Journaliste : Bonjour, bonjour à tous, absolument ravi de vous retrouver pour cette nouvelle conférence digitale organisée par le droit pour moi en partenariat avec le cercle Montesquieu et avec la maison d’édition Le Fèvre d’Alause qui nous accueille et on les remercie. Aujourd’hui, nous allons très régulièrement ensemble décrypter l’actualité de la compliance, du devoir de vigilance, de la cybersécurité, de l’intelligence artificielle, sujets hautement d’actualité, des sujets qui concernent toutes les entreprises. Vous avez été très nombreux d’ailleurs à vous inscrire, beaucoup de directeurs juridique et de juristes. Alors, pour mieux vous informer, j’ai le plaisir de recevoir plusieurs spécialistes de ces questions qui vont vous donner beaucoup d’informations utiles pendant un peu plus d’une heure et ensuite nous répondrons à quelques-unes de vos questions que vous nous avez posées. Vous pouvez continuer à le faire d’ailleurs pendant cette conférence, je transmets ces questions à nos invités. Bienvenue d’abord à Valérie Valais.
Valérie Valais : Bonjour.
Journaliste : Bonjour, vous êtes executive vice-présidente legal and compliance au sein du groupe Lacroix qui est un équipementier technologique international. Vous nous parlerez entre autres, mais notamment de l’application du RGPD. Bonjour également à François Le Maestre.
François Le Maestre : Bonjour.
Journaliste : Expert compliance, président d’Abiétis Conseil, et vous avez travaillé un certain nombre d’années au sein du groupe Renault en tant que directeur délégué compliance. Vous avez donc énormément d’expérience à nous partager. Vous interviendrez en particulier sur les questions d’anticorruption. J’accueille François-Pierre Lani.
François-Pierre Lani : Bonjour, bonjour.
Journaliste : Vous êtes avocat associé au sein du cabinet Derriennic. Vous êtes spécialiste vous des questions de cybersécurité, de toute la réglementation qui l’entoure, mais aussi, on en parlait, de l’intelligence artificielle qui nous intéresse énormément. Enfin, notre 4e débatteur, Emmanuel Daoud.
Emmanuel Daoud : Bonjour.
Journaliste : Avocat associé au cabinet Vigot, vous êtes avocat pénaliste et vous pourrez nous parler de à peu près tous ces sujets. Vous interviendrez sur un peu près si on vous demande gentiment. Nous allons essayer d’être les plus concrets possible dans cet échange en quatre temps. Plusieurs thématiques qui sont d’ailleurs liées les unes aux autres, ce qui peut parfois compliquer les choses pour les entreprises avec des réglementations qui évoluent en permanence. Allez, on commence avec vous François Le Maestre, d’abord la législation anticorruption, où en est-on ? Quoi de neuf ces derniers mois là en 2024 ?
François Le Maestre : Je dirais que il y a pas d’actualité au regard de l’AFA par exemple, l’Agence Française Anticorruption. Il n’y a pas eu de CJIP, donc de Convention Judiciaire d’Intérêt Public récemment, pas de commission des sanctions. Le rapport de l’AFA 2023 n’a pas apporté d’éléments vraiment nouveaux. Je dirais qu’on est en attente vraiment du plan pluriannuel de lutte contre la corruption qui devait être 2024-2027. On arrive à la fin de 2024 et actuellement on voit peu d’éléments qui nous permettraient de voir arriver ce document là qui sera très important. Je dirais la seule véritable grande nouveauté, c’est dans le cadre de la lutte contre la corruption, on est nécessaire de faire des due diligence sur des tiers. Et depuis fin juillet de cette année, nous avons la fin de l’accès libre au Registre National des Bénéficiaires Ultimes. Auparavant, c’était en accès libre, maintenant il faut montrer un intérêt légitime. C’est une application d’une décision de la Cour de Justice Européenne qui date de fin 2022, qui a été mise en place par la France donc fin juillet 2024. Donc maintenant, il faut demander un accès particulier à ce registre des bénéficiaires ultimes. Ça fonctionne relativement bien. Ça veut dire qu’il faut enquêter, il faut s’informer pour pouvoir réaliser les due diligence qui sont un des piliers de la loi Sapin II. Il faut maintenant demander des autorisations pour obtenir l’information qui permet de réaliser ces due diligence.
Journaliste : Alors on a eu un procès qui a marqué l’actualité de l’anticorruption ces derniers mois, c’est le procès du groupe Bourbon.
François Le Maestre : Tout à fait, c’est vraiment un exemple assez caractéristique. Une procédure qui a été relativement longue. Et donc les, comment s’appelle, le résultat est tombé récemment. Avec des dirigeants du groupe Bourbon qui ont été condamnés pour des faits de corruption. Ça concernait des faits… un groupe de service maritime qui, pour des faits de corruption d’agents du fisc dans trois pays africains, ils auraient été corrompus pour faire diminuer ou faire disparaître des redressements fiscaux. Emmanuel Daoud, un commentaire sur ces questions d’anticorruption sur ce…
Emmanuel Daoud : Deux observations. Je vais finir par commencer plus exactement par le procès Bourbon. Il se trouve que je défendais l’un des dirigeants et je tiens à dire que un appel a été interjeté par l’ensemble des personnes qui ont été condamnées. Donc elles sont présumées innocentes. Il y aura un procès en appel, il n’y a pas de condamnation définitive. Et sans revenir sur sur les faits, peut-être deux observations. La première, c’est que c’est l’exemple, un des exemples topiques, de la difficulté pour une société mère française de voir ce qui peut se passer dans certains pays, je vais pas faire de l’ethnocentrisme, mais où vous avez des administrations fiscales qui notifient des redressements complètement farfelus, complètement farfelus. Avec des parfois des centaines de millions d’euros qui sont réclamés. Et des négociations classiques, quand je dis classiques, dans le cadre des procédures prévues dans ces pays peuvent s’engager. Et finalement, on arrive à des montants de redressement qui sont peut-être d’un million, 500 000, 230 000 €, alors même que les réclamations initiales étaient beaucoup plus importantes. Donc la question qui se pose, et sans alourdir mon propos, c’est de savoir comment la société mère, elle, surveille ce qui se passe au niveau de de ses filiales. Comment elle peut être en soutien des patrons de filiales. Comment on peut négocier ou pas négocier avec ces administrations fiscales. Comment, de façon compliant, on gère ce type de contentieux. L’affaire Bourbon a mis en évidence des défaillances. Est-ce qu’elle revête un caractère pénal ? En première instance, le tribunal a dit oui, c’est contesté en appel. Et peut-être aussi sur ce dossier, ça montre que quelle que soit l’extraordinaire compétence des hommes et des femmes qui dirigent nos entreprises, quand on est confronté à l’instruction ou au juge pénal, et ben c’est une façon de se préparer à ce type d’échéance, y compris en audience publique avec des médias qui suivent les dossiers, qui est tout à fait différente. Et qui demande aussi beaucoup d’humilité, beaucoup de préparation, et c’est pas toujours simple que de pouvoir tenter de dire sa vérité à titre individuel, surtout quand on a quitté l’entreprise, par exemple le groupe. Et par rapport à ce qui reste de de ce groupe, Valérie Valais rapidement avant d’aller d’aller sur d’autres d’autres sujets, votre regard sur l’évolution de la lutte anticorruption dans les entreprises. Comment réagir en cas de contrôle ?
Valérie Valais : Alors la lutte contre la corruption est un sujet qui est désormais vraiment, enfin comment dire, pris pris dans sa juste mesure dans les entreprises, dans le sens où on met en place vraiment toutes les procédures, les documents et cetera qui sont requis, pardon, par l’AFA, donc l’Agence Française Anticorruption. Je crois que les entreprises ont bien compris l’importance de cette lutte contre la corruption. Sur votre question pour ce qui concerne donc la réaction en cas de contrôle, je pense que ce qu’il est important c’est déjà de penser à avant le contrôle et ensuite on pense au contrôle. Mais avant le contrôle, ça va dans le sens de ce que je disais précédemment sur l’importance de mettre en place ce qui est demandé donc dans le cadre de la loi Sapin II pour la corruption, mais ça sera pareil pour des autres d’autres réglementations telles que le RGPD ou le droit de la concurrence. Donc on s’assure de la conformité de notre entreprise à toutes ces réglementations. On forme les employés à ces réglementations et on les forme aussi si possible au cas de visite surprise, donc dawn raid, qui sont donc diligentées par les autorités. Et pour ce qui concerne l’AFA, elle peut faire des contrôles sur place ou autre.
Journaliste : Et là, on remarque sur ces derniers mois ou sur cette dernière année, il y a une intensification où est-ce qu’on est dans dans la prolongation de ce qu’on a ?
Valérie Valais : Alors en tout cas, c’était c’était la volonté d’Isabelle Jegouzo en tout cas présidente donc de l’AFA, ou directrice, pardon, je ne sais pas si dans les faits il y a eu vraiment plus de contrôle. On n’a pas plus… on attendra le rapport 2024 pour voir s’il y a eu un accroissement en effet de leur activité de contrôle. Pour l’instant, on n’a pas d’élément particulier sur ce domaine là. Une chose importante, je pense en cas de contrôle, la direction juridique a vraiment son rôle à jouer là aussi puisque elle va être là pour répondre aux questions de l’AFA. Elle va elle va s’assurer donc de répondre de manière transparente, de fournir les informations qu’il faut et cetera. Quelque chose d’important, c’est vraiment de noter tout tout ce que l’on donne, tout ce que l’on fait, tous les échanges que l’on a avec l’AFA. Avoir un référent au sein de l’entreprise, un point de contact qui sera donc dans la direction juridique ou direction éthique et compliance selon comment c’est organisé. Et important de faire ensuite à ce contrôle également des audits internes, revoir les processus le cas échéant pour s’assurer d’une mise en conformité plus élaborée. Peut-être un autre point que j’ai oublié avant tout contrôle, enfin ou donc pour prévenir ces contrôles, c’est intéressant de remplir le formulaire Sapin II qui fait à peu près une 150 questions à peu près. Voilà, et qui nous permet d’être beaucoup mieux préparé juste assez contrôle.
