Dans la guerre économique systémique où l’information est le cœur du réacteur, les Etats-Unis disposent d’une arme impitoyable : leur législation qu’ils exportent dans le monde entier. Pas seulement dans le but de sanctionner à coups de centaines de millions de dollars les entreprises qui violent leurs lois mais aussi, et surtout, pour s’emparer de leurs informations stratégiques. Les Etats-Unis s’érigent en Big Brother mondial des données économiques et commerciales. Après les affaires Siemens, Alstom, Technip, BNP et Airbus, Washington ne désarme pas et continue d’épier les multinationales étrangères. Les nouvelles cibles sont les grands cabinets d’audit placés sous surveillance américaine. Ce qui donne aux limiers de Washington un accès privilégié aux petits secrets des concurrents du Made in America. Et ce avec la naïve complicité de ses alliés qui se soumettent sans broncher à ses législations extraterritoriales comme le Foreign Corrupt Practices Act (FCPA), les lois Helms-Burton et d’Amato-Kennedy….ou encore la loi Sarbanes-Oxley (SOX).
Cette dernière législation possède un potentiel extraterritorial illimité qui leur permet de mettre à nu les comptes des entreprises. Voté en 2002, ce texte réforme la comptabilité des sociétés cotées au nom de la protection des investisseurs. Il dispose d’un bras armé chargé de vérifier le travail des auditeurs indépendants qui certifient les comptes des entreprises : le Public Company Accounting Oversight Board (PCAOB), placé sous la tutelle de la Securities and Exchange Commission (SEC), le régulateur américain des marchés.
Le PCAOB veut réguler la planète entière
Le PCAOB voit grand et prétend contrôler tous les cabinets d’audit même ceux situés en dehors des Etats-Unis. Comment ? En forçant ses homologues étrangers à signer des conventions d’échanges d’informations, voire même à opérer lui-même des contrôles sur leur territoire. Un auditeur français devrait prochainement en subir les conséquences. Il risque une condamnation suite à un contrôle en France du PCAOB. A Washington, on lui reproche de ne pas appliquer les règles américaines lorsqu’il contrôle les comptes de la filiale située aux Etats-Unis d’une entreprise française. « Nous avons intérêt à suivre les préconisations américaines, précise Christine Guéguen, présidente du H3C. Il faut faire des concessions si on ne veut pas bloquer nos entreprises. »
Comme de nombreux pays, la France s’est pliée aux exigences américaines. Et ce malgré les risques sérieux de fuites d’informations économiques sensibles. Pourtant de rares lanceurs d’alerte au sein de l’Etat ont tenté de prévenir les autorités. En vain. Leurs voix ont été étouffées. Leur histoire mérite d’être racontée. Elle illustre les défaillances des élites politiques et administratives françaises, trop souvent complexées face à l’Amérique et incapables de saisir les véritables enjeux stratégiques qui se cachent derrière cette obsession américaine pour la surveillance tout azimut.
Tout part d’un scandale…américain
L’histoire commence de l’autre côté de l’Atlantique. En 2001 éclate l’affaire Enron, un scandale qui défraie la chronique. C’est même l’une des plus grandes fraudes financières de l’histoire. Cette société texane, qui a son siège en Californie, fut d’abord spécialisée dans la production et la distribution de gaz naturel avant de développer une activité de transport interétatique de gaz et d’électricité, puis de courtage dans le domaine de l’énergie. En 2001, à la veille de sa chute, elle est l’une des grandes fiertés nationales et sa réussite éclatante fait figure de modèle à Wall Street : Enron est le sixième groupe énergétique mondial et la septième société américaine en termes de capitalisation boursière (classement Fortune500).
Hélas, la mariée est nue. Derrière la success-story se cache une gigantesque arnaque. Enron est bâtie sur du sable. La société dissimule ses affaires les plus troubles dans plus de 3000 sociétés off-shore installées aux Bahamas, aux îles Caïman et aux Bermudes, qui lui permettent de déguiser des emprunts en opérations d’achat. Elle externalise les risques les plus importants, dissimule ses pertes aux marchés et falsifie ses comptes pour continuer à emprunter. En décembre 2001, dans le sillage de l’éclatement de la bulle internet, ses actions dégringolent et perdent 98% de leur valeur. Enron ne peut plus faire face au remboursement de ses dettes. La Securities and Exchange Commission (SEC) ouvre une enquête : la fraude est découverte. Enron ne tarde pas à faire faillite. Et dans sa chute, retentissante, la société entraîne le prestigieux cabinet Arthur Andersen, qui a audité ses comptes et en a certifié la régularité et la sincérité.
