QUELQUES RECOMMANDATIONS EN MATIÈRE DE DUE DILIGENCE PORTANT SUR LES DROITS HUMAINS
La chaîne de sous-traitance, de plus en plus complexe et mondialisée, est au cœur de la responsabilité sociale des entreprises (RSE). En effet c’est au sein de la chaîne d’approvisionnement que les risques d’atteinte aux droits humains sont les plus élevés, que la responsabilité de l’entreprise donneuse d’ordre est la plus importante et que sa réputation peut être mise à mal en cas d’atteinte aux droits humains.
La chaîne de sous-traitance pose donc des questions essentielles portant sur le périmètre de la sphère d’influence des entreprises donneuses d’ordre. Jusqu’où ces dernières doivent-elles connaître et contrôler leur chaîne de production, qui peut compter plus d’une vingtaine de rangs de fournisseurs, soit plusieurs centaines, milliers, voire dizaine de milliers d’entreprises ?
Les due diligence représentent donc à la fois :
• Un instrument de la maîtrise du risque, par la connaissance des parties prenantes de l’entreprise, et
• Une opportunité de disposer d’un levier de performance pour les entreprises de la chaîne d’approvisionnement, ainsi que pour l’entreprise donneuse d’ordre qui – en choisissant ses sous-traitants en connaissance de cause – protège sa marque, évite des ruptures dans sa chaîne de valeur et accède plus facilement à de nouveaux marchés.
Bien que toutes les entreprises ne soient pas assujetties à la loi sur le devoir de vigilance qui impose la réalisation de due diligence sur les droits humains, toutes devraient pourtant l’intégrer dans leur processus de management des risques et leurs bonnes pratiques. C’est à tout le moins une recommandation issue des Principes Directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme. De plus, il doit être noté que les entreprises non soumises à ces règlementations devront nécessairement démontrer à leurs clients, eux-mêmes soumis, quelles actions elles auront engagées pour le contrôle de leur propre chaîne d’approvisionnement.
LES DIFFÉRENTS TYPES DE DUE DILIGENCE QUE DOIVENT RÉALISER LES ENTREPRISES RÉPONDENT À DE MULTIPLES CONTRAINTES ET OBLIGATIONS LÉGALES
• Dans le domaine de la lutte contre la corruption, en application de la loi Sapin 2 (9 décembre 2016). Sont notamment concernés les fournisseurs, distributeurs, sous-traitants, cocontractants… ;
• Dans le domaine des sanctions internationales, pour être notamment conforme aux lois américaines à portée extraterritoriale ;
• Dans le domaine des droits humains, en application de la loi sur le devoir de vigilance (27 mars 2017) qui impose notamment aux entreprises, sous condition de seuil, d’élaborer un plan de vigilance contenant les mesures propres à identifier les risques et à prévenir les atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l’environnement, résultant des activités de la société et de ses filiales ainsi que des activités des sous-traitants ou fournisseurs avec lesquels elle entretient, directement ou par l’intermédiaire de ses filiales, une relation commerciale établie.
Ce plan de vigilance contient notamment :
- Une cartographie des risques destinée à l’identification, l’analyse et la hiérarchisation des risques ;
- Des procédures d’évaluation régulière de la chaîne de valeur, portant sur les incidences réelles ou potentielles de leurs actions ou comportements ;
- Des actions adaptées d’atténuation des risques ou de prévention des atteintes graves ;
- Un mécanisme d’alerte et de recueil des signalements établi en concertation avec les organisations syndicales représentatives dans ladite société ;
- Un dispositif de suivi des mesures mises en œuvre et d’évaluation de leur efficacité.
On le voit bien, le plus souvent les due diligence ne sont pas orientées spécifiquement sur le sujet des droits humains mais sur une globalité de risques pesant sur la contrepartie.
DANS CES CONDITIONS, IL EST ESSENTIEL DE RESTER ATTENTIF AUX INFORMATIONS POUVANT RESSORTIR DE CHAQUE TYPE DE DUE DILIGENCE ET DE FAIRE LE LIEN ENTRE ELLES.
En particulier, il est recommandé d’intégrer, dans les systèmes existants et les processus Know your supplier (KYS), les due diligence raisonnables portant sur les atteintes potentielles ou réelles aux droits humains, afin de conserver une approche globale et non pas sectorielle.
Ces due diligence doivent être réalisés non seulement sur une cible (actuels fournisseurs ou tiers futurs fournisseurs ou cocontractants) mais également avant l’entrée dans une joint venture (JV), par exemple, pour s’assurer que l’entreprise cible dispose d’une culture éthique, RSE et droits humains aux standards équivalents.
