Risque juridique
Proposition de définition
Le risque juridique est un type de risque lié au droit ou à une règle de droit.
Ce risque peut correspondre :
- à l'absence ou à un trop-plein de règles applicables à une situation, une activité donnée ;
- à l'éventuelle mauvaise conception de la règle de droit ;
- à sa méconnaissance ou la difficulté de son interprétation ;
- ou encore, à la mauvaise volonté dans l'application d'une loi de la part des personnes physiques ou morales qui y sont soumises.
L'extension des domaines de responsabilité juridique des entreprises, l'aggravation des sanctions en cas de mise en cause les rend de plus en plus sensibles à la notion de risque juridique en particulier pour leurs dirigeants.
D'autres formes d'organisations intègrent cette notion dans leur vision et leur gestion, comme l'État, les collectivités publiques et leur démembrement, mais aussi les associations et les syndicats.
Outre les différentes causes possibles d'un risque juridique perçu ou non par une organisation comme un individu, le risque juridique crée une insécurité juridique dont les répercussions ne sont pas uniquement juridiques mais peuvent conduire à d'autres impacts financiers, économiques, sociaux voire psychologiques.
Autres définitions du risque juridique
Échos des praticiens
Selon l'étude du cabinet FIDAL pour le compte de l'AMRAE, intitulé « La gestion du risque juridique dans l’entreprise » en 2012, le risque juridique est défini comme une obligation à réagir ou de subir en termes opérationnels. « Le risque de devoir modifier le fonctionnement de l’entreprise ou de subir un préjudice matériel ou immatériel du fait d’une situation de droit ou d’un fait ou d’un acte juridique ». Il peut « tenir à la non-conformité à une norme d’où résulteraient, entre autres, la mise en jeu d’une responsabilité, des sanctions, un redressement fiscal, une atteinte à la réputation, ou la perte d’opportunité d’où résulteraient un manque de résultats, une perte d’actifs, l’inefficacité d’un contrat, la perte d’un gain fiscal, etc. ».
Lors du Campus 2013 (Lexbase), Franck Verdun, Avocat au barreau de Paris, rappelait que " la définition du risque juridique est assez controversée puisque, pour certains, ce risque est inexistant, dès lors qu'il ne résulterait que de la transgression de la loi. Par ailleurs, les risques perçus comme juridiques résultent souvent de risque opérationnel avec des conséquences juridiques (ex. : un sinistre suivi d'une action en responsabilité). Cependant, le changement de norme juridique (ex. : revirement de jurisprudence) ou la non-conformité à une norme juridique de comportement militent pour une définition, sui generis, du risque juridique".
Selon lui, le risque juridique est constitué :
- d'une part, par le changement de norme (sorte de risque passif pour l'acteur de droit)
- et d'autre part, par la transgression d'une norme juridique de comportement (ou risque de non conformité active de la part de l'acteur de droit).
En termes de management juridique, Christophe Collard (EDHEC) définit le risque juridique comme « la rencontre entre une norme juridique et un événement, l’un et/ou l’autre étant frappé(s) d’incertitude (incertitude juridique et/ou factuelle) générant des conséquences pouvant affecter la valeur stratégique, financière ou institutionnelle de l’entreprise. »
Chaque gestionnaire de risque peut avoir une interprétation du risque juridique qui reflète son domaine particulier et ses problématiques juridiques.
Chaque organisation comme plusieurs organisations interrogées ensemble secrètent leur vision du risque au plus près de leurs intérêts particuliers et de leur perception du risque dans l'espace et le temps qui leur sont particuliers. Le risque régulatoire prédomine néanmoins à travers les frontières pour de nombreuses entreprises.
Exemples:
Un des leaders mondiaux du conseil en gestion des risques et du courtage d'assurance Marsh n'évoque aucun risque juridique proprement dit dans sa cartographie des risques de 2007: le risque juridique apparaît sous forme de "risques légaux" (ou liés à la loi) au titre des risques aléatoires internes et externes et "l'environnement réglementaire" sur le terrain des risques opérationnels externe à l'organisation.
