Administrations et collectivités territoriales / Assurance / BTP / BUP / ERP/IGH / Industrie/ICPE / Sécurité privée / Sûreté
Malveillance. Comment détecter la fraude interne dans les organisations ?
Sujet tabou pour les uns, véritable fléau pour les autres, la fraude interne est un phénomène protéiforme. Examen du champ des possibles et des limites d’un dispositif de détection et de contrôle.
Les différents types de fraudes internes
La fraude interne n’a pas de définition réglementaire mais elle est dérivée de l’escroquerie prévue à l’article L.313-1 du code pénal.
Le risque de fraude interne concerne toutes les pratiques malveillantes et volontaires visant l’enrichissement illicite ou l’obtention d’un avantage quelconque au détriment des intérêts d’une organisation, compte tenu d’une fonction exercée par un collaborateur ou d’un tiers agissant en son nom, et ayant accès à des procédures spécifiques ou systèmes opérants.
Le risque de fraude peut être également la conséquence d’un conflit d’intérêt, voire de pratiques corruptives. Pour ces raisons, les dispositifs d’investigation et anti-corruption prévoient aussi d’intégrer ce risque dans le champ des pratiques de sécurité financière et déontologique à couvrir et à prévenir.
La fraude interne présente plusieurs facettes. Il peut s’agir :
- du détournement d’actifs (vol de biens type ordinateur portable, véhicule de service, détournement de fonds),
- de création d’opérations frauduleuses dans la comptabilité (fausses factures, surfacturation),
- ou encore de pratiques de collusion avec des tiers (fournisseurs, clients) visant à profiter indument des biens et services fournis par une entreprise.
L’affaire William Saurin
La fraude interne peut concerner des malversations mais aussi de fausses déclarations dans les « reporting » internes tout comme dans les états financiers. De telles pratiques sont illustrées par l’affaire William Saurin.
Cette affaire a été mise au jour en 2017. La propriétaire de William Saurin avait monté l’une des plus grandes fraudes comptables de
l’industrie française en gonflant ses comptes de 300 M€ par des fausses factures.
On peut encore signaler des pratiques commerciales réalisées à l’insu des clients, comme l’ouverture de comptes clients fictifs en vue de toucher une commission d’apporteur non justifiée. Comme ce fut le cas dans l’affaire des comptes fictifs au sein de la banque Wells Fargo, condamnée à 3 milliards de dollars d’amende pour des pratiques de ce type entre 2002 et 2016.
L’importance d’un dispositif de détection
La fraude, forme particulière de triche dans les organisations, est inhérente à toute organisation humaine. Certains, même s’ils sont rares, verront une opportunité de s’enrichir et la saisiront si rien n’est fait pour leur montrer que les risques dépassent les gains escomptés (Pesqueux, « Essai sur la triche », Management & Avenir, 2009, n° 22).
L’exposition au risque de fraude dépend à la fois de la probabilité de s’enrichir de manière indue dans l’entreprise (autonomie forte, périmètre d’activité étendu, capacité à rendre des comptes sur son activité), mais aussi de la dissuasion mise en place via un vrai dispositif de détection. (Cf. Nicolas Dufour et Emmanuel Laffort, « La prévention de la fraude dans les établissements financiers, un enjeu d’appropriation croisée », Annales des Mines – Gérer et comprendre, 2016/2 (N° 124).
Comme l’évoque ce responsable d’audit interne interviewé en 2019 : « La fraude interne existe potentiellement dans toutes les organisations. C’est juste une question de volonté pour aller détecter ces cas, et de temps avant d’en détecter. Aucune organisation n’est potentiellement à l’abri de cela. C’est particulièrement vrai dans les PME et ETI qui ne disposent pas toujours de dispositif de contrôle interne préventif ou dissuasif. »
Sensibiliser les collaborateurs
La fraude interne reste un risque peu fréquent dans les cartographies des risques des entreprises. Toutefois, l’enjeu est d’identifier les principaux schémas possibles au sein d’une organisation et de déterminer les moyens de prévenir la possibilité de ces schémas de fraude ou, a minima, de les détecter. Faire connaître la possibilité de contrôle rend aussi plus dissuasif le dispositif de contrôle interne. Cela implique de former et sensibiliser les collaborateurs.