L’affaire Enron s’avère le premier acte d’une série de scandales dont le point d’orgue est la faillite frauduleuse de Worldcom, géant des télécommunications, lui aussi audité par Arthur Andersen. Face à ces fracas financiers – rien que pour Enron ce sont 20 000 salariés licenciés et des centaines de milliers de petits épargnants qui perdent l’essentiel de leur capital-retraite placé en actions Enron –, le sénateur démocrate Paul Sarbanes, président de la Commission des affaires bancaires, et le représentant républicain Mike Oxley, président de la Commission des services financiers, rédigent une loi en 2002 qui contraint les entreprises à plus de discipline, de rigueur et de transparence comptables. C’est l’une des seules lois fédérales américaines qui encadre la communication comptable des entreprises. Jusqu’alors, les sociétés se référaient aux principes édictés par un organisme privé, le Financial Accounting Standards Board (FASB). Depuis la loi Sarbanes-Oxley (SOX), les entreprises doivent montrer patte blanche : comptes certifiés, datés et signés par le directeur général et le directeur financier ; contrôle de la SEC au moins tous les trois ans ; publication des informations financières hors-bilan ; archivage des informations ; roulement des auditeurs externes ; création d’un comité d’éthique et de surveillance ; élaboration d’un cadre pour protéger les lanceurs d’alerte…Et enfin, la loi SOX crée un organisme de contrôle des cabinets d’audit, le fameux et intrusif Public Company Accounting Oversight Board (PCAOB). L’onde de choc des magouilles d’Enron et de Worldcom est mondiale. Le PCAOB veut non seulement laver le linge sale de l’Amérique mais également celui du monde entier.
Des élites françaises hors-jeu
En 2003, la France réforme son système pour répondre à la crise qui a secoué l’audit américain. Elle crée le Haut Conseil aux Commissaires aux comptes (H3C) chargé de contrôler les auditeurs installés sur son territoire. Passent quelques années, puis le PCAOB frappe à la porte du H3C. Il exige la signature d’une convention afin de pouvoir mettre son nez dans les affaires financières françaises. Olivier Buquen, délégué interministériel à l’intelligence économique flaire le danger, se saisit du dossier, prend son bâton de pèlerin et sonne l’alerte à Matignon et à Bercy. Dans sa note confidentielle datée du 25 octobre 2012, il écrit, à propos des deux projets d’accord (coopération et transmission de données personnelles) entre le H3C et le PCAOB, qu’il « présentent des enjeux très importants pour la préservation de la compétitivité de nos entreprises comme pour la sécurité économique et juridique de leur environnement. »
En effet, le PCAOB demande non seulement le libre accès aux rapports d’audits des cabinets français mais également à toutes les données brutes qui ont permis de les rédiger. Autant dire que les Américains veulent lever le voile sur les comptes des entreprises françaises. « Les deux projets d’accords, insistent Olivier Buquen, font donc peser un risque de captation de secrets d’affaires et de données sensibles de nos entreprises au bénéfice notamment de plusieurs administrations américaines et, ce faisant, d’alimenter ou de favoriser la multiplication de procédures judiciaires initiées à leur encontre, sur le fondement de plusieurs dispositifs législatifs américains de portée extraterritoriales. »
Deux ans avant les amendes record de BNP et d’Alstom (2014), l’avenir est déjà écrit noir sur blanc. Et pourtant, le gouvernement fait l’autruche et laisse faire malgré les inquiétudes des patrons français. Le H3C sollicite l’avis de la Commission nationale informatique et libertés (CNIL) qui donne son feu vert. « C’est dans un contexte tendu explique le rapporteur de la CNIL fin septembre 2012, que le H3C a, à son tour, été approché par le PCAOB pour conclure un accord de coopération bilatéral, auquel il est politiquement impossible de ne pas donner suite. » Politiquement impossible ! Paris s’exécute et le H3C signe en 2013 deux conventions avec le PCAOB, l’une sur l’échange d’informations, l’autre sur la protection des données personnelles. Les Américains sont gourmands et obtiennent donc l’autorisation de mener des contrôles dans l’Hexagone. « Contrairement à certains pays où ils se rendent directement dans les cabinets d’audit, explique Christine Guéguen, présidente du H3C, ici ils ne peuvent pas s’adresser à eux. Tout doit passer par nous. Nous avons un contrôle complet sur leurs demandes. »
Une contre-attaque tuée dans l’œuf
Claude Revel, qui prend la relève à la tête de la Délégation interministérielle à l’intelligence économique (D2I) en 2013, ne se décourage pas pour autant. Elle aussi trouve cette affaire « particulièrement grave pour les intérêts de la Nation. » Avec Floran Vadillo, qui travaille auprès de Jean-Jacques Urvoas, président de la Commission des lois à l’Assemblée nationale, ils tentent une nouvelle percée pour alerter les ministres. Leur stratégie : supprimer un article du code de commerce (L.821-5-3) qui dispense le H3C de se soumettre aux obligations de la loi de 1968, baptisée loi de blocage par Washington et qui interdit « la communication de documents et renseignements d’ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères. »
Claude Revel et Floran Vadillo veulent profiter de la discussion autour de la grande loi Macron pour la croissance, l’activité et l’égalité des chances économiques (2014) pour abroger cet article. En effet, ce texte fourre-tout comprend un volet sur le secret des affaires. Mais la chancellerie s’y oppose au nom du droit européen.