Cette tendance renforcée par la règlementation de la prévention, au lieu de la publication, des risques relatifs aux droits humains, explique l’évolution du rôle de la conformité avec notamment une intégration le plus en amont possible de l’opération envisagée. Les due diligence constituent aujourd’hui un moyen pour mieux connaître les partenaires d’une entreprise.
Toutefois les informations collectées au titre de ces opérations de due diligence nécessitent d’être étudiées avec beaucoup d’attention pour prendre toutes les précautions en amont de la relation contractuelle à mettre en place.
LES MÉTHODES D’ÉVALUATION ÉTHIQUE
Le cadre de reporting conforme aux Principes Directeurs des Nations Unies sur les entreprises et les droits de l’homme peut servir d'outil de pilotage dans la mise en œuvre du processus de diligence raisonnable.
Quelle que soit la méthodologie utilisée, il convient de s’interroger sur la partie qui sera susceptible d’influencer une décision. Les seuils ainsi que les cibles peuvent varier selon les pays concernés les plus à risques.
Les moyens de réaliser les due diligence sont :
• Les enquêtes de réputation, à partir d’informations publiques ou encore de l’étude des controverses portant sur le tiers concerné ;
• Les questionnaires d’évaluation ;
• Les visites de sites ;
• Les éventuelles alertes éthiques remontées par le canal des lanceurs d’alerte.
Si pendant longtemps les entreprises ont eu tendance à privilégier les questionnaires d’auto-évaluations par les fournisseurs et les tiers, on s’oriente aujourd’hui vers des évaluations documentées, portant sur :
• Les procédures internes au sein de la partie qui fait l’objet de la due diligence : engagements et valeurs (par exemple au travers des codes de conduite ou des chartes éthiques) ;
• Les actions mises en œuvre : par exemple les politiques et normes internes, les actions de formation du personnel, les audits internes, les certifications et labellisations… ; • Les résultats : le reporting portant sur les controverses, les enquêtes de réputation, les condamnations éventuelles…
LES ENSEIGNEMENTS À TIRER DES ÉVALUATIONS ÉTHIQUES
Une due diligence qui ne donnerait pas de résultats satisfaisants ne conduit pas forcément l’entreprise donneuse d’ordre à renoncer à choisir un tiers ni à rompre automatiquement la relation commerciale avec ce dernier, lorsqu’elle est déjà en place. Avant de parvenir à cette extrémité, l’entreprise donneuse d’ordre peut mettre en place un certain nombre de mesures de remédiation, parmi lesquelles :
• Des actions de sensibilisation et de formation du personnel du sous-traitant, ce qui représente un levier de progrès et de compétitivité pour ce dernier ; par exemple, un sous-traitant qui pratiquerait la discrimination doit être sensibilisé au principe de l’égalité entre les femmes et les hommes ainsi qu’entre tous les êtres humains. Un autre sous-traitant qui confisquerait systématiquement les passeports de ses employés doit se voir proposer une alternative consistant, par exemple, à laisser aux employés l’accès de leur passeport dans un casier fermé à clé… ;
• Le renforcement des clauses éthiques dans les contrats avec une possibilité de résiliation immédiate en cas de non-respect des règles éthiques ;
• L’intégration dans les contrats de clauses d’audit renforcé.
Il est essentiel de conserver la trace écrite des due diligence ainsi que des mesures de remédiation mises en place et de leur suivi puis de communiquer utilement sur les due diligence réalisées.
La diligence raisonnable en matière de Droits Humains gagne du terrain, au point que la Commission européenne a annoncé l’adoption possible en 2021 d’une directive européenne sur le sujet.
CONCLUSION
Les fonctions conformité et juridique contribuent de manière grandissante et constructive à la démarche de progrès continu des entreprises dans le domaine de la RSE et du respect des droits humains, tant aux bornes de leurs activités que celles de leurs partenaires, fournisseurs et sous-traitants.
C’est une fierté pour elles que de contribuer à la création de valeur des entreprises, en particulier à un moment de profonds bouleversements.
Ce chemin de progrès requiert du temps, de la volonté et de l’engagement. Pour ces raisons, il importe de faire preuve de bienveillance à l’égard des entreprises qui se sont engagées dans cette voie.
La portée extraterritoriale des sanctions en droit et en fait
- EXTRATERRITORIALITÉ : DE QUOI PARLONS-NOUS ?
