En novembre dernier, nous avions alerté les entreprises non américaines sur quelques questions pendantes pouvant découler des nouvelles politiques anticorruption du « Department of Justice » américain (ci-après le « DoJ »)^[1]. Comme anticipé, le DoJ a récemment apporté de substantielles modifications à ses lignes directrices :

• le 17 janvier 2023, à sa « Corporate Enforcement Policy » (CEP)^[2], déjà annoncée précédemment par Lisa O. Monaco dans un mémorandum du 15 septembre 2022^[3], laquelle met l’accent sur la coopération et la divulgation volontaire, à tel point qu’elle est renommée « Corporate Enforcement and Voluntary Self-Disclosure Policy », (ci-après « nouvelle CEP ») (1.) ;
• le 3 mars 2023, à son « Evaluation for Corporate Compliance Programs » (ECCP)^[4], portant pour l’essentiel sur les récompenses et sanctions que les entreprises sont incitées à mettre en place en interne à l’égard de leurs salariés afin de développer une culture de la conformité, mais aussi sur la question de l’utilisation des applications de messagerie et des appareils de communication personnels des salariés (2.).

Or, il s’avère que certains aspects de ces lignes directrices peuvent mettre les entreprises françaises dans une position délicate au regard du droit français et européen. Il ne s’agit pas ici de couvrir tous les aspects, mais de mettre l’accent sur certains points qui nous paraissent emblématiques.

1. La révision de la « Corporate Enforcement Policy » pour inciter à la divulgation volontaire.

La nouvelle CEP incite fortement les entreprises à s’auto-dénoncer.

En premier lieu, une entreprise qui présente des facteurs aggravants, tels que l’implication de la direction générale, d’importants profits mal acquis, un comportement répréhensible flagrant et généralisé et/ou des antécédents, sera éligible à une « declination », c’est-à-dire un abandon des poursuites, notamment si elle s’est auto-dénoncée immédiatement et a coopéré de manière « extraordinaire »^[5].

En second lieu, et de manière générale, les entreprises exposées à des poursuites (pas de « declination ») sont aussi incitées à s’auto-dénoncer. Ainsi :

• si l’entreprise se dénonce volontairement : réduction automatique de 50 % (pouvant aller jusqu’à 75 %) de l’amende infligée ;
• si l’entreprise ne s’auto-dénonce pas mais coopère pleinement et prend des mesures coercitives : réduction de l’amende infligée pouvant aller jusqu’à 50 %, sauf si l’entreprise est en état de récidive.

Le Procureur Polite a également précisé que les remises les plus élevées seront « réservées aux entreprises qui se distinguent vraiment et font preuve d’une coopération et d’une remédiation extraordinaires »^[6]. Cette notion de « coopération extraordinaire » implique, selon les explications du Procureur Polite, d’« aller au-delà des critères de pleine coopération définis dans nos politiques - pas seulement une coopération ordinaire, ni même une coopération de qualité, mais une coopération vraiment extraordinaire »^[7]. Certains facteurs pertinents comme la rapidité, la cohérence, le degré et l’impact pourront être pris en compte pour évaluer la qualité de la coopération.

L’accent sur l’auto-dénonciation doit être apprécié par les entreprises françaises au regard du fait qu’elles ne sont pas tenues de s’auto-incriminer, conformément :

• au droit européen, en particulier au droit à un procès équitable, garanti par l’article 6 de la Convention Européenne des Droits de l’Homme (CEDH), lequel implique d’avoir le droit de ne pas s’auto-incriminer^[8], c’est-à-dire de ne pas être forcé de reconnaître sa culpabilité et le droit de ne pas être contraint à remettre des éléments de preuve matériels ;
• au droit français, et en particulier à la présomption d’innocence, garantie par l’article 9 de la Déclaration de 1789 selon lequel « nul n’est tenu de s’accuser ».

Il conviendra également de bien mesurer la portée de la « coopération et remédiation extraordinaire » à l’égard des nouvelles lignes directrices du PNF mais aussi des informations qui pourraient être communiquées pouvant avoir un intérêt pour d’autres autorités de poursuite. 

2. La révision de l’« Evaluation for Corporate Compliance Programs ». 
   1. De nouvelles orientations sur l’usage des applications de messagerie et des appareils personnels en entreprise.