Au regard du risque financier, le risque juridique est défini comme le risque "qu'un contrat ne soit pas légalement exécutoire ou documenté correctement" (...). Cela comprend le changement de la loi, les erreurs, les responsabilités des agents [à la transaction financière] et les risques politiques. Le risque juridique se produit invariablement lorsque la contrepartie perd de l'argent dans une transaction. Le risque juridique est également intimement lié au risque crédit; comme les situations de défaut de paiement qui impose la mise en œuvre de contrats qui sont source d'insécurité juridique (Financial Risk Manager Handbook, Wiley Finance, GARP, Philippe Jorion, 2007, p. 597).
Selon un dernier classement élaboré en 2015 réalisé auprès d'un panel de 1400 interlocuteurs par Aon Risk Solutions tous les deux ans, le risque juridique tel que perçu par les dirigeants et les risk managers dans le monde est dilué au sein des 10 risques majeurs qui sont essentiellement à caractère économique, financier et opérationnel.
1. Préjudice à la réputation/image de marque
2. Ralentissement Ă©conomique/atonie de la reprise
3. Changements réglementaires/législatifs
4. Intensification de la concurrence
5. Incapacité à attirer ou retenir les meilleurs talents
6. Incapacité à innover/répondre aux besoins des clients
7. Pertes d’exploitation
8. Responsabilité civile
9. Cyber-risque (délits informatiques/piratage/virus/codes malveillants)
10. Dommages aux biens
On retrouve les risques juridiques en 3e, 8e, 9e et 10e position. Le risque de changement régulatoire seul risque juridique cité en 2013, était auparavant en 2e position du Top 10.
Chaque organisation a la capacité de définir sa perception du risque juridique qui lui est propre dans le cadre de sa terminologie des risques et de sa culture juridique.
Exemple
Lorsque cette organisation est une autorité régulatoire, elle peut imposer une définition du risque juridique : le règlement no 97-02 du Comité de la réglementation bancaire et financière (CRBF) du relatif au contrôle interne des établissements de crédit et des entreprises d'investissement définit dans son article 4 le risque juridique à savoir : "le risque de tout litige avec une contrepartie, résultant de toute imprécision, lacune ou insuffisance susceptible d'être imputable à l'entreprise au titre de ses opérations " Celui-ci est distinct du risque de non-conformité définit lui comme "le risque de sanction judiciaire, administrative ou disciplinaire, de perte financière significative ou d'atteinte à la réputation, qui naît du non-respect de dispositions propres aux activités bancaires et financières, qu'elles soient de nature législative ou réglementaire, ou qu'il s'agisse de normes professionnelles et déontologiques, ou d'instructions de l'organe exécutif prises notamment en application des orientations de l'organe délibérant".
Les opérateurs du cadre bancaire, à l'exemple de la GSIT (Groupement pour un Système Interbancaire de Télécompensation) s'aligne généralement sur la réglementation de référence et propose une définition du risque juridique adaptée à son activité bancaire:
"Risque de perte résultant de l'application imprévisible d'une loi ou d'une réglementation, voire de l'impossibilité d'exécuter un contrat. Risque qu'une partie subisse une perte parce que le droit ou la réglementation ne cadre pas avec les dispositions du système de règlement de titres, l'exécution des accords de règlement correspondants ou les droits de propriété et autres droits conférés par le système de règlement. Le risque juridique est également présent si l'application du droit et de la réglementation n'est pas claire".
Cartographie des risques : un préalable
Comme tout autre risque, le risque juridique d'une organisation publique ou privée doit être identifié dans le cadre de la norme Iso 31000 et selon les canons habituels de l'ERM où la fréquence comme la gravité de chaque risque sont évaluées.
Les directions juridiques ou le responsable des affaires juridiques contribuent parmi les autres directions fonctionnelles ou responsables à identifier et peser les risques à caractère juridique de l'organisation ou associés à un risque juridique.
Le risque juridique peut en effet s'immiscer dans bien d'autres risques qu'ils soient globaux, stratégiques ou opérationnels de l'organisation.
De ce fait, l'exercice d'évaluation est réputé complexe, long et parfois lourd lorsque les activités de l'organisation sont variées et internationalisées. Il impose un dialogue permanent entre les responsables ou conseils juridiques et les autres managers du haut puis le long de la chaîne de responsabilités selon la démarche "top bottom" et/ou "bottom up".