La notion d’extraterritorialité nous vient du droit international public. Initialement, et du point de vue de l’État qui la subit, cela consiste à laisser s'exercer l'autorité d'un État étranger sur une partie de son propre territoire. Du point de vue de l’État qui l’exerce, l’extraterritorialité est le fait d’exercer certaines de ses compétences (exécutives, juridictionnelles et normatives) dans des situations pour lesquelles il n’existe pas de lien de compétence reconnu en droit international (territoire et nationalité notamment) ; par exemple, une loi américaine s’appliquant à des personnes non américaines pour des activités ne se déroulant pas sur le territoire américain.
L’extraterritorialité est donc une exception à l’exercice de la souveraineté par un État sur son territoire, l’État étant lui-même traditionnellement défini en droit international public comme la convergence d’un peuple, d’un territoire et d’une souveraineté. L’extraterritorialité pourrait donc consister pour un État à ce qu’il accepte et reconnaisse par exception qu’un État tiers puisse mettre en œuvre sa propre souveraineté pour l’État qui n’est pas le sien. Le raisonnement peut être dupliqué pour les organisations internationales, on pense ici principalement aux résolutions des Nations Unies. Avec cette réflexion, on glisse insensiblement d’un principe d’exception à un principe un peu plus universel ou universaliste… le tout étant a priori supporté par des traités, des décisions ou normes acceptées par les États selon les règles du droit international public.
Il faut donc comprendre cette notion comme prévoyant une application consentie dans un pays du droit d’un État tiers dans une sorte de mouvement centripète. Une forme particulière de cette extraterritorialité est la « compétence universelle » qui permet de poursuivre les auteurs de crimes qui n’ont pas de lien de rattachement personnel ou géographique avec l’État les poursuivant. On la rencontre essentiellement au pénal pour des crimes d’une extrême gravité (crimes contre l’humanité, de guerre, génocide, torture…) qui heurtent la conscience de l’humanité et sont donc susceptibles d’être punis indépendamment des considérations de frontières ou de nationalité.
L’idée est que les auteurs présumés de ces crimes puissent être poursuivis par des juges nationaux indépendamment de leur lieu de commission. Ainsi, toute personne s’en déclarant victime pouvait, sans filtre aucun, mettre en mouvement l’action publique contre tout haut-fonctionnaire ou chef d’État étranger en fonction en alléguant du caractère criminel de sa politique. En pratique, on peut noter qu’il faut des éléments de rattachement, tels que la présence de victimes ou de la personne suspectée sur le territoire de l’État exerçant sa compétence. Cette compétence universelle fait fi des immunités diplomatiques traditionnelles, bouscule une certaine conception de l’ordre politique international et ne connaît qu’un succès limité. Les États, notamment la Belgique, ayant envisagé son utilisation ont été confrontés à l’instrumentalisation politique de cette compétence provoquant de nombreuses tensions diplomatiques et ont fini par faire machine arrière.
On est pourtant en présence ici d’une application centrifuge du droit par application du droit d’un État sur son territoire selon ses règles de droit à l’encontre des citoyens étrangers pour des faits (des crimes) présumés qui se sont déroulés à l’étranger. Nous comprenons aujourd’hui cette notion d’extraterritorialité comme la tendance de certains législateurs à vouloir projeter l’application leur système normatif hors de leurs frontières, pour des faits qui ne se sont pas forcément déroulés sur leur territoire.
2. AUX SOURCES DE L’EXTRATERRITORIALITÉ
a) Les textes américains Pour évoquer les sources de l’extraterritorialité américaine, il faut en premier lieu se pencher sur les mécanismes américains d’embargo et de sanctions économiques.
Dès 1917, les États-Unis ont promulgué le Trading With the Enemy Act (TWEA) – toujours en vigueur à l’heure actuelle – EN DROIT69 JEM x Compliances | hors série | février 2021 qui interdit aux ressortissants américains d’avoir des relations d‘affaires avec des nations en guerre contre les États-Unis. La portée extraterritoriale tient du champ d’action de cette loi : l’interdiction est applicable aux personnes relevant de la compétence (juridiction) américaine, cela sous-entend donc toute personne présente sur le sol américain, même non-résidente ou toute entreprise organisée selon le droit américain. Par la suite, l’Export Control Act de 1949 – actualisé en Export Administration Act en 1979 et portant sur les exportations de marchandises et de technologies – repose sur ces mêmes principes.
