La compliance s’est développée, au niveau international, à la suite de scandales économiques et financiers. Elle a été initialement pensée à l’attention de certains secteurs d’activité : les banques, les marchés financiers, et la concurrence. Ces activités présentent la caractéristique commune d’être régulées : les acteurs sont assujettis à des normes sectorielles et à la supervision d’une autorité indépendante dotée d’un pouvoir d’enquête et de sanction.
Cependant, la mondialisation de la finance a élargi le périmètre de la compliance à l’ensemble des entreprises cotées sur les marchés. Pour tenir compte des nombreuses exigences législatives et réglementaires, les entreprises doivent maintenant s’engager pour renforcer leur organisation au travers la mise en place de programmes de conformité.
Avec l’adoption d’une démarche de compliance, chaque entreprise assume volontairement (ou obligatoirement, selon le cas) la responsabilité d’adopter un système de prévention des risques et d’établir des procédures spécifiant de manière très concrète les comportements que les dirigeants, les cadres, les salariés et les collaborateurs doivent respecter au sein de l’organisation et dans les relations avec les parties prenantes.
La responsabilité administrative des personnes morales
Dans le domaine de la compliance, le législateur italien a été un véritable précurseur. Il a été l’un des premiers à se doter d’un dispositif de conformité visé par le décret législatif n°231 du 8 juin 2001, portant sur la responsabilité administrative des personnes morales ; décret auquel le législateur français s’est largement inspiré pour établir le référentiel anticorruption visé par la loi Sapin II.
Jusqu’à l’adoption de ce décret, le droit italien suivait la maxime « societas delinquere non potest ». Les personnes morales n’étaient pas soumises à des responsabilités pénales-administratives et seules les personnes physiques (directeurs, cadres, etc.) pouvaient être poursuivies pour avoir commis des délits dans l’intérêt de l’entreprise.
Le décret législatif 231/2001 marque donc une étape importante dans l’évolution et l’harmonisation de la législation italienne à une série de conventions internationales et communautaires ratifiées par l’Italie.
Ce décret a ainsi institué la responsabilité administrative des personnes morales (une responsabilité qui, de fait, est comparable à la responsabilité pénale) qui peut être engagée à la suite d’un crime commis par une personne physique partie à l’organisation.
L’établissement de la responsabilité administrative naît de la considération que les personnes morales (telles sont définies – à l’exception de l’Etat et d’autres entités publiques exerçant des pouvoirs publics – les entités dotées de personnalité juridique, ainsi que les sociétés et les associations dépourvues de personnalité juridique) sont considérées « comme un centre autonome d’intérêt et de relations juridiques ».
Les infractions commises au sein de l’entreprise, loin d’être le résultat de l’initiative privée de l’individu, peuvent s’inscrire dans le cadre d’une politique d’entreprise généralisée et suivre les décisions adoptées par l’équipe de direction.
Cette forme de responsabilité sui generis qualifiée d’administrative n’englobe pas tous types de crimes, mais seulement certains crimes et délits strictement définis par le décret législatif 231/2001, et ses modifications ultérieures, et par les lois qui rappellent les règles visées par ce décret.
La condition nécessaire pour que, outre la responsabilité pénale des personnes physiques, la responsabilité administrative de la personne morale puisse être engagée, est que l’infraction doit être commise principalement dans l’intérêt ou à l’avantage de l’entité. Il en résulte que si la personne physique ou un tiers ont agi dans leur propre intérêt, l’entité n’est pas responsable en se trouvant dans une situation d’extranéité manifeste à l’égard du crime.
Le décret législatif 231/2001 prévoit d’autres conditions nécessaires – à caractère plus subjectif – et dispose que la société est responsable si l’infractions a été commise :
- par des personnes qui exercent des fonctions de représentation, d’administration, de direction et de contrôle au sein de la société ou d’une unité organisationnelle disposant d’une autonomie financière et fonctionnelle, ainsi que par des personnes exerçant, de fait, la gestion et le contrôle de l’entreprise.
- par des personnes placées sous la direction ou la supervision d’un dirigeant de la société (salariés, collaborateurs, etc…).
Les personnes visées par le décret en question sont donc celles qui exercent des fonctions de gestion et de contrôle au sein de l’entreprise ou de ses articulations, mais aussi celles soumises à la gestion ou à la supervision des dirigeants et cadres de l’entreprise. Chaque figure professionnelle est potentiellement à risque de commettre une infraction au sein de l’organisation ou dans les relations avec les parties prenantes.
Pour cette raison, l’entreprise doit mettre en place des procédures appropriées, afin d’assurer un contrôle adéquat et une supervision efficace des comportements de chaque individu dans l’exercice de ses fonctions.
Les conditions d’exonération de la responsabilité administrative
Pour éviter l’application de sanctions pénales-administratives qui dans ce cas peuvent être très lourdes, le décret législatif 231/2001 dispose que les entreprises peuvent être exonérées de leur responsabilité administrative si elles prouvent que :
- L’organe de gestion a adopté et mis en œuvre, avant la commission du délit, un modèle d’organisation, de gestion et de contrôle, efficace et efficient, de nature à prévenir des infractions du même type que celles qui se sont produites.
- La tâche de surveiller le fonctionnement et le respect du modèle, et de veiller à son actualisation a été confiée à un organe de la société doté de pouvoirs autonomes d’initiative et de contrôle (dit « Organisme de vigilance – OdV »).
- Les personnes qui ont commis l’infraction ont agi frauduleusement en contournant le modèle d’organisation, de gestion et de contrôle.
- L’Organisme de vigilance n’a pas manqué à son devoir de surveillance ou exercé une surveillance insuffisante.
Cette activité de contrôle préventif vise à éviter que des crimes ou comportements illicites puissent perturber la marche normale de la vie de la société et compromettre sa compétitivité et sa réputation. Ce qui permet aux entreprises de tenir compte de la complexité de l’organisation et de prendre les mesures nécessaires pour améliorer le système de contrôle interne de manière à sécuriser les engagements de l’entreprise notamment vis-à-vis des tiers.
Bien entendu, l’adoption et la mise en place d’un modelé d’organisation, de gestion et de contrôle est une condition nécessaire, mais non suffisante. Pour que l’entreprise puisse être exonérée de toute responsabilité, elle doit prouver que le modèle est effectivement intégré et respecté au sein de l’organisation et partagé par les dirigeants et par l’ensemble des salariés et collaborateurs de l’entreprise.
gp@giovannellapolidoro.com