Dans cette période de transformations, les entreprises doivent anticiper au quotidien leur environnement juridique local, des règlementations régionales et internationales mais aussi des droits étrangers à portée extraterritoriale.

Faire face aux défis des transitions

La technicité et la pluridisciplinarité des sujets exigent une vision et une approche globales pour apporter des réponses satisfaisantes à des problématiques opérationnelles très concrètes pour les entreprises, leurs salariés, leurs partenaires et fournisseurs et donc à la société civile dans son ensemble. La responsabilité sociale et environnementale est au cœur de toutes les préoccupations : celles des citoyens d'abord, mais aussi celles des gouvernements et institutions dans un contexte de transformation de notre modèle économique et sociétal que les crises sanitaires, énergétiques couplées à l'évolution de la démographie, aux changements climatiques et à l'épuisement de certaines ressources naturelles rendent inéluctables. Pour répondre à ces défis majeurs, certains outils traditionnels comme le droit se renouvellent mais font courir le risque d'une inflation législative et d'un empilement de règles et normes techniques parfois peu cohérent et aux conséquences qui peuvent être fort préjudiciables. D'autres systèmes sont plus récents, comme la "compliance", qui repose sur une responsabilisation ex ante des acteurs économiques en mettant à leur charge des obligations préventives visant à atteindre des objectifs fondamentaux que le droit seul ne permet pas d'atteindre[1]. Pour une réponse adaptée à de tels enjeux, ces outils et systèmes doivent être complétés par une approche fondée sur l'intelligence économique qui consiste à collecter, analyser, valoriser, diffuser et protéger l'information économique stratégique en vue d'améliorer les prises de décisions, d'influencer des actions d'information ou de désinformation, de protéger, selon les cas, les intérêts de l'État ou le patrimoine de l'entreprise, et d'en renforcer la compétitivité. C'est d'autant plus vrai que la donnée et l'éthique sont au cœur des développements et transformations, comme l'attestent les solutions les plus récentes en matière d'intelligence artificielle, qui traduisent la révolution en cours des pratiques dans tous les domaines. Dans ce contexte géopolitique de lutte entre puissances, l'une des réponses apportées se fonde sur l'extraterritorialité du droit et de la compliance.

L'essor de l'extra-territorialité des grandes puissances

Que ce soit l'affaire Alstom[2] ou les affaires Société Générale[3], les exemples d'une application extraterritoriale du droit américain à des sociétés européennes conduisant ces dernières au paiement de sommes considérables et à la soumission à des obligations de mise en conformité et de surveillance longues et coûteuses ne manquent pas. C'est le prix à payer dans le cadre d'une justice négociée permettant de conserver l'accès au marché américain. Cette application extraterritoriale par les États-Unis de lois et règlementations sur des sujets majeurs donne lieu à l'intervention du juge américain et de divers services de l'administration américaine plus ou moins bien connus des entreprises. On peut citer parmi celles-ci l'anticorruption avec le "Foreign Corrupt Practices Act" et l'intervention remarquée en matière de justice négociée du "Department of Justice", le contrôle des exportations et le respect des sanctions internationales, dont les mesures d'embargo, sous le contrôle des douanes mais aussi de l' "Office of Foreign Assets Control", le fonctionnement des bourses du commerce régulé par la "Commodities Futures Trading Commission", le fonctionnement des marchés financiers régulé notamment par la "Securities & Exchange Commission". Le raisonnement juridique qui permet l'application du droit américain à des sociétés étrangères qui n'y sont en principe pas soumises est toujours le même : l'existence d'un lien de rattachement (dit "nexus") avec le droit américain. Ce lien de rattachement peut être l'utilisation du dollar dans les transactions concernées mais il peut être aussi ténu que le transit des données, financières ou autres, sur des plateformes ou systèmes informationnels américains ou présents sur le territoire américain (système bancaire, bourse du commerce, serveurs ou autres centres de données) en application du Cloud Act. Force est de constater que cette interprétation repose sur une volonté politique et devient une arme d'intelligence économique particulièrement efficace, qui permet aux États-Unis d'acquérir et de gérer de l'information, de gagner de l'influence et de promouvoir leurs intérêts et ceux de leurs entreprises. Cette extraterritorialité est à l'origine d'une insécurité juridique pour toutes sociétés, quels que soient le lieu de son établissement, les marchés sur lesquels elle opère ou qu'elle prospecte en vue de futurs développements. La Chine ne s'y est pas trompée : en réponse, elle a développé ses propres lois et règlementations à portée extraterritoriale, à commencer par un ensemble de mesures administratives en matière de contrôle des exportations adoptées par le ministère du commerce chinois. Parmi celles-ci, une liste des entités non fiables et une loi sur le contrôle des exportations ("Export Control Law") en 2020 ainsi que des mesures de blocage en 2021. Ces mesures ont été renforcées en 2021 par la loi "Anti-Foreign Sanctions Law" adoptée par le Comité permanent du Congrès national populaire (Standing Committee of the National People's Congress). Pour l'Union européenne, l'utilisation du droit, de la compliance et de l'intelligence stratégique pour une réponse forte et adaptée à ces défis a longtemps été rejetée, à tout le moins dans les discours officiels. Cela n'a pourtant pas empêché l'Union européenne d'en percevoir les enjeux et de développer de premières réponses à cette extraterritorialité croissante.

