Directeurs juridiques, avocats et spécialistes des preuves électroniques ont été réunis, en présence de la rapporteure générale de l’Autorité de la concurrence, pour un tour de table des bonnes pratiques.
Audit interne : les clés de la prévention anti-trust
« Lorsqu’on arrive dans une entreprise pour une enquête inopinée, c’est parfois la panique, confesse sans détour Virginie Beaumeunier, rapporteure générale à l’Autorité de la concurrence. Il faut reconnaître que c’est stressant, puisque nous sommes accompagnés d’un OPJ, une arme à la ceinture. Il faut donc que les salariés sachent que ça peut arriver et qu’ils ne sont pas visés personnellement. » L’enjeu pour l’entreprise est de taille : auditer les pratiques et comportements de l’entreprise pour veiller au respect des règles de la concurrence.
Externaliser
L’avocat Jérôme Philippe recense près d’une vingtaine de façons différentes d’être alerté d’une mauvaise pratique : suspicion de fraude ou d’entente, déclaration d’un employé, système d’alerte, découverte fortuite de documents, cas avéré de fraude, audit post-acquisition, audit avant cession, audit après enquête ou durant un dawn raid. « Le rachat par un groupe anglo-saxon d’une société française, qui n’a pas encore le réflexe de l’audit interne est souvent l’occasion de la découverte de mauvaises pratiques », complète Virginie Beaumeunier. Pour Thomas Sely, qui pilote chez Kroll Ontrack le traitement des données pour de nombreuses entreprises dans le cadre d’audits internes ou d’enquêtes, « les sociétés françaises mènent souvent leurs revues de données électroniques de manière artisanale sans outil ou méthodologie spécifique, ni recours à des prestataires spécialisés. Le premier niveau est organisé en interne, avec un faible budget. » Cela change peu à peu, notamment avec la plus grande prise de conscience des risques concurrence et des limites qu’une gestion en interne peut présenter face à des données de plus en plus volumineuses et complexes à gérer.
En revanche, « lorsque l’activité de l’entreprise se joue dans un contexte international, la réflexion est intégrée au projet global de l’entreprise », pondère Laurent Gravier, directeur juridique adjoint de Keolis. La mise en place d’audits internes se fait alors souvent par l’intermédiaire de consultants externes, qui interviennent notamment pour le traitement des données. Les juristes sont alors de véritables partenaires dans l’organisation de la revue. Pour l’associé du cabinet Freshfields Jérôme Philippe, « il vaut mieux outsourcer parce que les avocats sont rodés à l’exercice et à la coordination avec le consultant IT, et surtout bénéficient du “legal privilege”. En outre, il est important de déterminer à l’avance comment on entend utiliser juridiquement l’audit en fonction de ses résultats, car cela influe sur la manière de le mener » Un travail que l’Autorité de la concurrence, elle, n’externalise pas lorsqu’elle enquête.
L’ampleur de la tâche
Thomas Sely confirme l’ampleur de la tâche : « Les données électroniques au sein des entreprises sont de plus en plus variées et volumineuses avec souvent plusieurs centaines de giga octets de documents rentrant dans le périmètre de l’audit ou résultant d’un dawn raid. D’où l’importance de comprendre réellement l’activité des opérationnels sur le terrain pour pouvoir identifier les risques au sein d’emails, documents, SMS, etc. » En prenant une dimension internationale, cette revue des données informatiques s’amplifie encore. « Il faut être attentif au pays d’origine des données, à l’endroit où elles seront traitées, stockées et revues puisque dans certains pays le simple fait que le document ait été affiché sur un ordinateur dans un pays fait qu’il peut parfois devenir saisissable dans ce pays par les autorités ou par des plaignants », précise Jérôme Philippe. Un besoin de coordination entre pays, entendu par certains cabinets d’avocats internationaux comme Freshfields qui a créé un groupe spécial d’avocats rodés aux procédures de chaque autorité nationale et à la coordination d’une enquête.
