La conquête silencieuse du droit européen par le modèle américain 

La compliance extraterritoriale, c’est-à-dire l’application de règles de conformité au-delà des frontières nationales  est devenue un vecteur de puissance juridique. De nombreux observateurs ont longtemps présenté la compliance comme un phénomène « bottom-up », une démarche volontaire émanant des entreprises elles-mêmes pour mieux gérer leurs risques. Cependant, cette vision est incomplète. En pratique, la montée de la compliance doit beaucoup à l’impulsion des États, en premier lieu des États-Unis, qui ont fait de la compliance un instrument étatique imposé aux entreprises. Les autorités américaines, en particulier, ont su exporter leur modèle de régulation en contraignant des sociétés étrangères à adopter des programmes de conformité sous peine de lourdes sanctions. Il ne s’agit donc pas d’une simple mode managériale spontanée, mais bien d’une transplantation subie : les entreprises non-américaines ont intégré les exigences de compliance principalement parce qu’elles y ont été forcées par un « risque légal transnational » créé de toutes pièces par les États-Unis.

Dans un second temps, ce modèle américain exporté sous la contrainte a progressivement été absorbé par les systèmes juridiques européens. On constate en Europe une évolution sensible du droit des sociétés et du droit pénal des affaires, allant dans le sens d’une américanisation partielle. Sous l’effet combiné de pressions externes (sanctions américaines) et de dynamiques internes (prises de conscience et réformes nationales), les pays européens ont adopté des mécanismes inspirés du modèle américain de compliance. Cette réception ne s’est pas faite sans débat : s’agit-il d’un mimétisme forcé ou d’une évolution endogène convergente ? Quoi qu’il en soit, le résultat est une « compliance semi-contrainte » en Europe, où les entreprises se conforment aux standards américains tout en intégrant progressivement ces exigences dans leur propre ordre juridique.

Ce qui suit analyse d’abord comment la compliance américaine extraterritoriale s’est imposée comme un vecteur de contrainte globale, avant d’examiner comment l’Europe a réagi en ajustant son droit (entre imitation stratégique et autonomie relative) pour internaliser ces normes de compliance. Nous conclurons par une réflexion critique sur la notion de compliance « semi-contrainte » et sur la réelle autonomie du droit européen face à cette dynamique.

Le « risque légal transnational » : l’arme de la contrainte extraterritoriale américaine

Le moteur principal de l’exportation de la compliance américaine a été la création d’un risque juridique transnational pesant sur les entreprises du monde entier. Ce risque tient à l’application extraterritoriale du droit américain, notamment en matière de lutte contre la corruption, la fraude financière, les sanctions économiques et le blanchiment. Concrètement, les États-Unis ont su exploiter un vide juridique européen et un déséquilibre entre systèmes juridiques pour projeter leur propre pouvoir répressif au-delà de leurs frontières.

En effet, face à la criminalité d’entreprise mondialisée, l’Europe est longtemps restée fragmentée dans sa réponse juridique. Les approches nationales de la responsabilité pénale des personnes morales divergeaient fortement. D’un côté, le modèle américain de responsabilité vicariale (ou respondeat superior) permet, depuis la décision New York Central & Hudson River Railroad Co. (Cour suprême des États-Unis, 1909), d’engager aisément la responsabilité pénale d’une société pour les actes de presque n’importe lequel de ses employés. De l’autre, la plupart des pays européens appliquaient un modèle identificatoire hérité de l’adage societas delinquere non potest (une personne morale ne peut commettre d’infraction). Même après avoir formellement admis la responsabilité des entreprises (comme en France en 1994, ou au Royaume-Uni avec l’arrêt Tesco v. Nattrass, 1972), ces systèmes restaient restrictifs : il fallait identifier un individu fautif de haut rang (un organe de la société ou un dirigeant « haut placé ») pour incriminer l’entreprise. Ce régime identificatoire strict montrait ses limites face à la réalité des grands groupes, où la diffusion des décisions dilue les responsabilités. Il a engendré de véritables « lacunes d’impunité » : les sociétés complexes pouvaient échapper aux poursuites pénales en l’absence de preuve formelle qu’un dirigeant a personnellement commis ou ordonné l’infraction. De plus, l’absence de régime unifié au niveau européen, malgré des tentatives d’harmonisation « douce » (telles qu’une recommandation du Conseil de l’Europe en 1988 ou le second Protocole PIF de 1997 sur la protection des intérêts financiers de l’UE),  laissait subsister des disparités concurrentielles. Notamment, les entreprises américaines, soumises à un régime très strict, voyaient d’un mauvais œil que leurs concurrentes européennes bénéficient d’un cadre plus indulgent.