Journaliste : Merci Valérie Valais, on va aborder à présent avec vous François-Pierre Lani un sujet que Valérie Valais a commencé à aborder ou en tout cas à évoquer : le RGPD. Quelques mots sur sur cette actualité rapidement. Bon, c’est une réglementation qui date maintenant depuis plusieurs années, 6 ans. Est-ce que le nombre de plaintes augmente ? Est-ce que les amendes augmentent ? Est-ce que les sanctions contre les entreprises augmentent ? Est-ce qu’il faut être encore plus vigilant quand on est directeur juridique d’une entreprise ces questions de de protection des données ?
François-Pierre Lani : Alors, alors un premier constat tout de même, c’est que désormais les entreprises françaises ont bien intégré le RGPD, et j’ai envie de dire quelle que soit leur taille. Alors, effectivement, on a encore des problèmes sur les toutes petites entreprises, voire certaines PME, mais les grands groupes ont pris dès l’adoption et même avant l’entrée en vigueur du RGPD les mesures nécessaires pour se mettre en conformité. Donc globalement, on a une vision plutôt positive. Il n’en demeure pas moins qu’il y a des nouveaux sujets qui arrivent sur la table, et notamment l’utilisation, on y reviendra tout à l’heure, des outils d’intelligence artificielle. Et donc la nécessité là encore de se mettre en conformité avec une complexité des des produits, de l’utilisation qui qui rend quand même le métier des DPO extrêmement difficile. Alors beaucoup de contrôles, 350 contrôles quand même sur sur place ou sur pied. Donc montée en puissance des contrôles de la CNIL, des sanctions tout de même importantes, on a vu plus de 10 millions d’euros de de de de sanction. Donc on a quand même des des exemples et ça peut concerner aussi des bien plus petites entreprises.
Journaliste : Oui, alors ça concerne des bien plus petites entreprises avec des montants moindres.
François-Pierre Lani : Mais immanquablement, on a des processus, nous, et on le voit bien, assez simple de plaintes de personnes concernées, instruites par la CNIL. Et alors dans le processus, c’est pas la sanction qui tombe tout de suite. Donc là aussi, la CNIL a un rôle pédagogique. J’explique ce qui me semble conforme, je mets en demeure l’entreprise de se mettre en conformité, et le cas échéant, contenu de la gravité ou la récidive de l’entreprise, je sanctionne. Emmanuel Daoud, un mot sur le RGPD.
Emmanuel Daoud : Alors, peut-être souligner ce qui correspondrait peut-être à une porte qui est déjà ouverte et que tous nos toutes les auditrices et les auditeurs connaissent déjà, mais c’est l’interaction entre toutes ces réglementations. Et d’où l’intérêt d’une conférence de de cette nature. Quand il y a une procédure engagée par la CNIL, parfois il y a des fuites et il y a une atteinte à la réputation des entreprises. Et l’on dit fuite de données, une enquête est engagée, et ça fait les titres des médias. Et plus évidemment l’entreprise est connue, plus c’est une marque, une marque mondiale, et plus l’intérêt des médias est important. Si en plus il y a une sanction et que cette sanction, comme le prévoit la CNIL, est affichée, c’est-à-dire il y a une publicité. Vous pouvez avoir non pas le double effet kiss cool, mais vous pouvez aussi, quand on fait le le lien par exemple avec le devoir de vigilance, le respect des droits humains. Parmi les droits humains, il y a le respect de du droit à la vie privée. Et donc vous pouvez aussi être affiché, c’est-à-dire j’ai une procédure contre contre moi, j’ai une sanction et je vais devoir rendre compte à mon écosystème, partenaires commerciaux, fournisseurs, clients, pourquoi je n’ai pas respecté le RGPD. Et je je pense, mais vraiment sans crier au loup, que bien sûr comme comme vous le disiez, c’est une réglementation qui est parfaitement intégrée par les entreprises françaises aujourd’hui. Mais c’est vraiment un risque ou en tout cas la nécessité de prévenir ce risque de manière continue avec des efforts répétés parce que l’on peut se retrouver au travers d’une procédure, voire même d’une sanction, d’être exclus de certains circuits de partenariat économique. La nouvelle, on va en parler, la nouvelle directive devoir de vigilance, elle elle couvre toute la chaîne d’activité par rapport à la loi devoir de vigilance 2017. Toute la chaîne d’activité, c’est l’amont et l’aval. Qu’est-ce que je fais si je suis interpellé par mes clients principaux, par mes fournisseurs principaux en disant qu’est-ce que vous avez fait ? Donc c’est un sujet, un sujet vraiment à flaguer et il faut faire attention, un effet boule de neige d’une certaine manière. Un autre domaine et qui là aussi a mené à une affaire emblématique relayée dans dans la presse : le droit de la concurrence, François-Pierre Lani, l’affaire Broadcom. Ce géant semionducteur américain qui est dans dans le viseur de la justice, voilà. Est-ce que le est-ce que les la réglementation, est-ce que le DMA, est-ce que ça donne des résultats, voilà dans dans dans la vraie vie ?
François-Pierre Lani : Alors l’affaire Broadcom, je la connais bien pour défendre plus d’une dizaine d’entreprises qui qui effectivement se considère comme victime d’un changement de politique tarifaire de de de la société Broadcom. Des des semi-conducteurs. Oui, alors c’est surtout sur l’activité VMware, donc l’activité de virtualisation qu’elle a racheté à grands frais, un coût, un coût énorme. Et comme toute entreprise qui investit fortement, voire même au-delà d’une valeur intrinsèque de l’entreprise, une décision de changer de politique tarifaire, de créer des bundles que certains considèrent comme comme inutile et donc comme survendu. Et puis des résiliations de de de contrat qui peuvent être considérés comme alors, précision, aujourd’hui aucune aucune procédure en tant que telle n’est lancée par des autorités. Elles ont été saisies, Autorité de la concurrence, Commission européenne, mais rien d’officiel. Aujourd’hui que des actions judiciaires d’entreprise ont été ont été lancées.
Journaliste : Si j’en reviens déjà aux leçons de ce type…
François-Pierre Lani : Alors, d’une façon, d’une façon générale, cette affaire est symptomatique d’un comportement devenu intolérable et inacceptable pour certains utilisateurs, notamment quand l’entreprise est en position dominante. Ce qui est le cas de de de notre analyse, mais partagé par beaucoup beaucoup de mes confrères et et spécialistes, et bien le fait que on ne peut plus accepter voilà des des des comportements unilatéraux et essayer de remettre sur la table le consensualisme. C’est-à-dire je veux discuter, je veux renégocier, et tu ne peux pas décider de façon unilatérale que tu arrêtes une relation commerciale, que tu changes unilatéralement les prix avec un un multipliant parfois x 5 x 10 du prix que j’ai eu l’année d’avant. Voilà, donc c’est symptomatique d’une réaction des entreprises utilisatrices qui ne peuvent plus accepter d’être pris dans les taux en fait.
Journaliste : Valérie Valais, ça veut dire que quand on est directeur juridique d’une entreprise, il faut anticiper ces questions de de droit de la concurrence, anticiper ce ce ce genre de pratique qui est dénoncée aujourd’hui là chez un géant américain, mais ça peut exister chez nous en Europe ?
Valérie Valais : En effet, il est important d’être vigilant au sein des entreprises, de respecter évidemment toutes les réglementations et notamment le droit de la concurrence. Surtout que ça ça se voit assez rapidement avec nos partenaires, nos clients, nos fournisseurs et cetera. Donc c’est c’est vraiment fondamental. Ça passe par l’écriture de de code de conduite en en droit de la concurrence, de de chartes qui peuvent expliquer ou de guides pratiques qui vont expliquer à nos collaborateurs les règles à respecter et puis des formations bien entendu, c’est très important.
Journaliste : François Le Maestre, un commentaire sur ce point ?
François Le Maestre : Je dirais que c’est une partie de la concurrence qui se développe de plus en plus. Les entreprises doivent faire extrêmement attention à ces éléments là et sur leur politique commerciale de ne pas se retrouver dans la situation. Mais l’Autorité de la concurrence est devenue une autorité de contrôle de de la pratique commerciale liée à la donnée. Et donc on voit aujourd’hui l’Autorité de la concurrence sanctionner, donner des avis dans le secteur du cloud, dans le secteur du… donc software as a service. Exactement. Donc qui sont qui sont des contrats, mais nos auditeurs les connaissent parfaitement, qui sont des contrats d’abonnement sur une durée sur une durée donnée d’un service. Il est un logiciel mais son hébergement, sa maintenance, tout est compris. Voilà, et donc ça c’est un côté très attractif en fin de compte pour un prix d’abonnement donné, tout est compris. Voilà, mais et là aussi certains éditeurs dans leurs pratiques tarifaires et notamment sur leur marché peuvent avoir des pratiques d’abus en terme contractuel ou en terme tarifaire et l’autorité est là pour effectivement contrôler, faire des enquêtes, donner des avis et sanctionner.
Journaliste : Vous allez conserver la parole François-Pierre Lani puisqu’on en arrive à notre deuxième Grand Chapitre, peut-être le le plus consistant de de cette conférence organisée ici par Le Droit Pour Moi : la cybersécurité et l’intelligence artificielle. On va voir ce qui a avancé, puis on va voir aussi les les perspectives pour les les prochaines années. Et là, pour le coup, énormément d’actualité en 2024.