L’usage de plus en plus répandu, en entreprise, d’applications de messagerie, permettant parfois l’envoi de messages éphémères et pouvant être installées sur les téléphones ou ordinateurs personnels des salariés, peut rendre difficile la détection des comportements illicites et entraver ensuite le bon déroulement de l’enquête, qu’elle soit interne ou diligentée par les autorités.

Aussi, le DoJ exige que, pour être efficace, le programme de conformité de l’entreprise comporte des politiques internes de collecte et de conservation des communications d’entreprise.

Seront ainsi pris en compte :

1. la manière dont les politiques relatives aux appareils personnels et aux applications de messagerie sont « adaptées au profil de risque de l’entreprise » ;
2. la manière dont les politiques garantissent que les données professionnelles peuvent être « préservées et accessibles » ;
3. la manière dont les politiques sont communiquées aux employés ;
4. la manière dont les entreprises contrôlent et font respecter le respect de ces politiques par les employés.

Le DoJ propose également que les procureurs tiennent compte des trois facteurs suivants lorsqu’ils procèdent à cette évaluation :

• Les canaux de communication : Quelles applications de messagerie les salariés utilisent-ils, comment utilisent-ils ces applications, y compris sur des appareils personnels, où utilisent-ils ces applications, et quelles limites l’entreprise impose-t-elle à l’utilisation des applications de messagerie et des appareils personnels ?
• Les politiques de l’entreprise : Quels sont les « codes de conduite, lois ou politiques en matière de protection de la vie privée, de sécurité et d’emploi qui régissent » l’accès aux communications professionnelles et qui ont une incidence sur l’utilisation, les contrôles et la surveillance de l’utilisation des applications de messagerie et des appareils personnels au sein de l’entreprise ?
• La gestion des risques : Comment l’entreprise applique-t-elle les conséquences du non-respect de ses politiques en matière d’utilisation de la messagerie et des appareils personnels et détermine-t-elle si ses politiques et contrôles sont adaptés à son profil de risque et efficaces pour préserver les communications professionnelles dont elle a besoin pour mener des enquêtes internes ou répondre aux demandes des autorités ?

L’éventuelle adaptation des entreprises françaises à ces indications ne serait cependant pas simple, eu égard notamment :

• au droit européen, en particulier (i) au droit à la vie privée des salariés, garanti par l’article 8 de la CEDH, et (ii) au Règlement Général sur la Protection des Données^[9] (RGPD), lequel permet de collecter uniquement certaines données des salariés et pour un temps limité ;
• au droit français, en particulier (i) au droit à la vie privée des salariés, en application de l’article 9 du Code civil français, et (ii) aux droits des personnes en ce qu’il est prohibé d’interdire purement et simplement ou de réglementer l’usage d’un téléphone portable personnel à un salarié^[10].

Lorsque l’employeur met à disposition de ses salariés des outils informatiques, les dossiers, courriels et historiques de recherche sont présumés avoir un caractère professionnel, de sorte qu’il peut en prendre connaissance sous réserve que cette « surveillance » soit justifiée par la nature des tâches à accomplir, (ii) proportionnée au but recherché et (iii) non attentatoire à la vie privée de son salarié.

En revanche, les e-mails ou dossiers identifiés comme « personnel », stockés sur l’ordinateur de travail ou le téléphone professionnel ou reçus sur la messagerie de travail sont de nature privée et ne peuvent à ce titre être consultés par l’employeur, même en présence du salarié^[11], étant observé que l’envoi de messages par un salarié via une messagerie instantanée personnelle a pu être jugé, en droit français, comme relevant du secret des correspondances, alors même que ces messages étaient destinés aux autres salariés de l’entreprise et qu’ils étaient envoyés depuis l’ordinateur professionnel de ce salarié^[12].

Pour une entreprise française, et au-delà européenne, la mise en œuvre des lignes directrices précitées et notamment la collecte des informations, même de nature professionnelles, issues des applications de messagerie, comme par exemple WhatsApp ou Signal, installées sur le téléphone portable personnel d’un salarié ne sera donc pas aisée. D’autant plus que des sanctions administratives, civiles et pénales peuvent être encourues par l’employeur en cas de méconnaissance des législations européenne et française.

1. 2. De nouvelles orientations sur les mesures internes de sanction et d’incitation.

