LISTE DES ABREVIATIONS

A

ABS Abus de Biens Sociaux

Aff Affaires

AMRAE Association pour le Management des Risques et des Assurances de l'Entreprise

AIRMIC Association of Insurance and Risk managers 

B

BOSP Bulletin Officiel du Service des Prix

Bull. civ. Bulletin des arrêts de la Chambre Civile de la Cour de Cassation

Bull. Crim Bulletin des arrêts de la Chambre Criminelle de la Cour de Cassation

Bull. Joly Bulletin Joly (mensuel d'information des sociétés)

C

C. Civ Code Civil

C. Pén Code Pénal

CA Cour d'Appel

CCass Cour de Cassation

Ch. Civ Chambre Civile

Ch. Com Chambre commerciale

Ch. Crim Chambre Criminelle

CHSCT Comité d'Hygiène, de Sécurité et des Conditions de Travail

Circ Circulaire

Concl Conclusions

COSO Committee of Sponsoring Organizations of the Treadway Commission 

D

D. Décret

DRT Direction des relations du Travail

E

ERM Enterprise Risk Management

F

FERMA Federation of European Risk Management Associations 

J

JCP La semaine Juridique - Jurisclasseur périodique

L

L Loi

LGDJ Librairie Générale de Droit et de Jurisprudence

LPF Livre des Procédures fiscales

N

NTIC Nouvelles Technologies de l'Information et de la Communication

N° Numéro

P

PUF Presses Universitaires de France

R

Rev Revue

RJDA Revue de Jurisprudence de Droit des Affaires

S

SARL Société à Responsabilité Limitée

Supra Ci-dessus

INTRODUCTION

« En fait, comme Monsieur Jourdain fait de la prose sans le savoir, nous vivons en permanence dans un univers vibratoire, saturé d'ondes juridiques, que nous ignorons jusqu'à ce qu'un accident fâcheux le révèle. Une conduite avisée consiste à prendre conscience le plus tôt possible de ces bornes de l'environnement juridique et le dirigeant de société sera bien inspiré de réaliser à temps ce que sont ses droits et ses obligations »^1(*). Le dirigeant de société a donc des droits et des obligations qu'il doit assumer, sous peine d'engager sa responsabilité ou celle de l'organisation. En pratique cette responsabilité soulève un paradoxe intéressant chez le dirigeant. La responsabilité est autant rejet qu'elle n'est attirance. Aussi le chef d'entreprise revendique sa fonction en cas de réussite, et tente de diminuer son rôle en cas d'échec, situation dans laquelle sa responsabilité sera recherchée^2(*). Pour atteindre le succès, il doit prendre les décisions qu'il pense être les plus pertinentes au regard de la situation, tout en sachant qu'il y a toujours un risque que l'objectif atteint ne soit pas celui qu'il avait fixé auparavant. Mais « le risque n'est-il pas la condition du succès ? » comme l'écrivait L. De Broglie^3(*).

Il est sans conteste que la prise de risque est inhérente à la fonction de dirigeant d'entreprise et il serait illusoire de croire que le risque peut être éradiqué. D'ailleurs espérer une société dépourvue de risque relève de la virtualité. L'idéologie du risque zéro est une chimère. Même les activités considérées comme étant les plus anodines peuvent engendrer des conséquences néfastes, ou pour le moins inattendues, pour l'entreprise.

Pourtant, force est de constater que les citoyens réclament toujours plus de sécurité n'admettant pas le risque. Aussi ils formulent des demandes incessantes à un Etat élevé au rang de « providence ». Le recours à cet Etat divinisé a d'ailleurs été corroboré par la création de la Sécurité Sociale, qui a confirmé l'idée selon laquelle l'Etat a pour fonction de protéger les individus contre tous les dangers qui les entourent^4(*) . Or l'Etat, aussi providence qu'il soit, ne peut protéger ses citoyens contre la réalisation de tous les risques imaginables et encore moins en assumer seul la responsabilité. C'est pourquoi il a mis à la charge des acteurs de la vie économique des régimes de responsabilités rigoureux.

Ainsi, les dirigeants sociaux ont pu voir des cas d'engagement de leur responsabilité, civile ou pénale, fleurir, sous l'arrosoir du législateur mais aussi sous celui du juge.

Juridiquement, la responsabilité d'une personne est engagée lorsqu'un dommage a été subi par une victime, et que celle-ci en a prouvé le lien direct avec les agissements de l'auteur. Concernant le dirigeant social, sa triple casquette de personne physique, employeur et dirigeant d'entreprise l'expose à un nombre important de cas dans lesquels sa responsabilité peut être engagée. Concrètement cela représente une multitude de textes législatifs et règlementaires portant sur le droit du travail, le droit applicable à son activité économique, le droit de la concurrence... C'est dans ce contexte, et pour tenter d'aider le dirigeant social à encadrer au mieux ses activités, que des méthodes de gestion des risques ont été créées.