Ce déséquilibre a constitué un véritable appel d’air pour l’action américaine. Pour « aplanir le terrain de jeu » mondial et éviter un avantage indu aux entreprises étrangères, les autorités des États-Unis ont unilatéralement étendu leur compétence juridique. Elles ont créé ce fameux risque légal transnational en déclarant applicables leurs lois à des faits commis hors du sol américain, dès lors qu’un lien, même ténu, pouvait être établi avec les États-Unis. C’est ainsi que la compliance est devenue une arme extraterritoriale : les entreprises européennes se sont retrouvées exposées aux lois américaines (comme le Foreign Corrupt Practices Act pour les faits de corruption internationale, ou les régimes de sanctions économiques décidés par l’OFAC) alors même qu’elles opéraient principalement en Europe.

Hégémonie procédurale : déjudiciarisation et leviers coercitifs de la DOJ

L’efficacité de la contrainte américaine ne provient pas tant de la supériorité formelle de la loi américaine que de la manière dont elle est mise en œuvre. Les États-Unis ont développé une véritable hégémonie par la procédure, contournant les limites traditionnelles grâce à des outils pragmatiques. Deux caractéristiques essentielles du mode opératoire américain peuvent être soulignées : la déjudiciarisation du contentieux (c’est-à-dire l’évitement du juge par des accords négociés) et l’utilisation de leviers coercitifs économiques pour s’assurer la coopération des entreprises visées.

Déjudiciarisation et compétence sans frontière : Traditionnellement, les tribunaux américains eux-mêmes sont prudents quant à l’application extraterritoriale des lois. La Cour suprême des États-Unis applique une présomption contre l’extraterritorialité depuis plus d’un siècle (American Banana v. United Fruit Co., 1909), réaffirmée jusque dans des arrêts récents (RJR Nabisco v. European Community, 2016). En principe, à moins que le Congrès n’ait explicitement prévu l’application d’une loi au-delà du territoire national, les juges refusent d’en étendre la portée. Mais le Ministère américain de la Justice (DOJ) a déjoué cette limite en recourant massivement à des accords transactionnels plutôt qu’à des procès publics. Via les Deferred Prosecution Agreements (DPA) et Non Prosecution Agreements (NPA), les procureurs américains proposent aux entreprises soupçonnées d’infraction d’éviter un procès (et une condamnation potentiellement dévastatrice) en échange de deux contreparties : le paiement d’une forte amende et une coopération totale à l’enquête. Ces accords, conclus directement entre l’entreprise et les autorités (DOJ, mais aussi régulateur boursier SEC ou Trésor/OFAC pour les sanctions), permettent de court-circuiter le contrôle du juge. Comme l’illustre la frustration exprimée par le juge Kaplan lors de l’homologation d’un DPA (« Je n’ai absolument pas le choix… Je suis obligé d’avaler la pilule, que cela me plaise ou non »), le pouvoir judiciaire américain a peu de prise sur ces arrangements privés. En pratique, le DOJ impose sa doctrine de compétence sans passage devant un tribunal, définissant lui-même des critères larges de rattachement. Des liens ténus, juridiquement discutables mais économiquement contraignants, sont jugés suffisants pour revendiquer la compétence américaine : l’utilisation du dollar US dans une transaction (cas de BNP Paribas en 2014), le transit de fonds via une banque correspondante à New York, ou même l’envoi d’un e-mail routé par un serveur situé aux États-Unis. En s’émancipant de la stricte supervision judiciaire, les autorités américaines ont ainsi pu étendre la portée de leur droit de manière beaucoup plus agressive.

