Lundi 30 mai 2016

A ssurer une c o n f o r -mité aux

lois et règlements, aux normes pro-fessionnelles ainsi qu’aux bonnes pratiques est l’un des objectifs d’une bonne gouver-nance d’entreprise. Cette contrainte est intégrée dans l’environnement

de contrôle tel que conçu par l’entreprise. Chartes d’éthique, codes de conduite et for-mations visent à sensibiliser les salariés sur la volonté de l’entreprise de se conformer à l’ensemble de ces règles. C’est également un gage de confiance et de réputation envers les clients et autres stakeholders. Mais la pression du législateur, de l’administration et de l’opi-nion reste forte pour imposer aux entreprises une gestion «conforme» ou «compliant».Cette lettre évoquera un certain nombre de procédures que les entreprises se doivent de respecter. Elles doivent ainsi, pour préser-ver leur droit à déduction de la TVA, mettre en place des contrôles documentés et per-manents qui permettent d’établir une piste

d’audit fiable entre la facture émise ou reçue et la livraison de biens ou prestation de ser-vice qui en est le fondement. La mise en place de programmes de conformité en matière de droit de la concurrence devrait permettre aux entreprises de bénéficier d’une réduction des sanctions. Le règlement général européen sur la protection des données personnelles les oblige encore à repenser leur politique de protection des données. Cette réflexion doit prendre en compte les procédures à mettre en place pour patrimonialiser le secret des affaires de l’entreprise. Enfin, le projet de loi Sapin 2 encourage les entreprises à mettre en place des programmes anti-corruption afin d’améliorer la confiance du marché dans leur capacité à se prémunir contre ce type de risques.Il sera également souligné, dans cette lettre, qu’un certain nombre de facteurs favorise la transparence et la mise en lumière de pratiques non conformes. La digitalisation des contrôles fiscaux révèle désormais de manière quasi industrialisée les situations de non-conformité comptable et fiscale. Le statut du «lanceur d’alerte» qui signale un fait illégal, illicite ou dangereux pour autrui devrait être défini par le projet Sapin 2.L’objectif est de faire un point d’actualité sur le sujet de la conformité. n

l La piste d’audit fiable des factures : les entreprises ne peuvent plus faire l’impasse sur cette obligation p.1

l L’importance des programmes de conformité en droit de la concurrence p.4

l Protection des données personnelles : un renforcement des obligations des entreprises p.5

l La consécration du secret des affaires au sein de l’Union européenne et ses effets sur la gouvernance d’entreprise p.7

l Projet de loi Sapin : vers un renforcement des obligations de probité des entreprises françaises p.8

l Le contexte de digitalisation des contrôles fiscaux révèle des situations de non-conformité comptable et fiscale p.9

l Le lanceur d’alerte : vers un statut enfin harmonisé ? p.11

Sommaire

Supplément du numéro 1368 du 30 mai 2016

Edito

Par Bruno Thomas, avocat associé,PwC Société d’Avocats

GESTION DES GrOupES GESTION DES GrOupES

INTErNATIONAuX INTErNATIONAuX

LA LETTrE

Dossier - La conformité, vers un nouveau cap

2 Lundi 30 mai 2016

La piste d’audit fiable des factures : les entreprises ne peuvent plus faire l’impasse sur cette obligation

L a directive facturation n° 2010/45/UE, mise en œuvre par les Etats européens, a introduit l’obligation de la piste d’audit fiable («PAF»)

en matière de facture depuis le 1er janvier 2013.En France, la question de la PAF semble avoir émergé tardivement dans les priorités des entre-prises. Cette situation s’explique en partie par l’avalanche de nouvelles obligations fiscales subies par les entreprises depuis 2013 : le FEC (fichier des écritures comptables), la documentation simplifiée de prix de transfert, le CBCR (Country By Country Reporting) et le BEPS (Base Erosion and Profit Shif-ting). Par ailleurs, les conditions de mise en œuvre et de formalisation de la PAF ne sont pas évidentes à mettre en œuvre faute de commentaires précis par l’administration fiscale.Néanmoins, la PAF reste une obligation légale pour les entreprises avec des enjeux importants. En effet, le défaut ou la défaillance d’une PAF peuvent donner lieu à diverses sanctions dont le rejet de la déduction de la TVA liée aux factures d’achat1.La PAF reste un point de vérification potentiel pour l’administration fiscale et des questions relatives aux thématiques traitées par la PAF sont désormais posées dans le cadre de certains contrôles diligen-tés par les Brigades de vérification des comptabili-tés informatisées («BVCI»).

Rappel des objectifs et obligations liés à la «PAF» posés par la réglementation françaiseEn France, aux termes de l’article 289 VII 1° du CGI et pour satisfaire aux conditions d’authenticité de l’origine, d’intégrité du contenu et de lisibilité de la facture, les assujettis peuvent émettre ou recevoir des factures papier ou sous forme électronique en recourant à toute solution technique autre que l’EDI fiscal ou la signature électronique qualifiée2, dès lors que des contrôles documentés et perma-nents sont mis en place par l’entreprise et permet-tent d’établir une piste d’audit fiable (PAF) entre la facture émise ou reçue et la livraison de biens ou prestation de services qui en est le fondement.L’administration fiscale précise dans sa doc-trine3 que la PAF correspond à tous les contrôles internes, organisés et permanents de l’entreprise permettant de s’assurer de la réalité de l’opération

facturée.La société doit être en mesure de reconstituer la chronologie de l’ensemble du processus et des contrôles associés depuis l’origine de la facture jusqu’à sa conservation.Les contrôles doivent être adaptés à la taille de la société, la nature de son activité, la volumétrie des factures (émises et reçues) et aux enjeux TVA des transactions. L’identification et le niveau des contrôles relèvent de la seule responsabilité de la société.La PAF impose donc de démontrer l’existence de procédures visant à :– identifier et corriger les erreurs/anomalies dans la gestion des factures (double paiement, facture fictive) ;– assurer la bonne application des règles de factu-ration (mentions, format et conservation) ;– garantir que la facture est correcte dans son trai-tement TVA ;– limiter les risques de fraude TVA ;– protéger et sécuriser les données et systèmes d’information («SI») ;– maintenir un paramétrage SI conforme aux règles TVA et au besoin de contrôle lié à la piste d’audit.

