Lorsque la loi britannique sur la non-prévention de la fraude est entrée en vigueur le 1er septembre 2025, elle a discrètement, mais de manière décisive, redéfini les limites de la responsabilité des entreprises.
Intégrée à la loi sur la criminalité économique et la transparence des entreprises (ECCTA), cette loi donne aux procureurs un nouvel outil puissant pour demander des comptes aux entreprises lorsqu'une personne qui leur est liée commet une fraude à leur profit. Il s'agit de la dernière-née des infractions de type « défaut de prévention » au Royaume-Uni, qui vient s'ajouter aux lois sur le défaut de prévention de la corruption et le défaut de prévention de l'évasion fiscale, et qui marque la fin de l'ère du déni plausible dans les salles de réunion.
Pour les administrateurs, cela signifie avant tout une chose : dire « c'est ce que m'a dit la direction, et je l'ai cru » ne sera plus une défense acceptable.
Alors, que fait réellement la loi ?
L'infraction pour défaut de prévention de la fraude rend une organisation pénalement responsable si une personne « associée » à celle-ci (un employé, un agent, une filiale ou un partenaire tiers) commet une fraude au profit de l'organisation. Cela peut inclure la falsification de comptes, la tromperie des investisseurs ou la manipulation d'informations financières.
Cette infraction s'applique à toutes les grandes organisations qui répondent à au moins deux des critères suivants :
- Plus de 250 employés,
- Plus de 36 millions de livres sterling de chiffre d'affaires annuel, et
- Plus de 18 millions de livres sterling d'actifs totaux.
En substance, cela concerne la majorité des sociétés cotées en bourse, les sociétés de portefeuille de capital-investissement, les grands partenariats et les grandes multinationales.
Il est important de noter que la loi s'applique également aux sociétés étrangères qui « exercent des activités » au Royaume-Uni, même si elles sont constituées ailleurs. Cela signifie que toute entité non britannique ayant des activités, des bureaux, des clients ou des chaînes d'approvisionnement importants au Royaume-Uni devra se conformer aux mêmes normes. Si le comportement frauduleux profite à une entreprise tournée vers le Royaume-Uni, l'infraction peut s'appliquer, même si l'acte lui-même a été commis à l'étranger.
En bref, si vous faites des affaires au Royaume-Uni ou par son intermédiaire, cette loi vous concerne.
Sous le nouveau régime, la seule façon pour une entreprise d'éviter toute responsabilité est de prouver qu'elle avait mis en place des « procédures raisonnables » pour prévenir la fraude, ou qu'il n'était pas raisonnable d'attendre de telles procédures compte tenu de son profil de risque.
Il ne s'agit pas de perfection en soi, mais de prévention. La loi vise à encourager les entreprises à prendre des mesures proactives pour réduire le risque de fraude, et non à punir celles qui commettent des erreurs de bonne foi. Mais elle attend des conseils d'administration qu'ils fassent preuve de leadership, et non de recul.
Alors, cela devrait-il avoir de l'importance pour les conseils d'administration ?
Pour les administrateurs, en particulier les administrateurs indépendants non exécutifs, cela marque un changement culturel et juridique. Selon l'ancien critère de « l'esprit et la volonté directeurs », les procureurs devaient prouver qu'un haut responsable avait personnellement commis ou dirigé la fraude pour que l'entreprise soit tenue responsable. Cette barre était presque impossible à franchir.
La nouvelle loi change complètement la donne. Désormais, si une personne associée à l'entreprise commet une fraude à son profit et que l'entreprise ne peut pas démontrer qu'elle a pris des mesures préventives raisonnables, l'organisation peut être poursuivie.
Ainsi, même si l'infraction elle-même n'engage pas la responsabilité pénale personnelle des administrateurs, elle soulèvera inévitablement des questions sur la surveillance et la gouvernance du conseil d'administration. Les régulateurs, les investisseurs et les auditeurs poseront les questions suivantes : où était le conseil d'administration ? Quelles informations a-t-il reçues ? Quelles questions a-t-il posées ? Quels systèmes a-t-il approuvés ?
Le rôle du conseil d'administration dans la définition de la ligne de conduite, le financement des mesures de prévention et la garantie d'une communication transparente deviendra un élément clé de toute enquête.
La fraude commence rarement dans les comptes. Elle commence dans la culture. Elle prospère lorsque les objectifs l'emportent sur l'éthique, lorsque la pression n'est pas examinée et lorsque s'exprimer est considéré comme risqué.
C'est pourquoi cette loi ne concerne pas seulement les contrôles internes, mais aussi la culture d'entreprise. Les conseils d'administration ne peuvent plus considérer la prévention de la fraude comme une question relevant uniquement des services chargés de la conformité et des risques. Ils doivent assumer la responsabilité de créer un environnement qui décourage les comportements répréhensibles à tous les niveaux.