François-Pierre Lani : Oui, alors je je plains souvent les les juristes et les directeurs juridiques pour pouvoir digérer, ingérer, on pense à vous, la réglementation juridique qui nous écoute. Voilà, la réglementation européenne et la profusion de de texte où il y a véritablement de quoi perdre son latin. En revanche, il y avait une nécessité absolue de dresser des cadres pour protéger les les entreprises. On a une profusion d’attaques et on peut-être naïvement on considérait que ça allait se tempérer, se se calmer, c’est absolument pas le cas sur l’année 2022 notamment sur les ransomware. Alors oui, les entreprises ont pris à bras le corps la nécessité de protection de leur système d’information. Généralement le poste de RSSI, donc de chargé de la sécurité des systèmes d’information est créé depuis quelques années. Mais on a vu une augmentation de de de ces postes ces ces dernières années. Et puis et la nécessité effectivement de de de de se protéger avec une autorité chez nous qui s’appelle l’ANSSI et qui a un devoir pédagogique extraordinaire. Donc qui est une organisation de vigilance sur la sécurité en France informatique pédagogique qui émet des recommandations notamment comment protéger et même au niveau de l’utilisateur et au niveau des des DSI des recommandations sur l’utilisation notamment par exemple la double authentification qui est devenue aujourd’hui un un processus technique obligatoire. À défaut, on considère que vous n’êtes pas protégé. Et à l’initiative aussi législative puisque l’ANSSI a préparé le projet de loi qui est qui va être sur le bureau de l’Assemblée nationale pour intégrer la fameuse directive NIS 2, le 2e exemplaire de de NIS qui rend obligatoire un certain nombre d’actions de prévention pour dans l’intérêt des des entreprises.
Journaliste : Emmanuel Daoud, sur cette question de la cybersécurité avant d’en venir à l’intelligence artificielle, ce ce double mouvement, multiplication des attaques, vous en parliez tout à l’heure, médiatisation, risque pour la réputation des entreprises lié à ça, et puis une législation qui est en train d’évoluer et qui va imposer de de nouvelles actions de la part des entreprises.
Emmanuel Daoud : Je je dirais deux mots sur sur l’intelligence artificielle le moment venu. Mais s’agissant de la cybersécurité qui est évidemment liée à l’utilisation de l’intelligence artificielle. Et déjà dans les cabinets d’avocats on voit arriver des dossiers complètement incroyables notamment sur la fabrication de preuves, mais je le dirai, j’en parlerai plus en détail tout à l’heure lorsque vous me redonnerez la parole. Parce que ce que je vois moi de mon point de vue de de de pénaliste et de notre cabinet, et c’est très c’est parfois pas compris par les entreprises, par nos par les directions juridiques, directrices juridique, directeur juridique, c’est que il peut y avoir des usurpations d’identité, des des escroqueries, des des contrefaçons où les entreprises sont touchées au cœur. Elles veulent, et c’est normal, déposer plainte, elles veulent réagir. Et souvent parce que notre justice est pauvre, parce que les moyens de la police et de la gendarmerie ne sont pas suffisants au vu de l’ampleur de des attaques, on a souvent des réponses qui sont celles de l’institution judiciaire avec classement sans suite, l’auteur de l’infraction n’a pas été identifié. Pourquoi ? Parce que beaucoup de réseaux criminels sont à l’étranger, que ça se passe pas ça se passe pas place de la Concorde, c’est ils sont disséminés un peu partout, on n’arrive pas à les identifier. Et donc que il faut bien que le parquet, parquet donc c’est Procureur de la République compétent, il y a le parquet de Paris qui est une compétence nationale sur certains dossiers, dit bah moi je vais pas mobiliser des des des ressources pour investiguer en pure perte parce qu’on va pas les identifier. Alors les entreprises vous disent bah ça sert à rien. Je me permets simplement sous le contrôle de l’ensemble des des des des participants à cette table ronde et participants, c’est ça sert à quelque chose. Pourquoi ? Parce que on dépose plainte, on saisit les services compétents, notamment les services de la gendarmerie spécialisée, on va travailler avec l’ANSSI et on va pouvoir établir des cartographies des réseaux criminels. Alors cette fois-ci on les coincera pas, mais une autre fois ça aide collectivement.
François-Pierre Lani : Pas toujours dans dans l’immédiat. Oui, alors ça bouge quand même beaucoup sincèrement dans l’organisation du du parquet. Il y a une section spécialisée qui s’appelle J3, d’accès extrêmement facile notamment quand on a on gère ces ces dossiers de de cyberattaque. Une mobilisation avec des magistrats spécialisés. Et donc comme le disait Emmanuel Daoud tout à l’heure, on s’est senti au nom de nos clients totalement oubliés pendant des années. Et et les cyberattaques, ce n’est pas que 2024, ça a commencé dès les années 2016 2017 2018. On a géré au sein du cabinet des spear. Donc on a aujourd’hui un service spécialisé au niveau du du du du parquet qui communique et qui travaille en interopérabilité avec les d’autres sections criminelles des parquets notamment européens, mais pas que américains. Donc ça commence à s’organiser comme le sous-entendait Emmanuel. Et surtout on va avoir des autorités de de protection de la sécurité au niveau européen. Et et et donc l’idée notamment aussi de NIS 2, c’est d’organiser cette interconnexion entre les différentes agences nationales sous la tutelle d’une agence globale. Et donc une amélioration certaine de ces cas de cybercriminalité.
Journaliste : Emmanuel Daoud a levé le doigt, mais je donne rapidement la parole aussi à Valérie Valais par rapport à ce qu’on disait il y a quelques instants, ça sert à quelque chose de porter plainte, d’aller d’aller en justice pour des faits de cyberattaque même si on se dit que le résultat ne sera pas immédiat ou il n’y aura pas de résultat du tout peut-être.
Valérie Valais : Alors, comme l’a dit très bien François-Pierre Lani, oui, je c’est évidemment essentiel. Emmanuel Daoud l’a dit également pour pour permettre de faire avancer la lutte contre la cybercriminalité. Mais il y a aussi des obligations légales de toute façon de de notification aux autorités. Donc l’ANSSI pour certaines organisations, déposer plainte au commissariat ou à la gendarmerie, notifier à la CNIL s’il y a des violations de données personnelles. J’en oublie, notifier à l’assurance. Donc on a on a pas mal d’obligations quand même qui sont qui sont imposées par les textes. Des obligations dans des délais très contraints, puisque c’est 72 heures et 24 heures maintenant avec NIS 2 pour la notification auprès de des CSIRT. Je me souviens plus, je suis désolé de de le de ce que signifie l’acronyme. Et donc donc les délais sont très contraints, c’est essentiel. Ça va nous permettre aussi nous de de préserver nos preuves. Nous-mêmes, le groupe Lacroix, on a été victime d’une d’une cyberattaque en mai dernier. Donc il y a un peu plus d’un an maintenant. Nous avons respecté toute cette procédure. Nous avons c’est important de faire une main courante de tout ce que l’on fait. Préserver les preuves, je l’ai dit, les rapports forensic donc d’analyse d’expertise des cyberattaques sont évidemment essentielles. Je recommanderais de les transmettre dans les les relations clients avocats pour préserver le secret de la correspondance. Obtenir un résumé de ce de cette analyse forensic par par les experts pour pouvoir le donner à nos clients, nos fournisseurs et cetera. Et puis évidemment la communication va être essentielle dans dans toute cette procédure. Communication vis-à-vis de nos clients, de enfin de nos parties prenantes de manière générale et auprès du public également.
Journaliste : N’hésitez pas si vous avez des questions à poser sur ces questions de cybercriminalité, sur et bien toutes les questions que pose l’avènement de l’intelligence artificielle et toutes les autres toutes les autres thématiques que nous abordons ici. N’hésitez pas à poser vos questions lors de cette conférence, nous nous les poserons directement à nos intervenants.
François-Pierre Lani : Un petit point, pardon, un petit point complémentaire notamment pour les directions juridique et autres DPO au sein de l’entreprise : nécessité de sensibiliser, de former. Donc organiser des des tests, simuler des cyberattaques dans l’entreprise. Et et ça veut dire quoi simuler ? Ça veut dire effectivement monter des scripts de de de de cyberattaque. Et surtout organiser les cellules de crise. Je n’ai vu que trop souvent s’instaurer la panique générale dans les entreprises parce qu’elles sont pas entraînées et surtout elles sont pas habituées à monter des des cellules de crise dans lesquelles comme le suggérait Valérie Valais doivent être intégrés non seulement la direction juridique, mais la communication de de de crise. Et surtout les tiers qui vont intervenir. Le CERT qui va être mobilisé pour effectivement faire l’audit forensic, c’est-à-dire trouver par où et comment sont passés les cyber les cybercriminels. Les avocats parce que et se construire un réseau : qui je saisis ? À qui auprès de qui je vais porter plainte ? Voilà, et donc donc quand on a on en a les moyens faire appel à des sociétés spécialisées ou alors embaucher dans ses propres équipes des des spécialistes. Alors attention, généralement en cas de de cyberattaque, on fait appel quasi systématiquement.
Journaliste : Sauf quand c’est l’ANSSI qui prend… dans dans la prévention.
François-Pierre Lani : Ah oui, dans la prévention bien sûr.
Valérie Valais : Oui, oui bien sûr, oui. Alors on peut en effet faire appel à des sociétés tierces, ça nous permet d’être conseillé en effet si toutefois on n’a pas le budget pour se faire. Ce qui est important, c’est de discuter avec les les les services que vous avez listés, donc globalement DSI, direction générale, communication, direction juridique évidemment notamment. Et établir une procédure.
Journaliste : En fait, qu’est-ce qui se passe le jour où j’ai une cyberattaque, comme si on avait une attaque terroriste ?
Valérie Valais : Oui, exactement. Et alors, on peut aussi en effet, j’ai eu l’occasion de le faire au moment du passage à l’an 2000 où on avait vraiment tout prévu. C’était c’était chez HP, ça remonte un petit peu maintenant. Et on avait vraiment tout préparé en effet. On avait fait des une cellule de crise, on fait des faux, enfin bref, des des des tests et cetera. Sans aller jusque-là, en tout cas, ce qui est important, c’est de se poser en effet, tant que tout est calme, d’avoir une procédure bien établie sur qui contacte, comment le faire, quels sont les numéros surtout, avoir bien les numéros des assureurs et cetera, en dehors du système, pas en ligne quoi. Donc les avoir sur des papiers, sur sur quelque chose, sur son PC, mais disque dur et non pas accessible uniquement en ligne. Des des petites bricoles qui peuvent paraître des détails et qui sont extrêmement importants le jour J. Et cette cellule de crise, elle est fondamentale. Nous-mêmes, on avait donc organisé cette cellule de crise en interne et on on avait des calls tous les soirs, week-end compris, pour voir l’évolution de la situation et comment comment on y faisait face.