La France a fait le choix d’une obligation de documentation dédiée à la PAFLa France a pris une position conservatrice en obli-geant les entreprises à documenter leurs pistes d’audit fiables des factures. Cette obligation de documentation ne répondrait finalement qu’à un principe de prudence face à la libéralisation des for-mats de factures jusqu’alors interdits4 et à la «digi-talisation» grandissante des processus de factura-tion qui, par nature, pourraient entraîner un risque de perte d’informations ou de fraude à la TVA.Enfin, pour l’administration fiscale française, la mise en place de la PAF et la formalisation de sa documentation ne seraient pas de nature à créer une nouvelle charge de travail pour les entreprises qui évoluent déjà dans un environnement normé, sécurisé, contrôlé et documenté5.Cette vision ne reflète pas nécessairement la réa-lité de la vie des entreprises et des contrôles fis-caux actuels.

Par José Manuel Moreno, avocat associé,

PwC Société d’Avocats

et Laurent Poigt, avocat, PwC Société d’Avocats

Dossier - La conformité, vers un nouveau cap

Lundi 30 mai 2016 3

Des entreprises livrées à elles-mêmes face à cette obligation de documentationLe design de la PAF et sa formalisation dans une documentation ne sont pas un exercice facile pour les entreprises, faute d’indications précises de la part de l’administration fiscale6.En pratique, nous constatons que les entreprises sont confrontées à une triple difficulté qui varie selon leur niveau d’organisation interne.D’une part, certaines entreprises ne disposent pas nécessairement d’une procédure interne écrite et exhaustive couvrant l’ensemble des flux de factu-ration (achat et vente) et permettant ainsi d’appré-cier la qualité de la gestion et du contrôle des «flux» (exemples : ségrégation des tâches, gestion des commandes, ouverture des comptes clients, procé-dure des paiements, gestion des référentiels dans les systèmes d’information, etc.).D’autre part, quand bien même des procédures de gestion et de contrôle seraient formalisées au sein de l’entreprise, elles n’ont pas été initialement créées dans un objectif de conformité fiscale des factures. Il convient donc de s’assurer qu’elles répondent également aux critères d’authenticité, d’intégrité et de lisibilité de la PAF et d’apporter les améliorations nécessaires pour répondre à ces cri-tères.Enfin, compte tenu de l’étendue de la PAF qui doit couvrir toutes les étapes de traitement de la facture (de la phase contractuelle à la phase de conservation), l’organisation d’une documenta-tion PAF implique la convergence de nombreux acteurs disponibles et organisés autour d’un projet d’entreprise (directions comptables/fiscales, finan-cières, achats, ventes, logistique/douanes, contrôle interne/de gestion, DSI).

Les aspects de la documentation PAF com-mencent à être questionnés dans le cadre de contrôles fiscauxLes vérificateurs (pour la plupart membres de BVCI) adressent des questionnaires qui dépassent le péri-mètre classique des contrôles de comptabilités informatisées.Désormais, les vérificateurs demandent aux socié-tés de décrire le «chemin de révision de la TVA dans les flux achats et ventes» au travers de «question-naires spécifiques IT/TVA», axés de plus en plus sur la gestion des factures et des flux TVA associés dans les processus de gestion des sociétés et les données (événements et transactions) enregistrées par les systèmes.Concrètement, il s’agit de demandes visant à obte-nir des informations qui, par nature, devraient être

traitées dans la documentation PAF (exemples) :– démonstrations informatiques et comptables des «cycles complets» de ventes et d’achats (de la com-mande client à la livraison, jusqu’à la comptabilisa-tion complète dans votre système d’information, y compris les écritures de TVA – CA3, DEB, DES) : des logigrammes, documentations internes dédiées sont alors nécessaires pour y répondre ;– identification et explication des schémas de comptabilisation des flux hors système (factures manuelles) ou sans commande (hors comptabilités auxiliaires : flux Direct FI/GL) ;– explication du processus de décision et de ges-tion pour l’émission des factures manuelles et des avoirs ;– explication sur les règles de gestion du paramé-trage TVA des transactions dans les systèmes d’in-formation et de la structure des codes TVA associés (codes à l’achat, à la vente, d’autoliquidation avec ses clés comptables spécifiques, gestion de l’exigi-bilité, gestion des anciens taux de TVA, etc.) ;L’obligation PAF permet ainsi aux BVCI d’étendre le ciblage des demandes de traitement et d’ap-préciation des risques en matière de TVA. Cette appropriation par les BVCI de la thématique PAF s’explique par le fait qu’une très grande partie des flux de facturation et des contrôles associés sont désormais traités dans les systèmes d’information des entreprises.Compte tenu de ces dernières évolutions, les entre-prises ne peuvent plus repousser à demain la ques-tion de la documentation PAF et doivent désormais lancer les chantiers nécessaires pour y répondre, au risque de se trouver démunies lors d’un prochain contrôle fiscal.Une telle démarche dépasse le seul cadre de la conformité fiscale des factures et répond parfai-tement aux autres préoccupations des directions financières et du contrôle interne : amélioration du contrôle interne, renforcement du code de déonto-logie de l’entreprise, participation aux procédures internes de lutte contre la fraude, augmentation des informations échangées avec le commissaire aux comptes. n

1. Article L. 13 E du LPF et BOFIP – TVA-DECLA-30-20-30-50 § 90 et 100 du 18/10/2013.2. Ou équivalent – RGS ** ou ***.3. BOI – TVA-DECLA-30-20-30-20-20131018.4. Exemple : réception de factures au format PDF – texte ou image – par email, fichiers structurés simples, factures mixtes (lisible + données traitables par ordinateur), etc.5. Intervention de la DGFIP, Direction du contrôle fiscal, Forum de la facturation du 18 juin 2015.6. La doctrine fiscale est volontairement courte et ne pose pas de cahier des charges, contrairement aux autres voies de facturation normées que sont l’EDI fiscal ou la signature électronique, prévues aux articles 289 VII °2 et 3° du CGI.

