La diligence raisonnable, un puissant outil de régulation ?

Cet outil s’inspire des Principes Directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme (PDNU) de juin 2011, les poussant à identifier, réguler et réparer les impacts négatifs que suscitent leurs chaines de production¹. Au sein de l’Union européenne, sa transposition pourrait aider à la régulation des chaînes de valeurs mondiales, en intégrant de facto dans les conseils d’administration des entreprises, le champ du respect des droits humains, de l’environnement et imposer la prise en compte des risques numériques, sous peine de sanctions. La due diligence sera-t-elle ce « game changer » vanté par les dirigeants européens ? Comment ce concept pourrait-il contribuer à réguler le cyberespace ?

Par Geoffrey Comte

Caveat emptor

Héritier de l’axiome romain « que l’acheteur soit vigilant », le principe de diligence raisonnable couvre plusieurs larges champs d’applications.Si ce terme générique s’applique aux combats contre le greenwashingetla corruption, il est notamment crucial dans les négociations de fusions et acquisitions où la prise en compte des risques cyber est devenue prépondérante. « Les fonds d’investissements estiment que les incidents de cybersécurité répétés peuvent couter environ 20% de la valorisation d’une entreprise. Au travers d’audits de due diligence cyber, les investisseurs cherchent donc à évaluer en amont les capacités de protection, détection et réaction ainsi que le degré de compromission de la cible afin d’éviter que ses données ou savoir-faire se retrouvent sur le marché informel » assure Philippe Trouchaud, Partner PwC. En 2018, l’achat de la société aéronautique belge Asco par l’américain Spirit a été compromise par une fuite de données, résultant de la baisse du prix de la transaction de 650 à 420 millions de dollars avant son abandon définitif deux ans plus tard². « Dans un processus de due diligence, évaluer la protection d’une cible n’est pas une tâche aisée. Les data rooms virtuelles contiennent principalement des informations sur le modèle économique et l’état financier de l’entité plutôt que sur le niveau opérationnel. Il faut donc procéder par dichotomie, en s’appuyant sur ces informations et l’open-source intelligence pour mesurer l’exposition de l’acquéreur aux risques » prolonge-t-il. Contrairement à une diligence classique, ce processus n’est pas standardisé au niveau international. Mais sa croissance incite les entreprises à conformer leurs politiques de protection numérique. « Nous sommes encore au prémice de la systématisation de cette approche des risques, en particulier à cause de la réticence générale à partager les informations » pointe Nicolas Veillepeau, Associé Transactions au sein de PwC France. Si la due diligence représente un important levier de valorisation pour les entreprises, en tant que norme de droit dur, elle peut rendre obligatoire le devoir de vigilance et in fine incarner un véritable changement dans la façon dont le droit encadre la croissance privée.

Un fer de lance européen

Aligner politique de valorisation des entreprises et protection des droits de l’homme et de l’environnement est l’un des mantras de l’Union européenne. Le 23 février dernier, la Commission européenne a adopté une résolution sur la diligence raisonnable en matière de durabilité des entreprises. « Cette proposition vise à répondre aux préoccupations des consommateurs qui ne veulent pas acheter des produits fabriqués avec la participation du travail forcé ou qui détruisent l’environnement, par exemple. Elle entend également soutenir les entreprises en leur offrant une sécurité juridique quant à leurs obligations dans le marché unique. Cette loi projettera les valeurs européennes sur les chaînes de valeur, et le fera d’une manière juste et proportionnée » déclarait Věra Jourová, Vice-présidente chargée des valeurs et de la transparence³. La Commission souhaite affiner son arsenal juridique composé de la taxonomie européenne et le règlement sur la divulgation d’informations relatives à la finance durable (SFDR). Les acteurs financiers devront alors rendre publiques leurs politiques de diligence raisonnable afin de permettre l’évaluation des effets négatifs de leur décisions d’investissements. Ces mesures visent à encourager la circulation de capitaux et la spéculation financière vers des activités plus durables. Les grandes entreprises auront pour obligation d’ajuster leurs stratégies de croissance sur les objectifs de l’accord de Paris sur le climat de 2015, soit agir de concert pour limiter la hausse des températures à 1,5°C⁴. Le temps de transposition est variable de 2 à 4 ans en fonction de la taille de l’organisation. Pour autant, ce projet de loi ne concerne que 1% des firmes européennes et demeure ambiguë sur la mise en place de sanctions en cas de non-conformité. L’obligation de due diligence pour les conseils d’administration est donc réduite dans sa portée et son applicabilité. Le texte atteindra prochainement le Conseil et le Parlement européen qui pourront considérablement le modifier pour approfondir le modèle de gouvernance privée du vieux continent.