Journaliste : Emmanuel Daoud, ça va être de pire en pire avec l’intelligence artificielle. Les attaques vont vont se multiplier encore plus que que ces dernières années ?
Emmanuel Daoud : Alors, c’est une c’est une évidence. Et avant que de répondre à cette interrogation, interpellation, je voudrais vraiment insister parce que c’est ce que c’est ce que je voulais dire, sur redire ce qui a été dit par par nos amis. C’est que moi je considère que de ne pas se préparer, de ne pas simuler ces attaques, de ne pas avoir des procédures écrites, de ne pas se basculer immédiatement en mode de gestion de crise et de se préparer à cette éventualité. Je vais pas dire que ça relève d’une faute professionnelle parce que je suis pas là pour être un donneur de leçon et ce sera incongru et déplacé. Et les entreprises et les directions juridiques, elles ont les budgets qu’elles ont et elles font avec ce qu’elles ont. Mais vraiment ça devient une une véritable nécessité, surtout parce que lorsque vous avez affaire à l’autorité judiciaire, au service d’enquête et d’investigation, on va vous poser la question : qu’est-ce que vous avez fait ? Qu’est-ce que vous avez prévu ? Comment ça a été géré ? Et parfois, je le dis encore une fois sans être un donneur de leçon, on a l’impression dans certains cas, parce que T autour de cette table, on a connu peut-être plus que d’autres des crises de cette nature, l’aspect financier, c’est super important comme l’aspect communication. Que l’aspect assuranciel va prendre le pas sur un certain nombre de décisions qui devraient être prises peut-être de façon simultanée. Je vais pas plus loin, on n’a pas le temps, mais vraiment se préparer, écrire le protocole, former, c’est aujourd’hui essentiel. Et donc comme ça va se multiplier avec l’intelligence artificielle, il faut encore mieux se préparer. Je vous donne de mon petit point de vue de de de pénaliste par exemple. Maintenant, on vient d’être saisi depuis le début de l’année de preuves qui sont fabriquées par le biais de l’intelligence artificielle, de faux enregistrements qui vont servir de preuve dans des contentieux. C’est-à-dire qu’aujourd’hui, comme vous le savez, l’intelligence artificielle permet de composer, d’enregistrer des des des des chansons par exemple, on le sait tous. Maintenant, vous avez des enregistrements audio qui sont produits. Et le dernier cas, ça tombe évidemment, je vais donner aucun nom et vous allez bien comprendre pourquoi. Le dernier dossier que j’ai eu à traiter, il date de la semaine dernière. Qu’est-ce que c’est ? Une entreprise d’une certaine taille, une directrice générale qui fait son qui fait son travail, il faut que la boîte doit être redressée. Donc elle prend des décisions pas simples. Et qu’est-ce qui est diffusé sur l’Intranet de certains de ses collaborateurs et collaboratrices ? Des fausses vidéos pornographiques qui ont été construites à partir de l’intelligence artificielle où on la met en scène, je veux pas être scabreux et grivois, et qui sont diffusées. Vous imaginez les… enfin j’ai pas besoin d’ajouter. Et donc nous, on doit maintenant travailler à comment on remonte la piste de ces fausses, la construction, déconstruire, ça va très loin dans tous les sens. Et la cybersécurité fait partie du sujet.
Journaliste : François Le Maestre, juste, est-ce que vous avez un conseil, une recommandation, un retour d’expérience ?
François Le Maestre : Sensibilisation des collaborateurs, ça a été dit par plusieurs personnes dont Valérie Valais. L’aspect formation, parce que il faut en effet créer des procédures de secours en cas de en cas de problème. Mais il faut instruire tous les collaborateurs, c’est le cas dans tous les sujets et cyber particulièrement, cyber, RGPD et après corruption bien sûr. Mais cyber, il est vraiment nécessaire de faire de la vulgarisation auprès de tous les collaborateurs par des outils.
Journaliste : Alors on a des questions qui portent sur les questions, les sujets que l’on évoque à présent. Valérie Valais, une personne, une personne morale peut-elle invoquer l’usurpation d’identité lorsqu’est utilisé illégalement son numéro Siren, sa dénomination sociale, son RIB par un tiers ? Et sinon, quel fondement peut-elle avoquer ?
Valérie Valais : Alors, je profite juste d’avoir la parole parce que je voulais juste ajouter quelque chose par rapport à ce qu’a dit Emmanuel. Je suis navrée, mais ça prend 2 secondes. Dans la préparation, c’est important aussi de garder à l’esprit d’auditer ses fournisseurs ou ses prestataires de service. Et donc et donc et aussi de leur envoyer un un questionnaire, que ce soit pour le RGPD, pour la sécurité et cetera, pour s’assurer qu’il respecte bien les réglementations. Et nous ça va nous permettre de nous dédouaner à certains égards. Ou c’est devenu obligatoire en fait maintenant. Pour revenir pour revenir à la question, je pense que François-Pierre Lani est beaucoup, Emmanuel Daoud même, c’est Emmanuel le pénaliste, mais…
Emmanuel Daoud : On a la réponse. La réponse est oui, oui, oui, on peut invoquer l’usurpation d’identité. Sur les deux dernières années, on a on a déposé 40 plaintes sur le sujet pour usurpation d’identité de d’entreprise. Donc une personne morale est justifiable comme une personne physique, elle a une identité et cette identité peut être usurpée. Par exemple, les cas les plus récurrents en ce moment, c’est les les appels publics à l’épargne. C’est-à-dire que vous avez des entreprises qui commercialisent des produits financiers et vous avez des escrocs qui qui vont ont proposé à partir de l’identité de ces entreprises des produits financiers avec des performances financières extraordinaires. Et il y a toujours, je le dis de façon triviale, mais il y a toujours des des des des des pigeons ou des gogos qui imaginent que le rendement à 40 % c’est et mais avec des sommes qui sont mais considérables. Enfin, c’est des c’est des escroqueries et je vais pas citer de de dossiers de de dizaines de millions d’euros. C’est et voilà, donc la réponse est oui.
Journaliste : Question, on va pas pouvoir répondre à toutes, François-Pierre Lani, est-ce qu’il est-ce qu’il existe déjà des pistes de transposition de la directive NIS 2 en France, entre parenthèses projet en cours, le gouvernement, le Sénat, l’Assemblée nationale ?
François-Pierre Lani : Oui, oui, complètement. Plutôt bien anticipé par la France. Donc qui alors qui se vantait d’être à jour au 17 octobre 2024, date où cette directive devait être être transposée. Donc un projet de loi enfin préparé par l’ANSSI et sur lequel l’ANSSI commence à communiquer plutôt fortement. Et donc projet inscrit sur le bureau de l’Assemblée nationale. Voilà, donc alors on sait ce qui s’est passé en France et consécutivement aux élections législatives. Donc on a perdu immanquablement beaucoup de de de temps. Je pense pas que la date du 17 octobre sera respectée. Mais immanquablement le Parlement votera sa loi de transposition avant la fin de l’année.
Journaliste : On en vient à notre sujet sur l’intelligence artificielle. Une véritable révolution dans le monde du travail, une révolution qui est lancée, qui est en cours et qui a certainement de l’avenir. Une accélération de la productivité. François Le Maestre, quelle expérience vous pouvez nous partager, votre expérience dans dans l’entreprise et l’expérience en tant que conseil ? Quelles sont les questions que qu’on vous…
François Le Maestre : Il y a toute toute une partie sur la question éthique. C’est l’utilisation de l’intelligence artificielle, comme on peut le faire notamment dans l’automobile, ça pose beaucoup de questions morales sur quand le véhicule autonome, quelles sont les limites que l’on peut donner à l’intelligence artificielle. Et bah un sujet énorme et un manque de moyens et un besoin énorme d’assistance je dirais dans ce domaine là parce que c’est quand même des domaines complètement nouveaux où il y a un manque de compétences en interne et donc une montée en compétence nécessaire. Qui va parler de panique par rapport à la cybersécurité, c’est c’est à peu près la même chose. C’est à peu près la même chose. Donc il faut trouver les bons profils pour travailler sur le sujet. C’est une des grosses grosses difficultés actuellement dans l’intelligence artificielle. On en parle beaucoup, mais il faut la mettre en œuvre, il faut trouver les gens pour le faire. C’est le principal, enfin moi je le vois de côté praticien, la principale difficulté. Donc il faut s’appuyer sur des partenaires extérieurs. Lesquels pour progresser sur ce sujet ?
Journaliste : François-Pierre Lani, c’est une question d’ailleurs qui nous est posée là : quel nouveau rôle du juriste et de la Direction Juridique face aux nouvelles réglementations sur l’intelligence artificielle ? On a un IA Act qui qui vient de nous arriver.
François-Pierre Lani : Alors énorme. En fait, je dis que les directions juridiques ont vécu le tsunami du RGPD tout de même. Parce que en terme d’organisation, en terme de de concept mis sur la table par le RGPD, il fallait l’assimiler, le comprendre puisqu’il différenciait quand même tout de même sur pas mal de points de notre Loi Informatique et Libertés antérieure, celle de 78. Et le règlement sur l’intelligence artificielle c’est c’est la même chose puisque alors on est, les directions juridiques sont habituées aujourd’hui au processus de mise en conformité. Donc cartographie. Là, on a un concept nouveau puisqu’il va il va falloir travailler cette mise en conformité conformément à ce règlement d’intelligence artificielle qui gère par le risque. Donc on a des une graduation du risque et donc des outils des SIA, puisqu’on les appelle comme ça, système d’intelligence artificielle, par le risque. Et donc on a une démarche un peu différente. Au lieu d’avoir une démarche globale, on a une démarche par par par le risque. Et donc tout de suite, c’est entrée en vigueur début août. Voilà, avec une obligation de mise en œuvre de certaine conformité quasi immédiate, février 2025, notamment sur les IA dites interdites, inacceptables suivant les traductions que l’on fait. Donc c’est tout de suite maintenant. Alors comment ça s’organise ? Les DPO à juste raison revendiquent cette cette ce cette nouvelle tâche dans leur escarcelle. Et je pense parce qu’ils sont habitués à la méthode, mais ça va fonctionner avec la direction juridique. Et puis alors on a on commence à avoir, puisqu’on en a installé un chez un de nos clients, un un directeur compliance IA. Donc alors qui est au sein de la direction conformité, voilà, mais qui n’est pas le DPO ni le directeur juridique.