Sur la visée des risques, l'expérience menée auprès de Carrefour par les professeurs Collard et Roquilly le résume parfaitement la dynamique applicable et les avantages tirés :"le processus de cartographie du risque juridique peut être mené « en avant » (forward) ou « en arrière » (backward). Ceci nous amène à proposer deux méthodes de cartographie du risque juridique, méthodes complémentaires ou alternatives :
- la démarche FIP (forward identification process), qui présente un réel intérêt de nature analytique, d’une part,
- et la démarche BIP (backward identification process), qui présente l’intérêt de favoriser la hiérarchisation des risques juridiques".
L'effort doit porter sur l'évaluation objective du risque qui doit échapper à la perception subjective parfois fausse ou tronquée d'un risque juridique non avéré ou sous-évalué voire ignoré, volontairement ou non.
Exemple
Le caractère extra-territorial de certaines lois américaines ou anglaises liées à l'embargo ou à la lutte contre la corruption (FCPA ou UKBA) ont pu surprendre des dirigeants français lors de l'annonce de sanctions lourdes.
Typologie des risques juridiques
Le risque juridique peut se décliner par d'autres vocables comme :
- le risque administratif notamment avec les sanctions d'autorités comme l'ADLC (Autorité de la concurrence) ou l'AMF (Autorité des marchés financiers).
- le risque contentieux compte tenu de la judiciarisation de la vie Ă©conomique et sociale,
- le risque contractuel qui peut résulter de faiblesses rédactionnelles ou d'une stratégie agressive d'un des partenaires de remettre en cause un accord compte tenu de nouvelles pratiques commerciales,
- le risque organisationnel lié aux processus juridiques s'ils sont insuffisants au sein de l'organisation,
- le risque pénal avec des autorités publiques voire des parties civiles qui actionnent ce levier auprès des dirigeants personnes physiques comme des personnes morales qu'ils représentent,
- le risque régulatoire qui peut comprend les risques législatif, réglementaire compte tenu de la complexification et l'instabilité de la production législative et réglementaire sans oublier l'internationalisation des normes juridiques.
Le risque fiscal pourra éventuellement cette liste non limitative tout comme le risque éthique ou le risque de corruption. Le risque de gouvernance lié à la gestion des organes sociaux de l'organisation pourra également est inclus dans le périmètre de la taxonomie des risques juridiques.
Enfin, Le risque juridique pourra être également globalisé par la notion "attrape-tout" de risque de conformité ou de compliance ou de non-conformité.
Maîtrise du risque juridique par son traitement
DĂ©pistage en continu : cartographie et veille juridiques
En fonction de la cartographie mise à jour, chaque risque juridique demandera un traitement approprié en fonction des priorités et des moyens de contrôle de l'organisation mis en place.
Comme le rappelle l'AMRAE dans son ouvrage sur la cartographie des risques de 2010, le directeur juridique est en première ligne en tant que propriétaire de risques pour veiller à leur bon traitement quel que soit le risque juridique : la direction juridique veille à identifier et à traiter les risques de mise en cause de l'entreprise et de ses dirigeants dans les domaines du droit administratif (amendes) et du droit civil et pénal (responsabilité contractuelle, responsabilité civile, responsabilité des mandaires sociaux, risque de procédure pénale) ou d'atteinte à ses actifs (propriété intellectuelle ou industrielle). La "juriciarisation" croissante de la société civile renforce le caractère crucial d'une cartographie des risques juridiques'(cf. p. 33) Selon le 3e rapport sur l'évaluation de la fonction juridique établi par EY en 2013, "la cartographie des risques juridiques est de plus en plus utilisée (+ 9 points)" (cf. p. 3) parmi les outils de respect des règles juridiques qui sont en règle générale en perte de vitesse de la part des entreprises cotées ou non (204 réponses). "En 2008, quatre directeurs juridiques sur dix citaient la gestion et l’anticipation des risques comme leurs enjeux prioritaires, et deux sur dix citaient le renforcement du contrôle interne et la compliance" (cf. p. 20).