Dossier - La conformité, vers un nouveau cap

L’importance des programmes de conformité en droit de la concurrence

Par Edith Baccichetti, avocate associée,

PwC Société d’Avocats

et Claire Rey, avocate,

PwC Société d’Avocats

Les enjeux pour les entreprisesCes dernières années, les sanctions pécuniaires infligées par les autorités de concurrence ont atteint des montants très importants. L’Autorité de la concurrence a, par exemple, infligé des amendes de plus de 1 milliard d’euros en 2014 et de plus de 200 millions d’euros au premier semestre 2015. Ce risque financier est accru par le recours fréquent aux systèmes de clémence conduisant à une «dénonciation» des pratiques auprès des autorités. De plus, la publicité relative aux décisions rendues porte préjudice à l’image des sociétés concernées.Par ailleurs, les actions en dommages et intérêts intentées à l’encontre des entreprises condam-nées pour pratiques anticoncurrentielles devraient encore se développer. En effet, la loi Hamon du 17 mars 2014 a introduit les actions de groupe en France. De plus, le projet de loi Sapin 2 en cours devrait conduire à la transposition de la directive européenne du 26 novembre 2014 relative aux actions en dommages et intérêts.Enfin, les personnes physiques ayant pris fraudu-leusement une part personnelle et déterminante dans la conception, l’organisation ou la mise en œuvre de pratiques anticoncurrentielles peuvent être poursuivies sur le plan pénal même si les cas de condamnations pénales restent, à ce jour, iso-lés.Dans ce contexte, les entreprises, encouragées par la pratique décisionnelle de l’Autorité de la concurrence et son document-cadre sur les pro-grammes de conformité au droit de la concur-rence du 10 février 2012, se dotent de plus en plus fréquemment de programmes de conformité.Pour l’Autorité de la concurrence, l’adoption de ces programmes représente un élément impor-tant d’anticipation, de maîtrise et de gestion de ces différents risques. Il s’agit de créer une culture de «compliance concurrence» au sein de l’entre-prise, de prévenir les risques d’infraction et de récidive, de détecter et de traiter les cas d’infrac-tion n’ayant pu être évités.La mise en place d’un programme de confor-mité efficace représente, en pratique, une véri-table opportunité pour les entreprises tant à titre préventif que curatif. Les retours d’expériences témoignent des retombées positives en termes de

sécurité juridique, d’image et d’éthique, de limita-tion de l’exposition au risque concurrentiel et de réduction des amendes encourues.

Les incidences des programmes de confor-mité sur les sanctionsUne entreprise dotée d’un programme de confor-mité qui découvre et met fin d’elle-même à une pratique anticoncurrentielle autre qu’un cartel, avant l’ouverture d’une enquête ou d’une procé-dure par une autorité de concurrence, peut béné-ficier d’une circonstance atténuante.En cas de poursuites, le fait d’avoir mis en place un programme de conformité qui n’aurait pas empê-ché la commission d’une infraction ne constitue pas une circonstance aggravante.Les entreprises pouvaient même bénéficier, sous l’égide de l’ancienne procédure de non-contes-tation des griefs, d’une réduction de l’amende encourue lorsqu’elles proposaient en cours de procédure des engagements relatifs à la mise en place ou à l’amélioration d’un programme de conformité. Cette réduction variait en pratique de 5 % à 15 % environ en fonction du caractère subs-tantiel, crédible et vérifiable des engagements proposés. Elle s’ajoutait à la réduction de 10 % consentie au titre de la renonciation à contester les griefs.

Les incidences de la nouvelle procédure de transaction sur les programmes de confor-mitéLa nouvelle procédure de transaction instaurée par la loi Macron du 6 août 2015 se substitue à la procédure de non-contestation des griefs et s’applique aux procédures dont les griefs ont été notifiés postérieurement à la publication de cette loi. Les entreprises qui renoncent à contester les griefs notifiés peuvent se voir proposer par le rapporteur général de l’autorité une transaction fixant le montant minimal et maximal de la sanc-tion encourue (et non plus un pourcentage de réduction de sanction).Il demeure possible pour les entreprises pour-suivies optant pour la transaction de s’engager à modifier leur comportement pour l’avenir. Le rap-porteur général peut tenir compte de ces engage-ments dans sa proposition de transaction. Ainsi,

4 Lundi 30 mai 2016

la mise en place d’un programme de conformité aux règles de concurrence ou l’amélioration d’un programme existant devrait encore conduire à une réduction de la sanction sous l’égide de cette nouvelle procédure.Il est vrai que l’article L. 464-2 du Code de com-merce fixe seulement les grands principes appli-cables à cette nouvelle procédure de transaction. L’Autorité de la concurrence dispose donc d’une importante marge de manœuvre pour sa mise en œuvre. A cet égard, l’Autorité de la concur-rence devrait publier prochainement des lignes directrices qui préciseront vraisemblablement les incidences des engagements relatifs aux pro-grammes de conformité sur les sanctions encou-rues dans le cadre des procédures de transaction.

Un socle minimum qui reste encadréEn tout état de cause, les programmes de confor-mité doivent répondre à certaines exigences, notamment pour être éligibles aux réductions de sanctions évoquées.Les organes de direction de l’entreprise doivent prendre un engagement clair, ferme et public

en faveur du respect des règles de concurrence et désigner un responsable du programme de conformité.Ces programmes doivent, en outre, mettre en place des mesures d’information, de sensibilisa-tion et de formation aux règles de concurrence ainsi que des mécanismes de contrôle, d’audit, d’alerte et de suivi de ces mesures. Tous ces engagements restent soumis au respect du droit du travail.D’après l’Autorité de la concurrence, il n’existe pas de programme de conformité type. Ces pro-grammes doivent être élaborés sur mesure dans une optique de long terme. En pratique, ils doi-vent être adaptés à la taille de l’entreprise, à la nature de ses activités, aux secteurs sur lesquels elle opère, à son organisation et à son mode de gouvernance.Afin de garantir l’efficacité des programmes de conformité, il est donc important de réaliser, en amont, un état des lieux concret et opérationnel de la nature des risques encourus ainsi que des personnes et activités les plus exposées au sein de l’entreprise. n

Dossier - La conformité, vers un nouveau cap

Lundi 30 mai 2016 5

Protection des données personnelles : un renforcement des obligations des entreprises