Journaliste : C’est la question que j’allais vous poser Valérie Valais : qu’est-ce que on fait ? Je suis directeur juridique, je suis un peu perdu face à cette flambée de l’intelligence artificielle. J’embauche immédiatement, il y a des nouveaux métiers de de de responsable de la conformité IA qui sont en train de se créer ?
Valérie Valais : Alors, je ne vais pas paraphraser ce qu’a dit François-Pierre puisque en effet tout ce qui a été RGPD, on l’a vu, on a créé des nouvelles fonctions, notamment avec les DPO. Aujourd’hui, c’est un peu différent avec l’IA Act puisque ce n’est pas obligatoire. Donc on est dans un prisme un peu un peu un peu différent. Pour autant, est-ce que ce doit être un juriste ou non ? On s’était posé la question à l’époque des DPO. Je pense que pour un DPO, c’était peut-être assez opportun que ce soit un juriste qui a des appétences techniques. Là, je le verrai plutôt à l’inverse. C’est-à-dire que le juriste évidemment dans le cadre de ce de de la mise en œuvre de l’IA Act va avoir un rôle très important puisque déjà il faut qu’il qu’il digère en effet la réglementation qui est quand même assez complexe et qu’il qu’il définisse quels sont ces les impacts de cette réglementation dans son entreprise. Puisque l’IA Act a une particularité, c’est qu’elle couvre à peu près toutes les IA existantes. Et surtout elle concerne tous les acteurs, que ce soit les fournisseurs, les distributeurs, les importateurs, mais aussi les utilisateurs. Donc ça veut dire que toutes les entreprises sont concernées puisque à tout moment une entreprise utilise de l’IA dans ses services. Donc il y a des des obligations qui sont imposées à ces utilisateurs, notamment par rapport à cette IA. Donc le rôle du juriste, ça va être aussi ça va être de définir ces ces catégories d’IA qui sont mentionnées dans le règlement, les obligations qui qui qui correspondent, et aussi de d’aider les dirigeants à définir la stratégie de l’entreprise. Parce que pour une entreprise comme la nôtre par exemple, qui fournit des produits, qui développe des solutions IoT industrielles, donc Internet des Objets, on va on va pouvoir intégrer de l’IA dans nos produits. La question qui va se poser, c’est est-ce que on veut développer l’IA nous-même ? Dans ce cas-là, on a certaines obligations très importantes. Est-ce que on veut au contraire l’intégrer, intégrer pardon, de l’IA tiers dans nos produits ? Ou est-ce que on veut juste entre guillemets distribuer de l’IA d’un tiers ? Donc ça, c’est très structurant pour nos business models parce que ça les incidences sont énormes pour un groupe. Donc le juriste, il est là aussi pour ça. Il est là pour définir le planning, comme on l’a fait au moment du RGPD. On sait qu’il y a des différentes étapes, une mise en application progressive de l’IA Act. Donc on va définir ce rétroplanning avec les opérationnels, avec les directions générales, la DSI. Et pour revenir à votre question sur le profil, nous aussi on a déterminé donc enfin d’abord que on allait faire une cartographie de toutes les IA qu’on utilise en interne, qu’on développe, que l’on veut développer et cetera. Et ensuite on va faire, cette cartographie est importante pour faire cette cartographie, moi je considère qu’un juriste n’est pas capable de le faire, en tout cas pas seul. Il va pouvoir faire tout ce que je vous ai dit, mais ensuite c’est plutôt des personnels des personnes pardon ingénieur en fait qui qui vont être capables de faire cette tâche. Et donc on va travailler en…
Journaliste : Il faut créer un nouveau service, un nouveau service dans l’arborescence ?
Valérie Valais : Un service, je ne sais pas, mais on on va travailler ensemble, comme on a travaillé les DPO avec les les les gens plus techniques à l’époque et qu’on continue à travailler avec eux. Nous, on est plutôt parti sur un un référent groupe qui qui aurait un profil technique, donc ingénieur avec une forte appétence en revanche pour le juridique, pour la matière juridique. Parce que s’il ne l’a pas, c’est bon de la même manière que le DPO à l’inverse c’était c’était c’était nécessaire. Un service, je ne sais pas, après ça dépend du budget de chaque entreprise. Je crois pas qu’on ait la la capacité nous de d’avoir un service entier, mais déjà un référent et qui travaille avec le directeur R&D et moi-même, je pense qu’on sera déjà pas mal.
Journaliste : François Le Maestre, vous avez la même vision sur la réaction à avoir ?
François Le Maestre : Tout à fait, il vaut mieux partir sur des profils plutôt plutôt techniques, on a vu ça aussi sur le RGPD avec une appétence, c’est ça la difficulté, avec une appétence sur la partie juridique.
Journaliste : Emmanuel Daoud, en fait, comment comment un cabinet d’avocat peut travailler sur sur ces questions avec les entreprises qui sont ses clientes ?
Emmanuel Daoud : D’abord, il faut qu’il ait la compétence et s’il l’a pas, il confie ça, il recommande d’autres d’autres cabinets d’avocat. Ça s’appelle le respect de notre déontologie. Ça veut dire aussi, et c’est ce que disait Valérie, que les cabinets d’avocats et d’avocates ne doivent pas oublier de de faire de la compliance IA et RGPD dans leurs propres organisations. Parce que si vous êtes incapable de résister à des attaques informatiques ou si par exemple, prenons cet exemple qui a déjà trouvé sa traduction aux États-Unis, vous utilisez le Chat GPT pour rédiger des consultations, des notes, conclusions et que vous les vendez à vos clients. Je précise que le cabinet Vigot ne le fait pas, on n’utilise pas Chat GPT pour ça. Mais il y a déjà des cabinets américains, et que je veux pas citer son nom, ça n’a aucun intérêt, qui s’est retrouvé sanctionné aux États-Unis parce que en fait il vendait des produits juridiques qui étaient le produit de l’intelligence artificielle et certainement pas le produit du savoir-faire, de l’expertise des avocats.
Journaliste : Donc ça c’est considéré comme une escroquerie ou du plagiat ?
Emmanuel Daoud : Bah, c’est vous appellerez ça comme vous voudrez, mais c’est pas terrible de de en tout cas, c’est à minima de l’escroquerie intellectuelle. En tout cas, ça a été considéré comme une faute civile et une faute déontologique aux États-Unis. Deuxième élément de réponse, c’est pas pour contredire ce qui ce qui a été dit avant, s’agissant du du profil, le le le mouton à cinq pattes ou la brebis à cinq pattes s’agissant du bon profil, ça ça n’existe pas. Moi, en tout cas, de là encore, j’essaie de le dire avec humilité, notre interlocuteur ou notre interlocutrice, c’est le directeur ou la directrice juridique ou ses collaborateurs et collaboratrices. Et je trouve que dans les entreprises sur tous ces sujets de régulation, de prévention, de gestion des risques, le chef d’orchestre, la chef d’orchestre, c’est le directeur ou la directrice juridique. Alors l’organisation mise en place dans dans dans le groupe de Valérie avec un référent avec un profil technique, moi je suis pas compétent pour savoir si c’est bien ou pas, si c’est je connais pas l’entreprise. En revanche, je sais que pour prévenir le risque, le gérer, protéger l’entreprise, protéger les dirigeants et les dirigeantes, protéger les collaborateurs et collaboratrices, le point de passage si j’ose dire incontournable, c’est le chef d’orchestre, la chef d’orchestre, et c’est le premier avocat et la première avocate de l’entreprise, c’est la directrice juridique ou directeur juridique.
Journaliste : Et et comme vous voulez dire que la directrice ou le directeur juridique doivent eux-mêmes se former, se payent des formations ?
Emmanuel Daoud : Moi je spécifie pour l’entreprise quelques jours au moins pour pour pour se former à ça. On peut s’autoformer. On peut s’autoformer. Et je je je suis vraisemblablement le plus âgé autour de cette table. Au contact de technicien oui, mais mais ça veut dire aussi qu’on a cette obligation déontologique professionnelle chacun dans nos métiers et dans nos expertises de s’autoformer. Et si on n’est pas capable de le faire parce que on est quasiment obsolète sur le plan technique, et ben il y a des des des des des avocats et des avocates, je parle des des cabinets d’avocats, plus jeunes, plus formés qui qui arrivent et qui vous qui vous font grandir et qui font en sorte que que le cabinet peut répondre aux demandes de de des justiciables. C’est enfin c’est du très concret et basique.
Journaliste : Un tout dernier mot François-Pierre Lani et on referme ce chapitre sur l’intelligence artificielle avant de passer à la suite.
François-Pierre Lani : Oui, il faut y aller. Donc alors il y a effectivement cette étape de digestion du règlement de l’intelligence artificielle. Définir une définir une stratégie globale de l’utilisation de ces outils dans ses propres services et outils. C’est-à-dire ceux qu’on va revendre ou commercialiser et l’utilisation notamment de l’IA générative. Là aussi sensibilisation de l’IA générative parce qu’elle pose un certain nombre de de problèmes. Emmanuel les a souligné pour pour pour les avocats. Ce sont des outils extrêmement utiles, extrêmement performants et je suis subjugué chaque jour de de de la capacité à répondre à certaines problématiques. En revanche, ça pose des problèmes de confidentialité, de secret des affaires, de droits d’auteur. Voilà, et donc on peut pas utiliser ces outils alors quand pour les entreprises. Donc il y a des stratégies à définir et certaines d’entre elles ont commencé puisqu’on en assiste quelques grands groupes dans cette stratégie interne et puis de mise en conformité du Règlement. Deux choses bien différentes.