La veille juridique demeure incontournable pour permettre renouveler voire anticiper une gestion des risques juridiques pertinente tout comme l'écoute du terrain et d'experts (démarche « bottom up ») pour décrypter les risques opérationnels comme les risques stratégiques nouveaux ou du moins leurs signaux faibles.
Procédures internes de prévention et de gestion : une batterie d'outils disponibles à mettre effectivement en œuvre
Les procédures internes de prévention du risque juridique peuvent être un des moyens recherchés tout comme le transfert de risque (à l'exception du risque pénal) dans une gestion des risques juridiques au quotidien.
Le rapport EY précité de 2013 évoque les outils utilisés de prévention des risques juridiques par les directions juridiques d'entreprises qui intègrent les outils de gouvernance.
On y trouve une dizaine de dispositifs de contrôle ou de maîtrise des risques par ordre de fréquence :
- la gestion des délégations de pouvoirs (dont les mandats sociaux)
- la charte éthique (y compris les procédures d'alerte)
- la cartographie des risques juridiques
- le tableau de bord juridique
- le manuel de procédures juridiques
- la formation (des non-juristes)
- le dispositif de contrôles internes à caractère juridiques (gestion de l'organisation, contrats, conseils juridiques)
- l'auto-évaluation par les propriétaires des risques juridiques (1re ligne de défense en termes de maîtrise des risques et du contrôle des processus)
- l'audit interne juridique (3e ligne de défense)
- les tests de contrôles internes (2e ligne de défense)
La montée en puissance inexorable des risques juridiques perçus en France depuis 2000
Quelques jalons symptomatiques
En 2004, dans une étude IFACI, intitulée « Les rapports 2003 des présidents de Conseils relatifs aux procédures de contrôle interne en application de l’art.117 de la Loi de Sécurité Financière Sociétés du SBF120 » , les risques juridiques apparaissaient en troisième position, après les risques financiers et les risques opérationnels et ce pour 30 % des sociétés (18) de l'échantillon (59 sociétés). 13 de ces 18 sociétés émanaient des secteurs de l’industrie, du commerce et des services.
En 2011, une étude Mazars - Opinion Way indiquait un changement de paradigme dans la perception du risque juridique après le démarrage de la crise financière et économique de 2008. Le risque juridique passe premier. 73 % du panel considère qu’ils sont devenus plus importants. Les risques financiers et opérationnels ex aequo (53 %), les risques stratégiques en dernier lieu (52 %). L’étude notait : « Si, de façon générale, les entreprises voient leurs risques croître, les risques juridiques ont de loin subi la progression la plus forte au cours des 3 dernières années. Il semble donc que les entreprises envisagent une reclassification de leurs priorités plaçant les risques juridiques en premier rang, certaines natures de risques, notamment stratégiques ou opérationnels semblant aujourd’hui mieux connues et donc maîtrisées ».
En 2012, Gérard Lancner, conseiller spécial du président de l’Amrae (Association pour le management des risques et des assurances de l’entreprise), et Didier Ferrier, professeur émérite de l’Université de Montpellier, « of counsel » Fidal, listaient les premiers risques juridiques auxquels les entreprises sont confrontées. 4 risques juridiques prédominaient, à savoir :
1. L’instabilité du droit,
2. La responsabilité croissante des dirigeants
3. Les mises en cause pour pratique anticoncurrentielle
4. La dérive des relations contractuelles
En 2015, c’est désormais 7 risques qui émergent lors des travaux de la 5e réunion des directions juridiques d’entreprises du à Paris, en écho aux 7 tendances clefs pour mieux prévenir les risques juridiques en 2015, à savoir :
1. Le risque de responsabilité pénale
2. Le risque fiscal
3. Le risque de sanctions internationales (embargo, lois extraterritoriales)
4. Le risque de sanctions d’autorités administratives indépendantes
5. Le risque client (première source de contentieux pour 60 % des directions juridiques)
6. Le risque de responsabilité pénale des dirigeants
7. Le risque de non-conformité réglementaire sous l’œil vigilant des parties prenantes qui exigent de plus en plus de transparence.