Leviers de soumission et coopération forcée : Une fois cette compétence américaine auto-proclamée, tout est fait pour rendre la contestation intenable et pousser l’entreprise étrangère à plier. Le système américain active un double levier pour garantir la soumission des sociétés visées. Premièrement, le levier de la peur du procès incite fortement à accepter la déjudiciarisation. Refuser de négocier avec le DOJ et aller au procès aux États-Unis est économiquement irrationnel pour une entreprise étrangère, tant le risque est asymétrique. D’une part, le régime de responsabilité vicariale américain rend la défense très difficile : il n’est pas nécessaire de prouver la faute d’un dirigeant, il suffit qu’un salarié ait commis l’acte répréhensible dans le cadre de ses fonctions pour engager la société (respondeat superior). La condamnation quasi certaine en cas de procès pousse l’entreprise à préférer un accord amiable. D’autre part, le risque de sanction lui-même est existential : le Trésor américain, via l’OFAC, menace les contrevenants d’une véritable mort économique (interdiction d’accès au marché financier américain, interdiction d’utiliser le dollar, gel des avoirs aux États-Unis, etc). Aucune multinationale ne peut survivre isolée du système financier international dominé par le dollar. Sous cette épée de Damoclès, négocier avec le DOJ devient le seul choix rationnel.

Deuxièmement, une fois l’accord accepté, le levier de la coopération contrainte prend le relais. L’entreprise qui signe un DPA s’engage généralement à coopérer étroitement avec les autorités américaines : elle doit mener des enquêtes internes approfondies, fournir les documents et e-mails requis, et parfois livrer des employés mis en cause. En somme, la société se mue en auxiliaire d’enquête du procureur. Ce faisant, elle se heurte à un dilemme juridique : répondre aux injonctions de coopération américaine peut l’amener à violer le droit de son pays d’origine (par exemple, en France, l’obligation de remettre des documents peut entrer en conflit avec le droit du travail ou le secret professionnel). Ce conflit de lois place les dirigeants dans une situation insoluble. Les affaires emblématiques montrent toutefois que les autorités américaines imposent leur volonté :

• Siemens (2008): Géant industriel allemand, Siemens a coopéré de manière qualifiée d’« exceptionnelle » par les autorités américaines. L’entreprise a lancé une vaste enquête interne (une véritable mise à nu organisationnelle) et a même institué un programme de clémence en interne pour encourager ses employés à témoigner des faits de corruption. Grâce à cette coopération poussée, Siemens a obtenu une amende de 800 millions de dollars, bien en deçà du montant théorique encouru (estimé à 2,7 milliards selon les guidelines américaines).

• Alstom (2014): À l’inverse, le groupe français Alstom a initialement résisté aux injonctions américaines. Sa coopération n’a été obtenue que par la contrainte, par exemple via l’arrestation de cadres d’Alstom sur le sol américain pour faire pression. Au final, Alstom a écopé d’une amende de 772 millions de dollars. Ce montant est presque équivalent à celui de Siemens alors que l’ampleur des faits reprochés à Alstom était moindre, illustrant le « prix » de son manque de coopération initiale.

• BNP Paribas (2014): La grande banque française a, dans un premier temps, tenté de refuser la coopération et de s’abriter derrière le droit français (notamment les lois sur le secret bancaire et les lois de blocage protégeant les informations). Le DOJ y a vu un manque de coopération aggravant. BNP s’est retrouvée forcée d’accepter un accord particulièrement dur : non pas un DPA mais un plaider-coupable pénal, assorti d’une amende record de 8,9 milliards de dollars. C’est l’une des sanctions les plus lourdes jamais infligées à une banque, marquant clairement que toute résistance aux enquêtes américaines peut mener à une punition exemplaire.

Ces exemples enseignent que la compliance extraterritoriale américaine fonctionne comme un système de chantage légal redoutablement efficace. Le message est clair : si une entreprise coopère pleinement et endosse le rôle d’agent de conformité aux côtés du DOJ, elle pourra espérer une relative clémence ; si elle résiste ou invoque son droit national, elle sera lourdement sanctionnée. Ainsi, les États-Unis ont externalisé les coûts et les efforts d’enquête : sous la menace (levier de la soumission), l’entreprise réalise elle-même l’enquête à ses frais et « livre volontairement » les preuves requises (levier de la coopération). Ce faisant, les autorités américaines contournent les canaux classiques d’entraide judiciaire internationale et les obstacles de souveraineté, en s’appuyant sur la compliance privée pour atteindre leurs objectifs publics.

L’échec des boucliers européens face à la pression américaine

Face à l’offensive procédurale américaine, les boucliers juridiques européens se sont révélés bien fragiles. Plusieurs dispositifs censés protéger la souveraineté des États et leurs entreprises se sont soit montrés inefficaces, soit ont été ignorés par les acteurs économiques eux-mêmes, contraints par la réalité du risque américain.

