M&A et compliance : un objectif de prévention ou de coopération ?

You are currently viewing M&A et compliance : un objectif de prévention ou de coopération ?

Les vérifications pré et post M&A faites, en matière de compliance, permettent d’identifier les risques, de les prévenir et de les gérer mais aussi d’identifier les manquements et infractions commis par l’entreprise. Dans ce dernier cas, l’opportunité de coopérer avec les autorités avant ou après l’ouverture d’une enquête peut se poser. Chronique juridique de Julie Guénand, avocate, défense pénale et éthique des affaires, chez Simon Associés.

L’opération de M&A peut avoir plusieurs objectifs, qu’il s’agisse de s’internationaliser, d’aller vers de nouvelles activités, produits ou services ou simplement d’améliorer son image de marque (développement durable, écologie, etc.). Dans tous les cas, elle comporte des risques financiers et réputationnels importants, pour la plupart déjà bien connus et maîtrisés.

Si depuis longtemps les risques comptables, sociaux, fiscaux, contractuels, etc. sont bien pris en compte et maîtrisés via des audits pré-acquisition, il n’en va malheureusement pas autant du risque de non-compliance et du risque pénal.

Depuis le revirement de jurisprudence de la Chambre criminelle de la Cour de cassation du 25 novembre 2020 (n° 18-86.955), la société absorbante est tenue pénalement responsable des actes commis par la société absorbée avant l’opération. L’accroissement de la responsabilité pénale après une opération de M&A, au-delà de la fraude déjà sanctionnée, élargit les risques liés à ce type de transaction.

Au-delà de l’engagement de la responsabilité pénale de l’entreprise, la réalisation d’une infraction par un salarié ou un dirigeant peut fortement entraver l’activité, voire la réduire à néant. Ce risque est indubitablement apparu avec l’affaire FTX qui, bien que n’étant pas une opération de M&A mais uniquement une levée de fonds faite par des investisseurs, aurait nécessité davantage de contrôles. Dans cette affaire, le responsable du tour de table n’a pas fait les vérifications nécessaires sur le risque de non-compliance et le risque pénal, et a manqué les infractions imputées à Sam BANKMAN FRIED. De simples due diligences auraient permis de découvrir ces faits et auraient éviter les pertes colossales de certains investisseurs, clients, etc.

Le risque de non-compliance et le risque pénal

Depuis quelques années maintenant, en réponse aux ingérences étrangères et notamment américaines, le législateur français a décidé de créer des obligations pour les entreprises, sans conditions (RGPD), en fonction de l’activité (LCB/FT) ou en fonction de seuils (Sapin II, Devoir de vigilance). Ces obligations sont incluses par les entreprises dans leur dispositif de compliance.

De manière générale, l’absence de système de compliance, ou la compliance de façade, est sanctionnée par des autorités de contrôle (AFA, CNIL, DGCCRF, AMF, etc.) et peut entraîner des répercussions dans le cadre d’un procès pénal.

En effet, lorsque l’entreprise est victime d’une infraction et qu’un dispositif de compliance effectif et efficace aurait permis d’éviter l’infraction ou d’en limiter l’impact par une détection rapide, l’absence de dispositif de compliance peut lui être imputée comme une faute (Affaire Kerviel). A l’inverse, lorsque l’entreprise est accusée d’une infraction, l’absence de dispositif de compliance ou son ineffectivité ne joue pas à son avantage et peut entrainer sa condamnation, voire des sanctions plus lourdes.

Les vérifications appropriées

Pour appréhender le risque de non-compliance et le risque pénal, il est nécessaire de réaliser des due diligences pré-acquisition, notamment en vérifiant l’honorabilité de l’entreprise, des associés et dirigeants mais également en faisant une revue du programme de compliance. Cela permet déjà d’identifier les risques propres à l’activité et à l’entreprise mais également de négocier le prix d’acquisition et les garanties.