S ous l’impulsion européenne, la pro-tection des données personnelles devient une préoccupation majeure

des entreprises.En effet, le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a invalidé le mécanisme d’adéquation dit de Safe Harbor qui permettait de transférer librement les données personnelles vers les Etats-Unis du moment que l’opérateur sur le sol américain était affilié Safe Harbor, obligeant les entreprises à avoir recours à des mécanismes plus contraignants tels que l’utilisation de clauses standard adoptées par la Commission européenne ou la mise en place de Binding Corporate Rules – BCR (pour les groupes de sociétés).Dans une économie mondialisée avec des trans-ferts permanents de données et la présence de très nombreux acteurs du cloud computing sur

le sol américain, la Commission européenne a annoncé la conclusion d’un nouvel accord avec les Etats-Unis en remplacement du Safe Harbor appelé «EU-US Privacy Shield» publié le 29 février 2016 et qui va faire l’objet d’une analyse et valida-tion ces prochains mois de la part des Européens.Mais c’est surtout l’harmonisation de la protection des données personnelles au sein de l’Union euro-péenne dès 20181, par l’adoption le 14 avril 2016 par le Parlement européen du règlement général sur la protection des données personnelles n° 5419/1/16, qui contraint les entreprises françaises à repenser leur politique de protection des don-nées jusqu’ici encadrée par la loi «Informatique et libertés» du 6 janvier 1978.Le règlement a un champ d’application matériel et territorial large, car il concerne toutes données permettant l’identification d’une personne phy-

Dossier - La conformité, vers un nouveau cap

6 Lundi 30 mai 2016

Par Sophie Delahaie-Roth, avocate,  

PwC Société d’Avocats,

et Michael Chan, avocat,

PwC Société d’Avocats,

sique, en ce compris dorénavant les identifiants en ligne et les données de géolocalisation.Il a par ailleurs vocation à s’appliquer à tous les traitements de données personnelles liés à l’offre de biens ou de services à des personnes résidant sur le territoire de l’Union européenne et ce, indé-pendamment du lieu d’établissement des entre-prises agissant en qualité de responsables de trai-tement.

Renforcement des droits des individusLe règlement renforce l’obligation de recueil du consentement de la personne concernée par un traitement de données. Ce consentement devra être préalable, volontaire, actif et éclairé selon le principe de l’opt-in. L’individu concerné devra être informé de manière claire et transparente de ses droits d’accès, de rectification, d’opposition mais désormais aussi, de son droit à l’effacement qui n’est autre que le droit à l’oubli permettant la sup-pression et le déréférencement de données per-sonnelles.Les nouvelles dispositions prévoient également que toute personne jouira du droit à la portabilité de ses données, permettant un transfert plus aisé de ses propres données personnelles au sein de l’Union européenne.Les opérations de profilage sont enfin plus enca-drées et obligent le recours à l’interprétation des résultats par l’homme.Des garanties spéciales sont prévues pour l’utilisa-tion des données des mineurs, des autorisations parentales devenant notamment nécessaires dans certains cas.

Nouvelles obligations pour les entreprisesL’esprit du règlement reposant sur le principe de responsabilisation des entreprises («accountabi-lity»), l’obligation de procéder aux formalités pré-alables auprès de la CNIL (déclaration ou demande d’autorisation) est supprimée2. En contrepartie, la tenue de registres internes recensant les trai-tements de données personnelles deviendra obli-gatoire.La protection des données personnelles devient le centre des préoccupations des entreprises. Les données doivent être traitées de façon à les pro-téger contre un traitement non autorisé ou illicite et contre la perte, la destruction et les dommages accidentels.La protection des données personnelles devra être prise en compte systématiquement dès la concep-tion d’un produit ou service («privacy by design»), mais également par la mise en place, par défaut,

du plus haut niveau de protection et de sécurité des données traitées («privacy by default»).Par ailleurs, les responsables de traitement seront tenus d’une obligation de notification quasi immé-diate auprès de l’autorité de contrôle en cas de violation grave («serious breach») des données.Enfin, la désignation d’un délégué à la protection des données sera obligatoire pour les entreprises dont l’activité consiste en des traitements qui exi-gent un suivi régulier et systématique et à grande échelle d’individus ou en cas de traitement de données sensibles.Certaines dispositions visent plus particulièrement les groupes de sociétés établis dans plusieurs Etats membres, lesquels pourront opter pour un «guichet unique européen», et n’auront plus l’obligation de contacter chacune des autorités des pays d’implantation. De même, la fonction de délégué à la protection des données pourra être centralisée.Compte tenu de la hausse significative du risque due au renforcement des sanctions encourues3 (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel pour les cas les plus graves), les entreprises françaises doivent dès aujourd’hui mettre la protection des données personnelles au cœur de leurs préoccupations pour être prêtes en 2018, tout en étant attentives au fait que la loi Informatique et libertés de 1978 continuera à s’ap-pliquer jusqu’à l’entrée en vigueur des nouvelles dispositions.Dans l’intervalle, il leur sera recommandé d’éva-luer par le biais d’outils de risk assessment leur maturité à la lumière des nouvelles obligations prévues par le règlement, afin de prévenir les risques de non-conformité. n

1. Le règlement entrera en vigueur 20 jours après sa publication au Journal officiel de l’UE et sera directement applicable dans tous les Etats membres deux ans après cette date, soit au cours de l’année 2018.2. A l’exception de certains traitements tels que les transferts en dehors de l’Union européenne, qui demeureront soumis à autorisation préalable de la CNIL.3. Pour rappel, sanctions pécuniaires prononcées par la CNIL : jusqu’à 150 000 euros d’amende en cas de premier manquement, montant pouvant être porté à 300 000 euros ou 5 % du chiffre d’affaires hors taxes en cas de récidive.

Dossier - La conformité, vers un nouveau cap

Lundi 30 mai 2016 7

La consécration du secret des affaires au sein de l’Union européenne et ses effets sur la gouvernance d’entreprise

L e 14 avril 2016, une large majorité du Parle-ment européen a adopté la proposition de directive sur «la protection des savoir-faire

et des informations commerciales non divulgués contre l’obtention, l’utilisation et la divulgation illi-cites».En réponse à la disparité des régimes juridiques des 28 Etats membres de l’Union européenne, l’adoption de la directive permet de consacrer une définition juridique stable de la notion de «secret d’affaires», et d’instaurer les bases d’un régime harmonisé de protection et de réparation civile permettant de favoriser l’innovation au sein du marché intérieur et de lutter contre l’espionnage industriel (1).Les nouvelles dispositions ne sont pas sans inci-dence en matière de gouvernance d’entreprise. Pour se prévaloir valablement des dispositions de la directive, les entreprises européennes seront en effet tenues de prendre les mesures adéquates des-tinées à protéger leur patrimoine informationnel (2).