Le 3 mars 2023, le DoJ a annoncé de nouvelles lignes directrices visant à encourager les entreprises à mettre en œuvre des politiques de rémunération pour inciter les salariés à adopter un comportement respectueux de la conformité, et les sanctionner en cas de comportement répréhensible^[13].

Tout d’abord, le DoJ a présenté un nouveau « Pilot Program »^[14] i) exigeant des entreprises, en cas de poursuites pénales, qu’elles prévoient des actions disciplinaires, notamment relatives à la rémunération, dans leurs procédures internes et ii) offrant des réductions d’amende aux entreprises qui cherchent à retirer les rémunérations aux collaborateurs coupables.

En outre, le DoJ a annoncé le même jour une révision de l’ECCP qui prévoit de nouvelles orientations sur les actions disciplinaires prévues dans les politiques internes des entreprises, et sur les récompenses faites aux salariés ayant un comportement éthique et respectueux des politiques de conformité.

Ainsi, les procureurs examineront si une entreprise a encouragé le respect des règles de conformité en concevant des systèmes de report ou de blocage de certaines rémunérations liées à un comportement contraire aux valeurs et politiques de l’entreprise. Ces dernières sont aussi invitées à insérer des clauses dans les contrats de travail permettant de retirer aux salariés une rémunération précédemment accordée si son bénéficiaire a commis un acte répréhensible pour l’entreprise.

De manière générale, pour examiner la force de la promotion d’une culture de conformité en interne, les procureurs pourront tenir compte des facteurs suivants :

• Le processus des ressources humaines, et en particulier sa transparence des procédures disciplinaires ;
• L’éventail des mesures disciplinaires disponibles pour appliquer le programme de conformité, et en particulier la possibilité de retirer certaines rémunérations ;
• Le système d’incitation financière ou de récompense et en particulier le fait de subordonner certaines rémunérations à une bonne conduite ;
• La cohérence de l’application des mesures d’incitations et de sanctions disciplinaires ; et
• L’efficacité du dispositif.

Même si sont licites, en droit français, les répercussions pécuniaires de sanctions non pécuniaires telle que, par exemple, la retenue sur salaire strictement proportionnelle à la durée de la mise à pied disciplinaire sanctionnant une faute du salarié, il en va tout autrement s’agissant de sanctions pécuniaires.

En effet, le droit français interdit expressément à l’employeur de sanctionner pécuniairement son salarié^[15], sous peine de sanctions pénales^[16], que ce soit en soumettant le versement de primes à l’absence de comportement répréhensible du salarié^[17]> ou en réduisant voire supprimant des primes à la suite d’un agissement fautif du salarié^[18].

Dès lors une entreprise française risque de se retrouver dans une position délicate, étant observé que l’employeur peut toutefois individualiser les rémunérations, de sorte que cela pourrait lui permettre, de manière indirecte, de récompenser certains salariés, même si la différence de traitement ne peut être fondée que sur des qualités professionnelles, ce qui suppose alors de considérer qu’un comportement éthique et respectueux des politiques de conformité de l’entreprise constitue une telle qualité.

---

Même si les révisions apportées par le DoJ à sa CEP et à l’ECPP sont substantielles, il faudra toutefois encore patienter pour observer quelle sera, en pratique, leur application et leur effectivité.

Ainsi si la DOJ reconnait l’existence des lois étrangères^[19], elle indique aussi clairement que «les procureurs du ministère devraient accorder un crédit aux sociétés qui trouvent des moyens de résoudre ces questions de droit étranger et de produire ces documents » et que, «à l’inverse, lorsqu’une entreprise cherche activement à tirer parti des lois sur la confidentialité des données et d’autres lois similaires pour soustraire un comportement inapproprié à la détection et à l’enquête des autorités américaines » elle s’expose à ses risques et périls^[20].

De manière générale, des zones d’incertitude demeurent donc pour les entreprises françaises qui doivent se conformer à des exigences pouvant être difficilement compatibles entre, d’une part, le cadre juridique national et européen et, d’autre part, des lignes directrices du DoJ, lesquelles tout en étant rédigées en ayant en tête le cadre juridique US, ont aussi vocation à s’appliquer à des entreprises étrangères pouvant être couvertes par le FCPA.