Une aubaine pour le droit international

Au-delà de la gestion des risques et de la gouvernance, la due diligence est également une norme coutumière du droit international. « Le principe de souveraineté suppose qu’un Etat a le droit de se protéger contre les ingérences extérieures mais également l’obligation de faire en sorte que les activités qui sont conduites sur son territoire ne portent pas atteinte aux droits des Etats tiers » explique Karine Bannelier, Maître de conférences en Droit public à l’Université Grenoble Alpes. Un principe qui concerne aussi bien les actions de groupes terroristes que la pollution émise par une usine chimique traversant les frontières nationales. « On risque de voir se développer un phénomène extrêmement dangereux où des Etats fermeront les yeux sur les cyberattaques de pirates ou de fermes de trolls, à l’instar de cyber paradis fiscaux. Si les Etats sont souverains dans le cyberespace alors leurs responsabilités peuvent être engagées en cas de violation de l’obligation de due diligence. Cette dernière n’est d’ailleurs pas systématique. Il s’agit d’une obligation de moyens et non de résultats. La responsabilité étatique ne sera engagée que si la connaissance de la situation est établie et que l’Etat possède la capacité de réagir mais n’a délibérément rien fait pour les en empêcher » poursuit Karine Bannelier.

Après les cyberattaques sur la firme Colonial Pipeline par des pirates russes, le Président américain a rencontré son homologue russe durant l’été 2021. Le leader démocrate a exigé de mettre fin au gang de ransomware REvil, responsable de l’attaque et résidant en Russie, sous peine de sanctions contre le pouvoir en place. Si la compromission des relations russo-américaines étaient évoquées, l’arrestation du groupe en question par les autorités russes ainsi que la création d’un groupe de travail sur les rançongiciels entre les deux pays a mis fin aux spéculations d’alors. La due diligence cyber pourrait devenir un nouvel atout en matière de diplomatie du cyberespace…

« Certains fonds d’investissement considèrent désormais que la sécurité des données fait partie intégrante de l’engagement sociétal des entreprises, en particulier dans le B to C. Nous estimons que les évaluations de due diligence cyber seront de plus en plus présentes dans les industries de l’aéronautique et de la défense par exemple, où les acteurs sont particulièrement compétents en termes d’analyse du risque cyber » conclut Philippe Trouchaud.

1^ « Diligence raisonnable » obligatoire dans l’UE : une avancée prometteuse pour les entreprises, https://solutions.lesechos.fr/juridique/c/diligence-raisonnable-obligatoire-dans-lue-une-avancee-prometteuse-pour-les-entreprises-25909/ , 11 juin 2021.

2^ Tomi Kilgore, Spirit AeroSystems terminates Asco acquisition deal, more than 2 years after it was announced, https://www.marketwatch.com/story/spirit-aerosystems-terminates-asco-acquisition-deal-more-than-2-years-after-it-was-announced-2020-09-25.

3^ Corporate sustainability due diligence – Just and sustainable economy: Commission lays down rules for companies to respect human rights and environment in global value chains, https://ec.europa.eu/commission/presscorner/detail/en/ip_22_1145.

4^ Travers Smith LLP-Doug Bryden et al., Corporate Sustainability Due Diligence: A long-awaited proposal revealed, https://www.lexology.com/library/detail.aspx?g=80dcff63-9eda-4494-9e2c-2804d99ff203 , 4 mars 2022.