Les lois de blocage : des tigres de papier. Certains pays, comme la France dès 1968, ont adopté des lois de blocage interdisant à quiconque de communiquer des informations économiques ou techniques à des autorités étrangères sans passer par des voies légales officielles. L’objectif était de contrecarrer les procédures d’enquête étrangères jugées extraterritoriales. En théorie, ces lois exposent les contrevenants à des sanctions pénales domestiques. En pratique, elles n’ont presque jamais été appliquées. Les tribunaux américains, dans un arrêt de principe (Société Nationale Industrielle Aérospatiale v. U.S. District Court, Cour suprême, 1987), ont explicitement rejeté l’argument selon lequel une loi de blocage étrangère pourrait empêcher la collecte de preuves : ils les ont qualifiées de simples « armes tactiques » dénuées de véritable force. Conséquence, lorsque des entreprises européennes ont tenté d’invoquer ces lois de blocage pour ne pas transmettre des documents (comme BNP Paribas l’a fait), le DOJ y a vu non pas une justification légale mais un manque de coopération aggravant. Faute d’application réelle en Europe, les lois de blocage ont perdu toute crédibilité aux yeux des Américains et n’impressionnent plus personne.

Secret bancaire et Cloud Act : la fin des sanctuaires. De même, les secrets juridiques autrefois protecteurs ont cédé sous la pression. Le fameux secret bancaire suisse a été largement entamé suite à des poursuites américaines retentissantes (affaire UBS et Crédit Suisse dans les années 2008-2014) qui ont poussé la Suisse à transiger et à livrer des données de clients américains impliqués dans l’évasion fiscale. Plus récemment, le Cloud Act (USA, 2018) a ouvert une brèche béante dans la protection des données extraterritoriales : cette loi fédérale américaine oblige les prestataires de services cloud ou tech soumis à la juridiction US (par exemple Microsoft) à fournir aux autorités américaines les données qu’elles réclament, « que ces informations soient situées à l’intérieur ou hors des États-Unis ». Autrement dit, peu importe le RGPD européen ou les lois nationales sur la protection des données : si les données sont hébergées par une entité liée aux États-Unis, elles doivent être transmises sur demande. Cette extraterritorialité affirmée du Cloud Act neutralise de facto des protections européennes comme l’article 48 du RGPD (qui interdit en principe les transferts de données à des autorités étrangères en dehors des procédures légales internationales). La portée globale du droit américain dans l’environnement numérique illustre une fois de plus l’asymétrie des rapports de force.

Non bis in idem international : double peine assurée. Le principe non bis in idem (ne pas juger ou sanctionner deux fois les mêmes faits) est un pilier des droits internes, mais il ne joue pas à l’échelle transnationale. Les États-Unis, tout comme la France, estiment que ce principe ne s’applique pas lorsque deux souverainetés différentes sont en cause (théorie de la double souveraineté). Ainsi, une entreprise peut très bien être poursuivie et condamnée aux États-Unis, puis l’être à nouveau en Europe pour les mêmes actes. Cela s’est déjà produit, et les accords passés avec le DOJ aggravent le risque : les clauses dites « muselières » insérées dans certains DPA interdisent à l’entreprise de contester, dans une procédure ultérieure ailleurs, les faits qu’elle a reconnus aux États-Unis. L’entreprise se trouve ainsi liée par ses aveux, et vulnérable à une sanction en Europe sans possibilité de défense complète (une véritable double peine). Les tentatives de coordination internationale pour éviter ces doublons restent balbutiantes, et en pratique, les entreprises doivent gérer le risque de poursuites multiples successives.