1. Dispositions clés du régime de protection du «secret d’affaires»La directive consacre une définition du secret des affaires qui repose sur trois critères cumulatifs :1. les informations relevant du secret des affaires sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l’assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément acces-sibles ;2. les informations ont une valeur commerciale, effective ou potentielle, parce qu’elles sont secrètes ;3. les informations font l’objet, de la part de la per-sonne qui en a le contrôle de façon licite, de disposi-tions raisonnables, compte tenu des circonstances, destinées à les garder secrètes.En ligne avec les Accords Internationaux sur la Pro-tection des Droits Intellectuels (ADPIC) conclus dans le cadre de l’Organisation mondiale du commerce, le périmètre du régime de protection ne vise donc que les informations commerciales ou économiques du patrimoine informationnel des entreprises suscep-tibles de leur conférer un avantage concurrentiel, mais qui ne peuvent, par leur nature, être protégées

par les droits de propriété intellectuelle.La directive énumère les comportements et pra-tiques devant être réputés constituer une obtention, une utilisation ou une divulgation illicites du secret d’affaires, et écarte expressément les hypothèses où les informations relevant du secret d’affaires auraient été acquises de bonne foi, notamment du fait d’une découverte ou d’une création indépen-dante ou par ingénierie inverse.Par ailleurs, les députés européens ont veillé à ce que le texte de la directive ne crée pas d’obstacles injustifiés à la mobilité des travailleurs, puisque les règles ne limiteront pas l’utilisation de l’expérience et des compétences acquises légitimement au cours de leur carrière. Par conséquent, les entre-prises ne pourront imposer de restrictions supplé-mentaires dans les contrats de travail des employés autres que celles conformes au droit communau-taire ou national.Afin de concilier les objectifs de protection de la directive avec les libertés fondamentales, les ins-tances européennes ont également exclu le droit à réparation au bénéfice des victimes de vol ou de détournement du secret d’affaires lorsque celui-ci a été acquis, utilisé ou communiqué dans les circons-tances suivantes :– l’exercice du droit à la liberté d’expression et d’in-formation ;– la révélation d’une faute professionnelle ou une activité illégale, à condition que le défendeur ait agi dans l’intérêt public général, tels que la sécurité publique, la protection des consommateurs, la santé publique et la protection de l’environnement ;– le secret d’affaires a été dévoilé par des tra-vailleurs à leurs représentants dans le cadre de l’exercice légitime des fonctions de leurs représen-tants, conformément au droit communautaire ou national, à condition qu’une telle révélation s’avère nécessaire pour cet exercice ;– la protection de tout intérêt légitime reconnu par le droit de l’Union ou le droit national.Le texte de la directive devrait prochainement être examiné par le Conseil de l’Union européenne en vue de son ultime publication dans le Journal officiel de l’Union européenne. A compter de cette publica-tion, les 28 Etats membres disposeront de deux ans pour transposer la directive dans leur droit national.

Par Sandrine Cullaffroz-Jover, avocate,PwC Société d’Avocats

Dossier - La conformité, vers un nouveau cap

2. Effets sur la gouvernance du patrimoine informationnelConformément aux nouvelles dispositions, l’applica-tion du régime de protection nécessite de caractéri-ser préalablement les éléments permettant d’élever au rang de secret d’affaires l’ensemble des informa-tions stratégiques ayant fait l’objet d’une atteinte. A ce titre, l’entreprise est responsable de prendre en amont «des dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes».Autrement dit, il n’y aura point de secret sans efforts consentis pour en assurer la confidentialité.Cette exigence s’inscrit juridiquement dans une tradition civiliste où la faute et la négligence de la victime tendent à réduire, voire même à évincer son

droit à réparation.Concrètement, les «dispositions raisonnables» envi-sagées par le législateur européen doivent s’en-tendre comme l’ensemble des mesures juridiques, techniques et organisationnelles considérées comme adéquates au regard du niveau de sensi-bilité des données traitées. L’appréciation des «cir-constances» pourra utilement s’effectuer par le biais d’une analyse des risques et des conséquences en cas de compromission.Pour anticiper la transposition de la directive en droit interne, il est dès à présent recommandé aux entre-prises d’adapter leur politique de gouvernance et de veiller à conserver la traçabilité des mesures prises pour sécuriser leur patrimoine informationnel. n

8 Lundi 30 mai 2016

Projet de loi Sapin : vers un renforcement des obligations de probité des entreprises françaises

F ace aux coûts directs et indirects des risques liés à la corruption et aux attentes crois-santes des grands donneurs d’ordres inter-

nationaux, la mise en place d’un programme anti-corruption tend à devenir une condition d’accès au marché.Le projet de loi relatif à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, enregistré le 30 mars 2016 à l’Assem-blée nationale, vise à promouvoir le développement de tels programmes au sein des entreprises fran-çaises afin d’améliorer la confiance du marché dans leur capacité à prévenir les risques de corruption.

De nouvelles obligations de prévention contre les risques de corruptionLes entreprises de plus de 500 collaborateurs avec un chiffre d’affaires supérieur à 100 millions d’euros doivent dorénavant disposer d’un «plan de préven-tion des faits de corruption ou de trafic d’influence en France ou à l’étranger».L’objectif poursuivi est d’imposer aux plus grandes entreprises la mise en place d’un dispositif interne permettant la prévention et détection de faits de corruption et, à cet effet, détaille les procédures devant être mises en œuvre de manière effective pour satisfaire l’obligation générale de prévention :

– un code de conduite ;– un dispositif d’alerte interne ;– une cartographie des risques régulièrement actua-lisée, destinée à identifier, analyser et hiérarchiser les risques d’exposition à des sollicitations externes ;– des procédures de vérification de la situation des clients, des fournisseurs de premier rang ainsi que des intermédiaires au regard de la cartographie des risques ;– des procédures de contrôle comptable, internes ou externes ;– un dispositif de formation destiné aux personnels les plus exposés au risque de corruption ;– un régime de sanction disciplinaire permettant de sanctionner le personnel.