Journaliste : Et bien, je crois que tout le monde tout le monde est prévenu, tous les directeurs et et les directrices juridiques sont sont prévenus. Vous continuez à nous poser vos questions, elles apparaissent sur l’écran de mon ordinateur et je les transmets à nos intervenants. Notre 3e chapitre qui vous concerne par exemple Emmanuel Daoud : la RSE et le devoir de vigilance. Là encore une nouvelle directive adoptée au mois de juin au niveau européen sur le devoir de vigilance. Comment se préparer dans les entreprises, compris d’un point de vue pénal ?
Emmanuel Daoud : Alors d’abord, la la je sais pas si c’est une bonne nouvelle, mais elle va pas entrer en vigueur cette année ni l’année ni l’année prochaine. Je vais pas rentrer dans dans les détails, il y a des seuils, c’est décalé dans le temps. Mais évidemment, quand on est en fonction et en mission de direction juridique ou de compliance officer, il faut il faut s’y préparer. Peut-être que ce qui est le plus intéressant à dire aux auditeurs et auditrices et peut-être que je serai que je serai contredit, c’est de voir quelle est la différence avec la loi devoir de vigilance qui est de 2017. Il y a quelques il y a quelques différences que je vais vraiment énoncer brièvement. La première chose, c’est que la directive devoir de vigilance, elle est vraiment elle met le le le le focus sur sur l’impact. C’est qu’est-ce que je vais mettre en œuvre pour prévenir, remédier aux conséquences dommageables de mon activité en matière d’atteinte aux droits humains, à la santé, à l’environnement. Il y a un volet climatique qui n’a pas été intégré malgré des obligations en matière de transition climatique. Donc c’est quel est quel est quel est l’impact. Ensuite, la directive, elle consacre, et d’ailleurs ça va ça va me permettre de faire le lien avec une décision, des décisions, trois décisions qui ont été rendues par la Cour d’appel de Paris en 2024. Il y avait un débat : est-ce que la vigilance c’est de la conformité des processus ? Où est-ce que la vigilance c’est une obligation continue d’un devoir de vigilance ? C’est-à-dire un engagement qui génère une des obligations juridiques. La directive, et d’ailleurs c’est le sens de ce que de des trois arrêts qui ont été rendus, dit c’est une obligation continue et permanente. Et donc ça s’impose en permanence aux entreprises, aux directions juridiques, c’est une obligation, il faut y faire face. La directive prévoit de manière expresse la la rédaction d’un d’un d’un code de conduite pour respecter ces obligations en matière de devoir de vigilance. Évidemment, ça nous ça nous interpelle parce que ça fait référence aussi à ce code de conduite anticorruption. Et d’ailleurs, il y a des des passerelles entre les entre les deux. On met également en place et on doit justifier d’avoir mis en place un processus de due diligence et de le documenter avec des pistes d’audit. La directive là encore, ça va surprendre personne autour de cette table, elle impose aussi l’obligation de voir le top management, les dirigeants, les dirigeantes s’impliquer et justifier qu’il s’y impliquent. Donc une fois ça veut dire très concrètement que il est pas pensable aujourd’hui que dans les COMEX, dans les conseils d’administration, dans les comités de direction, il n’y ait pas des temps consacrés à la vigilance. Alors je dis pas que c’est toutes les semaines évidemment, je serai un crétin, mais il faut que ça soit documenté et qui va présenter cela ? Alors ça sera peut-être la directrice de la RSE, ça sera peut-être la directrice juridique éthique et compliance. Moi, je pense que c’est plutôt des des des des personnes, mais peut-être que Valérie va me contredire, les professionnels de votre profil Valérie qui qui doivent porter cela et le présenter et avoir aussi en retour les budgets nécessaires et les moyens d’action nécessaires. Et aussi ce que prévoit la directive, et c’est pas innocent vraiment, c’est un renvoi pour les entreprises en annexe aux textes fondamentaux en matière de droits humains et de droit de l’environnement. Est-ce qu’on aurait pu imaginer, et j’en termine, en tout cas moi comme avocat je ne pouvais pas imaginer que la question des droits humains allait devenir, et je m’en réjouis évidemment, aussi centrale dans le dans le business. Est-ce qu’on allait, parce qu’il y a des conflits sur toute la planète malheureusement, et il doit on doit en être évidemment malheureux, des entreprises qui seraient sommées de quitter tel ou tel pays parce que sinon elles enfreindraient non seulement les procédures d’embargo et de sanction, mais aussi parce qu’elles seraient interpellées au quotidien sur le terrain du non respect des droits humains par leur parties prenantes à commencer par les ONG. C’est très compliqué sur le plan réputationnel de se dire bah c’est le business, on fait ce qu’on veut, alors même que par exemple il y a un cas fameux, je ne citerai pas l’entreprise puisque présomption d’innocence, procédure pénale en cours, à 10 km de l’un de ces grands établissements on torturait, décapitait et ont violait et on n’a pas fermé et on a continué à travailler. On a même payé, et ça c’est matériellement établi, des sommes d’argent pour sécuriser l’entreprise et pour permettre même l’acheminement des produits qui étaient produits par l’entreprise. Alors je suis pas là pour dire l’arbitre des élégances évidemment, mais vous voyez que les droits humains et tout ça c’est dans le devoir de vigilance et il va falloir rendre des comptes. Quand je dis rendre des comptes, je dis pas de façon martiale, c’est de c’est du reporting, c’est de la due diligence, c’est des pistes d’audit, mais surtout et c’est heureux ça une vision éthique. Et c’est pour permettre à chacun d’entre nous d’être fier de l’entreprise dans laquelle on bosse et aussi permettre à ces entreprises de recruter des des talents qui se diront j’ai envie de bosser dans cette boîte parce qu’elle respecte les droits humains par exemple.
Journaliste : Avant de donner merci Emmanuel, donner la parole à Valérie Valais, François Le Maestre, cette directive sur le devoir de vigilance qui donc succède succède à une autre législation, une autre réglementation et qui comme le disait Emmanuel Daoud est finalement assez enchevêtré avec les les les réglementations anticorruption par exemple.
François Le Maestre : Tout à fait. Alors ce qui est de certain, c’est que le devoir de vigilance, la loi de 2017, au niveau des entreprises, je dirais un peu plus petites, des en dessous du C40, n’avait pas vraiment suscité une comme il n’y avait pas d’ une absence de sanction, c’était pas la priorité. La priorité c’est plutôt RGPD, plutôt la lutte contre la corruption. Devoir de vigilance, aller relativement loin, était relativement loin dans les priorités. Là maintenant, il est clair que l’arrivée de la la directive européenne, même si elle on sait pas exactement quand est-ce qu’elle va être transposée, a donné un nouvel un nouvel élan dans ce domaine là au niveau mise en place dans les entreprises. La difficulté du sujet, c’est que c’est très transversal. Donc par rapport à d’autres sujets, beaucoup plus compliqués parce que ça implique pratiquement tout le monde. Il y a pas seulement la fonction achat pour tout ce qui est s’assurer que la Supply Chain est correcte. Et en effet, ça vient en plus de tout le reste qui a des similarités assez fortes avec la les aspects sur la corruption. Emmanuel Daoud l’a bien dit, le code de conduite, tone at top, donc implication de la direction générale. Les due diligence, ça c’est extrêmement compliqué parce que déjà c’est un sujet compliqué au niveau de la prévention de la corruption. Mettre ça en œuvre, c’est un des sujets les plus compliqués. Et là, on rajoute des due diligence qui doivent être faites sur la RSE, sur devoir de vigilance. Il y a des aspects communs, mais c’est différent, les objectifs sont différents, les informations qu’on peut avoir sont différentes. Et ça va être un des principaux points de difficulté je dirais au niveau des entreprises parce que derrière c’est des moyens. Oui, identification des tiers, le fait de les traiter. J’ai parlé tout à l’heure de l’absence de d’information sur les bénéficiaires, bénéficiaires ultimes, ça c’est pour les tiers français. Mais on va voir ce type de problème là sur l’ensemble des tiers, souvent dans des pays compliqués où l’information n’est pas facile à obtenir. Ça va être un des gros enjeux. Mais ce que je peux voir clairement depuis allez 6 mois, c’est que le sujet est redevenu sur le dessus de la pile. Et que on commence à travailler sur des road map pour se dire d’ici 2 ans la directive européenne sera transposée dans le droit français, donc il faut être prêt. Et c’est un travail relativement long parce qu’il y a cet aspect transversal. Il faut vraiment, et là où est-ce qu’on place le chef d’orchestre ? Est-ce que c’est la Direction Juridique, direction juridique ou compliance ? Est-ce que si on a un directeur RSE, c’est lui qui va pouvoir piloter ce domaine là ? C’est extrêmement compliqué.
Journaliste : Valérie Valais, oui, vous voulez que je réponde à la question à qui la responsabilité, au directeur juridique, au responsable RSE ?
Valérie Valais : Je dirais que c’est déjà ça dépend de la manière dont on est organisé en interne bien sûr. Puisque si la RSE dépend de la direction juridique, par définition ça sera la direction juridique. C’est souvent ce pendant encore distinct. Donc alors chez nous, c’est plutôt la RSE qui a pris en main ce sujet. Pour autant, nous évidemment en direction juridique, on est très très impliqué. Ne serait-ce que pour s’assurer de la bonne compréhension des textes, de de la bonne et de la mise en place de toutes les de tout ce qui est ce qui est demandé, notamment la possibilité de de mettre des mesures de prévention dans nos contrats et cetera. Tout ce qu’on va mettre en place le cas échéant pour lutter contre cela, comme comme on l’avait fait à l’époque dans la lutte contre la corruption. Et je je sais pas trop quoi ajouter si ce n’est qu’il faut en effet se enfin tout a été dit en fait. Et donc il faut se préparer maintenant. Et la difficulté que l’on a dans les entreprises pour rebondir sur ce que vous disiez, c’est vraiment comment on met en place cette cette due diligence de nos tiers. Puisque en effet, on a plusieurs réglementations différentes qui nous demandent des choses différentes. On ne peut pas avoir un seul outil. Déjà, avoir un outil ça coûte cher, donc si en plus on en on en a plusieurs, ça coûte évidemment beaucoup plus cher. Donc et pour avoir interrogé d’autres directeurs juridiques en la matière, c’est vraiment la difficulté que l’on rencontre aujourd’hui : c’est comment faire quand on n’a pas d’outil en fait ?