Plus exactement de la directive 2006/43/CE du 17 mai 2006 dite « huitième directive » portant sur les comptes annuels et consolidés des entreprises européennes. Dans son article 36, ce texte communautaire organise les échanges d’informations entre Etats membres de l’UE. « Les autorités compétentes des Etats membres responsables de l’agrément, de l’enregistrement, de l’assurance qualité, de l’inspection et de la discipline coopèrent entre elles au niveau communautaire autant que nécessaire pour s’acquitter de leurs responsabilités respectives… ».
Et dans son article 47, la huitième directive pose les conditions d’une coopération avec les pays tiers. « Les Etats membres peuvent autoriser la communication aux autorités compétentes d’un pays tiers de documents d’audit ou d’autres documents détenus par des contrôleurs légaux des comptes ou des cabinets d’audit par eux agréés, pour autant que…» trois conditions essentielles soient remplies : que l’UE juge le système du pays tiers « adéquate » au sien ; qu’il existe un accord de coopération entre les autorités compétentes et que le pays tiers apporte toutes les garanties en matière de protection des données telles qu’elles sont exposées dans le chapitre IV de la directive.
Les deux premières conditions sont remplies. En 2010, la Commission européenne adopte la décision d’adéquation avec le PCAOB et il existe bien un accord entre le H3C et le PCAOB. La troisième condition, en revanche, pose problème. Comme l’indique la CNIL dans sa délibération du 29 novembre 2012, « les Etats-Unis d’Amérique ne sont pas considérés comme assurant un niveau de protection adéquat… ». Ce n’est pas grave s’empresse-t-elle de préciser, il suffit d’appliquer une exception et de considérer que le niveau de protection est « suffisant ».
La politique de l’autruche
A Bruxelles, la Commission européenne renouvelle sa décision d’adéquation avec le PCAOB le 11 juin 2013. Soit cinq jours à peine après les premières révélations d’Edward Snowden, ancien agent de la CIA et de la NSA, sur le système de surveillance globale des grandes oreilles américaines. Personne, ni à la Commission ni dans les Etats membres, ne songe à remettre en question cette décision au regard de ces divulgations qui font l’effet d’une bombe dans le monde entier. Quelques mois plus tard, deux communications de la Commission européenne confirment les doutes des Européens sur la loyauté américaine. L’une d’elles est explicitement intitulée « Rétablir la confiance dans les flux des données entre l’Union européenne et les États-Unis d’Amérique ». Un rapport au Parlement européen d’octobre 2012 intitulé « Fighting Cyber crime and protecting privacy in the cloud » aurait dû mettre la puce à l’oreille aux dirigeants de Bruxelles. Ses auteurs estiment que les dirigeants de l’UE ne prennent pas la réelle mesure des fuites d’informations massives que subissent les citoyens européens, notamment en direction des Etats-Unis. Enfin, la note de la Délégation interministérielle à l’intelligence économique datée de 2012 rappelle que la Commission européenne ne considère pas les Etats-Unis comme un pays « offrant les mêmes garanties de protection des données personnelles que les Etats membres de l’Union européenne. » Alors pourquoi à Bruxelles continue-t-on à dérouler le tapis rouge aux Américains ?