Sans dispositif de détection et sans vraie vigilance de la gouvernance (comité d’audit, comité des risques), le risque de fraude interne peut alors survenir, voire s’étendre. En effet, certains collaborateurs peuvent voir une faible possibilité que l’entreprise détecte la fraude, ou la réprime par des actions contentieuses.
La fraude interne recouvre ainsi des enjeux multidimensionnels : humains, managériaux, financiers et juridiques.
Le contenu d’un dispositif de contrôle de la fraude interne
Un dispositif de contrôle anti-fraude doit reposer sur plusieurs types d’éléments de prévention et de maîtrise des risques :
- formations ;
- rappels réguliers des règles et procédures ;
- vigilance dans les pratiques de recrutement des collaborateurs (demandes d’extrait de casiers judiciaires, de références employeurs) pour les postes à risques ;
- contrôles opérationnels et contrôles indépendants ;
- missions d’audit dédiées ;
- logiciels d’alertes sur des opérations atypiques ;
- dispositif d’alerte professionnel ;
- attention du management ;
- comitologie dédiée aux risques de fraude, etc.
Garde-fous et écueils à éviter
En matière de management, le contrôle des collaborateurs permet de mieux maîtriser les risques et notamment celui de fraude interne. Des outils différents peuvent être mis en œuvre dans l’entreprise. Deux types de contrôle émergent :
- le contrôle de la performance dans un souci d’amélioration des résultats ;
- et le contrôle des comportements.
La collecte d’informations sensibles concernant les collaborateurs pourrait également être envisagé comme un outil de lutte contre la fraude interne. Cela questionne alors les limites du possible. Jusqu’où l’employeur peut-il aller en la matière ?
Tout d’abord, il convient de rappeler que l’employeur, en vertu de son pouvoir de direction, peut organiser la surveillance des salariés sur le temps et sur le lieu de travail. (Cf.Cass. Soc. 5 novembre 2014 pourvoi n° 13-18.427 ; Cass. Soc. 26 avril 2006 pourvoi n° 04-43.582). Cependant cette surveillance ne doit pas aller à l’encontre du droit à la vie privée. Ainsi l’article L.1121-1 du code du travail précise que « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».
« L’employeur, en vertu de son pouvoir de direction, peut organiser la surveillance des salariés sur le temps et sur le lieu de travail. Cependant cette surveillance ne doit pas aller à l’encontre du droit à la vie privée. »
Un juste équilibre à trouver
Certains employeurs, afin de lutter contre la fraude interne pourraient être alors tentés de mettre en œuvre des dispositifs de collecte d’informations concernant certains salariés afin de les surveiller. L’équilibre entre le respect des droits fondamentaux et la protection des intérêts légitimes de l’entreprise est donc parfois difficile à respecter et appelle à une vigilance particulière.
L’article L.1222-4 du code du travail dispose qu’« aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. »
De même, conformément à l’article L.2323-47 du code du travail, « le comité d’entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés ».
Par ailleurs, tout dispositif de collecte des données permettant l’identification des salariés est soumis à loi n° 2018-493 du 20 juin 2018 qui a modifié la loi Informatique et Libertés de 1978, afin d’assurer une conformité du droit national avec le cadre juridique européen, le Règlement général sur la protection des données (RGPD). Ce règlement prévoit, en son article 30, la mise en place d’un registre des activités de traitement qui permet de recenser les traitements de données et de disposer d’une vue d’ensemble de ce qui est fait des données personnelles.
Le dispositif de contrôle
Tout dispositif de contrôle doit être mis en place de façon proportionnée, sans détournement de finalité, en respectant le principe de transparence et d’authenticité.
