La non-conformité à la réglementation applicable en matière de compliance fait courir des risques pénaux, civils, financiers et médiatiques sérieux qui ne peuvent plus être ignorés dans une perspective de croissance externe.
Identifier les éléments de contexte ayant un impact possible sur la valorisation de la cible
Sous le poids croissant de la règlementation et de l’attention que porte la société civile aux sujets de conformité et d’intégrité, les due diligence de compliance dans le cadre d’opérations de croissance externe tendent à raison à se développer. Nombre d’acteurs ont en tête que les risques de compliance auxquels une société est exposée ont un impact sur sa valorisation et peuvent même constituer des deal breakers. Toutefois, tous les acteurs n’ont pas encore le réflexe d’incorporer ces problématiques dans le périmètre de leurs vérifications. Reprécisons les objectifs d’une due diligence de compliance. Une due diligence de compliance permet notamment d’évaluer les risques pénaux et de se mettre en capacité de les maîtriser et de mesurer leurs conséquences sur la valorisation de la cible. Prenons le cas d’une cible qui obtient des contrats en octroyant des avantages indus aux décisionnaires de ses clients et imaginons que l’acquéreur ne cherche pas à identifier ce type de pratiques au moment de la due diligence : l’acquéreur assumera au travers de la cible les conséquences financières des infractions pénales commises (en France, la sanction pénale pour un fait de corruption peut atteindre 10 fois le produit tiré de l’infraction) et la pérennité des contrats ainsi obtenus ne sera pas assurée. En outre, le risque pénal ne peut plus être éliminé par une fusion selon la jurisprudence nouvelle de la cour de cassation (1).
Conduire une due diligence de compliance, c’est aussi évaluer les risques de non-conformité et anticiper les coûts qui devront être supportés :
• les coûts liés à la non-conformité qui sera éventuellement identifiée par les autorités de contrôle (Agence Française Anticorruption, CNIL, etc.) : des sanctions pécuniaires sont en effet prévues en cas de non-respect de la règlementation (jusqu’à 4% du chiffre d’affaires annuel mondial pour le non-respect du RGPD, jusqu’à 1 million d’euros pour le non-respect des dispositions de la loi Sapin 2) ;
• les coûts liés à la mise en conformité de la cible, qu’elle soit réalisée de façon proactive au moment de l’intégration, ou de façon imposée par les autorités de contrôle, à la suite des manquements qu’elles auront identifiés.
Les risques précédents ont pour corollaire le risque d’atteinte réputationnelle, la publication des sanctions prononcées étant une mesure commune à tous les volets de la compliance (Sapin 2, Devoir de vigilance, LCB-FT(2), RGPD). Une médiatisation de la sanction peut amener certains prospects ou clients stratégiques à résilier ou à ne pas renouveler leurs contrats. Une sanction peut conduire la cible à être exclue de certains appels d’offres. Et, même sans exclusion formelle, l’engagement insuffisant d’une organisation en matière de compliance est désormais un critère discriminant pour la sélection des fournisseurs des grands donneurs d’ordres. En résumé, les risques de compliance et d’intégrité auxquels la cible est exposée ont un impact significatif sur sa valorisation, qui se trouve affectée par :
• Le passif éventuel de la cible (se traduisant en risques pénaux ou d’amendes civiles) ;
• Les coûts de mise en conformité de la cible ;
• Les risques réputationnels ayant des conséquences sur le développement du chiffre d’affaires consécutifs à la révélation d’actes répréhensibles.
Conduire une pré-analyse pour décider de l’utilité et de la profondeur de la due diligence de compliance
En matière de compliance, les thématiques à considérer sont multiples : la corruption et le trafic d’influence, la protection des données personnelles, les sanctions économiques, le blanchiment et le financement du terrorisme, le contrôle des exportations des biens à double usage, et bien sûr les sujets relevant du devoir de vigilance : les violations en matière de droits humains et de libertés fondamentales (travail forcé ou travail d’enfants, respect des droits du travail et des droits fondamentaux, travail dans des pays où se déroulent des conflits armés), les atteintes à la santé, à la sécurité et à la sûreté des personnes et à l’environnement.Une pré-analyse du contexte et du profil de risque de la cible est nécessaire pour définir les thématiques de compliance et d’intégrité à analyser en priorité parmi celles listées ci-avant.Analyser l’implantation géographique de la cible permettra d’une part de recenser les règlementations qui lui sont applicables – qu’elles soient nationales (exemples : loi Sapin 2, RGPD, devoir de vigilance, etc.) ou étrangères (exemples : FCPA, Sunshine Act, California Consumer Privacy Act, etc.), et d’autre part d’évaluer son degré d’exposition aux risques de compliance et d’intégrité (pays davantage exposés aux risques de corruption, de travail forcé, pays sous sanctions, pays dans lesquels se déroulent des conflits armés, etc.). Analyser le(s) secteur(s) d’activité dans le(s)quel(s) opère la cible permettra d’évaluer là aussi son degré d’exposition sur chaque thématique : les acteurs de la construction et de la défense, ceux travaillant essentiellement sur des marchés publics, sont particulièrement exposés aux risques de corruption, les entreprises du « B2C » sont davantage concernées par le RGPD que celles du « B2B », etc. Le modèle d’affaires et les types de parties prenantes doivent également être étudiés pour savoir s’il est pertinent d’étudier l’intégrité de certains partenaires.Enfin, de la taille de la société dépendra l’applicabilité de certains textes (exemple : seuil de 500 salariés et 100 M€ de chiffre d’affaires consolidé pour la loi Sapin 2).
