La compliance et les délégations de pouvoir
Par Florence Schlegel, associée en charge du département Compliance de Simon Associés
L’article 121-1 du Code pénal précise que « nul n’est pénalement responsable que de son propre fait ». La responsabilité pénale du chef d’entreprise est toutefois admise à raison des infractions commises par son préposé, car il lui incombe de veiller à l’observation des règles au sein de son entreprise.
Afin de ne pas bloquer l’esprit entrepreneurial notamment, la jurisprudence a très tôt reconnu l’effet exonératoire de la délégation de pouvoirs à l’égard du chef d’entreprise. Qu’en est-il s’agissant des réglementations sur la lutte anti-corruption et la protection des données ?
Selon la loi Sapin 2 entrée en vigueur en juin 2017, l’obligation de prévention et de détection de la corruption ou du trafic d’influence en France ou à l’étranger, incombe aux représentants légaux de l’entreprise selon la forme de la société.
L’Agence française de lutte anti-corruption (AFA) affirme dans son questionnaire de contrôle, la responsabilité des sociétés tête de groupe pour le déploiement du programme anti-corruption et l’engagement que doit prendre l’équipe dirigeante de la société mère. Il est donc probable que dans l’hypothèse d’une affaire de corruption impliquant une filiale ou un préposé, une délégation générale de pouvoirs sur le plan pénal par le directeur général du groupe au profit des dirigeants des filiales ou d’un préposé serait fortement susceptible d’être contestée tant par l’agence anti-corruption que le Parquet.
Les délégations de pouvoirs doivent donc préciser minutieusement ce que chaque dirigeant et ses préposés doivent réaliser dans le cadre de la mise en place du programme de conformité pour qu’à chacun corresponde sa véritable responsabilité liée à la réalité du terrain et dans le respect de la loi.
En outre, s’agissant d’éclaircir l’application de la jurisprudence classique aux souhaits de l’AFA, l’ANSA a précisé en date du 6 décembre 2017 que, s’agissant des sociétés anonymes, les obligations de la loi Sapin 2 devraient peser sur le directeur général ou le directeur général délégué et non sur le président du conseil d’administration. En effet, les nouvelles mesures à mettre en place entrent dans les missions de direction générale et non à celle de veiller au bon fonctionnement des organes de direction (article L. 225-51 du Code de commerce).
S’agissant de la règlementation sur la protection des données entrée en vigueur le 25 mai 2018, par principe, le Data Protection Officer (DPO) ne peut être responsable en cas de manquement au règlement et une délégation de pouvoir serait incompatible avec l’indépendance du DPO et avec le fait que le responsable doit garantir l’absence d’un conflit d’intérêts avec lui (article 38.6 du Réglement).
En cas de poursuites pénales envers la personne morale, c’est donc le représentant de la société qui serait poursuivi et qui pourrait être exonéré de sa responsabilité s’il peut justifier de la mise en œuvre effective de délégations à l’égard notamment des responsables de traitement, du DSI quant à la conformité opérationnelle des systèmes ou autre responsable opérationnel.
Le principe général d’« accountability » posé par le RGPD tend donc à limiter les champs de délégations du dirigeant aux aspects opérationnels non stratégiques.
En conclusion, il semble donc, s’agissant de la loi Sapin 2 et du RGPD, que les délégations de pouvoirs devraient avoir un effet plus limité car les autorités souhaitent que les dirigeants s’impliquent dans ces sujets. Il va donc falloir bien diviser la délégation des pouvoirs opérationnels avec ceux stratégiques, ces derniers devant rester au niveau de la direction générale, pour sécuriser les délégations de pouvoirs dans le respect des lois. ■