Création d’un service chargé de la prévention et de l’aide à la détection de la corruptionS’inspirant des réglementations étrangères, le projet de loi prévoit la création d’un service spécifique en mesure de prévenir et d’aider à la détection des faits de corruption (Agence nationale de prévention et de détection de la corruption) et qui sera, notamment, chargé d’assurer le contrôle et la sanction du res-pect par les entreprises concernées de leurs nou-velles obligations de prévention contre les risques de corruption.

Par Françoise Bergé, associée,  

PwC,

et Lionel Yemal, avocat,  

PwC Société d’Avocats

Dossier - La conformité, vers un nouveau cap

Lundi 30 mai 2016 9

Le contexte de digitalisation des contrôles fiscaux révèle des situations de non-conformité comptable et fiscale

Création d’une peine de mise en conformité et incrimination du trafic d’influence d’agent public à l’étrangerLe projet de loi prévoit la création d’une nouvelle peine complémentaire (article 131-39-2 du Code pénal) visant à obliger les entreprises reconnues coupables de faits de corruption ou de trafic d’in-fluence de mettre en place en interne des disposi-tifs destinés à prévenir la réitération de tels faits.Le non-respect de cette peine constituera un nou-veau délit (article 434-43-1 du Code pénal) puni pour les personnes physiques de deux ans d’em-prisonnement et 30 000 euros d’amende et, pour les personnes morales, d’une amende et de l’en-semble des peines prévues au titre du délit pour lequel elles auront été condamnées et qui aura donné lieu au prononcé de la peine de mise en conformité.Conscient du rôle de l’image et de la notoriété dans les transactions commerciales, le projet de loi envisage l’extension de la peine de publicité de la condamnation à l’ensemble des infractions d’at-teinte à la probité (prise illégale d’intérêts, favori-tisme, détournement de fonds publics, etc.).

Un enjeu pour les entreprises de taille inter-médiaire (ETI)Selon l’exposé des motifs du projet de loi Sapin 2, son champ d’application impactera environ 1 570 entreprises.Celles qui travaillent à l’international sont déjà sou-mises à des réglementations du type FCPA (Foreign Corrupt Practices Act – Etats-Unis) et UKBA (UK-Bri-bery Act – Royaume-Uni) et disposent déjà pour la plupart des outils de prévention nécessaire. En effet, les dispositions requises par le projet de loi à ce stade sont similaires à celles requises par les régle-mentations américaine et anglaise.En revanche, beaucoup d’ETI et certaines socié-tés du SBF 120 ne sont pas encore sensibilisées aux problématiques d’éthique des affaires et de lutte contre la corruption. Elles vont devoir mettre en place un programme de compliance structuré autour des huit éléments décrits ci-contre. Ce pro-gramme devra être adapté à l’activité, à la localisa-tion, au nombre de collaborateurs, etc., notamment, pour que les coûts de mise en place ne viennent pas remettre en cause leur positionnement compétitif sur leur marché. n

L ’usage des outils informatiques par les bri-gades de vérification a fait entrer le contrôle fiscal dans une nouvelle ère numérique, qui

devient une contrainte prégnante pour les entre-prises.Depuis le 1er janvier 2014 la remise du fichier des écritures comptables (FEC) en début de contrôle est une nouvelle obligation qui a désormais atteint son rythme de croisière.Cette nouvelle obligation a également porté un nouvel éclairage sur le manque de préparation des filiales de groupes internationaux, face aux contraintes imposées par la procédure de contrôle fiscal des comptabilités informatisées (CFCI).Dans ces deux situations, si l’appartenance de la filiale française à un groupe peut être un atout, notamment en termes de ressources techniques, cette appartenance peut se révéler, pour la filiale en question, source de contraintes ou de risques en termes de conformité aux obligations comptables et fiscales.

Force est de constater que le respect des règles et principes du plan comptable général (ou du plan comptable professionnel applicable) n’a pas été la priorité des départements financiers et comptables lors de la conception des systèmes d’information comptables et financiers.A cet égard, les entités françaises (y compris celles appartenant à des groupes français) n’ont souvent pas eu d’autre choix que d’utiliser le système comp-table informatisé, ses paramétrages et le plan de compte imposés par leur groupe (exemples : PCI, IFRS, US GAAP), au surplus dans un contexte d’ex-ternalisation ou de délocalisation des systèmes et/ou des fonctions comptables au sein de centre de services partagés situés à l’étranger.Or, dans le même temps, les contrôles fiscaux récents révèlent un retour en force de l’analyse cri-tique par les vérificateurs de la comptabilité statu-taire au regard des normes comptables françaises («French GAAP») telle que présentée dans les FEC ou à l’occasion de la mise en œuvre de la procédure

Dossier - La conformité, vers un nouveau cap

CFCI.A défaut d’un véritable double jeu de comptes implémenté dans les systèmes, cette situation de non-conformité de la comptabilité informatisée oblige alors les entreprises à réaliser, dans la pra-tique notamment des travaux de correction parfois hors système, comme le «remapping» des comptes et de leurs libellés sur des milliers voire des millions d’enregistrements comptables1.Au-delà de la non-conformité de tels processus à compter des exercices clos en 2015, la manipulation des données nécessite du temps, des ressources et des outils dont ne disposent pas toujours les entre-prises, si ces dernières n’ont pas anticipé à temps (bien en amont du contrôle fiscal) la production de leurs FEC.De plus, l’absence de maîtrise par la filiale de son système comptable peut engendrer des situations de difficulté extrême lorsque la filiale, à l’occasion de la production du FEC ou d’un CFCI, découvre après coup que des changements (exemples : para-métrages, plan de comptes) ont été apportés par le groupe aux systèmes comptables au titre des exer-cices concernés.De tels changements s’ils ne sont pas pris en compte par la filiale (ce qui suppose qu’ils soient connus et documentés) peuvent conduire à la production de FEC qui ne cadreront pas avec les éléments comp-tables et fiscaux déclarés à l’époque. Le même risque existe dans le cadre d’un CFCI.L’identification par les services vérificateurs des situations de non-conformité comptable qui était restreinte aux cas dans lesquels l’administration mettait en œuvre un CFCI est maintenant facilitée et ouverte aux vérificateurs généraux dans le cadre du FEC, sans avoir besoin de recourir à l’assistance des informaticiens (BVC-istes).Plus le temps passe et moins les entreprises bénéfi-cieront de la mansuétude des vérificateurs en ce qui concerne la conformité comptable. On peut donc logiquement s’attendre à un accroissement de l’exi-gence de l’administration fiscale en ce qui concerne la conformité et la qualité comptable des données et par voie de conséquence de la tenue de comp-tabilité.Compte tenu du risque de pénalités associées à la remise de FEC non conforme, voire au risque de rejet de la comptabilité, remettre un fichier conforme au regard du format technique ne suffit plus. L’analyse par les vérificateurs des données comptables et de leur conformité au travers du prisme fiscal devenant un des éléments clés du contrôle fiscal.Il devient urgent que les filiales françaises et leur groupe mesurent les enjeux d’une non-conformité

