eux ont renforcé leur direction « compliance », se sont mis en conformité avec Sapin 2 en créant notamment des dispositifs de « lanceur d’alerte », et ont travaillé sur la défense des données à caractère personnel.
Les directions générales et les directions juridiques sont-elles plus sensibles à ces questions ?
Jean-Baptiste de Courcel et Frédéric Loeper : Tout d’abord, au vu de l’écho qui est fait aux nouvelles réglementations et nouveaux dispositifs et au vu de l’actualité, il me paraît difficile de ne pas être sensible aux questions de fraude, de corruption, de respect de la loi sur les données…
L’article 17 de la loi Sapin 2, qui oblige les entreprises à mettre en place des mesures préventives anti-corruption, la convention judiciaire d’intérêt public apparue également dans le cadre de la loi Sapin 2, les contrôles de l’AFA (Agence française anti-corruption), l’évolution des dispositifs d’extraterritorialité juridique… Tout cela a rendu les directions juridiques et générales beaucoup plus sensibles aux sujets de fraude et de corruption. Cette sensibilisation a été renforcée par les affaires récentes à fort retentissement pour un public averti (Airbus, HSBC, BNP, Société Générale…), pour lesquelles des amendes très significatives, parfois partagées entre plusieurs États, ont pu être décidées.
En second lieu, les dispositifs d’alerte interne rendus obligatoires par Sapin 2, ainsi que la protection des lanceurs d’alerte, ont entraîné une augmentation significative des alertes, réelles ou non. Les entreprises sont dorénavant confrontées à une multiplication des alertes, avec des degrés d’importance très différents. Il s’agit d’une nouveauté dans la plupart des entreprises françaises qui sont aux prises avec des alertes d’importances très diverses. Le « receveur » de l’alerte a désormais la très lourde responsabilité de trier le bon grain de l’ivraie : il doit faire preuve d’un grand discernement afin de juger de la pertinence et du sérieux d’une alerte et d’un lanceur d’alerte.
De manière générale, nous constatons que les grandes entreprises ont désormais à cœur de faire toute la lumière sur les faits, et ce dès la phase de soupçons, afin de déterminer leurs qualifications juridiques et les possibles stratégies qui en résultent. Ces entreprises n’hésitent plus à lancer des investigations lourdes (IT Forensic, Forensic Accounting, entretiens…), généralement avec l’appui d’avocats et de spécialistes du Forensic, dès lors qu’un faisceau suffisamment précis et concordant de soupçons ou d’irrégularités laisse penser qu’elles sont confrontées à un cas sérieux.
En fonction du résultat de ces investigations préalables, et notamment des éléments probants identifiés, l’entreprise décidera avec ses avocats de la stratégie juridique à adopter.
La technologie Forensic est l’un des piliers sur lequel reposent les enquêtes. Quelles sont les avancées en matière d’outils Forensic ?
Jean-Baptiste de Courcel et Frédéric Loeper : Rappelons que les technologies Forensic ne sont que des outils et qu’elles ne remplacent pas l’ensemble des moyens et des compétences nécessaires pour mener à bien des investigations. Il s’agit d’outils de plus en plus complexes, qui nécessitent des experts pour les manier et exploiter au mieux leur potentiel.
Ces outils évoluent au même rythme que les nouvelles technologies et les usages de communication et de sauvegarde des données (généralisation des communications électroniques par mail, réduction du papier et accroissement de l’archivage électronique, usage croissant du téléphone portable, des SMS, d’applications de messageries instantanées, données cryptées, etc.).
Aujourd’hui, il existe principalement trois familles distinctes d’outils utilisés lors des enquêtes, qui tous ont un rôle clé dans la sécurité des données et dans la préservation de la preuve : des outils de collecte, des outils de traitement et des outils de revue des données. Lors d’une investigation, en effet, il convient en premier lieu de collecter les données qui auront été au préalable identifiées, tout en assurant la préservation de leur intégrité et leur exhaustivité. Lorsqu’une investigation conduit à des poursuites judiciaires, l’utilisation de ces outils permet notamment de démontrer que les données collectées sont « d’origine » et qu’elles n’ont pas été altérées par la copie ou modifiées lors des investigations.
Une fois ces données rassemblées, d’autres outils vont les traiter pour qu’elles puissent être plus facilement exploitables (traitement des différents formats de fichiers, suppression des duplications, etc.). Enfin, ces données doivent être revues. La quantité d’informations à traiter est colossale, il est désormais très fréquent que ces revues soient faites à travers des outils spécialisés. Ces derniers permettent, notamment, la recherche à travers des mots-clés ou utilisent l’intelligence artificielle pour mieux identifier les documents prioritaires devant faire l’objet de revues détaillées.
Quelles sont les caractéristiques nécessaires pour constituer une task force efficace, avec les conseils avocats et le client ?
Jean-Baptiste de Courcel et Frédéric Loeper : La caractéristique première est la volonté de travailler ensemble. Elle englobe à la fois la complémentarité des compétences et la confiance dans les compétences de chacun.
Viennent ensuite les degrés d’implication de chacun, qui doivent être équivalents et dictés par le commanditaire. Fort heureusement, au vu de la criticité des sujets traités, l’implication de chacun est très souvent totale.
Enfin, n’oublions pas que nous sommes sur des sujets très sensibles dans lesquels les relations humaines, la confidentialité, le courage et la liberté de parole sont primordiaux.
Quels sont les cas de corruption plus difficiles à détecter ?
Jean-Baptiste de Courcel et Frédéric Loeper : Ce sont les cas où les acteurs de la fraude ou de la corruption ne laissent que peu de traces : aucune communication électronique ou téléphonique, utilisation d’un langage codé, versements en liquide à partir de fonds jamais enregistrés en comptabilité… C’est alors l’activité qui a permis la constitution d’une caisse noire qui pourra être détectée, et permettre ainsi la mise en évidence de la corruption avec l’aide des moyens d’enquête plus traditionnels.