« La mise en place d’un programme ou d’un site intranet compliance, le recours à des cabinets d’avocats, l’achat de serious game ou encore l’organisation de mock dawn raids a un prix », convient Nathalie Debeir, à la tête de la direction juridique d’Adisseo. Ce coût est souvent intégré dans le budget de la direction juridique. « De plus en plus d’entreprises forment en amont leurs équipes juridiques et IT aux problématiques de saisies informatiques et de dawn raid, ajoute Thomas Sely, un réel investissement pour l’avenir. »
Le soutien du top management
Lorsque l’entreprise décide de mettre en place un programme de compliance ou de lancer un audit interne, le soutien du top management est indispensable. « Les salariés doivent savoir que les managers sont impliqués pour pouvoir s’impliquer eux-mêmes. S’ils sentent l’encouragement de leur hiérarchie, ils seront mieux à même d’adhérer au programme de compliance », ajoute Gildas Kettanjian qui assure la direction juridique et compliance chez Messer France.
En effet, le risque concurrence touche principalement les équipes commerciales. Virginie Beaumeunier insiste pour que les mesures envisagées soient en lien avec le mode de fonctionnement de l’entreprise. « Pour être claire, si l’entreprise rémunère les commerciaux sur la marge, le programme de compliance sera difficile à mettre en œuvre. Cela constitue un “pousse-au-crime” à l’entente, surtout sur des marchés locaux. » En préférant donc les objectifs sur le chiffre d’affaires, les commerciaux essayeront de conquérir des parts de marché dans un contexte de concurrence sain.
Le risque court toujours
Ensuite, l’important est de mettre fin aux mauvaises pratiques en sauvegardant au mieux l’intérêt de l’entreprise. L’Autorité de la concurrence encourage d’ailleurs les actions de détection : dans son document-cadre relatif aux programmes de conformité, il est prévu que l’entreprise qui découvre une autre infraction qu’elle stoppe peut bénéficier d’aménagements allant jusqu’à l’immunité totale. Mais parfois, le risque perdure malgré les mesures engagées pour se conformer à la réglementation. L’accompagnement de l’entreprise devient alors une véritable gestion quotidienne du risque.
Le second bon réflexe est d’empêcher que ces mauvaises pratiques ne se renouvellent, grâce notamment à des actions de formation. Parfois, l’incrédulité des salariés est source de blocage, certains se sentant au-delà de tout soupçon. Il est alors nécessaire de procéder aux recherches d’éventuels indices incriminants : « C’est d’ailleurs la meilleure formation puisque les salariés concernés touchent alors du doigt la réalité », confie Jérôme Philippe. Et, au-delà de la formation, le poids de la sanction peut être salutaire. « Un des bons moyens de prévention est aussi de faire porter sur la filiale par exemple, et non plus sur la maison mère, les frais d’avocats. Il y a ainsi une double peine aux mauvais comportements : celle de l’Autorité et le règlement des frais d’honoraires », poursuit Laurent Gravier.
Le pari gagnant de la clémence
Lorsque les premières conclusions d’un audit interne révèlent l’existence d’un éventuel cartel, « mieux vaut venir en clémence, conseille Virginie Beaumeunier. Mais c’est un choix individuel de l’entreprise, encore peu retenu par les entreprises françaises. » Jérôme Philippe développe ce point crucial : « C’est intéressant si vous êtes le premier, mais il y a quand même un coût sur le marché. Les relations avec les concurrents deviennent extrêmement difficiles, et le chemin jusqu’à l’immunité finale est parfois long et difficile. Mais quand on est le premier, l’intérêt d’y recourir l’emporte en général. Dans tous les cas, il est important d’en discuter en amont et que le management s’approprie pleinement la décision. » D’autant plus que pour renforcer la procédure de clémence, l’Autorité a créé un mécanisme qui permet aux entreprises poursuivies, si elles n’ont pas obtenu d’immunité, de bénéficier d’une réduction plus large encore si elles aident les enquêteurs au-delà du champ initial des poursuites.