L’effet ciseau n’est pas loin de frapper les services juridiques des organisations en général et pas uniquement les entreprises coincés entre complexité croissante et ressources stagnantes :
« 1 entreprise sur 2 n’augmente pas ses budgets alloués à la gestion des risques juridiques, et par conséquent agit essentiellement sur une rationalisation des dispositifs et la formalisation des contrôles. L’augmentation de la productivité des services juridiques face à l’avalanche de nouvelles normes applicables aux entreprises se résout en un seul enjeu : le traitement de la complexité » (cf. 5e réunion des directions juridiques d’entreprises).
La prévention des risques juridiques ne peut se limiter à de simples pare-feux génériques du contrôle interne. Elle s’apparente désormais à un conseil avisé personnalisé et contextualisé pour pouvoir peser les effets de situations juridiques de plus en plus complexes.
Les acteurs essentiels : du juriste à l’administrateur juriste en passant par les responsables et directeurs juridiques
Au-delà du conseil juridique, l’appréciation globalisée et stratégique des risques juridiques appartiendra sans doute de plus en plus, au-delà du responsable ou directeur juridique, aux administrateurs qui ont cette grille de lecture pour trouver le meilleur chemin critique à l’échelle de l’organisation.
Comme le souligne l’article paru en février 2014 dans la revue de l’Institut Français des Administrateurs, « Le rôle de l’administrateur- juriste au sein du Conseil se démarque véritablement du rôle du directeur juridique de la même entreprise. Si ce dernier accompagne les activités quotidiennes de l’entreprise (activités transactionnelles, contentieuses, corporate, …), l’administrateur juriste vient enrichir le Conseil de sa capacité à embrasser des projets stratégiques dans leur globalité et à fédérer ainsi les approches opérationnelles ou financières, pour permettre une analyse du risque dans ses dimensions multiples. ».
Les conseils externes sont bien sûr associés pour pallier et/ou enrichir l'expertise comme le diagnostic du risque.
Pour les particuliers, le conseil sous toutes ses formes où l'avocat a toute sa place comme les conseils juridiques professionnels. La généralisation des contrats de protection juridique, les associations de consommateurs ou de protection diverses (droits de l'homme, environnement, etc.) peuvent permettre de disposer de la bonne information et du conseil avisé au bon moment.
Bibliographie
- AMRAE, "La cartographie : un outil de gestion des risques", Collection Maîtrise des Risques, .
- ANVIE "La cartographie des risques juridiques : un outil de management au service de la stratégie", AFJE .
- ARGUS (L') de l'assurance, "le cyber-risque entre dans le top 10 des risques mondiaux (Aon)", .
- Christophe COLLARD et Christophe ROQUILLY, "Proposals for a Definition and Map of Legal Risk, As part of a research contract entered into with Carrefour Group, EDHEC, June 2011.(version anglaise et française)
- Christophe COLLARD, Catherine DELHAYE, Henry-Benoît LOOSDREGT, Christophe ROQUILLY, "Risque juridique et conformité", Manager la compliance, Lamy, .
- CĂ©cile DESJARDINS, "Les 4 risques juridiques qui menacent les entreprises", Les Echos, 17/12/2012.
- EY, "Observatoire des directions juridiques", 3e Ă©dition, , p. 19.
- FIDAL, "la gestion juridique de l'entreprise", AMRAE, Collection Dialoguer, .
- Maya COURBAGE et Gabrielle MOLES, «Dysfonctionnements éthiques et de gouvernance des associations : la responsabilité morale des dirigeants », Commission Inter Associative France Bénévolat, .
- MAZARS, "Mieux maîtriser les risques juridiques : pratiques et tendances", Étude. Consulting, .
- Sénat, "La mission commune d'information chargée de dresser le bilan de la décentralisation et de proposer des améliorations de nature à faciliter l'exercice des compétences locales, sur la sécurité juridique des actes des collectivités locales et les conditions d'exercice des mandats locaux", Rapport d'information no 166 (1999-2000) de M. Michel MERCIER, fait au nom de la mission commune d'information, déposé le .
- Franck VERDUN, "La gestion des risques juridiques", Éditions d'Organisation, 2006."Le management stratégique des risques juridiques", Droit & professions. LexisNexis. 2013.
- Franck VERDUN et Christine CANTOURNET, "La cartographie des risques juridiques : outil de management de la direction juridique", AFJE, Campus 2014.