Embargos américains vs règlement de blocage européen : le dilemme insoluble. Le point culminant de l’impuissance européenne est sans doute illustré par le cas des sanctions unilatérales américaines contre l’Iran et la réponse de l’UE. Pour contrer l’extraterritorialité des embargos américains (notamment après le retrait des États-Unis de l’accord sur le nucléaire iranien en 2018), l’Union européenne a réactivé son règlement de blocage de 1996. Ce règlement interdit aux entreprises européennes de se conformer aux sanctions américaines contre certains pays (dont l’Iran), sous peine de sanctions européennes. Sur le papier, l’UE tente ainsi de protéger ses opérateurs en rendant illégale l’obéissance aux injonctions américaines. Mais dans les faits, ce règlement est dépourvu de moyens d’imposition sur le sol américain. Le choix cornélien imposé aux entreprises européennes a été mis en lumière par l’affaire Bank Melli Iran c. Telekom Deutschland. En 2018, par crainte des sanctions américaines, l’opérateur allemand Telekom Deutschland met fin aux contrats liant son réseau à la banque iranienne Bank Melli. La banque iranienne intente alors un recours en Allemagne, accusant Telekom de violer le règlement de blocage européen en cédant aux pressions américaines. L’affaire est portée devant la Cour de justice de l’UE, qui rend en 2021 un arrêt confirmant l’applicabilité du règlement de blocage tout en laissant aux juridictions nationales le soin d’apprécier si l’entreprise avait des raisons légitimes de s’en affranchir (CJUE, aff. C-124/20, 21 déc. 2021). Dilemme impossible : d’un côté, la loi européenne interdit d’obtempérer aux États-Unis, de l’autre, le risque de représailles américaines (perte d’accès au marché US, sanctions financières) impose économiquement de se soumettre. Sans surprise, l’entreprise choisit sa survie financière en sacrifiant le règlement européen, qui apparaît dès lors comme un tigre de papier de plus. Cet épisode a démontré l’incapacité de l’UE à garantir une protection efficace : lorsque les intérêts vitaux sont menacés par le droit extraterritorial américain, les normes européennes s’effacent dans la pratique.

L’américanisation partielle du droit européen : du mimétisme contraint à la convergence normative

Confrontés à la puissance de feu de la compliance américaine, les États européens n’ont pas eu d’autre choix que d’ajuster leur propre droit. Au-delà des seules entreprises visées, c’est tout le cadre juridique européen de la conformité et de la responsabilité des entreprises qui a évolué ces deux dernières décennies. On peut y voir un phénomène de transplantation par mimétisme, c’est-à-dire l’adoption de solutions inspirées du modèle américain pour éviter de se faire distancer ou sanctionner, mais aussi, plus positivement, une forme de convergence vers des réponses similaires face à des problèmes similaires. En clair, sous l’impulsion (ou la contrainte) américaine, l’Europe a développé sa propre culture de compliance, qui présente certes des spécificités, mais reprend largement la logique préventive et proactive venue des États-Unis.

Réformer la responsabilité des entreprises : vers la fin du « tout identificatoire ».

Premier domaine d’évolution : la responsabilité pénale des personnes morales en Europe. Plusieurs pays ont entrepris de combler les lacunes d’impunité de l’ancien régime identificatoire. Par exemple, en France, les tribunaux ont un temps tenté d’élargir l’application de l’article 121-2 du Code pénal (sur la responsabilité pénale des personnes morales) en assouplissant la notion de « représentant » de la société responsable, voire en recourant à des présomptions pour établir le lien avec un dirigeant. Cette tendance a toutefois été freinée récemment par la Cour de cassation, qui a réaffirmé une lecture stricte du texte : la France reste donc pour l’instant attachée au principe qu’une entreprise n’est punissable pénalement que si un de ses organes ou dirigeants a commis une infraction pour son compte.

De son côté, le Royaume-Uni, face à l’échec du célèbre « modèle Tesco » (du nom de l’affaire Tesco v. Nattrass qui incarnait l’identification du « directing mind » de l’entreprise), a choisi la voie législative. Le UK Bribery Act 2010 a introduit l’infraction de failure to prevent bribery (défaut de prévenir la corruption), engageant la responsabilité d’une entreprise qui n’a pas pris les mesures adéquates pour empêcher des faits de corruption commis en son sein ou par des associés – sauf à prouver qu’elle disposait de procédures préventives appropriées. Ce schéma, renouvelé par le Criminal Finances Act 2017 (infraction de failure to prevent facilitation of tax evasion, défaut de prévenir la fraude fiscale), tranche avec l’approche antérieure : on reproche désormais à la société son manque d’organisation préventive, et non plus seulement l’acte individuel d’un dirigeant. D’autres pays suivent une trajectoire comparable.