La prévention commence par la curiosité : quels comportements sont récompensés ? Comment les gens interprètent-ils les signaux envoyés par les dirigeants ? Les lanceurs d'alerte sont-ils convaincus qu'ils seront protégés ? Ces questions ne relèvent pas d'une gouvernance souple, mais d'une gestion rigoureuse des risques. Dans leur ouvrage intitulé « The Dark Pattern », Guido Pallazo et Ulrich Hoffrage font remarquer avec perspicacité que la fraude n'est pas toujours imputable à une seule personne, mais souvent à l'environnement créé par l'entreprise, qui a permis à une personne de commettre la fraude (en lui donnant le sentiment d'en avoir le pouvoir).
Ainsi, une culture forte ne se contente pas de réduire le risque de fraude, elle fournit au conseil d'administration la preuve d'une prévention raisonnable. Lorsque les régulateurs vous demandent ce que vous avez fait pour mettre fin aux comportements répréhensibles, une culture qui mesure la confiance, la transparence et la confiance éthique fait partie de la réponse.
La formation comme première ligne de défense
Trop souvent, la formation à la fraude se résume à un simple exercice consistant à cocher des cases, un cours annuel en ligne dont personne ne se souvient. Sous le nouveau régime, cela ne suffira plus.
La formation doit être axée sur les risques, spécifique à chaque rôle et fondée sur le comportement. Elle doit montrer comment la fraude se produit réellement dans le modèle commercial, quels sont les signaux d'alerte à surveiller et comment les employés doivent réagir. Si vous actualisez cet ancien fichier SCORM et que vous le distribuez à tout le monde dans l'espoir d'obtenir un taux d'achèvement de 100 % et que vous considérez cela comme votre seul point de référence, eh bien je suppose que vous recevez encore des DVD NETFLIX par la poste.
Les conseils d'administration doivent s'attendre à des indicateurs qui vont au-delà des taux d'achèvement : ils doivent voir les résultats d'enquêtes qui testent la compréhension, des scénarios qui renforcent la prise de décision éthique et des données qui mesurent si les employés se sentent habilités à signaler des problèmes.
Mesurer ce qui compte
L'un des effets secondaires les plus intéressants de cette législation est la manière dont elle redéfinit les « procédures raisonnables » comme un défi à la fois en matière de conformité et de culture. Les conseils d'administration devront examiner les données non financières pour évaluer les risques : tendances des lignes d'assistance éthique, résultats de l'engagement des employés, entretiens de départ et enquêtes sur la culture. Une augmentation des signalements anonymes ou une baisse de la confiance pourraient indiquer des domaines à risque.
Les conseils d'administration avant-gardistes intègrent déjà ces informations dans des tableaux de bord des risques qui suivent la culture comme une forme de contrôle. Dans le cadre d'une future mesure coercitive, ce type de données pourrait faire la différence entre la responsabilité et la défense. Car la prévention ne consiste pas seulement à avoir les bonnes politiques, mais aussi à être en mesure de prouver qu'elles fonctionnent.
Ce que les entreprises étrangères et britanniques devraient faire maintenant
Si votre organisation opère au Royaume-Uni ou via ce pays, il est temps de commencer à vous préparer. Cela inclut :
- Évaluer l'exposition : déterminez si vous répondez aux critères définissant une « grande organisation » et identifiez les activités au Royaume-Uni susceptibles de présenter un risque.
- Réaliser une évaluation des risques de fraude : identifiez les domaines les plus vulnérables, en particulier dans les domaines des ventes, des achats, des finances et des relations avec les tiers.
- Révision des politiques et des formations existantes : assurez-vous que votre cadre de lutte contre la fraude est intégré à votre programme plus large d'éthique et de conformité.
- Renforcement de la surveillance du conseil d'administration : faites de la prévention de la fraude un point permanent à l'ordre du jour des comités d'audit ou des risques, et veillez à mettre en place des canaux de signalement clairs vers le conseil d'administration.
- Documenter les preuves : conservez des archives complètes des discussions, décisions et défis du conseil d'administration en matière de prévention de la fraude. Les procès-verbaux auront leur importance.
Pour les entreprises étrangères, le test le plus simple est le suivant : si vos activités, votre personnel ou vos services touchent le marché britannique, partez du principe que la loi s'applique et préparez-vous en conséquence.
Le message derrière l'infraction pour défaut de prévention de la fraude est clair. L'intégrité des entreprises n'est plus seulement une question de conformité, c'est un test de leadership. Les conseils d'administration doivent donc aller au-delà d'une surveillance passive et montrer qu'ils s'engagent activement dans la prévention de la fraude, l'évaluation de la culture d'entreprise et la remise en question des hypothèses de la direction.
La loi n'exige pas des conseils d'administration qu'ils sachent tout, mais qu'ils se soucient suffisamment de la question pour se renseigner.
Car en 2025, lorsque la question inévitable sera posée : « Qu'a fait votre conseil d'administration pour empêcher cela ? », il ne sera plus acceptable de répondre : « C'est ce qu'on m'a dit ». Vous devrez désormais montrer ce que vous avez demandé, ce que vous avez évalué et ce que vous avez dirigé.