En post acquisition, les due diligences, bien plus complètes et approfondies, permettent de détecter d’éventuels manquements ou infractions. Des enquêtes internes peuvent également être mises en œuvre lorsque des soupçons de manquements graves ou d’infractions le nécessitent.

La prévention des risques

Une fois les vérifications post-acquisition réalisées, il est nécessaire d’harmoniser les deux programmes de compliance ou d’intégrer la nouvelle société dans le programme de la société mère. L’harmonisation ou l’intégration contribuera à assurer le premier objectif des vérifications, à savoir la prévention.

Lorsque l’audit ou l’enquête interne post-acquisition identifie un manquement ou une infraction, l’entreprise doit mettre en place un plan d’action. Ce plan d’action comprend généralement la mise à jour de la cartographie des risques (identification et évaluation des risques) et du code de conduite, la mise à jour ou la création de procédures adaptées, la sensibilisation du personnel et la formation des personnels clé, mais également d’éventuelles sanctions contre les auteurs des manquements. Un plan de contrôle devra par la suite être mis en place pour prévenir tout nouvel incident ou manquement.

L’objectif de cette détection est avant tout de permettre à l’entreprise de gérer le risque et de limiter sa survenance en adaptant son dispositif, qu’il s’agisse d’obligations liées à la loi Sapin II (corruption, lanceur d’alerte), au devoir de vigilance, au RGPD, voire aux réglementations en matière d’hygiène et de sécurité ou de harcèlement.

La réflexion quant à la coopération

Les autorités judiciaires et certaines autorités de régulation sont aujourd’hui très attentives au risque de non-compliance et à sa gestion par les entreprises. Ainsi, l’absence de contrôle peut être reproché à une victime qui aurait concouru au développement de la fraude comme à un auteur qui n’aurait pas mis en place de contrôles ou seulement une compliance de façade.

Les autorités judiciaires françaises, notamment le parquet financier dans ses lignes directrices relatives à la CJIP de 2023, et les autorités américaines incitent, depuis quelques temps, les entreprises à coopérer avec elles lorsque celles-ci ont commis une infraction. Elles indiquent qu’une autodésignation avant toute ouverture d’enquête ou qu’une coopération en parallèle d’une enquête est perçue de manière favorable, ce que certains appellent la méthode « de la carotte et du bâton ».

Cette incitation n’est pas gratuite ! Les lignes directrices du PNF indiquent que la coopération est prise en compte comme facteur minorant la sanction, dans le cadre des Conventions judiciaires d’intérêt public.

En effet, lorsque l’entreprise a mis en œuvre une enquête interne et qu’elle découvre des faits pour lesquels elle peut engager sa responsabilité pénale, elle a la possibilité de garder ces faits pour elle et de seulement y remédier en interne mais elle peut également s’auto-dénoncer aux autorités judiciaires ou du moins coopérer avec ces dernières lorsqu’une enquête est ouverte.

Pour l’heure, il ne semble pas que les entreprises aient fait le choix de l’autodésignation mais lorsque des enquêtes judiciaires sont ouvertes, nombreuses sont celles qui préfèrent collaborer avec les autorités pour limiter leur sanction et l’atteinte à leur réputation.

La multiplication des incitations ne doit pas laisser à penser aux entreprises que les amendes seront considérablement diminuées. C’est le cas certes comparé à des peines prononcées par le Tribunal correctionnel mais il ne faut pas oublier que la justice négociée n’est pas de droit en France et que les personnes morales et les personnes physiques ne peuvent pas négocier d’une seule voix mais bien de manière séparée.

La coopération avec les autorités est un sujet qu’il convient d’aborder au cas par cas, après le résultat d’une enquête interne ou en parallèle d’une enquête policière.

Partager cet article

A lire aussi:

  1. Les régulateurs renforcent leur coopération pour encadrer la publicité des crypto-actifs  
  2. “Notre objectif est d’accentuer notre activité à l’exportation”