en réalisant un véritable inventaire des écarts de conformité au regard de la réglementation, aux fins de déterminer les solutions techniquement viables et à coûts maîtrisés qui peuvent être envisagées et/ou les pratiques comptables à risque qui doivent être modifiées.Le bénéfice de telles corrections devrait être double puisqu’en améliorant la conformité des enregistre-ments comptables, la production de FEC conformes devrait s’en trouver facilitée.Toute adaptation du système d’information comp-table est une démarche de long terme qui doit se conjuguer avec l’effet de latence du contrôle fiscal dont la prescription est au minimum de trois ans. Une mise à niveau des systèmes ne produira donc un effet utile qu’au terme de cette période.Enfin, si grâce au FEC les entreprises (notamment les départements comptables et fiscaux) ont été sensibilisées à la conformité comptable et aux dif-ficultés liées à l’extraction de données sur le péri-mètre comptable, les entreprises ne doivent pas ignorer que la conformité comptable n’est pas suf-fisante au regard des obligations CFCI.En effet, être en capacité de faire face aux diffé-rentes contraintes liées au CFCI implique un travail de documentation des systèmes et des flux ainsi que la conservation des données du système néces-saires à la justification des résultats comptables et fiscaux. La priorité doit être donnée à la documen-tation et conservation des données des flux jugés critiques au plan fiscal par l’entreprise. Ce travail de longue haleine devra être mis à jour en fonction des évolutions du système d’information et des proces-sus mis en œuvre par l’entreprise.Sur ce point, les entreprises doivent encore consen-tir des efforts afin de se mettre au niveau des exigences de la procédure de contrôle fiscal et pouvoir ainsi répondre sans difficulté majeure aux demandes des vérificateurs.Par ailleurs, les entreprises doivent rapidement prendre conscience que l’intensité du contrôle fiscal est en train de se déplacer désormais vers l’analyse des données informatiques et doivent donc se doter des outils adéquats afin de se mettre au niveau des moyens d’investigation mis en œuvre par les vérifi-cateurs.Trop souvent, les entreprises ne s’attellent à la tâche qu’après avoir subi un contrôle fiscal «douloureux» du fait d’un manque de préparation. n

10 Lundi 30 mai 2016

1. L’administration fiscale à rappeler à plusieurs occasions que la tolérance relative à la «transcodification» des écritures ne respectant pas la nomenclature française cessait et qu’à compter des exercices clos en 2015, ce «transcodage» ne sera plus accepté : la comptabilité devra être tenue conformément aux normes comptables françaises et en langue française.

Par Jean Sayag, avocat associé,  

PwC Société d’Avocats,

et Yves Tuleau, avocat,

PwC Société d’Avocats,

Dossier - La conformité, vers un nouveau cap

Par Corinne Guyot Chavanon, avocate, PwC Société d’Avocats

F ace aux scandales et révélations hautement médiatisés de faits et de pratiques illicites, optimisation fiscale illégale et corruption

en tête, avec en dernier lieu l’affaire des «Panama Papers», le lanceur d’alerte est au centre de toutes les attentions.

Qui est le lanceur d’alerte ?Le droit français ne le définit pas. Selon Transpa-rency International France, le lanceur d’alerte est «tout employé qui signale un fait illégal, illicite ou dangereux pour autrui, touchant à l’intérêt général, aux instances ou aux personnes ayant le pouvoir d’y mettre fin», telles que les autorités administra-tives et judiciaires, ou l’employeur.Etant à la «source» de l’information, le lanceur d’alerte doit être protégé. Pour autant, son inter-vention doit être encadrée afin de respecter les droits des personnes visées par une alerte, qui peut se révéler finalement infondée, et concilier l’alerte avec les secrets professionnels, dont la violation est pénalement sanctionnée.L’un des objectifs du projet de loi, dit «Sapin 2», rela-tif à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, pré-sentée en Conseil des ministres le 30 mars 2016, est de «mieux protéger les lanceurs d’alerte dans le domaine des atteintes à la probité».Cette meilleure protection ne peut être mise en œuvre qu’en réformant le droit actuel afin de créer un socle de dispositions communes, comme le préconise le Conseil d’Etat dans son étude «Le droit d’alerte : signaler, traiter, protéger» rendue publique le 13 avril 2016.

Une juxtaposition de textes à l’origine de dispositifs parcellairesLe dossier de presse sur le projet de loi Sapin 2 ne dénombre pas moins de six lois entre 2007 et 2015 sur les dispositifs d’alerte et les lanceurs d’alerte. Certains auteurs considèrent que dix textes régis-sent aujourd’hui ce statut.Un embryon de socle commun peut être recher-ché dans deux textes du Code du travail, introduits par les lois du 13 novembre 2007 (relative à la lutte contre la corruption) et du 6 décembre 2013 (rela-tive à la lutte contre la fraude fiscale et la grande délinquance économique et financière).Le premier, l’article L. 1161-1, prévoit la protection