La gestion des risques de l'entreprise, en anglais « Enterprise Risk Management - ERM), consiste à identifier toutes les sources de risques pouvant menacer des objectifs stratégiques de l'entreprise ou inversement représenter des opportunités susceptibles de procurer un avantage concurrentiel. Le but est d'améliorer l'efficacité de l'allocation des ressources, d'assister la prise de décision afin que toutes ses conséquences, bonnes ou mauvaises, aient été prises en considération. Il s'agit aussi de créer de la valeur, notamment en attirant les investisseurs en leur montrant que l'entreprise a pris toutes les mesures nécessaires pour atteindre et protéger ses résultats.

La gestion des risques contribue à renforcer l'image de l'entreprise et sa crédibilité vis-à-vis de ses clients et de ses partenaires, ainsi qu'à pérenniser ses activités.

Elle prend en compte les différentes acceptions du « risque ». Cette précision a une grande importance en pratique. En effet, le risque présente plusieurs facettes et selon les domaines d'activités, les chefs d'entreprise seront plus sensibles à un risque qu'à un autre. D'ailleurs la notion même de « risque » prête à discussion. Le risque tel qu'il est défini par le dictionnaire Larousse, est la « possibilité, probabilité d'un fait, d'un événement considéré comme un mal ou un dommage ». En termes d'assurance, le risque est considéré comme étant « l'évènement dommageable contre l'arrivée duquel on cherche à se prémunir »^5(*), mais englobera aussi l'objet garanti. En économie, comme le précise Elie Cohen^6(*), « un risque correspond à l'occurrence d'un fait imprévisible - ou à tout le moins certain - susceptible d'affecter les membres, le patrimoine, l'activité de l'entreprise et de modifier son patrimoine et ses résultats ». Et en Droit, le risque peut être défini comme étant « l'éventualité d'un évènement ne dépendant pas exclusivement de la volonté des parties et pouvant causer la perte d'un objet ou tout autre dommage ».^7(*)

Il est cependant nécessaire de comprendre que le risque n'est pas systématiquement négatif. Les risques spéculatifs, tels que les investissements de capitaux, n'ont pas nécessairement des conséquences négatives pour la société. En effet, ils ont pour finalité d'accroître les capitaux de l'entreprise, d'atteindre de nouveaux marchés et de développer de nouveaux produits par exemple. Les sociétés prennent des risques de manière consciente dans le but d'engendrer des profits. En outre, toujours à titre d'illustration, un changement de réglementation est un risque qui, s'il se réalise, peut très bien s'avérer favorable pour l'entreprise.

D'une manière générale, on peut considérer que le risque peut être défini comme étant la « possibilité, l'éventualité qu'un évènement, une action ou une inaction affecte, dans un sens comme dans l'autre : la capacité de l'entreprise à atteindre ses objectifs et à déployer sa stratégie, les principaux actifs nécessaires à la mise en oeuvre de son business model (actifs corporels, incorporels, financiers, humains), et la création de valeurs ou les valeurs de l'entreprise »^8(*).

Généralement, les risques sont classés selon leur nature. Ainsi on distingue cinq principaux risques auxquels doit faire face le dirigeant, d'après Xavier Kergall^9(*)  : « il me semble que l'on peut distinguer cinq risques inhérents à la fonction du dirigeant : le risque financier, le risque juridique, le risque lié aux charges fiscales, le risque d'être copié et de subir une atteinte à ses droits de Propriété Intellectuelle, et le risque contact-client ».

Le risque financier a des conséquences sur les actifs de l'entreprise, et donc à terme sur son chiffre d'affaires. Le risque lié aux charges fiscales est celui qui augmentera les charges que doit payer le dirigeant, par un changement législatif notamment. Le risque de subir une atteinte aux droits de propriété intellectuelle renvoie principalement à la protection du savoir-faire de l'entreprise, et celui dit du « contact-client » consiste à perdre de la clientèle ou tout du moins à ne pas parvenir à la fidéliser durablement. Le risque juridique, quant à lui, est multiple. Il peut s'agir de la violation d'une règle en vigueur, mais aussi le risque qu'une nouvelle norme vienne bouleverser le cadre juridique des activités de l'entreprise. Le dictionnaire d'analyse et gestion des risques définit le risque juridique comme le « risque associé à tout évènement externe ou décision interne pouvant mettre l'activité ou l'entreprise en situation non-conforme aux lois ou aux règlementations. Le risque juridique comporte deux classes de risques : les risques de responsabilité civile qui peuvent être assurés, et les risques pénaux qui sont considérés comme relevant de l'entière responsabilité de l'auteur et ne peuvent être assurés »^10(*). Les facteurs des risques juridiques sont variés selon les entreprises. Il peut s'agir de la non connaissance des engagements pris, ou de la Propriété Intellectuelle qui est mal protégée, du non respect des licences accordées, ou encore d'un contrat mal rédigé et du non respect d'obligations contractuelles^11(*).

