PME / PMI : prévenir les risques juridiques à l'international

CCI Strasbourg

PME / PMI : prévenir les risques juridiques à l'international

Pierre Memheld, Sales Representative France

OBJECTIFS

Il ne s’agit pas de traiter des risques légaux ou juridiques « courants »,

découlant de l’activité « normale » de l’entreprise, par exemple en ne

respectant pas volontairement ou involontairement une loi ou règlement

locaux,

Mais de vous éclairer sur les risques encourus par les interactions

involontaires, ou volontaires, avec des organisations criminelles ou des

fonctionnaires, et salariés, véreux lors de vos activités à l’international,

déplacements ou implantations,

Il s’agit de présenter des cas, les méthodes, les objectifs et les

outils de prévention face à ces risques.

3/11/2016 2PME / PMI : prévenir les risques juridiques à l'international

OBJECTIFS

Quels sont les différents types de risques encourus ?

Comment les anticiper pour mieux les prévenir ?

Quelle attitude adopter face aux risques criminels ?

Les solutions de Global Risk Profile


ARNAQUES

Parmi les risques criminels, on peut citer l’arnaque au

Président visant à pousser un(e) employé(e) à effectuer un

virement (parfois) à l’international, en se faisant passer pour

le « président » prétextant une urgence (contrat, dette,

achat) … il s’agit d’ingénierie sociale,

Pour contrer cette approche: rappeler les règles

d’emploi des réseaux sociaux, sensibiliser les salariés « à

risque », instaurer des procédures de vérifications, identifier

les périodes et déplacements à risque.3/11/2016 PME / PMI : prévenir les risques juridiques

à l'international 4

CYBER-CRIMINALITE

Au cours des 2 dernières années, la cybercriminalité a

touché deux fois plus d'entreprises en France. C'est

désormais près de 70% des entreprises qui doivent faire

face à des attaques informatiques chaque année. Le chiffre

n'était que de 55% en 2014.

Pour contrer cette approche: rappeler les règles

d’emploi des réseaux sociaux, sensibiliser les salariés « à

risque », instaurer des procédures d’utilisation d’internet,

interdire si possible le BYOD sur les réseaux internes.3/11/2016 PME / PMI : prévenir les risques juridiques


CHOISIR LE BON PARTENAIRE

Le choix d’un partenaire local est parfois obligatoire

pour répondre à un appel d’offres: aux Emirats Arabes

Unis, un fournisseur d’Alstom avait choisi un partenaire, pour

le projet d’extension du métro, en le rencontrant dans un

salon!

Sans même parler du risque éventuel de tomber sur

un partenaire véreux: l’image de l’entreprise n’était pas

bonne vis-à-vis des autorités du pays, le partenaire choisi

n’ayant pas la réputation d’être compétent sur ce sujet.3/11/2016 PME / PMI : prévenir les risques juridiques


I. QUELS SONT LES RISQUES ?

3/11/2016 PME / PMI : prévenir les risques juridiques à l'international 7

I. QUELS SONT LES RISQUES ?

Risques Géopolitiques: lors d’une guerre, d’une

« révolution », d’action terroriste,

Risques Légaux: changement des lois du pays suite à

une changement de régime politique, ou de partis,

Risques Normatifs: changement des règles, conventions

ou normes internationales (ISO 19600 et 37001),

Risques Criminels: individuels ou organisés, locaux ou

internationaux, internes ou externes.


Nous définisssons le risque criminel comme une action malveillante contre votre

patrimoine, votre intégrité, votre indépendance, votre sécurité ou votre réputation.

Ces actions malveillantes peuvent prendre de multiples formes répondants à de

multiples besoins, attaquant de multiples manières et des cibles diverses réalisées

par des acteurs innombrables.

Le risque criminel peut prendre trois formes:

Réduire ou anéantir votre intégrité ou votre indépendance de décision

Voler, dérober, utiliser, des actifs de votre entreprise

Détruire vos actifs

L’origine de ces risques peut avoir deux provenances:

Interne,

Externe.

I. RISQUE CRIMINEL


Les « Organisations du Crime Organisé » (OCO) utilisent différents moyens,

Les secteurs les plus visés: BTP, Transport, Commerce de Gros, Restauration,

Les moyens utilisés dépendent de l’origine de la malveillance et de son objectif; Plus

le besoin est élevé, plus les moyens seront élevés en fonction de l’objectif,

Les moyens généralement utilisés sont:

La corruption

La séduction

La ruse

Les intrusions techniques

Les intrusions physiques

Parmi les intrusions techniques, on peut citer la « cyber-criminalité » consistant par

exemple soi à vendre vos données, soi à « prendre en otage » votre système

d’information contre « rançon ». Les attaques viennent souvent de l’étranger.