Les enjeux et les premières réponses européennes

Outre les sanctions administratives, financières et souvent pénales encourues par les sociétés européennes et leurs dirigeants, la compliance permet, pour l'État qui l'impose en-dehors de son territoire, d'accéder à des informations confidentielles stratégiques de premier plan. Les entreprises qui sont concernées n'ont alors d'autre choix que de collaborer avec ces autorités si elles veulent minimiser les sanctions encourues, les risques en découlant pour leurs activités et, à terme, continuer d'accéder aux marchés sur lesquels elles opèrent. Dans ce contexte de guerre économique, l'extraterritorialité et la compliance servent non seulement de fondement légal, de justification mais permettent en outre aux États adoptant cette approche et à leurs entreprises de fourbir leurs armes. La procédure de "pre-trial discovery" en est une illustration particulièrement redoutée des entreprises européennes. Selon cette procédure, le juge américain peut contraindre toute partie à un procès à produire des pièces et documents qui permettraient de faciliter l'établissement de preuves, quel que soit le territoire où se trouvent ces documents et quand bien même la production de ces documents serait défavorable à la partie à laquelle elle est demandée. Ces demandes devraient suivre la procédure de coopération internationale et être formulées par la voie diplomatique. Elles sont le plus souvent directement adressées aux entreprises concernées, exposées alors à de sérieuses difficultés pour y répondre. Le risque d'utilisation abusive des actions en justice par des concurrents souhaitant accéder à des informations confidentielles est ainsi devenu une réalité. Ce risque juridictionnel encouru par les entreprises européennes est renforcé par la contractualisation des obligations d'éthique et de compliance qui sont désormais imposées par ses clients ou partenaires à toute entreprise, quels que soient sa taille et son chiffre d'affaires ; et qui peuvent justifier, en cas de manquement, la résiliation du contrat. Aux fuites d'informations, de technologies et de savoir-faire qui en ont résulté, certains États européens ont d'abord apporté une réponse nationale. En France, la révision de la loi dite de blocage du 26 juillet 1968 par décret et arrêté en 2022 a ainsi permis de désigner le Service de l'information stratégique et de la sécurité économique (SIISE) du ministère de l'économie, des finances et de la souveraineté industrielle et numérique comme guichet unique accompagnant les entreprises saisies d'une demande de communication de documents ou renseignements sensibles par des personnes de droit étranger. Ce mécanisme ne peut fonctionner que si les plus grandes entreprises jouent le jeu, ce que laisse entrevoir le triplement en 2022 des saisines du SISSE sur ce sujet. Mais pour faire face au risque de conflit entre différents systèmes de droit et de compliance inhérent à l'essor de l'extraterritorialité, seule l'Union européenne et ses vingt-sept États membres peuvent apporter une réponse adaptée tant pas son ampleur que par sa fermeté.