En cas de non-contestation des griefs, l’entreprise a droit à une réduction de 10 % du montant de l’amende. L’entreprise peut même prétendre jusqu’à 20 % de réduction si elle établit un programme de compliance calqué sur le document cadre formulé par l’Autorité. Volontariste, parfois même plus que la Commission européenne, elle peut agir aux côtés des entreprises pour les aiguiller dans cette démarche et agir en faveur des programmes de conformité, « qui ne doivent pas être une course à la réduction de sanctions mais un acte de gouvernance », alerte la rapporteur générale.
Un dialogue peut s’instaurer dès la mise en place de l’enquête puisqu’un communiqué de l’Autorité de la concurrence indique à présent au marché qu’il y a eu des visites dans un secteur déterminé. Virginie Beaumeunier resitue le contexte : « C’est pour l’égalité entre des entreprises que nous avons lancé cette communication. L’Autorité a intérêt à faire savoir très rapidement qu’elle enquête, au moment même du dawn raid ou et au pire le lendemain. »
Dans tous les cas, « pour les entreprises qui agissent localement, c’est relativement simple, puisqu’en Europe, il y a le réseau européen des autorités de concurrence, commente Virginie Beaumeunier. Quant aux entreprises qui évoluent sur un marché mondial, le défi sera d’anticiper les particularités procédurales des poursuites qui sont souvent très différentes, notamment dans des pays comme l’Inde ou la Chine », conclut-elle. Une gestion qui intervient alors au cas par cas, facilitée indéniablement par l’intervention d’avocats et de spécialistes internationaux en gestion des preuves électroniques, rodés aux spécificités locales. Une gestion du risque à court terme nécessaire pour une réduction des coûts à long terme.
RETOURS D’EXPERIENCE
Chez les participants à la table ronde, les pratiques sont variées. Chez Keolis, la mise en place d’un programme de compliance est récente. Créé il y a deux ans, il a été déployé en 2014, et depuis, « nous le faisons vivre, notamment avec des critères de rémunération variable pour les managers qui tient compte du respect du programme de conformité », confie Laurent Gravier. Chez Messer France, un programme de compliance a été lancé en 2010. Il couvre plusieurs champs (sécurité des données, corruption, concurrence) et est pris en compte au quotidien, non seulement auprès du top management mais aussi des salariés, avec un programme d’éducation pour répandre la culture du respect des règles. « Cela passe par de la prévention puis du contrôle et de l’audit, de la communication et de la pédagogie, notamment en considérant le durcissement de la jurisprudence communautaire », commente Gildas Kettanjian.
Le cas d’Adisseo, anciennement Rhône-Poulenc Aventis Animal Nutrition, est plus précis encore puisque l’entreprise a fait l’objet d’une procédure devant le Conseil de la concurrence suite au cartel des vitamines. « C’est dans ce contexte que nous avons mis en place dès 2000 un programme de compliance. La difficulté pour nous aujourd’hui est de le faire vivre et de le renouveler », explique Nathalie Debeir. Un compliance officer a été désigné dans la plupart des pays où le groupe est présent, puis un compliance committee est chargé de revoir annuellement la vie des programmes. Un site web dédié a été créé avec un cabinet d’avocats, contenant guides et documents utiles. L’exemple type est le suivant : le salarié fait partie d’une association, il est amené à rencontrer ses concurrents. Comment doit-il se comporter à cette occasion ? Le programme est donc très didactique. Il comprend des formations pour chaque nouvel entrant et des formations continues diligentées par la direction juridique ou un cabinet. « Il faut constamment se renouveler et attirer l’attention. Nous avons organisé un mock dawn raid et nous mettons en place cette année un serious game pour impliquer les gens avec un système de tracking des exercices mais pas des résultats », confie la secrétaire générale.
L’exercice du mock dawn raid nécessite d’identifier les personnes les plus concernées, celles qui sont le plus souvent en contact avec les principes de droit de la concurrence et la préparation d’une liste de questions, dont certaines peuvent être auto-incriminantes, afin de rendre l’exercice plus intéressant. Le mock dawn raid est généralement ressenti positivement, les salariés interrogés percevant rapidement l’intérêt qu’ils ont à y gagner : être attentif à la rédaction des e-mails et aux comportements ou aux paroles échangées sur le lieu de travail.
