Administrations et collectivités territoriales / Assurance / BTP / BUP / ERP/IGH / Industrie/ICPE / Sûreté
Gérer la fraude interne dans les organisations
Les procédures mises en œuvre afin de dissuader les collaborateurs de frauder et les sanctions appliquées sont-elles suffisamment efficaces ? Tour d’horizon des plans d’actions pour anticiper et traiter les facteurs de risques.
Un contexte spécifique
La crise sanitaire a multiplié les risques de fraude au sein des organisations (cybercriminalité, fraude comptable, corruption, détournement d’actifs…). L’étude 2020 conduite par le cabinet PWC révèle que 53 % des entreprises françaises ont été confrontées à la fraude interne au cours des 24 mois précédents.
Qu’elle soit externe ou interne, la fraude met en danger l’organisation, sa pérennité, son équilibre financier et sa réputation.
Certaines organisations ont ainsi mis en place des services de contrôle interne afin de se prémunir de toute fraude commise par leurs salariés. En amont, elles organisent la prévention afin de dissuader les collaborateurs. Elles mettent en œuvre des outils de contrôle technologique[1] et peuvent appliquer les sanctions prévues par le code du travail.
À travers un contrôle polymorphe des collaborateurs (organisationnel, technologique…), les plans d’actions peuvent être dissuasifs.
Plusieurs affaires très médiatisées soulèvent la question des sanctions. Exemple avec les souscriptions de comptes fictifs à la banque américaine Wells Fargo en 2016. Ce scandale a débouché sur plusieurs milliers de licenciements de commerciaux qui usurpaient l’identité et la signature de leurs clients dans la souscription de produits bancaires et de contrats d’assurance. Autres exemples :
- l’emprisonnement au Japon de Carlos Ghosn, l’ancien patron de l’alliance Renault-Nissan, à la suite d’accusations de détournements d’actifs ;
- l’accusation de détournement et blanchiment d’argent de l’ancien banquier de Goldman Sachs qui peut lui valoir 30 ans de prison.
[1] Caroline Diard et Nicolas Dufour : « Technologies de contrôle : un enjeu organisationnel de lutte contre la fraude interne ? » Management & Avenir (à paraître en août 2022).
Définitions de la fraude
Le concept de « fraude » apparaît comme imprécis. Des actes illégaux caractérisés par une tromperie ou une escroquerie intentionnelle sont associés à ce concept. L’ ACFE (Association of Certified Fraud Examiners) est la première organisation professionnelle des experts anti-fraude, et premier fournisseur d’informations et de formations en matière de lutte anti-fraude dans le monde. Elle définit la fraude comme « l’utilisation de sa profession à des fins d’enrichissement personnel par l’utilisation abusive délibérée ou le détournement des ressources ou des actifs de l’organisation qui l’emploie », (étude 2012).
Selon le dictionnaire juridique, il s’agit d’un acte qui a été réalisé en utilisant des moyens déloyaux destinés à surprendre un consentement, à obtenir un avantage matériel ou moral indu ou réalisé avec l’intention d’échapper à l’exécution des lois.
La réglementation
C’est par une loi du 1er août 1905 sur « les fraudes et falsifications en matière de produits ou de services » que la fraude est définie pour la première fois. Cette loi est ensuite modifiée par la loi n° 78-23 du 10 janvier 1978 et abrogée par la loi n° 93-949 du 26 juillet 1993. Il s’agit d’une loi sur la répression des fraudes dans la vente de marchandises et des falsifications de denrées alimentaires et des produits agricoles.
Le cadre de contrôle interne anti-fraude s’appuie également sur un environnement normatif structurant en termes de conformité du dispositif anti-fraude: le code pénal et le code du travail indiquent ce qui peut être fait, tout comme les règlementations telles que le code monétaire et financier et la loi Sapin II. Le RGPD fournit aussi des garde-fous pour éviter un traitement systématique et excessif ainsi que des risques de collecte de données avec détournement de finalité.
La fraude existe à la fois en matière civile et pénale.
Elle désigne donc un acte commis de mauvaise foi dans le but d’obtenir un avantage, un acte malhonnête fait dans l’intention de tromper en contrevenant à la loi ou aux règlements. Elle implique la volonté de nuire (« consilium fraudis ») à autrui par des manœuvres perverses. Elle se rapproche par certains côtés de l’escroquerie pénale. Elle occasionne un préjudice. Elle a pour effet de léser une personne physique ou morale : un particulier, une entreprise, une association, l’État.
En soi, lutter contre la fraude suppose de d’abord mettre à plat un référentiel d’obligations et de s’assurer que le dispositif de contrôle mis en œuvre soit en phase avec ce référentiel. C’est seulement après que des contrôles peuvent être déclinés et mis en place.