Les limites de la réponse défensive du règlement de blocage européen

L'une des réponses à l'extraterritorialité de droits étrangers s'est traduite par l'adoption du règlement de blocage européen du 22 novembre 1996 visant à priver d'effet sur le territoire de l'Union européenne les mesures à portée extraterritoriale qui y sont listées. Le 6 juin 2018, ce règlement était révisé pour y inclure les sanctions extraterritoriales rétablies unilatéralement par les États-Unis à l'encontre de l'Iran à la suite de leur retrait de l'accord de Vienne de 2015. En privant d'effet dans l'Union européenne toutes décisions judiciaires, sentences arbitrales ou dispositions américaines lorsqu'elles sont liées aux sanctions extraterritoriales liées à l'Iran, en enjoignant les entreprises européennes à ne pas se conformer à ces sanctions et en reconnaissant un droit d'indemnisation pour toute victime, le règlement de blocage a pour objectif de protéger les entreprises européennes et de leur permettre de décider librement de leurs activités commerciales en Iran. Néanmoins, il ne permet pas de les protéger contre les conséquences, pénales, financières et règlementaires sur le sol américain de leurs activités en Iran. Dans la droite ligne du règlement de blocage, la mise en place d'INSTEX, fonds commun de créances entre la France, l'Allemagne et le Royaume-Uni n'a pas non plus apporté une réponse suffisante aux sociétés européennes non directement exposées sur le marché américain qui souhaiteraient commercer avec l'Iran. Il est prévu pour agir comme une chambre de compensation entre importateurs et exportateurs européens en Iran et garantir ainsi des solutions de paiements sans recours au dollar pour tenter d'isoler les sociétés européennes de l'extraterritorialité des sanctions américaines ; mais son fonctionnement reste très limité et à des secteurs dits prioritaires, tels que les produits pharmaceutiques et alimentaires ou les équipements médicaux. Le règlement de blocage illustre ainsi les limites de la seule réponse défensive à l'extraterritorialité de droits étrangers et les "dilemmes impossibles - et très injustes - causés par l'application de deux régimes juridiques différents et directement opposés" auxquels sont confrontées les entreprises européennes, comme l'a reconnu l'avocat général de la Cour de justice européenne dans ses conclusions suivies par la Cour dans son arrêt du 21 décembre 2021 "Bank Melli Iran". Ce risque croissant de voir les sociétés européennes contraintes de se retirer de certains marchés face au conflit de lois à portée extraterritoriale ou, encore, pour respecter le droit et la compliance européens, a conduit l'Union européenne à développer une réponse plus offensive.

Une vision européenne offensive au-delà des questions de territoire

Le droit de l'Union européenne est construit sur les droits de l'Homme, tels que consacrés par la Charte des droits fondamentaux. C'est ce qui le distingue notamment des visions américaine et chinoise, comme l'illustre la protection des données personnelles. Le Règlement général sur la protection des données à caractère personnel (RGPD) garantit la libre circulation des données sur le territoire de l'Union européenne et s'organise autour des droits des personnes pour assurer aux personnes sur le territoire de l'Union le droit de se réapproprier leurs données, longtemps exploitées commercialement à leur insu. Les droits des personnes concernées (droits d'accès, de rectification, d'opposition, de portabilité, etc.) doivent être effectivement garantis par tout responsable de traitement qui est soumis, comme son sous-traitant, à des obligations de prévention et de lourdes sanctions en cas de violation. A titre de comparaison, le texte californien ("California Consumer Privacy Act") du 28 juin 2018 adopte une approche moins protectrice des données personnelles, reconnaissant aux consommateurs des droits plus limités sur leurs données. Il a ainsi évolué début 2023 pour un rapprochement vers le RGPD. Le texte fédéral sur la protection des données proposé par la Commission fédérale du commerce américaine vise plus spécifiquement une protection contre l'usage excessif des techniques de surveillance. Poursuivant des objectifs différents, le texte chinois sur la protection des données se distingue également du texte européen en ce qu'il vise à contrôler les flux de données, conduisant certaines entreprises étrangères à quitter le marché chinois, tant compte tenu de leur business model que face à l'impossibilité pour elles de respecter ces nouvelles exigences légales sans s'exposer par ailleurs à des sanctions tenant au droit et à la compliance de leur pays d'origine. Avec le RGPD, l'Union européenne va au-delà de ses premiers essais à l'extraterritorialité avec le droit de la concurrence. Elle pose le postulat d'un jeu à armes égales entre les acteurs économiques qui veulent accéder à son marché de près de 450 millions d'habitants. Le RGPD s'applique ainsi non seulement aux entreprises établies sur le territoire de l'Union mais aussi aux entreprises de pays tiers qui n'y sont pas établies mais offrent des biens ou services sur ce territoire ou ciblent des personnes sur ce territoire. En ce faisant, les principes de ce texte ne peuvent plus être déjoués par un simple choix de juridiction. L'effectivité du droit de l'Union est garantie. C'est là une évolution particulièrement novatrice qui ne traduit pas pour autant une volonté d'imposer le droit européen en dehors du territoire de l'Union mais plutôt de reconnaître le caractère extraterritorial du jeu économique. Les conséquences de cette vision aboutie sont illustrées par la jurisprudence de la Cour de justice de l'Union européenne "Schrems 2" qui invalidait le 20 juillet 2020 la décision d'adéquation rendue par la Commission européenne du 12 juillet 2016 sur le fondement du "Privacy Shield". C'est la législation américaine à portée extraterritoriale en matière fiscale et de surveillance qui a conduit le juge européen à considérer que les transferts de données personnelles de l'Union européenne vers les États-Unis ne bénéficiaient pas de protection adéquate. Depuis et dans l'attente d'un nouvel accord politique qui permettrait d'assurer une protection suffisante des données personnelles européennes sur le territoire américain, les transferts transatlantiques de ces données doivent reposer sur un autre mécanisme et fondement légal au sens du RGPD (clauses contractuelles types, règles d'entreprise contraignantes, etc.). Par cet arrêt, la vision européenne de la protection des données personnelles a gagné en lisibilité, en effectivité et en retentissement. En attestent les multiples sanctions prises par les autorités nationales de protection des données personnelles sur son fondement et les récentes évolutions législatives de pays tiers en la matière en vue d'un meilleur alignement avec le droit européen. En 2022, les Règlements "DMA" (Digital Markets Act) et "DSA" (Digital Services Act) ont entériné cette vision européenne plus offensive d'une extraterritorialité mesurée. On retrouve dans ces textes les mêmes mécanismes juridiques et de compliance d'une application non plus fondée sur le seul territoire européen lui-même mais sur une protection effective des personnes sur ce territoire. Ainsi, les entreprises "contrôleurs d'accès" pour le DMA et "intermédiaires numériques" pour le DSA, dès lors qu'elles opèrent sur le marché européen et atteignent certains seuils de taille et de chiffre d'affaires, sont tenues à de nouvelles obligations ex ante en vue de prévenir des pratiques déloyales et atteintes au droit de la concurrence pour le DMA, en vue de limiter la diffusion de contenus illicites et la vente de produits illicites pour le DSA. Sur le modèle du RGPD, ces textes prévoient de lourdes sanctions correspondant à un pourcentage du chiffre d'affaires annuel mondial de l'entreprise concernée en cas de violation. Il en est de même des évolutions législatives européennes en faveur du développement et de la gouvernance durables dans le cadre du Pacte Vert et du Règlement Taxonomie de 2020. La directive sur le reporting de durabilité des sociétés (Corporate Social Responsibility Directive, CSRD) du 14 décembre 2022 en est l'une des pierres angulaires en complétant la directive sur le reporting extra-financier (Non Financial Reporting Directive NFRD) en matière de publication d'informations non financières. Cette directive qui s'appliquera dès 2024 aux premières entreprises atteignant certains seuils pour leurs rapports 2025 impose des obligations de déclaration de performance extra-financière fondée sur l'impact environnemental, social et sur les droits de l'Homme des sociétés concernés. Le projet de directive sur la gouvernance durable du 23 février 2022 qui prévoit un devoir de vigilance européen repose sur les mêmes principes de compliance. Par ce texte, l'objectif est de prévenir les atteintes aux droits de l'Homme et à l'environnement dans la chaîne de valeurs de l'entreprise dans son ensemble, en ce compris les fournisseurs, partenaires et sous-traitants. Il s'appliquera aux entreprises atteignant certains seuils de chiffre d'affaires et d'effectifs, selon leurs activités, dès lors qu'elles opèrent sur le marché de l'Union européenne.