Adopté en 1977, l’International Emergency Powers Act (IEEPA) permet aux présidents américains d’agir unilatéralement à l’encontre d’un pays donné en cas d’urgence nationale en décrétant des "executive orders" ou mesures coercitives économiques à l’encontre du pays visé. L’IEEPA a connu une importance grandissante depuis les années 90 avec environ 20 situations d’urgence décrétées, notamment contre l’Iran, la Russie, la Corée du Nord ou la Libye.
Si les lois précédemment citées contiennent des éléments d’extraterritorialité indiscutables, les lois dites d’Helms-Burton et d’Amato-Kennedy de 1996 vont encore plus loin avec un caractère extraterritoriale délibéré et clairement affiché. La première sanctionne toute personne qui manipulerait des biens cubains ayant appartenus à des Américains ; la seconde permet au président américain de sanctionner purement et simplement toute personne qui aurait investi en Libye ou en Iran. Ces deux lois ne font même plus référence à la notion de US Person ou de résidents américains mais bien à « toute personne ».
À noter que les sanctions inscrites au sein de ces lois sont très dissuasives : interdiction de participer au système bancaire, exclusion du marché économique américain, exclusion du territoire américain, poursuites pénales, etc.
En sus de ces lois/programmes de sanctions, des dispositions extraterritoriales se retrouvent également en matière financière et fiscale tout en utilisant les mêmes critères de rattachement :
• Security Exchange Act (1934) et Securities Act (1933) ;
• Foreign Corrupt Practices Act (FCPA, 1977) ;
• Sarbanes-Oxley (2002) ;
• Dodd-Franck Act (2010) ;
• Volker Rule (2008) ;
• Foreign Account Tax Compliance Act (FATCA, 2010).
La compétence des autorités américaines est basée sur une interprétation large qu’elles font des textes ainsi mentionnés. Intéressons-nous à présent à la loi fédérale Cloud Act (Clarifying Lawful Overseas Use of Data Act) promulguée le 23 mars 2018, où là encore, les États-Unis font usage de l’extraterritorialité. Cette loi permet aux agences de renseignements américaines (CIA, FBI…), sur décision préalable d’un juge et dans le seul cadre de procédures pénales, d’obtenir des opérateurs de télécoms et autres fournisseurs de service de cloud computing, des informations qui seraient stockées sur leurs serveurs. Ces serveurs peuvent être situés sur le territoire américain, mais également à l’étranger…
Véritable passe-droit des autorités américaines sur les données des individus et entreprises, le prestataire a l’obligation de communiquer toutes les informations en sa possession sur une personne ou une entreprise utilisatrice de ses services. Et cela sans que la « cible » concernée n’en soit informée.
Le périmètre de cette loi est très large, son objectif étant la protection de l’ordre public. Ainsi, tant des enquêtes criminelles, terroristes ou économiques pourraient justifier les demandes des agences de renseignements. Elle s’applique aux sociétés relevant du droit américain, mais également à toutes les sociétés contrôlées par des sociétés de droit américain.
En pratique et a priori, cette loi est en contradiction avec le RGPD et plus particulièrement avec son article 48 imposant la mise en place d’un accord international avant qu’un quelconque transfert de données personnelles puissent être mis en œuvre. Cependant, un rapport de la Commission européenne de décembre 2017 a précisé que cet article 48 ne cherche pas à empêcher tout transfert dans le cadre d’enquêtes, notamment en application de l’article 49 mentionnant les cas où le transfert de données personnelles est autorisé.
En outre, le Cloud Act offre la possibilité de mettre en place des accords bilatéraux avec des gouvernements étrangers pour s’entendre sur un cadre direct permettant d’échanger et de transférer des données d’entités ou individus ciblés sans avoir à recourir à des procédures juridiques fastidieuses (Commissions rogatoires, etc.).
Côté européen, la Commission a proposé le règlement "e-evidence" qui reposerait sur des mécanismes similaires. En conclusion sur le Cloud Act, il est recommandé aux entreprises européennes de choisir des prestataires de services informatiques soumis au droit français et dont les serveurs sont situés au sein de l’UE. Cette précaution permettrait de limiter le risque que des agences américaines accèdent à leurs données sans qu’elles en aient connaissance. Cependant, à l’instar des régimes de sanctions, il n’est pas exclu que les sociétés européennes disposant de filiales aux États-Unis ou conduisant des activités sur les marchés américains puissent être ciblées ! La liste des lois américaines précitées n’est pas exhaustive… À cela s’ajoute l’interprétation large de sa compétence que se donnent le Department of Justice (DoJ) ou d’autres agences fédérales américaines telles que l’Office of Foreign Assets Control (OFAC) et qui favorise l’étendue de ses pouvoirs dans la mise en œuvre des lois précitées.
b) Les textes non-américains
À côté des États-Unis, le reste du monde fait pâle figure en matière d’extraterritorialité.