Deux ans plus tard, c’est un simple étudiant autrichien qui fait bouger les lignes. Max Schrems dépose une plainte contre Facebook qui stocke encore des données qu’il a pourtant effacées. Son cas remonte jusqu’à la Cour de justice de l’Union européenne (CJUE) qui tranche en sa faveur et rejette l’accord Safe Harbor. Ce texte signé en 2001 entre la Commission européenne et les Etats-Unis régit la transmission des données personnelles des Européens vers les Etats-Unis. Dans son communiqué du 6 octobre 2015, la Cour contredit la Commission et déclare « invalide la décision de la Commission constatant que les États-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées. »
Malgré la condamnation de la CJUE, ni Bruxelles, ni les capitales de l’Union ne souhaitent remettre en cause les accords avec le PCAOB. Dans la capitale européenne, personne ne s’étonne que le premier président du PCAOB soit un vieux briscard du renseignement américain. William Hedgcock Webster a dirigé le FBI de 1978 à 1987 et la CIA de 1987 à 1991 ! L’actuel président William D. Duhnke III est un ancien militaire de la Navy passé par le Sénat.
Des inspections américaines protégées par la loi européenne
Personne non plus pour faire remarquer à la France et aux autres Etats membres sollicités par le PCAOB que la « huitième directive » ne fait nullement mention d’inspections conjointes entre régulateurs. C’est pourtant bien ce qui figure dans l’accord signé en 2013 (renouvelé en 2016) entre le H3C et le PCAOB. A titre de comparaison, les régulateurs chinois et américains sont également liés par une convention depuis mai 2013 mais elle n’autorise aucune inspection. D’autre part, Paris a signé une convention avec les Suisses le 18 janvier 2013, les Canadiens le 6 juin 2013, les Japonais le 15 avril 2016 qui se limitent aux échanges d’informations et ne fait nullement mention d’un contrôle mutuel.
Pourquoi la France et les autres Etats membres ne respectent-ils pas la huitième directive (2006/43/CE du 17 mai 2006) ? Parce qu’elle est obsolète en ce qui concerne les inspections. Une décision de la Commission du 1er septembre 2010 dispose dans son article 2 que « Les États membres n’autorisent les inspections communes que lorsque celles-ci sont nécessaires. Ils veillent à ce que les inspections communes menées par leurs autorités compétentes et les autorités compétentes d’Australie et des États-Unis d’Amérique sur le territoire d’États membres en vertu de l’article 47 de la directive 2006/43/CE soient, en règle générale, dirigées par l’autorité compétente de l’État membre concerné. » Autrement dit, Bruxelles autorise ces inspections des Américains sur le territoire de l’Union.
Toutefois, l’article 47 précise également que les documents d’audit obtenus par les pays tiers ne peuvent être utilisés « qu’aux fins de l’exercice des fonctions de supervision publique… ». Or, comme nous allons le voir, les révélations d’Edward Snowden et les lois américaines montrent que des doutes sérieux existent sur la destination finale de ces données.
Mais voyons avant si la convention signée en 2013 avec le PCAOB est conforme à la loi française. Sur l’échange d’informations, elle l’est. Sur les inspections, c’est plus compliqué. Le code du commerce autorise le H3C à entretenir et à partager des informations avec un organisme étranger aux compétences analogues, pas à accepter des contrôles. Ceci est d’ailleurs confirmé dans l’arrêté du 11 juillet 2011 homologuant le règlement intérieur du H3C et qui dispose dans son article 67 que « ces conventions ne portent que sur des échanges d’informations et de documents… ». Autrement dit, la convention de 2013 signée avec le PCAOB est illégale…du moins au regard du droit français ! Heureusement, il y a le droit européen qui, comme nous venons de le voir, autorise les inspections depuis la décision de la Commission européenne du 1er septembre 2010. Une décision est un acte juridique contraignant qui s’applique à tous les membres de l’Union sans transposition préalable dans leur droit national.
Trois ans après l’accord H3C/PCAOB de 2013, le président François Hollande signe une ordonnance le 17 mars 2016 relative au commissariat aux comptes qui stipule dans son article 13 que le « Haut conseil peut, à titre exceptionnel, autoriser les agents des autorités des Etats non membres de l’Union européenne à assister aux contrôles mentionnés à l’article… » L’ordre juridique national est rétabli.
Une confiance ébranlée
Il existe toutefois deux conditions à ce contrôle étranger sur le territoire national. La première a trait à la réciprocité. C’est le cas puisque la convention prévoit que la France peut mener des inspections aux Etats-Unis. En réalité, Paris n’a pas les moyens, ni humains ni financiers pour intervenir sur le sol américain : son budget est de 15 millions d’euros contre 285 millions de dollars pour le PCAOB. Depuis 2016, le H3C a déclenché une seule enquête aux Etats-Unis contre sept pour le PCAOB en France. Et encore, l’inspection de Paris a été motivée par une enquête du PCAOB en France ! Deuxième condition : que le PCAOB garantisse un même niveau de protection des secrets professionnels. Depuis les indiscrétions d’Edward Snowden, nous savons pertinemment que c’est le contraire.