La prévention par le contrôle
La littérature distingue différentes typologies de contrôle. Le contrôle exercé par :
- l’organisation (formel, administratif) ;
- le pouvoir personnel d’un individu, non lié à son rôle formel ;
- la pression du groupe (norme, comportement du groupe, culture) ;
- soi-même (motivation, autocontrôle).
Le contrôle organisationnel apparaît comme un processus influençant « les comportements des acteurs de l’organisation dans le sens attendu par cette dernière » (Langevin et Naro, 2003). Il regroupe le contrôle des comportements ou des actions, notamment par des règles. Ce contrôle est parfois technologique, par les résultats, ou prend la forme d’un contrôle social. Pour Chiapello (1996), les comportements sont soumis à diverses sources d’influences et de sources de contrôle qui interagissent entre elles. La notion de contrôle est associée à un certain respect de normes, de comportements idéaux. Afin de contrôler le comportement des individus l’organisation s’appuie sur des procédures, des descriptions de postes, des mesures de la performance, des systèmes de récompense (Flamholtz, Das et Tui, 1985).
En matière de management, un des enjeux majeurs est de contrôler les collaborateurs pour maîtriser les risques et notamment celui de fraude interne. Des outils différents peuvent être mis en œuvre dans l’entreprise. Il s’agit par exemple de caméras de vidéosurveillance, d’outils de géolocalisation ou encore d’outils générant des alertes sur de récurrentes consultations par un même collaborateur de certaines catégories d’information sensibles.
Les sanctions du fraudeur
En droit français, la charge de la preuve appartient au demandeur. En cas de constat, de soupçons de fraude interne, l’entreprise devra donc rapidement mettre en œuvre une investigation interne.
L’employeur peut sanctionner le fraudeur en vertu de son pouvoir de direction. La sanction disciplinaire doit néanmoins demeurer proportionnée à la faute commise.
L’employeur dispose d’un délai de 2 mois pour engager une procédure disciplinaire et ce, à compter du jour où il a eu connaissance de ces faits fautifs.
Dans le cas d’une fraude interne, il s’agira d’un licenciement pour motif personnel lié à la personne du salarié. L’entreprise pourra envisager un licenciement pour faute grave (car son comportement rend impossible son maintien dans l’entreprise).
La sanction pourra être également un licenciement pour faute lourde si le salarié a eu la volonté de nuire à l’entreprise.
Dans les cas de licenciements pour fraude recensés dans la jurisprudence, le choix de la faute grave est fréquent. Elle rend impossible le maintien du salarié dans l’entreprise.
Le principe de proportionnalité
La mise en œuvre d’outils de prévention et de sanction suppose au préalable une réflexion sur le principe de proportionnalité. Celui-ci est défini par la directive européenne 2009/138/CE dite « Solvabilité II », relative au contrôle des organismes d’assurance, et par le RGPD, concernant le dimensionnement du traitement aussi appelé principe de minimisation. Il doit intervenir dans le cadre de la protection légitime des intérêts de l’entreprise et rester proportionné au but recherché.
Le contrôle technologique suppose également l’acceptation par les collaborateurs. Une information claire et transparente sur les processus de prévention ainsi que sur la sanction, à titre préventif au-delà des aspects réglementaires sera indispensable.
Article extrait du n° 584 de Face au Risque : « Reconnaissance faciale » (juillet-août 2022).
Caroline Diard
Docteur en sciences de gestion de l’institut Mines-Télécom Business School, Caroline Diard est professeur associé en management des RH et Droit à l’EDC Paris Business School. Elle intervient dans les domaines du droit du travail, politique de rémunération et dialogue social, vidéoprotection et télétravail. Elle a été précédemment DRH dans une société de biotechnologies et consultante.
Nicolas Dufour
Docteur en sciences de gestion, professeur des universités associé au CNAM et Risk Manager dans le secteur de l’assurance
Les plus lus…
Le bureau d’analyse des risques et des pollutions industrielles (Barpi) a publié un nouveau flash Aria dédié aux travaux par…
La roue de Deming est une méthode d’amélioration continue symbolisée par une roue progressant sur une pente dans un…
Alors que les entreprises devant contrôler l’identité de leurs clients font évoluer leurs méthodes de vérification, les fraudeurs s’adaptent et…
Lancée le 17 décembre, la plateforme 17Cyber ambitionne de devenir le nouveau réflexe pour les victimes de cybermalveillance en France.…
L’intelligence artificielle connait une dynamique importante en termes d’implémentation, notamment depuis l’arrivée des « modèles de langages conversationnels ». Elle…
La directive (UE) 2024/3019 du Parlement européen et du Conseil du 27 novembre 2024 relative au traitement des eaux…