La Suisse, par l’article 102 de son Code pénal, prévoit la responsabilité de l’entreprise en cas de « défaut d’organisation » adéquate pour prévenir certaines infractions : si une entreprise n’a pas pris toutes les mesures raisonnables pour empêcher, par exemple, un cas de corruption en son sein, elle peut être sanctionnée indépendamment de l’identification d’un auteur individuel. Ce critère de l’organisation défaillante rappelle directement l’esprit des Federal Sentencing Guidelines américaines, qui valorisent l’existence d’un programme de compliance efficace.

Aux Pays-Bas, la jurisprudence a développé la notion d’« auteur fonctionnel » (functioneel daderschap) : une personne morale peut être tenue pour auteur d’une infraction sans qu’il soit besoin de désigner un individu précis, dès lors que l’acte illicite s’inscrit dans sa politique d’entreprise ou résulte d’un défaut de supervision. Cette approche, là encore, s’éloigne de l’identification classique et rejoint l’idée qu’une culture d’entreprise défaillante suffit à engager la responsabilité pénale de la société. Enfin, en Belgique, une réforme et son interprétation jurisprudentielle récente (vers 2018) ont permis de condamner une entreprise non plus seulement pour les actes décidés explicitement par ses organes, mais aussi lorsque l’infraction révèle un consentement tacite de la société ou une culture d’entreprise déficiente ayant permis le passage à l’acte. Toutes ces évolutions témoignent d’un recul du modèle identificatoire pur en Europe et d’une intégration progressive de la notion de faute organisationnelle ou de défaut de compliance comme fondement de la responsabilité. En d’autres termes, l’idée qu’une entreprise peut être sanctionnée pour ne pas avoir empêché un fait illicite – indépendamment de la condamnation de ses dirigeants – fait son chemin, en écho direct à la philosophie américaine.

Obligations de vigilance et régulation proactive : l’Europe se met au diapason. Au-delà du droit pénal des sociétés, l’ensemble du cadre réglementaire évolue vers davantage de prévention et de contrôle délégué aux entreprises elles-mêmes. Sous l’influence conjointe des standards internationaux (souvent impulsés par les États-Unis) et des propres objectifs de l’UE, on a vu proliférer des obligations de compliance de plus en plus contraignantes dans les lois européennes :

• Obligations de transparence financière et anti-corruption : Dans le sillage des lois américaines comme le Sarbanes-Oxley Act (2002) qui a imposé des codes d’éthique et un contrôle interne renforcé aux sociétés cotées US, l’Europe a adopté des exigences accrues de reporting. Par exemple, les réglementations boursières européennes (telles que le règlement Market Abuse de 2014) obligent les émetteurs à mettre en place des dispositifs de détection et de déclaration des transactions suspectes. De même, la France a promulgué la loi Sapin II (2016) qui oblige les grandes entreprises à instaurer des programmes complets de prévention de la corruption (cartographie des risques, code de conduite, formation, dispositif d’alerte, etc.), reprenant très directement les bonnes pratiques diffusées par le DOJ et l’OCDE. Sapin II, souvent présentée comme la réponse française au FCPA américain, illustre cette « invasion intellectuelle » du modèle US : c’est l’importation dans le droit positif français d’une obligation de compliance anticorruption, inspirée par les standards américains, sous peine de sanctions administratives (via l’Agence Française Anticorruption).

• Devoirs de vigilance dans la chaîne d’approvisionnement : Inspirée par le concept anglo-saxon de due diligence et la notion de responsabilité des entreprises vis-à-vis des tiers, l’Europe adopte aussi ses propres règles de vigilance. La France a été pionnière avec la loi sur le devoir de vigilance (2017) imposant aux grandes entreprises un plan de vigilance pour prévenir les atteintes aux droits humains et à l’environnement chez leurs filiales et sous-traitants à l’étranger. L’Allemagne a suivi avec une loi similaire sur la diligence raisonnable des entreprises (Lieferkettensorgfaltspflichtengesetz, 2021). Ces textes obligent les sociétés mères à surveiller proactivement leurs chaînes d’approvisionnement mondiales, concrétisant l’idée d’« unité économique » du groupe de sociétés : on ne peut plus se retrancher derrière une filiale pour ignorer des violations, il faut au contraire prévenir et contrôler en amont. Là encore, on reconnaît l’influence de principes développés internationalement (ONU, OCDE) mais fortement promus par les pays anglo-saxons et les ONG, traduisant la même logique de compliance préventive.