En effet, les lois américaines, notamment le Foreign Intelligence Surveillance Act (FISA) de 1978, amendée en 2008 après l’adoption du Patriot Act signé à la suite des attentats de 2001, obligent toute institution publique étasunienne à partager les informations en leur possession. En vertu de l’article 314 (a) du Patriot Act et grâce à son réseau tentaculaire (Financial Crimes Enforcement Network), le département du Trésor se vante d’avoir accès à plus de 37 000 contacts situés dans 16 000 institutions financières dans le monde afin de lutter contre le terrorisme et le blanchiment d’argent.
Le H3C fait-il partie de cet immense réseau d’informations ? La notion américaine de blanchiment d’argent est très large puisqu’elle va du blanchiment classique à la violation des embargos en passant par les investissements frauduleux, le trafic d’armes, la contrebande de cigarettes… « Ces éléments ont été totalement négligés, écrivent les auteurs d’un rapport au Parlement européen, malgré des implications très fortes sur la souveraineté des données de l’UE et la protection des droits de ses citoyens. »
Comment dans ces conditions, le H3C peut-il garantir que les informations transmises au PCAOB ne vont pas enrichir les bases de données de la communauté américaine du renseignement ? D’autant que l’article IV de la convention PCAOB/H3C précise que le régulateur américain peut partager les informations du H3C avec le gendarme des marchés (Securities and Exchange Commission) ainsi que le procureur général des Etats-Unis, les procureurs généraux et plus généralement toutes les autorités de régulation de l’Etat. C’est donc un très grand nombre de personnes qui ont accès à ces informations sensibles.
Malgré tous ces faits avérés, la coopération avec le régulateur américain n’a jamais été questionnée. Depuis 2013, quatre cabinets d’audit basés en France ont été contrôlés par les autorités américaines : Ernst & Young (décembre 2014 et septembre 2018), KPMG (décembre 2015 et mai 2018) ; PWC (mai 2017 et mai 2019) ; Mazars (décembre 2015). En 2013, le PCAOB disposait de quinze accords : Suisse, Australie, Royaume Uni, Chine, Espagne, France… Aujourd’hui, ils sont 25 pays conventionnés. En 2012, dans la tradition anglo-saxonne du « Name and shame » (nommer et faire honte), le régulateur américain publiait la liste des entreprises françaises qui refusaient l’accès à leurs comptes (Alcatel Lucent, CGG Veritas, Flamel technologies SA, France Telecom, Sanofi, Total…). Aujourd’hui ce type de liste n’apparaît plus sur le site internet du PCAOB. Est-ce à dire que toutes les entreprises ont baissé pavillon ? En revanche, on trouve la liste des entreprises publiques qui refusent l’accès à leurs comptes malgré l’inscription de leurs auditeurs au PCAOB. Elles sont pour la plupart de Chine et de Hong Kong.
Les conventions bilatérales entre le H3C et le PCAOB ont pris fin en décembre 2019. Elles auraient dû être prolongées mais la procédure a changé depuis l’entrée en vigueur en 2018 du Règlement général sur la protection des données (RGPD). Elle passe dorénavant par le Comité européen de la protection des données (CEPD) qui n’a toujours pas donné son feu vert fin février 2020.
Si on en croit la nouvelle posture de sécurité affichée le 11 février 2020 par Josep Borrell, chef de la diplomatie européenne, c’est l’occasion pour les Français et plus généralement les Européens de prendre le temps d’évaluer l’ensemble des procédures autorisant les transmissions d’informations économiques et financières à des pays tiers. « Nous sommes entrés dans une ère de concurrence stratégique, écrit Josep Borrell, où certains dirigeants n’hésitent pas à recourir à la contrainte et à détourner des instruments, économiques notamment, pour en faire des armes. Nous autres Européens devons adapter nos schémas mentaux pour aborder le monde tel qu’il est et non tel que nous aimerions qu’il soit. Pour éviter d’être la perdante de la concurrence à laquelle se livrent les Etats-Unis et la Chine, l’Union européenne doit réapprendre le langage de la force et se considérer comme un acteur géostratégique de premier rang. » Un acteur géostratégique de premier rang accepterait-il de nourrir un régulateur américain comme le PCAOB qui présente un profil parfait pour être la 18ème agence de renseignement américaine ?
Ali Laïdi