I. MOYENS


Lors d’intrusions « commandées », les actions ciblées, on agit généralement

de la manière suivante:

Recherche de renseignements sur la cible / objet

Renseignement sur les points faibles /forts

Identification des techniques utilisables

Préparation / Mise En Oeuvre

Désengagement

Les techniques combinent approches humaines, techniques, internes etexternes:

Si les approches « techniques » sont les plus connues, les approches « humaines »

représentent 24% des attaques: corruption d’employés, menaces/compromissions, ou

employés « fraudeurs »,

La diffusion involontaire d’informations ou de documents internes, sont souvent le fait de

personnels mal formés ou peu « valorisés ».

I. ACTIONS CIBLEES


Les actions destructices sont plus usuelles qu’on ne le pense. Elles peuvent servir

nombre de besoins et provoquer des conjonctions d’intérêts internes/externes très

dangereuses,

Les actions destructrices servent à gagner des marchés, éliminer des concurrents,

faire baisser la valeur de l’entreprise ou de ses actifs,

Provoquer des conditions adéquates pour d’autres actions malveillantes:

Destruction des actifs

Dommage à la réputation

Blocages temporaires ou définitifs

Racket / prise de contrôle hostile

I. ACTIONS DESTRUCTRICES


Le résultat des actions non-ciblées sont généralement utilisés pour des actions

ciblées, être externes/internes, humaines/techniques,

Elles créent des vulnérabilités béantes dans l’entreprise en attaquant le cœur de

leurs activités, d’autant qu’il existe des marchés internationaux des vulnérabilités,

Cas « interne »: le directeur commercial d’un site de VPC dans le domaine des

compléments alimentaires est parti avec le fichier client pour créer un site concurrent.

I. ACTIONS NON CIBLEES


II. COMMENT LES ANTICIPER ?


II. OBJECTIFS DES “OCO”

Le racket n’est pas le seul objectif, les OCO peuvent aussi:

Vouloir utiliser vos moyens logistiques, productifs ou financiers pour transporter des marchandises

illégales, justifier et blanchir des revenus; il est possible d’étudier les processus de fonctionnement

et de décision des OCO,

Autre exemple: une start-up innovante dans le raffinage des huiles végétales a été la cible d’une

OCO, se présentant comme un investisseur, pour utiliser cette technologie pour la production de

drogues,

Il ne s’agit donc pas de détruire l’entreprise mais bien d’en prendre le contrôle par des moyens

financiers, en y plaçant des complices ou par des moyens coercitifs vis à vis des dirigeants

(chantage, menaces, violences),

Que ce soit involontaire ou volontaire, la responsabilité de vos salariés,

et de votre entreprise, peut être engagés: le risque est pénal en plus d’être

financier et « réputationnel » ou encore d’être « black listed ».


II. EVALUATION DU RISQUE


Les OCO ont généré en Europe, sur une seule année, un chiffre d’affaires de 110 milliards

d’Euros qu’il faut blanchir, en commençant par le transport physique de l’argent liquide et son

réinvestissement de plus en plus fréquent dans l’économie légale (par exemple 650

entreprises identifiées pour la seule Ecosse par exemple).

II. EXEMPLE: POST INCIDENT

La collusion/coopération entre le « crime organisé » et

la « corruption politique », existe en Europe, tant les fonds

de la corruption doivent être blanchis par les réseaux

criminels qui en retour ont besoin de « protection »,

Dans un pays d’Europe du Sud: une entreprise française

du BTP, sous traitant d’un groupe industriel pour la

construction d’une usine, a laissé son directeur de projet

payer un homme politique local, pour « faire avancer les

travaux », qui était lié à la mafia local et au trafic de drogue.3/11/2016 PME / PMI : prévenir les risques juridiques