Comme le rappelle très bien le rapport Lellouche de 2016, vues d’Europe, de nombreuses lois ou réglementations américaines sont extraterritoriales ; en revanche vu des US, la plupart ne le sont pas… La situation juridique en France et en Europe ne pose pas de réelle limite à l’extraterritorialité des lois américaines.
Les régimes de sanctions économiques de l’UE ont un champ délimité, mais potentiellement extraterritorial en s’appliquant sur le territoire de l’UE et aux ressortissants de l’UE, qu’ils se trouvent ou non en son sein. Cependant, l’extraterritorialité que l’UE entend appliquer est très souvent contestée par les États membres.
Au Royaume-Uni, le UK Bribery Act (UKBA) de 2010 a une portée clairement extraterritoriale en visant les faits de corruption et en couvrant toutes les entités en relation d’affaire avec le UK. En France, la loi Sapin II de 2016 dispose d’éléments d’extraterritorialité notamment concernant la mise en place des 8 piliers (ndlr : l'AFA a publié le 12 janvier 2020 la mise à jour de ses recommandations qui s'articulent désormais autour de 3 piliers) qui doivent permettre de « prévenir et détecter la commission en France ou à l’étranger, de faits de corruption ou de trafic d’influence. » Ces dispositions concernent les entités françaises, mais également les filiales situées à l’étranger dès lors que le groupe établit des comptes consolidés. Les filiales de groupes étrangers sembleraient également concernées dans la mesure où le texte vise les sociétés sans en préciser la nationalité.
À l’heure actuelle, le débat n’est pas centré sur le développement de dispositifs extraterritoriaux mais s’oriente plutôt vers des solutions qui permettraient de contrer les effets extraterritoriaux imposés par les acteurs américains en interprétant leur législation (et de ce fait leur compétence).
L’UE avec son règlement de blocage de 1996, actualisé en 2018, a tenté de mettre en place une solution afin de contrer les effets de cette extraterritorialité, contre-mesure dans cette guerre économique. En France, une loi de 1968 dite également de blocage permettrait également de contrecarrer les effets de l’extraterritorialité. Mais les effets de ces deux outils restent limités. Plus précisément ils ne permettraient pas de protéger les entités contre l’exécution de sanctions américaines sur le territoire américain ; à l’instar de BNP Paribas ou Société Générale qui ont écarté d’office leur application après avoir considéré l’impact potentiel des sanctions édictées par les États-Unis si elles les avaient évoqués pour leur défense.
En outre, en France, le rapport Gauvain de 2018 inscrit 9 propositions pour contrer les effets de l’extraterritorialité des lois US :
• Protéger les avis juridiques internes des entreprises ;
• Actualiser, moderniser et renforcer certains aspects de la loi de 68 précitée ;
• Créer une sanction administrative destinée à sanctionner la transmission d’information et de données numériques des personnes morales ;
• Élaborer une doctrine nationale sur les intérêts économiques essentiels de la France ;
• Assurer une meilleure lisibilité de la politique pénale du parquet ;
• Renforcer le multilatéralisme sur l’extraterritorialité par des initiatives auprès de la Cour internationale de Justice et de l’OCDE ;
• Renforcer les outils européens de protection des entreprises face aux demandes des autorités ou juridiction hors UE en proposant une révision du règlement européen de blocage ;
• Demander un rapport parlementaire visant à renforcer les outils et moyens dédiés à la lutte contre les infractions financières.
- CONTEXTE
Avec plus de 15 Mds$ de condamnations en 2015 portant sur des banques européennes, la politique américaine de sanctions n’a cessé d’étendre son impact dans le monde. Deux grandes banques françaises en ont fait les frais : 8,9 Mds$ pour BNP Paribas et 787 M$ pour Crédit Agricole, condamnant la non-application des sanctions économiques et embargos décidés par les États-Unis.
Bien que seules les sanctions « secondaires » soient explicitement applicables à des personnes ou entités étrangères qui feraient des transactions avec les pays ou entités visés par les sanctions, les sanctions à l’encontre des banques ont été prononcées en vertu de sanctions dites « primaires », qui sont pourtant uniquement applicables aux "US Persons" relevant du droit pénal américain et ne sont donc pas censées avoir d’effet extraterritorial.