Aller plus loin

C'est par une approche stratégique d'intelligence du droit et de la compliance qui s'illustre notamment par une extraterritorialité mesurée et respectueuse des droits des autres puissances que l'Union européenne peut répondre aux grandes puissances en dépassant la notion de territoire : d'abord en s'assurant d'une meilleure coordination entre ses institutions pour voir ses projets législatifs ambitieux aboutir rapidement, le projet de devoir de vigilance des entreprises en matière de durabilité́ illustrant les difficultés en la matière. Après la rédaction d'un rapport suite à la consultation des parties prenantes en 2020, il a fait l'objet le 10 mars 2021 d'une résolution du Parlement européen plus politisée et de courants contraires insufflés par différents lobbies, notamment au sein du Parlement. Le texte révisé plusieurs fois n'a, à ce jour, toujours pas été adopté. C'est aussi par des discussions plus ouvertes avec les acteurs économiques sur la mise en œuvre pratique des objectifs poursuivis dans les délais envisagés, comme en attestent les discussions difficiles pour l'inclusion dans le Règlement Taxonomie des ressources énergétiques comme le gaz et le nucléaire. La sur-inflation juridique, la contradiction ou les difficultés d'articulation entre plusieurs lois et normes et les difficultés pratiques qui en découlent pour les entreprises doivent également être combattues. Sans parler de la prise en compte des coûts considérables de la mise en conformité. Un défi que devra relever l'EFRAG lors de la détermination des critères de performance extra-financières, prérequis à la mise en œuvre de la directive CSRD. Une meilleure consultation et une réelle implication des entreprises sur ces sujets semble plus que jamais nécessaire. C'est enfin une approche progressive et pédagogue que les régulateurs et juges des États membres et de l'Union européenne devront adopter pour accompagner les entreprises vers des transformations difficiles essentielles. Les outils et projets en ce sens ne manquent pas, que ce soit avec les possibilités qu'offre l'essor du Parquet européen, le projet de Cloud européen ou encore les appels à l'adoption d'un "Buy European Act".