Mener une veille sur les aspects géopolitiques, légaux, normatifs, par vos

moyens propres (veille), par l’intermédiaire de sources spécialisées

(magazines, newsletter, sites officiels) ou d’experts (ambassades, CCIs,

avocats),

Former les personnels intervenant à l’international, ou expatriés, à

identifier, analyser et répondre aux risques criminels: une organisation

criminelle n’est nécessairement une « mafia » mais l’entente d’au moins 2

personnes pour mener des actions illégales et en tirer un bénéfice,



Edicter en interne des règles de comportements correspondant: au cadre

légal local, aux conventions internationales en vigueur (UE, OCDE, UN) et

aux normes applicables (ISO) même si celles-ci ne sont pas obligatoires:

La Convention de l’OCDE sur la lutte contre la corruption établit des normes juridiquement

contraignantes tendant à faire de la corruption d’agents publics étrangers dans les

transactions commerciales internationales une infraction pénale. Elle prévoit également un

certain nombre de mesures permettant une mise en œuvre efficace de ses provisions. Il

s’agit du premier et du seul instrument international de lutte contre la corruption ciblant «

l’offre » de pots-de-vin à des agents publics étrangers.



II. LES NORMES THEMATIQUES

Les normes internationales ISO 19600, systèmes de

management de la compliance (publiée), et ISO 37001,

systèmes de management anti-corruption (en discussions),

définissent les règles que vous pouvez suivre,

La 37001 indique ainsi: l’organisation et la politique

interne à mettre en place, les rôles et responsabilités, les

actions à mettre en œuvre, les ressources et compétences à

mobiliser, la communication et la sensibilisation, la

documentation et les informations à posséder.3/11/2016 PME / PMI : prévenir les risques juridiques


Cela va au-delà du « know your customer » classique,

Il faut connaître ses partenaires, ses agents, ses employés, ses

fournisseurs,

Les connaître = connaître leurs vulnérabilités,

Humaines > parler, discuter, détecter,

Personnelles > Réseaux sociaux, I-profiles, engagements, positions,

Techniques > concurrences déloyales, marchés, conflits d’intérêts,

Logistiques > qui travaille avec qui ?

Financières > problèmes personnels ou d’entreprise, marchés,

financements cachés,

IT > accessibilité des données.

II. KNOW YOUR ENVIRONMENT


III. QUELLE ATTITUDE ADOPTER ?


Dans un pays d’Europe de l’Est, nouvel entrant dans l’Union

Européenne, le gouvernement décide de moderniser l’aéroport de la

capitale par le biais d’un appel d’offres. Les autorités impliquées étaient le

Ministère du Transport, la Mairie. Pour répondre à l’appel d’offres, une

entreprise française spécialisée dans ces projets, « devaient » choisir un

partenaire local.

L’entreprise se méfiait du premier partenaire « présenté »: après

enquête initiale il s’avéra qu’il était recherché par Interpol pour trafic de

cigarettes et proxénétisme. Ancien des services de renseignement locaux,

sous une couverture d’athlète, il reversait une partie de ses

« commissions » au parti d’extrême droite local, lui-même servant au

Premier Ministre en place à avoir une majorité au parlement.

III. EXEMPLE


En plus de connaître son environnement de travail

Il faut connaître ses employés (leurs implications), qu’ils soient expatriés ou locaux,

leurs liens familiaux ou leurs passés judiciaires,

Organiser sa société de façon à compartimenter les décisions et les responsabilités

Faire appel aux réseaux français connaissant le pays d’intervention

Il peut s’agir de la Mission Economique, de l’Ambassade, des CCI Internationales,

des entreprises déjà implantées, des avocats, banquiers ou assureurs,

Il peut aussi s’agir d’experts des risques géopolitiques, culturels ou criminels opérant

dans le pays ciblé, ou dont le réseau y est présent,

Mettre en place en interne une organisation, ou une personne, en charge de la

coordination des actions d’anticipation et de la sensibilisation des personnels.

III. QUELLE ATTITUDE ADOPTER ?


Fiches de sensibilisation à la sécurité économique:

III. L’APPORT DE L’IE


• Manager la sécurité économique de l'établissement• Bien identifier l’information stratégique à protéger• Protéger son savoir et ses idées• Protéger ses locaux• Se déplacer au quotidien• Accueillir du personnel temporaire• Recevoir des visiteurs• Protéger son poste de travail• Protéger et gérer l’accès au réseau• Utiliser des supports amovibles de façon sécurisée• Utiliser des appareils nomades de façon sécurisée