du salarié qui aurait relaté ou témoigné, de bonne foi, de faits de corruption dont il aurait eu connais-sance dans l’exercice de ses fonctions. Ce texte prévoit notamment l’interdiction de toute mesure discriminatoire à son égard, la nullité de la rupture du contrat de travail qui pourrait résulter de ces révélations et un aménagement de la charge de la preuve. Le second, l’article L. 1132-3-3 recouvre un champ matériel plus large puisqu’il vise tous faits constitutifs d’un délit ou d’un crime, ce qui va au-delà des seuls faits de corruption. Si ce der-nier texte prévoit, comme le premier, l’obligation de bonne foi, l’interdiction de toute mesure dis-criminatoire et l’aménagement de la charge de la preuve, il omet de viser la nullité de la rupture du contrat qui pourrait résulter de ce signalement.Les autres textes législatifs n’ont pas de vocation générale et sont spécifiques à certains secteurs de la vie économique et publique, comme la santé et l’environnement, les conflits d’intérêts concernant des responsables publics ou le renseignement.A côté de ce socle législatif non encore harmo-nisé, sous la pression de lois étrangères, dont la plus emblématique est la loi Sarbanes-Oxley, de nombreuses entreprises ont adopté des codes de conduite et mis en place des dispositifs d’alerte, assortis de garanties et d’une protection pour le lanceur d’alerte. Ces dispositifs ne sont pourtant que très peu utilisés en France, comme le relève le Conseil d’Etat dans son étude précitée. Les dis-positifs d’alerte et le lanceur d’alerte ne sont pas encore véritablement entrés dans les mœurs éco-nomiques et sociales françaises, ce à quoi le projet de loi Sapin 2 souhaite remédier.

Des amendements au projet de loi Sapin 2 attendus sur le statut du lanceur d’alerteLe projet de loi Sapin 2, dans sa version présentée le 30 mars 2016, prévoit deux séries de disposi-tions.L’article 6 du projet prévoit que la protection juri-dique des lanceurs d’alerte, mise en œuvre par l’Agence nationale de prévention et de détection de la Corruption (créée par le projet de loi), pourra être financée par des contributions émanant de l’Agence de gestion et de recouvrement des avoirs saisis et confisqués (AGRASC). Les lanceurs d’alerte ici visés sont ceux ayant relaté ou témoigné des faits susceptibles de constituer les infractions de

Lundi 30 mai 2016 11

Le lanceur d’alerte : vers un statut enfin harmonisé ?

Dossier - La conformité, vers un nouveau cap

Supplément du numéro 1368 du Lundi 30 mai 2016 Option Finance - 10, rue Pergolèse 75016 Paris - Tél. 01 53 63 55 55SAS au capital de 2 043 312 e RCB Paris 343256327Directeur de la publication : Jean-Guillaume d'OrnanoService abonnements : 10, rue Pergolèse 75016 Paris, Tél. 01 53 63 55 58 - Fax : 01 53 63 55 60Email : abonnement@optionfinance.frImpression : Megatop - Naintre - N° commission paritaire : 0416 T 83896

PwC Société d’Avocats 61, rue de Villiers 92208 Neuilly-sur-Seine CedexTél. : 01 56 57 56 57Fax : 01 56 57 56 58 www.pwcavocats.com

Coordination éditoriale : Xavier Petitjean, avocat,PwC Société d’Avocats.Financial services.

Si vous souhaitez contacter les auteurs de cette lettre, vous pouvez vous adresser à la rédaction :Frédérique Hernandez Département Marketing et Communication Tél. : 01 56 57 41 84 frederique.hernandez@pwcavocats.com

corruption, de trafic d’influence, de concussion, de prise illégale d’intérêt, de détournement de fonds publics ou de favoritisme.L’article 7 prévoit, pour le secteur financier, un dispositif spécifique de signalement des manque-ments professionnels à l’Autorité des marchés financiers et à l’Autorité de contrôle prudentiel et de résolution, ainsi que des dispositions protégeant les lanceurs d’alerte. Ces dispositions seront codi-fiées dans le Code monétaire et financier.Le projet de loi devrait s’enrichir d’un dispositif plus global sur le statut du lanceur d’alerte. Est en effet annoncée l’intégration, par voie d’amendement, de dispositions créant «un statut protecteur appli-cable à l’ensemble des lanceurs d’alerte du secteur public et du secteur privé quel que soit le domaine d’activité».Ce statut s’appuiera sur les propositions faites par le Conseil d’Etat, parmi lesquelles doivent être plus particulièrement relevées : le caractère facultatif de l’alerte, la gradation des canaux pouvant être saisis par le lanceur d’alerte (privilégier les canaux internes à l’entreprise, voie hiérarchique, service dédié, avant de se tourner vers les canaux externes, autorités administratives ou judiciaires), la confi-dentialité de l’identité du lanceur d’alerte et, tant que le bien-fondé de l’alerte n’est pas confirmé, de la personne visée, la définition des conditions dans lesquelles il est possible de déroger aux secrets pénalement protégés pour lancer une alerte.Ce statut, très attendu, est d’autant plus essen-

tiel que le projet de loi crée une obligation pour les grandes entreprises et celles appartenant à un grand groupe (au moins 500 salariés et 100 millions d’euros de chiffre d’affaires) de mettre en œuvre un code de conduite visant les faits de corrup-tion et de trafic d’influence, ainsi qu’un dispositif d’alerte permettant de recueillir les signalements de conduites ou situations contraires à ce code. Même si nombre d’entreprises visées par ce nou-veau texte ont déjà mis en place code de conduite et ligne d’alerte, ces deux dispositifs seraient géné-ralisés ; ils exigeraient, pour être efficaces, un statut protecteur unifié et cohérent avec les autres droits, au premier rang desquels se trouve le secret pro-fessionnel pénalement sanctionné. Rappelons que la mise en place ou la modification de ces disposi-tifs requièrent la consultation préalable du comité d’entreprise, et la plupart du temps, du comité d’hygiène, de sécurité et des conditions de travail, ainsi que l’intervention de l’inspecteur du travail si le règlement intérieur doit être modifié ou com-plété.Les enjeux sont d’importance dans un contexte où droit d’alerte, secret professionnel et divulgation au grand public d’informations confidentielles s’op-posent sur un plan médiatique et législatif, avec en toile de fond l’adoption récente de la directive européenne sur le secret des affaires. Le statut à venir sera donc scruté et analysé par l’ensemble des parties prenantes au débat avec beaucoup d’attention. n

12 Lundi 30 mai 2016