Journaliste : Question qui nous est posée : quelles seront les entreprises concernées par la directive CS3D ? Quel type de société ?
Emmanuel Daoud : Alors, il y a j’ai mes petites notes, faut pas dire de bêtises parce que j’apprends rien par cœur, ça n’a aucun intérêt. Donc j’essaie de répondre. Donc 3 ans après l’entrée en vigueur, c’est-à-dire 26 juillet 2027, ce seront les entreprises de plus de 5000 salariés réalisant un chiffre d’affaires mondial net de plus de 1,5 milliards d’euros. Et ça concerne, c’est super important, j’ai oublié de le dire, c’est que comme les entreprises françaises, mais d’autres allemandes aussi, se plaignaient d’un différentiel ou d’un désavantage concurrentiel, la directive, elle s’adresse aux entreprises sur le territoire de l’Union Européenne, mais aussi aux entreprises tierces qui réalisent ces chiffres d’affaires sur le territoire de l’Union Européenne. Donc ça veut dire que il y a en quelque sorte un un rétablissement de de de de règles de compétitivité, de concurrence qui sont plus plus plus plus équilibrées. En 2028, ce sera plus de 3000 salariés et un chiffre d’affaires net mondial de plus de 900 millions d’euros. Et le 26 juillet 2029, donc 5 ans après l’entrée en vigueur, et c’est peut-être là enfin il y a déjà des entreprises qui sont concernées dès à présent s’agissant des seuils pour le seuil pour la date du 26 juillet 2027, mais en 2029 pour les entreprises de plus de 1000 salariés réalisant un chiffre d’affaires net mondial de plus de 450 millions d’euros. Idem pour les entreprises. Donc on voit les mailles du filet. Et par et par par rapport à à à la loi devoir de vigilance de 2017 qui ne concernait que les entreprises ayant soit 10000 salariés ou 5000 salariés sur le territoire français, on voit que les seuils ont été descendus. Mais les différents lobby ou groupes d’influence ou comme on peut le comme on peut les qualifier, le premier texte qui avait reçu l’accord de toutes les parties prenantes au niveau européen, on parlait de 250 salariés et le monde de l’entreprise a réagi vigoureusement. Le seuil le seuil a augmenté. Comme je veux être politiquement correct, je vais pas dire ce que j’en pense parce qu’il y a essentiellement des directeurs juridiques et des directrices juridiques, des représentants des entreprises. On sait qui qui est concerné aujourd’hui et qui sera concerné dans les prochaines années. Au-delà de ça, quelles sanctions seront prévues si on ne respecte pas ces ces nouvelles obligations de vigilance ?
Emmanuel Daoud : C’est ce qu’a dit François, la nouveauté c’est des sanctions. Et donc là, on parle de 5 % du chiffre d’affaires mondial. Alors, c’est des sanctions théoriques et il faut pas non plus que les professionnels que nous sommes, je parle à l’attention des entreprises, on utilise parce que c’est trop facile, c’est trop grossier, le bâton et la peur du gendarme en disant attention, ça va vous tomber sur le coin de la figure, ça va arriver et donc il faut vous mettre en il faut vous vous vous mettre mettre en œuvre l’ensemble des dispositifs. La pédagogie du bâton c’est assez limite. Donc la pédagogie où on essaie d’expliquer ce qu’il faut faire, c’est autrement plus efficace. Il ne faudra pas passer dans les premiers qui seront sanctionnés parce qu’on va tous essuyer les plâtres, y compris sur le plan réputationnel. Mais c’est évident qu’il y aura une période de transition comme à chaque fois qu’il y a ces nouvelles régulations, qu’au départ ça sera modéré, peut-être que ça sera symbolique. Et une fois que ça sera bien entré en vigueur, alors là vraiment, il faudra pas faire n’importe quoi.
Journaliste : Donc ça phosphore dans les COMEX. Valérie Valais, oui oui, nécessairement, nécessairement. Est-ce que autre question qui nous est posée : est-ce que la direction juridique d’une entreprise doit porter elle-même les sujets RSE ?
Valérie Valais : Alors ça c’est une question qui est assez récurrente en ce moment. Je dirais, je crois pas qu’il y ait de réponse absolue. Puisque plus ça dépend de la taille de l’entreprise, ça dépend de la. Ce qui est certain, c’est que la RSE, à l’instar de la Direction Juridique, couvre des sujets extrêmement transverses. C’est une notion qui recouvre de nombreux sujets et ça passe notamment par la réglementation. Donc il est vrai que de toute façon la direction juridique est nécessairement impliquée dans les problématiques RSE. Ne serait-ce que pour analyser les réglementations qui sont applicables, être le garant du du respect par par l’entreprise de ces réglementations. S’assurer qu’on n’est pas responsable en cas de en cas de de non respect de ces réglementations. C’est également des sujets, ce sont des sujets pardon qui souvent sont enfin recouvrent la compliance. Donc aujourd’hui, c’est souvent les directions juridiques, mais parfois on a un compliance officer différent, mais qui tout ce qui est en lutte contre la corruption dont on a parlé, RGPD, droit de la concurrence et cetera, ça revient souvent à la Direction Juridique. La Direction Juridique contribue à la rédaction des politiques, des codes de conduite, on est vraiment partie prenante finalement dans cette dans cette mise mise en œuvre de la RSE au sein des des entreprises. Donc c’est vrai que la question elle est elle est intéressante puisque puisqu’on pourrait tout à fait imaginer avoir la RSE dépendre de la Direction Juridique. Une petite précision tout de même, c’est que les personnes qui sont en charge de ces sujets là aujourd’hui sont quand même des experts aussi dans certains domaines, ce que ne sont pas les juristes, sauf s’ils ont suivi pardon une ou suivi plutôt une formation particulière, notamment pour tout ce qui est impact environnemental des activités de l’entreprise. Ils ont donc les les personnes en charge de la RSE savent comment comment calculer ces impacts alors qu’un juriste à priori je dis bien ne le sait pas. Donc globalement, je serai plutôt positive en effet sur le fait que la RSE devrait rejoindre la direction juridique. Mais une fois de plus, ça dépend aussi des des entreprises.
Journaliste : Et lié à la fois des nouvelles règles et des nouvelles préoccupations de notre société à l’intérieur des entreprises sur sur leur organisation. Très rapidement Emmanuel Daoud avant d’en arriver à notre 4e chapitre.
Emmanuel Daoud : Je voudrais juste illustrer le propos de de Valérie par un exemple très concret. Il nous arrive très souvent d’être saisi par des entreprises qui doivent répondre à des interpellations, on appelle ça des controverses, des interpellations de la part d’ONG sur le fondement du devoir de vigilance. Et donc je vais pas citer de évidemment ni même le secteur d’activité parce que c’est une affaire qui a été médiatisée, on va dire qu’on est dans le l’agroalimentaire au sens large. Interpellation de trois ONG dont deux ONG étrangères avec beaucoup de moyens. Et la question qui s’est posée, c’est de savoir si dans le sourcing de cette entreprise, dans cette multinationale que nous que nous défendons, ils avaient fait les due diligence nécessaires pour s’agissant d’une d’une matière première vérifier que dans deux pays où il y avait des rapports des Nations Unies qui montraient que cette matière était essentiellement extraite au travers ou grâce grâce entre guillemets au travail des enfants, est-ce qu’ils avaient fait le nécessaire pour vérifier cela ? Donc on a préparé une réponse et on a pris la décision, enfin j’ai proposé, ça a été validé, de rencontrer les ONG. Et autour de la table qui était là, et c’est dans la dans dans la droite ligne de ce que de de de ce que vient de nous dire Valérie, il y avait la direction juridique, il y avait la direction de la RSE, il y avait des des acheteurs et des des acheteuses qui connaissaient parfaitement la filière. Et qui ont pu répondre aux questions qui étaient posées par les ONG et qui nous ont aussi permis de documenter la réponse disant voilà ce que nous avons fait. Et donc c’est vraiment un travail d’équipe avec souvent enfin pour ce que j’en ai j’ai pu en percevoir, la direction juridique comme chef d’orchestre, mais évidemment on peut pas avoir dans l’entreprise réponse à tout et il y a des hyper ou des hyper spécialistes, surtout dans les entreprises assez importantes, qui sont capables de de faire des réponses mais d’une qualité technique incroyable parce qu’ils savent.
Journaliste : Un tout petit mot François-Pierre.
François-Pierre Lani : Alors oui, deux choses deux choses rapides. Alors dire tout de même, puisqu’on en accompagne pas mal de start-up, il y a aujourd’hui des plateformes sur le devoir de vigilance et sur la RSE notamment pour tracer le sourcing qui sont extrêmement performants et qui utilisent l’intelligence artificielle. Je précise et donc c’est quand même un accompagnement de performance et de traçabilité qui qui devient incontournable. Et puis juste sur l’organisation, donc on voit effectivement le le thème de la RSE devenir incontournable. On a quelques clients qui sont organisés sous une direction de la RSE avec une directrice juridique de la RSE par exemple. Le groupe Thalès est organisé de cette façon-là. D’autres, c’est la direction de la conformité qui est détachée de la direction juridique, mais qui travaille notamment quand il s’agit de la rédaction des contrats, des documents internes et bien avec la direction avec la Direction Juridique. Alors il y a donc la due diligence, le devoir de s’informer, il y a le devoir de vigilance. Et puis il y a le devoir d’informer de la part des des entreprises, le devoir de publier des informations sur sur ce qu’on fait ou non dans ce domaine de la compliance. C’est la directive CSRD, un nouveau cadre de reporting des entreprises.