Réaliser une due diligence de compliance suffisamment approfondie pour prendre une décision éclairée
La première analyse indispensable est de procéder à l’évaluation d’intégrité de la cible, de ses dirigeants et actionnaires, en s’appuyant sur les outils de screening du marché et en réalisant des recherches en sources ouvertes. On cherchera ainsi à s’assurer que ni la société, ni ses dirigeants, ni ses actionnaires ne figurent sur une liste de personnes physiques et morales sanctionnées, ou sur une liste de Personnes Politiquement Exposées (PPE). On identifiera d’éventuelles poursuites ou condamnations pour des faits de corruption, de trafic d’influence, de blanchiment en s’appuyant sur des listes de mots clés.En suivant la même méthodologie, et en fonction du profil de risque de la cible, il pourra être pertinent de conduire une analyse d’intégrité sur les parties prenantes les plus stratégiques (fournisseurs et distributeurs clés, clients représentant une large part du chiffre d’affaires, etc.).
A noter : sur la partie corruption, dans le cas où une Personne Politiquement Exposée est détectée, la criticité de ce point d’alerte doit être appréciée au regard des actes pouvant entrer dans le cadre des fonctions des agents publics concernés. Ce point d’alerte devrait être considéré comme majeur lorsque ces actes peuvent être directement profitables à la cible.Pour évaluer les risques de non-conformité, on commencera par appréhender la culture de la cible en matière de compliance, en s’intéressant au niveau de sensibilisation et d’implication des dirigeants sur ces sujets et aux rôles et responsabilités définis en la matière. Il conviendra ensuite de réaliser une analyse qualitative des principaux dispositifs de la cible en matière de compliance. Il s’agira de procéder à une analyse d’écarts par rapport à la réglementation et par rapport au référentiel propre de l’investisseur qui peut être plus exigeant, en passant en revue la documentation disponible en data room (par exemple, en matière de lutte contre la corruption, le code éthique / code de conduite, la politique anticorruption, la politique cadeaux, la procédure de gestion des alertes éthiques, la procédure d’évaluation d’intégrité des tiers, etc.).
En cas de culture de compliance faible, il conviendra d’anticiper la mise en conformité à conduire lors de la phase d’intégration en trouvant le bon tempo pour transformer et acculturer la société acquise et favoriser ainsi la rétention des individus clés ; il faudra évaluer et se prémunir contre le risque de rejet de la société acquise dû à un décalage culturel. Enfin, pour les profils de cibles les plus à risques, on évitera de se contenter des déclarations de la direction : il sera judicieux de réaliser une analyse approfondie des transactions à risques à partir des données comptables disponibles, ce qui permettra de détecter d’éventuelles situations atypiques. Pourront ainsi être identifiés des avantages financiers ou en nature octroyés à des personnes physiques (transactions significatives en lien avec des voyages privés, cadeaux de luxe récurrents, dons ou opérations de sponsoring atypiques, paiement de loyers pour le compte d’un tiers etc.). Dans ce type de cas, on tâchera de répondre aux questions suivantes : pourra-t-on maintenir le chiffre d’affaires généré auprès de ce client stratégique si la société arrête subitement de gratifier ses décisionnaires ? A quel point le niveau d’activité générale et la rentabilité de la cible sont-ils dépendants de ces pratiques ? Quel est l’impact de cette dépendance sur la valorisation de la cible ? Quels sont les risques pénaux encourus ? S’agit-il finalement d’un deal breaker ?Là encore, la remise à niveau des règles en matière de compliance devra être anticipée dans le plan d’intégration de la cible : on ne saurait trop recommander de démarrer ces travaux de mise en conformité par une cartographie des risques de compliance dont les ateliers de construction permettront d’impliquer et de sensibiliser les dirigeants.
[1] cf. Revirement de jurisprudence sur le transfert de responsabilité pénale vers une société par actions absorbante (Cass,crim., 25 nov. 2020, n° 2333 )mettant la France en harmonie avec la jurisprudence de la CJUE.
[2] Lutte contre le blanchiment des capitaux et le financement du terrorisme
Source: www.cfnews.net