En effet, les "Settlement Agreements" produits par l’OFAC justifient succinctement l’application des sanctions primaires par la réalisation de transactions à destination ou « au travers » d’institutions financières américaines. D’autres documents relatifs aux mêmes faits parlent plutôt de transactions faites au travers d’institutions financières aux États-Unis. Ainsi, le « Statement of Facts » signé par BNP Paribas avec la justice américaine emploie la formule de transactions "processed through (…) financial institutions in the United States".
L’analyse des faits reprochés montre qu’il s’agit essentiellement d’opérations qui ont « transité » par les États-Unis pour des raisons de compensation. En effet, les banques internationales ont l’habitude de centraliser auprès d’institutions financières situées aux États-Unis leurs opérations en dollars impliquant des ordres de paiement à destination de banques situées aux États-Unis afin de permettre ensuite leur compensation dans des chambres de compensation américaines. Les opérations en cause n’impliquaient donc pas directement le territoire américain car il s’agissait de transferts entre des comptes non domiciliés aux États-Unis, mais l’impliquaient indirectement du fait de l’opération-reflet qu’elles entraînaient avec une banque correspondante aux États- Unis chargée de les prendre en compte pour la compensation globale entre banques des opérations en dollars.
L’administration américaine soutient depuis longtemps que des opérations de compensation effectuées sur son territoire suffisent à assujettir aux lois américaines les transactions qui, in fine, ont donné lieu à cette compensation. S’agissant de l’Iran, l’OFAC avait ainsi, dans un premier temps des sanctions américaines contre ce pays, autorisé les transactions dites « U-turn », à savoir des transactions ne faisant pas directement apparaître des entités iraniennes, mais faites entre deux banques étrangères par le biais de leurs comptes détenus dans une banque américaine : en pratique, il s’agissait ainsi de faire une dérogation pour la compensation aux États-Unis d’opérations impliquant de créditer ou débiter les comptes en dollars de personnes ou d’entités iraniennes auprès de banques étrangères. En autorisant cette exemption, l’OFAC affirmait aussi, par prétérition, son droit de regard sur lesdites transactions ; puis cette exemption a été révoquée (le 10 novembre 2008) et il est à noter qu’elle n’avait pas été rétablie dans le cadre de la levée partielle des sanctions contre l’Iran après l’accord sur le nucléaire du 14 juillet 2015.
Les documents américains ne se donnent pas la peine de justifier plus amplement la compétence juridictionnelle de leur pays : implicitement, ce sont sans doute les règles générales de compétence territoriale ou personnelle qui sont invoquées, des transactions illicites étant « passées » par des institutions financières qualifiées d’américaines ou situées aux États-Unis. Le fait que les deux banques françaises sanctionnées aux États-Unis y aient eu des filiales ou bureaux n’est pas déterminant : les documents américains prennent clairement en compte l’ensemble des transactions illicites (de leur point de vue) compensées aux États-Unis, que ce soit par le biais de ces établissements locaux ou d’autres correspondants.
Ce lien de rattachement permet ainsi aux sanctions internationales de bénéficier d’un champ d’application extraterritorial quasiment illimité, tant l’usage du dollar et donc la compensation des ordres aux États-Unis est répandu dans le commerce international. L’impact des sanctions américaines présente donc aujourd’hui un risque systémique pour les banques françaises et européennes et pour toutes les économies nationales. Comme l’a relevé le rapport de la mission d’information sur l’extraterritorialité de la législation américaine de l’Assemblée nationale : « Ces prélèvements sont suffisamment massifs pour EN FAIT 1 Les grandes banques réalisent quotidiennement pour leurs clients des millions d’opérations de crédit, de débit, de paiement, conduisant à des transferts financiers entre elles. La compensation leur permet de simplifier le règlement de ces multiples positions (dettes) croisées, en procédant par différence entre les montants consolidés par monnaie de paiement (seul le solde devra être transféré). Les opérations financières qui concernent des montants élevés transitent principalement par deux systèmes de paiement aux États-Unis : Fedwire, qui est géré par la FED, et le Clearing House Interbank Payments System (CHIPS), qui est détenu par des agents privés. "La politique américaine de sanctions n’a cessé d’étendre son impact dans le monde"72 SANCTIONS ET EXTRATERRITORIALITÉ être perceptibles dans certaines grandeurs macro-économiques… De même, l’impact systémique que ces amendes peuvent avoir dans le cadre des marchés financiers est à redouter »
. Afin de se prémunir contre ce risque accru de sanctions, les banques ont mis en place des plans de remédiation, le plus souvent pilotés par l’OFAC et la justice américaine.