Journaliste : Emmanuel Daoud, là encore, et ben on ajoute une obligation pour les entreprises.
Emmanuel Daoud : Oui, qui n’est pas une obligation de même nature que la directive vigilance. Donc CS3D, pardon pour les acronymes, donc la pas se perdre entre CS3D et CSRD. Et surtout quand on s’exprime sur le sujet avec les personnes qui nous écoutent. Donc la CSRD, elle est fondée sur l’identification des risques, c’est la différence avec la CS3D qui est sur l’impact. Et à la différence de la directive CS3D, c’est qu’elle est entrée en vigueur pour certaines entreprises dès cette année. Donc donc il y a déjà des des entreprises qui doivent qui doivent y répondre. Je vous confirme et donc pour l’exercice 2024, publication en 2025. Et ce c’est il faut avoir plus de 500 salariés et 50 millions d’euros de chiffre d’affaires ou 25 millions d’euros de bilan. Donc vous voyez que c’est les seuils sont très très bas, enfin très bas et ça va continuer à descendre jusqu’en 2000 2028. Puisque pour l’exercice 2028 avec une publication en 2029, puisque là ça concernera aussi les grandes entreprises non européennes dont le chiffre d’affaires qui réalise un chiffre d’affaires à l’intérieur de l’Union Européenne via une succursale ou via une filiale pour 150 millions d’euros. Donc vous voyez que c’est un spectre qui est extrêmement large. Et pour les entreprises françaises ou européennes plutôt, c’est ça, pour celles qui dépasseront 250 salariés et qui généreront 50 50 millions de chiffre d’affaires, ça sera l’année prochaine. Donc beaucoup d’entreprises concernées. Ça veut c’est déjà une différence par rapport à la CS3D parce que certains pensent que c’est le prolongement de de la CS3. Non, c’est une régulation qui est une régulation qui est autonome. Et comme vous l’avez dit fort justement, ça a pour objet d’informer et d’informer qui ? Les investisseurs ou les investisseuses. C’est-à-dire quel est ce que fait que fait l’entreprise en matière de protection de de l’environnement, protection des droits humains. Qu’est-ce qu’elle fait pour se pour pour intégrer dans ses dans son business model la mesure, l’évaluation, les due diligence sous forme de reporting afin que les investisseurs. Donc donc un enjeu majeur, notamment pour les entreprises qui sont cotées. Donc oui et pas seulement et pas seulement parce que on peut imaginer qu’on a une une start-up qui n’est pas qui n’est pas cotée et qui qui a l’ambition de devenir selon le jargon des start-up une licorne et qui a besoin de faire de levée de fond, des tours de table. Et comment va-t-elle comment va-t-elle répondre à cette à cette directive ? Bon ben, je crois sous le contrôle de de de de Valérie, moi je parle que de mon de tout le monde évidemment de de ma petite expérience, c’est plutôt les directions financières, les directions d’audit qui ont pris la main semble-t-il. C’était pas un regret de la part de de l’avocat que on a assez à faire. Nous, on peut apporter, je dis nous, les les les juristes dans l’entreprise et à l’extérieur de l’entreprise, on peut apporter notre regard transversal pour mettre tout ça en harmonie avec toutes les régulations. Parce que ça peut avoir un intérêt de pas se prendre les pieds dans dans le tapis parce que avec cet enchevêtrement de normes qui sont d’une relative complexité. J’aime beaucoup les directeurs et directrices financières, c’est des gens absolument essentiels au sein de l’entreprise, mais leur métier c’est pas d’être juriste.
Journaliste : Il nous reste vraiment très peu de temps dans cette conférence digitale. Valérie Valais, une réaction par rapport à ce que vous venez d’entendre.
Valérie Valais : Oui, peut-être juste dire que je pense que cette obligation de reporting qui a été mise en place par la CSRD, elle intéresse non seulement les investisseurs, mais toutes les parties prenantes. Vous avez raison. C’est donc client, fournisseur, employés. Je pense que c’est vraiment important. On sait que c’est un sujet prégnant aujourd’hui et donc on ce sont des des domaines très importants vis-à-vis de nos nos parties prenantes. Il faut s’y mettre maintenant parce qu’on a beaucoup beaucoup de choses à faire. Alors avant, on avait la DPEF donc enfin pour ceux qui étaient soumis donc ça permet de bon c’est un petit peu de continuité entre guillemets, mais on a un reporting différent à faire. Donc il faut il faut s’en imprégner. Nous, on y travaille, direction juridique, direction financière et RSE. On on a on a fait tout ce qui est l’étude de l’analyse de double matérialité et maintenant on va s’attaquer à la rédaction par rapport aux normes SRS. Donc dans chaque chaque domaine pour être prêt pour le rapport de gestion.
Journaliste : François Le Maestre, un commentaire de très rapide d’abord.
François Le Maestre : En effet, j’ai surtout vu la personne avec laquelle je travaille, c’est la direction financière qui prend le lead parce qu’il y a une question d’urgence. Donc c’est eux qui ont pris le lead par rapport aux autres fonctions et c’est un peu dommage. C’est un travail qui doit être vraiment transversal en effet avec les autres réglementations de manière à pouvoir faire un travail, ne pas faire le travail plusieurs fois. Malheureusement, c’est fait. Les obligations de reporting font que c’est la direction financière qui tire.
Journaliste : Alors je vais vous demander un exercice un peu difficile à tous : une conclusion en très peu de mots sur tout ce qu’on on vient d’entendre. Je vais citer le nouveau ministre de l’Économie, Antoine Armand, qui a dit en arrivant à Bercy : notre travail est de faciliter la tâche des entreprises dans ce contexte où effectivement les obligations se multiplient. Est-ce que la compliance aujourd’hui est un frein pour le le business ? Cet empilement des réglementations, est-ce que c’est ça devient ingérable, sachant que les moyens mis en place, c’est une des questions qui qui nous sont posées, les moyens mis en place ne sont pas forcément à la hauteur ? François-Pierre Lani, quelques dizaines de secondes, pas plus.
François-Pierre Lani : Oui, ne mâchons pas les mots, c’est terrible. Voilà, c’est c’est terrible. Essayez de cartographier, on l’a fait, toute la réglementation européenne, ne serait-ce que les règlements et et les directives, c’est assez affolant. Et donc en terme d’organisation, c’est gérer les priorités. Qu’est-ce qui est le plus important en terme de risque pour pour pour l’entreprise ? C’est c’est comme ça qu’il faut faire. Mais c’est terrible.
Journaliste : Emmanuel Daoud, même contrainte.
Emmanuel Daoud : Les entreprises doivent répondre à des préoccupations qui devraient être assumées par les politiques publiques. Et les les États sont sont sont pauvres, de plus en plus pauvres, et maintenant il y a une forme de de charge opérationnelle sur ces questions là qui qui pèse sur les entreprises. Donc on va pas reprendre le mot du président Chirac sur notre planète brûle et je ne sais plus quoi. Il y a une urgence climatique, il y a une urgence droits humains et il faut que ça soit traité et ça passe par les entreprises. On peut le regretter, c’est affolant. Mais de toute façon, elles n’ont pas le choix. Et moi, je pense que ça doit être pour les plus méritantes ou les plus vertueuses une opportunité aussi financière et concurrentielle.
Journaliste : C’est vrai, une note effectivement un peu plus positive peut-être Valérie Valais, la mutualisation aussi de de certains outils pour répondre à toutes ces obligations.
Valérie Valais : Tout à fait. C’est donc oui, c’est beaucoup de travail pour les juristes, mais au moins on a l’avantage, c’est que notre métier notre métier va perdurer. Mutualisation si possible en effet des des outils à utiliser, mais on l’a vu, c’est pas toujours évident. Et je suis complètement d’accord avec Emmanuel Daoud, c’est-à-dire que oui, c’est beaucoup de travail pour nous juristes et entreprises de manière générale, mais c’est un véritable outil de compétitivité. Si on est prêt dans les temps, on peut avoir un avantage concurrentiel fort. Et c’est un levier pour le business, un levier vis-à-vis de nos investisseurs. Donc c’est pour moi, c’est important, c’est important de respecter la réglementation, mais c’est vraiment un outil, un levier business.
Journaliste : François Le Maestre, votre conclusion.
François Le Maestre : Moi, je dirais qu’il faut mettre ça en perspective. Il y a 5 ans, 10 ans, la fonction compliance c’était vraiment pas très développée. Elle a s’est développée énormément, peut-être pas aussi vite que l’arrivée de toutes les, je dirais, toutes les réglementations. Ce qui est important, c’est de faire une analyse du risque et d’aller aux risques les plus importants. Parce que on pourra pas toujours tout répondre à tout, mais bien identifier les les priorités comme ça a été le cas de RGPD et de travailler là-dessus. Et en effet, d’essayer de trouver le plus de transversalité, mais ça c’est extrêmement compliqué. Et chaque entreprise a malheureusement sa vie propre dans ce domaine-là. Mais je dirais que le point positif, la fonction compliance se développe, peut-être pas aussi vite que les réglementations, mais elle progresse quand même très fortement.
Journaliste : Merci merci à tous. François Le Maestre, Abiétis Conseil. Merci à vous Valérie Valais, le groupe Lacroix. Emmanuel Daoud, le cabinet Vigot. Et François-Pierre Lani, le cabinet Derriennic. Merci à tous d’avoir participé à cette conférence digitale organisée par le droit pour moi ici dans les locaux de Le Fèvre d’Alause. On reviendra sur toutes ces questions lors des prochains mois, lors de prochaines conférences. Il y a beaucoup d’autres questions qui nous ont été posées et que je vais transmettre juste après cette conférence à nos intervenants, ils vous répondront directement. Cette nouvelle conférence organisée donc aussi avec le Cercle Montesquieu. Très bonne journée à tous, merci de nous avoir suivi, merci, au revoir, au revoir, au revoir.