A ces risques, viennent aussi s'ajouter les risques opérationnels, qui troublent l'organisation quotidienne de l'entreprise, et les risques liés à l'image qui ont des conséquences sur la notoriété de la société et jouent sur la confiance qu'ont les partenaires (clients, investisseurs) dans l'entreprise. Le risque stratégique est lié au déploiement d'une mauvaise stratégie, ou à l'absence de veille concurrentielle notamment. Et pour finir, le risque de l'homme clé qui est réalisé lorsqu'une personne est devenue indispensable pour l'organisation, de sorte que son absence cause de graves problèmes pour le maintien des activités dont elle avait la charge.

Tous ces risques sont donc pris en considération dans le cadre d'une gestion des risques.

Si une telle méthode n'existait pas en tant que telle encore dans les années 1990, elle occupe aujourd'hui une «place centrale dans la prise de décision. Le contrôle des risques est considéré comme « essentiel à la stabilité et à la continuité des activités de l'entreprise ».^12(*)

La reconnaissance de la gestion des risques a été progressive. La première référence à cette méthode remonte à 1956, aux Etats-Unis. Un article de la « Harvard Business Review » mentionnait le « risk management ». Il suggérait alors d'employer une personne à temps plein pour gérer les risques et minimiser les pertes, mais il s'agissait pour l'essentiel d'un prolongement du poste de gestionnaire d'assurance. Puis des débats ont fait évoluer la notion de gestion des risques. Ainsi, initialement axée sur un aspect assurantiel, elle s'est orientée vers les risques financiers, pour englober aujourd'hui tous les aspects de la vie de l'entreprise. Dorénavant, au lieu de s'intéresser aux risques passifs, c'est-à-dire aux dangers auxquels l'entreprise est exposée, la gestion des risques s'est orientée sur la gestion des risques « commerciaux », pour évaluer les risques induits par une intensification de la concurrence sur les marchés^13(*).

Cet intérêt pour la gestion des risques peut s'expliquer de différentes manières. On l'attribue la plupart du temps à la mondialisation, à l'importance croissante de la valeur pour les actionnaires, ou à l'augmentation récente du nombre de faillites. Néanmoins, cette explication est somme toute un peu réductrice de ce qui a réellement poussé les entreprises à développer la gestion des risques. Il est en effet nécessaire de préciser que les diverses crises qui ont touché le secteur des activités économiques ont aussi contribué à une prise de conscience des dirigeants de l'importance de la gestion des risques. On peut notamment citer les crises sanitaires dans le domaine agroalimentaire, telle que la crise dite de la « vache folle » dans les années 1990, la « pandémie » de grippe A H1N1 actuellement ; ou encore des crises financières comme la crise des « subprimes » dès 2008. A cela s'ajoute également la pression grandissante que le législateur fait peser sur les dirigeants en matière de prévention. Ont notamment été imposés : le principe de la traçabilité des denrées alimentaires^14(*) pour les entreprises agroalimentaires, le système des alertes européennes^15(*), ou encore l'obligation d'organiser des plans de continuité des activités en cas de cas avéré de grippe A H1N1 dans les entreprises françaises par exemple^16(*).