2. L’IMPACT DES SANCTIONS INTERNATIONALES SUR LES BANQUES
a) La mise en place d’un plan de remédiation OFAC
La transaction conclue entre l’OFAC et les banques obligent le plus souvent ces dernières à mettre en place un plan de remédiation.
Celui-ci touche un périmètre étendu de la banque dans la mesure où il est porté par le Groupe qui a l’obligation de répondre pour toutes ses filiales et sur tous les continents mais également pour toutes les transactions bancaires effectuées par cette dernière ou par un de ces prestataires de services. Les métiers de la banque, les employés ainsi que toutes les relations d’affaires (correspondants bancaires, fournisseurs, etc.) sont concernés par ce plan de remédiation. Le plan de remédiation OFAC s’articule essentiellement autour de 5 grands thèmes :
• La gouvernance, qui définit le rôle de la fonction conformité en matière de Sanctions Internationales se matérialisant par un corpus procédural important et une définition fine des rôles et responsabilités des 3 lignes de défenses de la Banque et de ses entités.
• Les systèmes d’informations et la qualité des données : ce chantier est en lien avec les exigences de la 3e et 4e Directive européenne en matière de connaissance des clients et autres tiers, de la politique et outils de filtrage (transactions/personnes physiques/morales) sur les listes des sanctions ainsi que la gestion et le traitement des alertes.
• Les ressources humaines, afin de définir les exigences en termes de calibrage des équipes impactées de près ou de loin par les processus de Sanctions Internationales, mais aussi les besoins en formations, recrutements et attrait de la fonction conformité afin d’attirer les talents et les fidéliser.
• La mise en place des reportings et de l’escalade pour les remontées d’informations ainsi que l’échange d’informations entre entités du même Groupe.
• La revue du dispositif de contrôle interne, pour un contrôle mieux adapté et plus précis sur la thématique Sanctions Internationales.
Le plus souvent, les banques sont accompagnées dans le déploiement de ce plan par des consultants indépendants mandatés par la FED (Federal Reserve System) dont la mission est de contrôler la mise en œuvre du plan de remédiation. Ce plan s’accompagne également généralement de la mise en place d’un plan de conformité AML.
b) La mise en place d’un programme de conformité AML
La mise en œuvre d’un programme de conformité Anti-Money Laundering (AML) dans les établissements de crédit se traduit par :
• Un processus approfondi de connaissance et de suivi des clients,
• Le contrôle et la surveillance des transactions.
- Le processus de connaissance et de suivi des clients
Le KYC (Know Your Customers) désigne l'ensemble des processus que l'établissement de crédit met en œuvre pour assurer à la fois une connaissance approfondie de ses clients, mais également un suivi régulier de la clientèle.
Le processus de connaissance des clients lors de l'entrée en relation consiste pour l’établissement de crédit à procéder à un certain nombre de tâches qui permettent à la fois de recueillir les informations ayant trait au client, mais également de contrôler ces mêmes informations pour vérifier leur véracité. L'établissement de crédit contrôle également la présence éventuelle de son client sur une ou plusieurs listes de sanction, selon la réglementation en vigueur dans le pays. De plus, il est demandé de procéder au blocage des fonds et au gel des avoirs lorsque ces personnes ou organisations ont été identifiées au sein de l'établissement de crédit, soit à l'entrée en relation, soit dans le cadre d'une transaction financière.
Les obligations réglementaires auxquelles les établissements de crédit sont assujettis sont de l'ordre de l'obligation de moyens. L'établissement de crédit est tenu de prendre en compte ses obligations de conformité et de prouver qu'il a mis en place des systèmes, des procédures, une organisation et des contrôles pour lutter efficacement contre le blanchiment de capitaux, le financement du terrorisme et le respect des embargos. L'établissement de crédit doit apporter la preuve qu'il s'est doté de moyens pour mettre en œuvre un dispositif conforme aux obligations réglementaires et en adéquation avec le niveau de risque lié à son activité.
L'obligation de moyens est considérée au sens large du terme. Outre le déploiement d'un système informatique, l'existence d'un service spécialisé et le contrôle des procédures, la formation des salariés de l'établissement de crédit aux problématiques de lutte contre le blanchiment doit être assurée à leur prise de fonction et régulièrement mise à jour. De plus, les procédures sur les sujets concernés (lutte anti-blanchiment, financement du terrorisme, embargos, KYC) doivent être rédigées et enregistrées dans un livre spécifique, puis diffusées et revues périodiquement.