• Lutte contre le blanchiment et KYC : Le secteur bancaire et financier européen s’est vu imposer des obligations drastiques de connaissance du client (Know Your Customer) et de signalement des opérations douteuses. Ces mesures découlent des recommandations du GAFI (Groupe d’action financière) – un organisme international largement orienté par les États-Unis depuis sa création – et se sont matérialisées par des directives européennes (par exemple la 4e et 5e directive anti-blanchiment). Chaque banque européenne doit désormais vérifier l’identité et la probité de ses clients, surveiller les transactions et déclarer aux cellules de renseignement financier toute transaction suspecte. On voit ainsi se diffuser, partout dans le monde, la culture compliance née aux États-Unis dans la lutte contre le financement du terrorisme et la criminalité financière post-2001.

• Nouvelles structures de régulation et auto-contrôle : Enfin, l’Europe a calqué certains aspects de l’architecture institutionnelle américaine en matière de régulation. On a assisté à la prolifération d’autorités administratives indépendantes sectorielles dotées de pouvoirs de sanction (à l’image de la SEC, de la FTC, etc.) : l’Autorité des marchés financiers (AMF) en France, par exemple, s’inspire fortement du modèle de la SEC américaine pour la surveillance boursière, avec une séparation interne entre l’enquête et la décision (imposée par le Conseil constitutionnel). Parallèlement, les mécanismes d’autorégulation encadrée se développent : le principe du « comply or explain », introduit notamment par la Directive européenne de 2006 sur le gouvernement d’entreprise, incite les entreprises cotées à se conformer à un code de bonne conduite ou, à défaut, à expliquer publiquement pourquoi elles s’en écartent. Cette approche, née au Royaume-Uni et soutenue par les places financières anglo-saxonnes, reflète l’idée que la conformité peut être en partie volontaire, mais sous le regard attentif du marché et des régulateurs – combinant ainsi contrôle interne et pression externe. Ici encore, l’ombre du modèle américain (et britannique) plane sur ces dispositifs hybrides de régulation.

En réalité, que ce soit par mimétisme conscient (adoption directe de techniques de compliance américaines pour satisfaire aux attentes des autorités US ou pour moderniser son droit) ou par évolution convergente (développement endogène de solutions analogues face aux mêmes défis), l’Europe s’est fortement rapprochée de la philosophie de compliance d’outre-Atlantique. Les entreprises européennes, autrefois simplement soumises de l’extérieur aux injonctions américaines, sont désormais aussi encadrées de l’intérieur par des obligations de compliance nationales ou européennes. Cette double pression façonne un environnement où la conformité n’est plus optionnelle, mais s’inscrit dans le fonctionnement normal de l’entreprise.

Conclusion : vers une compliance « semi-contrainte » et quelle autonomie pour l’Europe ?

L’évolution décrite témoigne de la naissance d’un régime de compliance globalisé, né sous contrainte américaine et développé par ajustements successifs en Europe. On peut qualifier la situation actuelle de compliance « semi-contrainte » : les entreprises européennes se retrouvent prises dans un étau à double détente. D’un côté, une contrainte externe subsiste – celle du risque légal transnational américain, toujours bien réel, qui oblige les sociétés à adopter des programmes de conformité robustes de peur d’être lourdement sanctionnées outre-Atlantique. De l’autre, une contrainte interne s’est ajoutée – celle d’un droit européen de plus en plus imprégné de la logique de prévention et de contrôle inspirée du modèle américain (responsabilité accrue en cas de défaut de prévention, devoirs de vigilance, surveillance par des autorités administratives, etc.). Autrement dit, même si l’hégémonie initiale est venue de l’étranger, la norme de compliance fait désormais partie intégrante du paysage juridique domestique.

Il serait toutefois réducteur de ne voir dans cette européanisation de la compliance qu’un simple reflet passif du modèle US. Certes, l’influence américaine a joué un rôle de catalyseur puissant – en mettant les entreprises et les autorités européennes face à leurs insuffisances, elle a accéléré des réformes qui sans cela auraient peut-être tardé. Mais on peut soutenir que les systèmes juridiques européens disposaient aussi de leur propre capacité d’évolution autonome. Confrontés aux mêmes défis (la complexité de criminalité d’entreprise transnationale, l’inefficacité des poursuites pénales classiques contre les grandes organisations, le scandale de l’impunité perçue de certains acteurs « trop gros pour être condamnés »), les juristes européens ont pu élaborer, par nécessité interne, des solutions convergentes. Des notions comme la faute organisationnelle ou le devoir de vigilance répondent à des problématiques locales tout autant qu’elles empruntent aux idées importées. Dès lors, parler d’« américanisation » totale serait exagéré ; il s’agit plutôt d’une hybridation où le droit européen de la compliance garde une part d’originalité, adaptée à son contexte socio-économique, tout en intégrant des éléments anglo-saxons.