La nécessité d'une prévention est donc de plus en plus actuelle. Et l'un des principaux défis aujourd'hui pour les dirigeants sociaux réside dans la détermination d'un degré de risque acceptable afin d'optimiser la création de valeurs, objectif considéré comme le postulat de base du management des risques. Mais cette notion de « niveau de risque acceptable » n'est pas des plus simples à entendre. Classiquement, le risque était considéré comme acceptable lorsqu'il était indemnisable. Néanmoins, cela ne vaut plus aujourd'hui. Comme l'affirme Christine NOIVILLE, c'est « la fin d'un postulat ». Il n'est pas possible de considérer qu'un risque est acceptable s'il peut être assuré : premièrement parce que l'assurance ne peut être que civile, et deuxièmement parce que le mouvement de moralisation du monde des affaires conduit à sensibiliser les acteurs sur la prévention quand bien même le risque serait assurable. C'est le cas par exemple de l'hypothèse dans laquelle le dirigeant organise un repas avec des collaborateurs, mais les mets qu'il présente provoquent une intoxication alimentaire parmi ceux-ci. Certes cela peut être indemnisable par le contrat d'assurance de la société, mais il n'empêche que cela nuit à l'image de l'entreprise. Par conséquent cela reste un risque qu'il convient d'encadrer, même s'il est indemnisable. On a ensuite considéré que le risque était « acceptable » s'il était imputable à un tiers à la société. Ce postulat est somme toute autant discutable que le premier énoncé. En effet, il est tout de même nécessaire de prouver que le risque est imputable à un tiers, et il faudra parfois justifier que toutes les précautions ont été prises au sein de la société pour éviter cette situation (en matière de sécurité des salariés par exemple, car une faute simple, une négligence ou une imprudence suffisent à engager la responsabilité pénale du dirigeant^17(*)).

La notion de risque acceptable est donc difficile à cerner. Néanmoins, nous pouvons aujourd'hui considérer que sera acceptable, le risque qui a été expressément accepté par l'intéressé, en connaissance de cause, et qui, s'il se réalisait, ne conduirait pas la société à sa perte, autrement dit vers un dommage qui remettrait en cause la continuité durable de ses activités.

Il faut bien avoir à l'esprit que l'objectif premier de la gestion des risques est de créer de la valeur pour la société, et pour le dirigeant de se protéger contre la mise en cause de sa responsabilité personnelle. Afin de l'aider à organiser cette méthode, le déroulement de la gestion des risques en entreprise a été quelque peu « standardisé » au travers de modèles. Les plus connus en la matière sont le COSO (« Committee of Sponsoring Organizations of the Treadway Commission ») développé aux Etats-Unis, et la méthode FERMA (« Federation of European Risk Management Associations »), développée en Europe et plus connue sous le nom de l'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise ») en France ou AIRMIC (« Association of Insurance and Risk managers ») en Grande Bretagne.

Ces méthodes, malgré quelques variantes, présentent un socle commun. Tout d'abord, en toutes hypothèses, la gestion des risques comporte plusieurs étapes^18(*). Elle débute par l'identification du risque au regard de la définition des fondamentaux de l'entreprise (son activité, son modèle économique, sa stratégie principalement) qui aura été préalablement réalisée. Il s'agit d'identifier, d'analyser et de caractériser les risques, en vue d'obtenir une vision globale de l'entreprise.

Ensuite il faut hiérarchiser les risques. Pour effectuer un tel classement, le dirigeant doit prendre en compte le risque lui-même, son impact et sa probabilité de survenance^19(*). Il faut questionner les opérationnels de chaque activité afin d'obtenir les visions de chacun. C'est principalement le rôle du comité d'audit. Une fois l'enquête menée on est en mesure d'établir une cartographie des risques. Ce document permet de recenser et d'évaluer les risques majeurs d'une organisation et de les présenter synthétiquement sous une forme hiérarchisée.

Puis, compte tenu de la hiérarchisation des risques, il conviendra d'adopter des plans d'actions pour chaque risque, sans oublier de créer un processus de contrôle interne et de suivi du plan d'action mené.

Un management des risques performant doit être permanent et irriguer toute l'organisation. Il est mis en oeuvre par l'ensemble des collaborateurs, à tous les niveaux de l'entreprise. Mais si la condition d'un tel déploiement comme gage de réussite de la gestion des risques est facile à comprendre, la pratique n'en est pas pour autant aisée. En effet, il est nécessaire d'analyser chaque activité de l'entreprise, chaque enjeu, et donc de cerner les problématiques de chaque acteur. Il va sans dire que le nombre d'acteurs et de centres d'intérêts, même s'il varie selon la taille de l'entreprise, sera très important. C'est la raison pour laquelle, le métier de « Risk manager » a été crée. Le gestionnaire du risque est le professionnel de la gestion des risques. Il est le partenaire des opérationnels et est donc amené à connaître les attentes des divers acteurs de l'entreprise, mais aussi de ceux qui composent l'environnement dans lequel la société évolue (tels que les investisseurs).

La gestion des risques est une méthode structurée qui, comme nous l'avons vu, a pour objectif premier de créer de la valeur pour la société. Elle permet aussi au dirigeant de mettre en place des outils pour éviter de voir sa responsabilité personnelle mise en cause. Il n'en demeure pas moins que, concrètement, chaque année en France, plus de 5 000 dirigeants de TPE et PME font l'objet de poursuites concernant la mise en cause de leur responsabilité.^20(*)Les sanctions allouées par les tribunaux sont souvent lourdes : elles vont de la condamnation du responsable au versement de dommages-intérêts à des peines de prison.