La surveillance ne devant jamais être exercée à l’insu des salariés, ni en limitant les libertés individuelles, l’employeur devra être particulièrement vigilant. Il encourt des sanctions civiles et pénales (articles 226-1, 226-16, 226-18, 226-20 et 226-21 du code pénal) et d’éventuelles amendes administratives de la Cnil. Les salariés peuvent en effet saisir différentes instances : le service des plaintes de la Cnil, les services de l’Inspection du travail, les services de la préfecture, les services de police ou de gendarmerie, le procureur de la République.
L’affaire Ikea
L’actualité nous révèle un cas emblématique et une décision très attendue : le géant du meuble Ikea a été condamné par le tribunal correctionnel de Paris le 15 juin 2021 à une amende de 1 M€. Cette condamnation porte sur :
- « la collecte de données à caractère personnel dans un fichier par un moyen frauduleux » ;
- « le détournement de la finalité d’un traitement de données à caractère personnel » ;
- « la divulgation illégale volontaire de données à caractère personnel » ;
- « la violation du secret professionnel ».
Bien que le RGPD ne soit, au moment des faits, pas encore en vigueur, la loi informatique et libertés de 1978 était quant à elle applicable.
Dès février 2012, Ikea est soupçonnée d’accéder aux fichiers confidentiels Stic (système de traitement des infractions constatées), des immatriculations ou des permis de conduire et d’avoir enquêté sur les antécédents judiciaires et la vie privée de ses salariés en recourant à des agents de sécurité privée.
Cet espionnage est révélé par Le Canard enchaîné le 29 février 2012. Il s’agit d’un espionnage généralisé de candidats à l’embauche et de clients. Une enquête préliminaire est alors ouverte par le parquet de Versailles, le 1er mars 2012, pour « utilisation frauduleuse de données personnelles » à la suite de la plainte du syndicat Force ouvrière.
Condamnés pour surveillance illégale
La justice s’est prononcée le 15 juin 2021 sur la licéité de la surveillance des salariés et sur l’empiétement de l’employeur sur la vie privée. Le tribunal correctionnel de Versailles a jugé Ikea France coupable pour sa politique institutionnalisée de surveillance des salariés, treize des quinze prévenus ont été punis pour leur participation à cette surveillance illégale.
Il convient donc de rappeler que tout dispositif de surveillance doit être porté à la connaissance des salariés et doit toujours être proportionné au but recherché. Dans le cas de la prévention de la fraude interne chez Ikea, un tel dispositif était disproportionné.
Article extrait du n° 575 de Face au Risque : « Incendie : le contrat de maintenance » (septembre 2021).
Nicolas Dufour
Docteur en sciences de gestion, professeur des universités associé au CNAM et Risk Manager dans le secteur de l’assurance
Caroline Diard
Docteur en sciences de gestion de l’institut Mines-Télécom Business School, Caroline Diard est professeur associé en management des RH et Droit à l’EDC Paris Business School. Elle intervient dans les domaines du droit du travail, politique de rémunération et dialogue social, vidéoprotection et télétravail. Elle a été précédemment DRH dans une société de biotechnologies et consultante.
Les plus lus…
Le bureau d’analyse des risques et des pollutions industrielles (Barpi) a publié un nouveau flash Aria dédié aux travaux par…
La roue de Deming est une méthode d’amélioration continue symbolisée par une roue progressant sur une pente dans un…
Alors que les entreprises devant contrôler l’identité de leurs clients font évoluer leurs méthodes de vérification, les fraudeurs s’adaptent et…
Lancée le 17 décembre, la plateforme 17Cyber ambitionne de devenir le nouveau réflexe pour les victimes de cybermalveillance en France.…
L’intelligence artificielle connait une dynamique importante en termes d’implémentation, notamment depuis l’arrivée des « modèles de langages conversationnels ». Elle…
La directive (UE) 2024/3019 du Parlement européen et du Conseil du 27 novembre 2024 relative au traitement des eaux…