Néanmoins, la question de l’autonomie réelle du droit européen dans cette dynamique reste ouverte. Tant que l’ordre juridique international n’imposera pas de limites claires aux assertions extraterritoriales de puissance (comme celles des États-Unis), l’Europe évoluera en partie sous la pression d’autrui. La compliance européenne, même enrichie de valeurs locales, restera en pratique arrimée aux standards fixés ailleurs. La notion même de souveraineté juridique se trouve redéfinie à l’ère de la compliance globalisée : la puissance qui édicte et exporte les normes de comportement des entreprises exerce une influence quasi-régulatrice sur les autres. L’enjeu pour l’Europe sera de transformer cette compliance « importée » en une véritable conformité maîtrisée, c’est-à-dire de reprendre l’initiative normative pour ne plus subir mais définir activement les règles du jeu. Le défi est de taille, car il suppose unité politique, innovation juridique et volonté d’affirmer des standards européens de compliance sans attendre qu’une nouvelle contrainte externe ne vienne les imposer. Seule une telle autonomie – pour l’heure encore en construction – permettra de sortir de la logique de semi-contrainte et de faire de la compliance non plus un instrument de domination subi, mais un outil de confiance et de sécurité juridique partagée, au service d’un ordre économique global plus équitable.

Par Isidore Messanvi AYIGAH

SOURCES

• Marie-Anne Frison-Roche, Le droit de la compliance, in « Régulation, Compliance, Droit de la Concurrence », Journal of Regulation & Compliance, 2021. Elle développe la thèse selon laquelle la compliance, initialement outil d’auto-régulation d’entreprise, devient une technique juridique autonome adossée à des finalités d’intérêt général.

• Antoine Garapon et Pierre Servan-Schreiber, Deals de justice. Le marché américain de l’obéissance mondialisée, Paris, PUF, 2013. Cet ouvrage est une source fondamentale pour comprendre comment le Department of Justice (DOJ) impose, à travers les DPA (Deferred Prosecution Agreements), des normes comportementales à portée extraterritoriale, transformant les entreprises en relais juridico-politiques.

• Nicolas Cayrol, La justice négociée. CJIP et modèles de droit comparé, Dalloz, 2019. Il éclaire les dynamiques d’appropriation européenne des mécanismes contractuels issus du droit américain, tout en insistant sur la spécificité du modèle français.

• Stéphane de Navacelle, La CJIP : un modèle français de justice pénale négociée ?, in Revue de science criminelle et de droit pénal comparé, 2020. L’auteur propose une analyse critique des CJIP, considérées comme des outils de compliance judiciaire adaptés à l’environnement français.

• Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (dite loi Sapin II). Cette loi introduit la CJIP en droit français et impose aux grandes entreprises un programme de conformité anticorruption.

• Décisions et affaires citées :

  • Affaire Siemens (2008) : poursuite par le DOJ et la SEC pour corruption d’agents publics étrangers, aboutissant à une amende record et à la mise en place d’un programme de compliance sous supervision.

  • Affaire BNP Paribas (2014) : sanction de près de 9 milliards de dollars pour violation d’embargos américains, montrant la puissance extraterritoriale des normes financières américaines.

  • Affaire Alstom (2014) : illustre la manière dont un DPA peut conduire à une réorganisation stratégique d’une entreprise française sous pression judiciaire américaine.

• Directive européenne 2019/1937 sur la protection des lanceurs d’alerte. Elle participe à l’européanisation des standards de compliance tout en répondant, partiellement, à des exigences américaines.

• Proposition de directive européenne sur le devoir de vigilance des entreprises en matière de durabilité (Corporate Sustainability Due Diligence Directive, 2022). Elle consacre l’idée d’une responsabilité étendue des entreprises en matière de droits humains et d’environnement dans leurs chaînes de valeur.