Légende de la photo (en haut de gauche à droite): Nathalie Debeir, secrétaire générale du groupe Adisseo, Virginie Beaumeunier, rapporteure générale à l’Autorité de la concurrence et Jérôme Philippe, associé chez Feshfields. (En bas) Laurent Gravier, directeur juridique de Keolis, Gildas Kettanjian, directeur juridique et compliance chez Messer France et Thomas Sely, head of electronic evidence chez Kroll Ontrack
Externaliser
L’avocat Jérôme Philippe recense près d’une vingtaine de façons différentes d’être alerté d’une mauvaise pratique : suspicion de fraude ou d’entente, déclaration d’un employé, système d’alerte, découverte fortuite de documents, cas avéré de fraude, audit post-acquisition, audit avant cession, audit après enquête ou durant un dawn raid. « Le rachat par un groupe anglo-saxon d’une société française, qui n’a pas encore le réflexe de l’audit interne est souvent l’occasion de la découverte de mauvaises pratiques », complète Virginie Beaumeunier. Pour Thomas Sely, qui pilote chez Kroll Ontrack le traitement des données pour de nombreuses entreprises dans le cadre d’audits internes ou d’enquêtes, « les sociétés françaises mènent souvent leurs revues de données électroniques de manière artisanale sans outil ou méthodologie spécifique, ni recours à des prestataires spécialisés. Le premier niveau est organisé en interne, avec un faible budget. » Cela change peu à peu, notamment avec la plus grande prise de conscience des risques concurrence et des limites qu’une gestion en interne peut présenter face à des données de plus en plus volumineuses et complexes à gérer.
En revanche, « lorsque l’activité de l’entreprise se joue dans un contexte international, la réflexion est intégrée au projet global de l’entreprise », pondère Laurent Gravier, directeur juridique adjoint de Keolis. La mise en place d’audits internes se fait alors souvent par l’intermédiaire de consultants externes, qui interviennent notamment pour le traitement des données. Les juristes sont alors de véritables partenaires dans l’organisation de la revue. Pour l’associé du cabinet Freshfields Jérôme Philippe, « il vaut mieux outsourcer parce que les avocats sont rodés à l’exercice et à la coordination avec le consultant IT, et surtout bénéficient du “legal privilege”. En outre, il est important de déterminer à l’avance comment on entend utiliser juridiquement l’audit en fonction de ses résultats, car cela influe sur la manière de le mener » Un travail que l’Autorité de la concurrence, elle, n’externalise pas lorsqu’elle enquête.
L’ampleur de la tâche
Thomas Sely confirme l’ampleur de la tâche : « Les données électroniques au sein des entreprises sont de plus en plus variées et volumineuses avec souvent plusieurs centaines de giga octets de documents rentrant dans le périmètre de l’audit ou résultant d’un dawn raid. D’où l’importance de comprendre réellement l’activité des opérationnels sur le terrain pour pouvoir identifier les risques au sein d’emails, documents, SMS, etc. » En prenant une dimension internationale, cette revue des données informatiques s’amplifie encore. « Il faut être attentif au pays d’origine des données, à l’endroit où elles seront traitées, stockées et revues puisque dans certains pays le simple fait que le document ait été affiché sur un ordinateur dans un pays fait qu’il peut parfois devenir saisissable dans ce pays par les autorités ou par des plaignants », précise Jérôme Philippe. Un besoin de coordination entre pays, entendu par certains cabinets d’avocats internationaux comme Freshfields qui a créé un groupe spécial d’avocats rodés aux procédures de chaque autorité nationale et à la coordination d’une enquête.
« La mise en place d’un programme ou d’un site intranet compliance, le recours à des cabinets d’avocats, l’achat de serious game ou encore l’organisation de mock dawn raids a un prix », convient Nathalie Debeir, à la tête de la direction juridique d’Adisseo. Ce coût est souvent intégré dans le budget de la direction juridique. « De plus en plus d’entreprises forment en amont leurs équipes juridiques et IT aux problématiques de saisies informatiques et de dawn raid, ajoute Thomas Sely, un réel investissement pour l’avenir. »
Le soutien du top management
Lorsque l’entreprise décide de mettre en place un programme de compliance ou de lancer un audit interne, le soutien du top management est indispensable. « Les salariés doivent savoir que les managers sont impliqués pour pouvoir s’impliquer eux-mêmes. S’ils sentent l’encouragement de leur hiérarchie, ils seront mieux à même d’adhérer au programme de compliance », ajoute Gildas Kettanjian qui assure la direction juridique et compliance chez Messer France.