Comment expliquer un tel bilan alors qu'en parallèle la gestion des risques se développe ?

Il semble donc tout à fait légitime de se demander si l'audit et la gestion des risques permettent réellement d'éviter la mise en cause de la responsabilité du dirigeant social. L'objectif de cette étude n'est pas d'envisager tous les cas de mises en cause de la responsabilité du dirigeant, mais plutôt d'en étudier quelques uns et de mettre en valeur les instruments qui peuvent être développés dan le cadre d'une gestion des risques pour y remédier.

Nous verrons donc, dans un premier temps, plusieurs cas d'engagement de la responsabilité civile du dirigeant, ainsi que les moyens développés par l'ERM pour les éviter, (Chapitre 1) pour nous pencher, dans un second temps, sur quelques infractions pénales auxquelles le chef d'entreprise doit faire face, et les solutions qui peuvent être mises en place dans le cadre d'une gestion des risques (Chapitre 2). Nous analyserons ainsi dans ces développements leur efficacité et leurs lacunes.

* 1 ^_ Michel Germain, Préface de l'ouvrage Le statut du dirigeant de société, de J. F. BULLE, Ed La Villeguérin, 1989, p462 - extrait de la Thèse de Lydie BROUSSARD, La responsabilité civile des dirigeants de sociétés commerciales, novembre 2000, Université de Nantes, Ecole doctorale Droit et Sciences Sociales.

* 2 ^_ Voir note n°1, page 6.

* 3 ^_ Louis De Broglie, mathématicien, physicien et académicien français, lauréat en 1929 du prix Nobel de physique pour sa « théorie sur la nature ondulatoire de l'électron ».

* 4 ^_M GUENAIRE, avant-propos à François Ewald, Histoire de l'Etat providence, 1996, p9: « La protection des individus, qui s'était jusqu'alors résumée à une protection de leurs droits devenait une protection contre tous les aléas de l'existence ». 

* 5 ^_ Les grands principes de l'assurance, Ed Argus de l'assurance

* 6 ^_ Economiste français, né en 1950, chercheur et enseignant du supérieur.

* 7 ^_ Dictionnaire Petit Robert, Ed 1996

* 8 ^_ Marie-Claude DELAVEAUD, Le risk Management en 5 étapes, Collection A savoir, Editions AMRAE, 2003

* 9 ^_ Directeur Général du Salon des Entrepreneurs

* 10 ^_ Dictionnaire d'analyse et gestion des risques, définition du « risque juridique » Hermès Science, Editions 2006, p383

* 11 ^_ Voir Annexe 1, page 58, « Les risques juridiques », Identifiez et maîtrisez vos risques juridiques, support du Cabinet d'Avocats Ernst and Young

* 12 ^_ Ben Hunt, L'irrésistible ascension de la gestion du risque, Article Les Echos.fr.

* 13 ^_ Voir supra note n° 11, page 9

* 14 ^_ Article 18 du Règlement 178/2002/CE : « La traçabilité des denrées alimentaires, des aliments pour animaux, des animaux producteurs de denrées alimentaires et de toute autre substance destinée à être incorporée ou susceptible d'être incorporée dans des denrées alimentaires ou des aliments pour animaux est établie à toutes les étapes de la production, de la transformation et de la distribution. »

* 15 ^_ Article 50 du Règlement 178/2002/CE : « Un système d'alerte rapide pour la notification d'un risque direct ou indirect pour la santé humaine dérivant de denrées alimentaires ou d'aliments pour animaux est établi en tant que réseau. Il associe les États membres, la Commission et l'Autorité. Les États membres, la Commission et l'Autorité désignent chacun un point de contact qui est membre du réseau. La Commission est responsable de la gestion du réseau. »

* 16 ^_ Circulaire DGT N° 2009/16 du 3 juillet 2009 du ministère du travail

* 17 ^_ Cass. crim. 16 septembre 2008 n° 08-80.204 (n° 4811 F-PF), B.

* 18 ^_ Voir annexe 2, page 59, « Les étapes clés de la gestion des risques »

* 19 ^_ Voir annexe 3, page 60, « Evaluation des risques résiduels »

* 20 ^_ Linda DUCRUET, quels risques et quelles protections pour le dirigeant ?,  GPO, le site d'information en ligne des dirigeants d'entreprise, Dossier responsabilités.