Après que le client a été identifié, puis contrôlé pendant la phase d'entrée en relation, il doit être suivi de manière régulière pendant toute la durée de la relation commerciale. L'établissement de crédit est seul responsable du choix de la fréquence des contrôles.
- Le contrôle et la surveillance des transactions
La surveillance des transactions complète les obligations de conformité de suivi de la clientèle dans la mesure où les opérations effectuées par les clients sont susceptibles de modifier le risque client et donc d'impacter le système de profilage du client.
Le terme de transaction désigne tout type d'opération quels qu'en soient :
• la portée : domestique, intra-européenne, internationale ;
• le sous-jacent : paiement, opération titre, crédit documentaire, confirmation, etc. ;
• le réseau utilisé : SIT, SWIFT, SEPA, etc.
La conformité des transactions concerne donc l'ensemble des activités bancaires au sens large : banque de détail, gestion d'actifs, banque de financement et d'investissement, banque privée, etc.
Les obligations de conformité envers les transactions bancaires sont de 3 natures différentes :
• Contrôle du donneur d'ordre, qui porte sur le nom et prénom, adresse, et le numéro de compte du client.
• Filtrage en temps réel des transactions : il s'opère en temps réel de manière à ne pas faire transiter sur le réseau bancaire utilisé (SWIFT, SEPA, SIT) une transaction qui aurait alors valeur d'acceptation tacite (acceptation voulant dire responsabilité en cas de contrevenance aux lois en vigueur concernant la lutte anti- blanchiment, la lutte contre le financement du terrorisme et le respect des embargos). L'identification des entités sous sanction s'opère généralement avec des outils automatisés de filtrage qui filtrent le contenu de tous les flux interceptés à la recherche d'une entité sous sanction présente dans les listes mentionnées. Lorsque les moteurs de filtrage ont identifié des ressemblances, les transactions, ainsi que les entités pour lesquelles le moteur a trouvé une correspondance, sont présentées à des opérateurs. Ces derniers ont pour rôle de décider de l'action à mener sur la transaction après une éventuelle investigation : libérer la transaction, ce qui a valeur d'acceptation, ou au contraire bloquer la transaction et éventuellement effectuer la déclaration de soupçon à l'autorité compétente.
• Monitoring des transactions : Les établissements de crédit mettent en place des systèmes qui analysent les transactions en tenant compte d'un historique, et en compilant les données de provenance et de nature diverse : comptes bancaires, clients, transactions, etc. //
UN EXEMPLE INDUSTRIEL
Voici un exemple d’une vente à laquelle une société située en France a dû renoncer : Cette société familiale avec un siège social en France a été rachetée par un groupe américain, courant 2015. Le management purement français a été laissé en place le temps d’organiser l’intégration de la structure française et son acculturation au groupe américain. Cette société française très spécialisée sur son activité de fabrication de machines d’emballages exportait dans le monde entier sur le modèle traditionnel français d’exportation. Arrive très rapidement au service juridique européen une demande d’autorisation courant 2016 pour entreprendre la vente d’une machine en Iran. Les premières investigations montrent que la chose semble possible moyennant un certain nombre de précautions extrêmement contraignantes impliquant notamment qu’aucune société américaine ni aucun citoyen américain ne participe de près ou de loin à l’opération, obligeant ainsi l’entreprise à vérifier très précisément dans ses process quelles personnes et quels services de l’organisation pourraient être impliqués, ce qui dans une organisation matricielle est un exercice compliqué. Un seul exemple : les notes de frais qui dans les systèmes passent par les US sans parler du responsable européen concerné qui ne pouvait pas en référer à son manager …américain. De plus ; il aurait aussi fallu envisager de modifier les « corporate policies » pour autoriser les travaux d’approche avec l’Iran et mettre en place des process spécifiques pour s’assurer de rester ‘dans les clous’ (comme la mise en place d’un serveur local, non relié au système standard dans le giron des serveurs basés aux US et une gestion purement locale de tous les aspects et fonctions traditionnellement intégrés (facturation, paiement …)
Ainsi, alors que les relations commerciales avec l’Iran n’étaient pas prohibées, et qu’elles étaient également autorisées par les US sous certaines restrictions, les contraintes étaient tellement lourdes et les restrictions se sont encore alourdies courant 2017, l’idée même de poursuivre la prospection commerciale en Iran a été simplement stoppée tout net. //