En effet, le risque concurrence touche principalement les équipes commerciales. Virginie Beaumeunier insiste pour que les mesures envisagées soient en lien avec le mode de fonctionnement de l’entreprise. « Pour être claire, si l’entreprise rémunère les commerciaux sur la marge, le programme de compliance sera difficile à mettre en œuvre. Cela constitue un “pousse-au-crime” à l’entente, surtout sur des marchés locaux. » En préférant donc les objectifs sur le chiffre d’affaires, les commerciaux essayeront de conquérir des parts de marché dans un contexte de concurrence sain.
Le risque court toujours
Ensuite, l’important est de mettre fin aux mauvaises pratiques en sauvegardant au mieux l’intérêt de l’entreprise. L’Autorité de la concurrence encourage d’ailleurs les actions de détection : dans son document-cadre relatif aux programmes de conformité, il est prévu que l’entreprise qui découvre une autre infraction qu’elle stoppe peut bénéficier d’aménagements allant jusqu’à l’immunité totale. Mais parfois, le risque perdure malgré les mesures engagées pour se conformer à la réglementation. L’accompagnement de l’entreprise devient alors une véritable gestion quotidienne du risque.
Le second bon réflexe est d’empêcher que ces mauvaises pratiques ne se renouvellent, grâce notamment à des actions de formation. Parfois, l’incrédulité des salariés est source de blocage, certains se sentant au-delà de tout soupçon. Il est alors nécessaire de procéder aux recherches d’éventuels indices incriminants : « C’est d’ailleurs la meilleure formation puisque les salariés concernés touchent alors du doigt la réalité », confie Jérôme Philippe. Et, au-delà de la formation, le poids de la sanction peut être salutaire. « Un des bons moyens de prévention est aussi de faire porter sur la filiale par exemple, et non plus sur la maison mère, les frais d’avocats. Il y a ainsi une double peine aux mauvais comportements : celle de l’Autorité et le règlement des frais d’honoraires », poursuit Laurent Gravier.
Le pari gagnant de la clémence
Lorsque les premières conclusions d’un audit interne révèlent l’existence d’un éventuel cartel, « mieux vaut venir en clémence, conseille Virginie Beaumeunier. Mais c’est un choix individuel de l’entreprise, encore peu retenu par les entreprises françaises. » Jérôme Philippe développe ce point crucial : « C’est intéressant si vous êtes le premier, mais il y a quand même un coût sur le marché. Les relations avec les concurrents deviennent extrêmement difficiles, et le chemin jusqu’à l’immunité finale est parfois long et difficile. Mais quand on est le premier, l’intérêt d’y recourir l’emporte en général. Dans tous les cas, il est important d’en discuter en amont et que le management s’approprie pleinement la décision. » D’autant plus que pour renforcer la procédure de clémence, l’Autorité a créé un mécanisme qui permet aux entreprises poursuivies, si elles n’ont pas obtenu d’immunité, de bénéficier d’une réduction plus large encore si elles aident les enquêteurs au-delà du champ initial des poursuites.
En cas de non-contestation des griefs, l’entreprise a droit à une réduction de 10 % du montant de l’amende. L’entreprise peut même prétendre jusqu’à 20 % de réduction si elle établit un programme de compliance calqué sur le document cadre formulé par l’Autorité. Volontariste, parfois même plus que la Commission européenne, elle peut agir aux côtés des entreprises pour les aiguiller dans cette démarche et agir en faveur des programmes de conformité, « qui ne doivent pas être une course à la réduction de sanctions mais un acte de gouvernance », alerte la rapporteur générale.