• Maîtriser l’externalisation informatique• Éviter ou gérer la perte d’une compétence clé• Gérer ses archives et ses rejets• Maîtriser sa communication au quotidien• Les réseaux sociaux et la e-réputation• Se déplacer à l’étranger• Participer à un salon professionnel• Sécuriser ses flux de marchandises• Protéger juridiquement son établissement• Sécuriser ses relations commerciales• Sécuriser ses relations avec les investisseurs

« Résister aux extorsions de fonds et aux sollicitations dans le cadre des

transactions internationales »:

« Outil destiné à toutes les entreprises pouvant être exposées à des risques de sollicitation. La

sollicitation est souvent un problème majeur pour les PME, qui sont plus vulnérables que les grandes

compagnies et disposent de moins de ressources leur permettant de faire face à de telles situations. »

RESIST est un projet conjoint élaboré sous la direction de quatre grandes organisations internationales

engagées dans la lutte contre la corruption: la Chambre de Commerce Internationale, Transparency

International, le Pacte Mondial des Nations Unies, le Forum Economique Mondial,

L’outil présente non seulement des scénarios réels mais également des outils de réponse aux

sollicitations: mise en place d’une politique générale contraignante, sensibilisation des personnels

exposés (expatriés, dirigeants, financiers), renforcer les contrôles internes, encouragez la transparence

des processus d’appel d’offres avec les autorités publiques, refusez, documentez, communiquez,

dénoncez, etc.

Réaliser des « Due Diligence » et mettre en place une gestion spécifique des agents et autres

intermédiaires.

III. “RESIST”


IV. GLOBAL RISK PROFILE


IV. EXEMPLE DUE DILIGENCE

Un sous traitant aéronautique cherchait un partenaire

au Mexique pour un projet avec Airbus. Le responsable

commercial régional avait entamé des discussions poussées

avec deux « agents » mettant en avant leurs relations

politiques,

Airbus demandant à ses sous traitants d’appliquer les

mêmes règles de vérification, l’entreprise a découvert,

après « due diligence » que la société des « agents » était

domiciliée dans une épicerie! Simple escroquerie ou OCO ?3/11/2016 PME / PMI : prévenir les risques juridiques


IV. NOTRE APPROCHE


Le Cœur de notre Due Diligence:

Notre information est traitée selon un processus en trois axes:

La diversité et la fiabilité des sources contrôlée, vérifiée et croisée

pour s’assurer d’une pertinence maximum

La qualité de l’information

Principe des 4 yeux

Sourcing complet

La synthèse

Assurer un accès rapide et facilité à l’information

Les synthèses éliminent le « bruit » d’une information non-

pertinente

Diversity

Quality

Synthesis

IV. NOS SOLUTIONS


IV. NOTRE SOCIETE

Global Risk Profile Sàrl est une société Suisse basée à Genève, totalement indépendante d’intérêts

économiques ou politiques permettant de garantir une impartialité et une confidentialité totale

Nous vous offrons plus de 15 ans d’expertises dans la due diligence portant sur les risques criminels,

une quinzaine d’analystes maitrisant une trentaine de langue (Russe, Chinois, Arabe, etc.)

Notre processus interne assure une intégrité totale de vos données, la qualité des informations

fournie est notre principal soucis, l’évaluation du risque encouru étant essentielle,

Nous réalisons des Due Diligence sur les sociétés et les personnes dans le monde entier,

correspondantes aux standards internationaux et aux évolutions légales ou réglementaires,

Nous offrons également des services sur-mesure afin de répondre au plus près à vos demandes et

besoins


LIENS UTILES

Convention sur la lutte contre la corruption d'agents publics étrangers dans les transactions

commerciales internationales:

http://www.oecd.org/fr/corruption/conventionsurlaluttecontrelacorruptiondagentspublicsetrangersdanslestr

ansactionscommercialesinternationales.htm

Programme de compliance, pour la conformité aux règles de déontologie, de bonnes

pratiques et le respect de la réglementation:

http://www2.afnor.org/espace_normalisation/structure.aspx?commid=93949

Resisting Extortion and Solicitation in International Transactions (RESIST):

http://www.iccwbo.org/products-and-services/fighting-commercial-crime/resist/


CONTACT

Pierre MemheldGLOBAL RISK PROFILE Sàrl51 av. des Communes-Réunies

1212 Grand-Lancy - SuisseTel: +41 (0)22 884 1170Fax: +41 (0)22 884 1171

E-Mail: [email protected]: www.globalriskprofile.com


Business

PME / PMI : prévenir les risques juridiques à l'international