Un dialogue peut s’instaurer dès la mise en place de l’enquête puisqu’un communiqué de l’Autorité de la concurrence indique à présent au marché qu’il y a eu des visites dans un secteur déterminé. Virginie Beaumeunier resitue le contexte : « C’est pour l’égalité entre des entreprises que nous avons lancé cette communication. L’Autorité a intérêt à faire savoir très rapidement qu’elle enquête, au moment même du dawn raid ou et au pire le lendemain. »
Dans tous les cas, « pour les entreprises qui agissent localement, c’est relativement simple, puisqu’en Europe, il y a le réseau européen des autorités de concurrence, commente Virginie Beaumeunier. Quant aux entreprises qui évoluent sur un marché mondial, le défi sera d’anticiper les particularités procédurales des poursuites qui sont souvent très différentes, notamment dans des pays comme l’Inde ou la Chine », conclut-elle. Une gestion qui intervient alors au cas par cas, facilitée indéniablement par l’intervention d’avocats et de spécialistes internationaux en gestion des preuves électroniques, rodés aux spécificités locales. Une gestion du risque à court terme nécessaire pour une réduction des coûts à long terme.
RETOURS D’EXPERIENCE
Chez les participants à la table ronde, les pratiques sont variées. Chez Keolis, la mise en place d’un programme de compliance est récente. Créé il y a deux ans, il a été déployé en 2014, et depuis, « nous le faisons vivre, notamment avec des critères de rémunération variable pour les managers qui tient compte du respect du programme de conformité », confie Laurent Gravier. Chez Messer France, un programme de compliance a été lancé en 2010. Il couvre plusieurs champs (sécurité des données, corruption, concurrence) et est pris en compte au quotidien, non seulement auprès du top management mais aussi des salariés, avec un programme d’éducation pour répandre la culture du respect des règles. « Cela passe par de la prévention puis du contrôle et de l’audit, de la communication et de la pédagogie, notamment en considérant le durcissement de la jurisprudence communautaire », commente Gildas Kettanjian.
Le cas d’Adisseo, anciennement Rhône-Poulenc Aventis Animal Nutrition, est plus précis encore puisque l’entreprise a fait l’objet d’une procédure devant le Conseil de la concurrence suite au cartel des vitamines. « C’est dans ce contexte que nous avons mis en place dès 2000 un programme de compliance. La difficulté pour nous aujourd’hui est de le faire vivre et de le renouveler », explique Nathalie Debeir. Un compliance officer a été désigné dans la plupart des pays où le groupe est présent, puis un compliance committee est chargé de revoir annuellement la vie des programmes. Un site web dédié a été créé avec un cabinet d’avocats, contenant guides et documents utiles. L’exemple type est le suivant : le salarié fait partie d’une association, il est amené à rencontrer ses concurrents. Comment doit-il se comporter à cette occasion ? Le programme est donc très didactique. Il comprend des formations pour chaque nouvel entrant et des formations continues diligentées par la direction juridique ou un cabinet. « Il faut constamment se renouveler et attirer l’attention. Nous avons organisé un mock dawn raid et nous mettons en place cette année un serious game pour impliquer les gens avec un système de tracking des exercices mais pas des résultats », confie la secrétaire générale.
L’exercice du mock dawn raid nécessite d’identifier les personnes les plus concernées, celles qui sont le plus souvent en contact avec les principes de droit de la concurrence et la préparation d’une liste de questions, dont certaines peuvent être auto-incriminantes, afin de rendre l’exercice plus intéressant. Le mock dawn raid est généralement ressenti positivement, les salariés interrogés percevant rapidement l’intérêt qu’ils ont à y gagner : être attentif à la rédaction des e-mails et aux comportements ou aux paroles échangées sur le lieu de travail.
Légende de la photo (en haut de gauche à droite): Nathalie Debeir, secrétaire générale du groupe Adisseo, Virginie Beaumeunier, rapporteure générale à l’Autorité de la concurrence et Jérôme Philippe, associé chez Feshfields. (En bas) Laurent Gravier, directeur juridique de Keolis, Gildas Kettanjian, directeur juridique et compliance chez Messer France et Thomas Sely, head of electronic evidence chez Kroll Ontrack