Malveillance. Comment détecter la fraude interne dans les organisations ?

La fraude interne peut concerner des malversations mais aussi de fausses déclarations dans les « reporting » internes tout comme dans les états financiers. De telles pratiques sont illustrées par l’affaire William Saurin.

Cette affaire a été mise au jour en 2017. La propriétaire de William Saurin avait monté l’une des plus grandes fraudes comptables de l’industrie française en gonflant ses comptes de 300 M€ par des fausses factures.

On peut encore signaler des pratiques commerciales réalisées à l’insu des clients, comme l’ouverture de comptes clients fictifs en vue de toucher une commission d’apporteur non justifiée. Comme ce fut le cas dans l’affaire des comptes fictifs au sein de la banque Wells Fargo, condamnée à 3 milliards de dollars d’amende pour des pratiques de ce type entre 2002 et 2016.

L’importance d’un dispositif de détection

La fraude, forme particulière de triche dans les organisations, est inhérente à toute organisation humaine. Certains, même s’ils sont rares, verront une opportunité de s’enrichir et la saisiront si rien n’est fait pour leur montrer que les risques dépassent les gains escomptés (Pesqueux, « Essai sur la triche », Management & Avenir, 2009, n° 22).

L’exposition au risque de fraude dépend à la fois de la probabilité de s’enrichir de manière indue dans l’entreprise (autonomie forte, périmètre d’activité étendu, capacité à rendre des comptes sur son activité), mais aussi de la dissuasion mise en place via un vrai dispositif de détection. (Cf. Nicolas Dufour et Emmanuel Laffort, « La prévention de la fraude dans les établissements financiers, un enjeu d’appropriation croisée », Annales des Mines – Gérer et comprendre, 2016/2 (N° 124).

Comme l’évoque ce responsable d’audit interne interviewé en 2019 : « La fraude interne existe potentiellement dans toutes les organisations. C’est juste une question de volonté pour aller détecter ces cas, et de temps avant d’en détecter. Aucune organisation n’est potentiellement à l’abri de cela. C’est particulièrement vrai dans les PME et ETI qui ne disposent pas toujours de dispositif de contrôle interne préventif ou dissuasif. »

Sensibiliser les collaborateurs

La fraude interne reste un risque peu fréquent dans les cartographies des risques des entreprises. Toutefois, l’enjeu est d’identifier les principaux schémas possibles au sein d’une organisation et de déterminer les moyens de prévenir la possibilité de ces schémas de fraude ou, a minima, de les détecter. Faire connaître la possibilité de contrôle rend aussi plus dissuasif le dispositif de contrôle interne. Cela implique de former et sensibiliser les collaborateurs.

Sans dispositif de détection et sans vraie vigilance de la gouvernance (comité d’audit, comité des risques), le risque de fraude interne peut alors survenir, voire s’étendre. En effet, certains collaborateurs peuvent voir une faible possibilité que l’entreprise détecte la fraude, ou la réprime par des actions contentieuses.

La fraude interne recouvre ainsi des enjeux multidimensionnels : humains, managériaux, financiers et juridiques

Le contenu d’un dispositif de contrôle de la fraude interne

Un dispositif de contrôle anti-fraude doit reposer sur plusieurs types d’éléments de prévention et de maîtrise des risques :

• formations ;
• rappels réguliers des règles et procédures ;
• vigilance dans les pratiques de recrutement des collaborateurs (demandes d’extrait de casiers judiciaires, de références employeurs) pour les postes à risques ;
• contrôles opérationnels et contrôles indépendants ;
• missions d’audit dédiées ;
• logiciels d’alertes sur des opérations atypiques ;
• dispositif d’alerte professionnel ;
• attention du management ;
• comitologie dédiée aux risques de fraude, etc.

Garde-fous et écueils à éviter

En matière de management, le contrôle des collaborateurs permet de mieux maîtriser les risques et notamment celui de fraude interne. Des outils différents peuvent être mis en œuvre dans l’entreprise. Deux types de contrôle émergent :

• le contrôle de la performance dans un souci d’amélioration des résultats ;
• et le contrôle des comportements.

La collecte d’informations sensibles concernant les collaborateurs pourrait également être envisagé comme un outil de lutte contre la fraude interne. Cela questionne alors les limites du possible. Jusqu’où l’employeur peut-il aller en la matière ?
Tout d’abord, il convient de rappeler que l’employeur, en vertu de son pouvoir de direction, peut organiser la surveillance des salariés sur le temps et sur le lieu de travail. (Cf.Cass. Soc. 5 novembre 2014 pourvoi n° 13-18.427 ; Cass. Soc. 26 avril 2006 pourvoi n° 04-43.582). Cependant cette surveillance ne doit pas aller à l’encontre du droit à la vie privée. Ainsi l’article L.1121-1 du code du travail précise que « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».

« L’employeur, en vertu de son pouvoir de direction, peut organiser la surveillance des salariés sur le temps et sur le lieu de travail. Cependant cette surveillance ne doit pas aller à l’encontre du droit à la vie privée. »

Un juste équilibre à trouver

Certains employeurs, afin de lutter contre la fraude interne pourraient être alors tentés de mettre en œuvre des dispositifs de collecte d’informations concernant certains salariés afin de les surveiller. L’équilibre entre le respect des droits fondamentaux et la protection des intérêts légitimes de l’entreprise est donc parfois difficile à respecter et appelle à une vigilance particulière.

L’article L.1222-4 du code du travail dispose qu’« aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. »

De même, conformément à l’article L.2323-47 du code du travail, « le comité d’entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés ».

Par ailleurs, tout dispositif de collecte des données permettant l’identification des salariés est soumis à loi n° 2018-493 du 20 juin 2018 qui a modifié la loi Informatique et Libertés de 1978, afin d’assurer une conformité du droit national avec le cadre juridique européen, le Règlement général sur la protection des données (RGPD). Ce règlement prévoit, en son article 30, la mise en place d’un registre des activités de traitement qui permet de recenser les traitements de données et de disposer d’une vue d’ensemble de ce qui est fait des données personnelles.

Le dispositif de contrôle

Tout dispositif de contrôle doit être mis en place de façon proportionnée, sans détournement de finalité, en respectant le principe de transparence et d’authenticité.

La surveillance ne devant jamais être exercée à l’insu des salariés, ni en limitant les libertés individuelles, l’employeur devra être particulièrement vigilant. Il encourt des sanctions civiles et pénales (articles 226-1, 226-16, 226-18, 226-20 et 226-21 du code pénal) et d’éventuelles amendes administratives de la Cnil. Les salariés peuvent en effet saisir différentes instances : le service des plaintes de la Cnil, les services de l’Inspection du travail, les services de la préfecture, les services de police ou de gendarmerie, le procureur de la République.

L’affaire Ikea

L’actualité nous révèle un cas emblématique et une décision très attendue : le géant du meuble Ikea a été condamné par le tribunal correctionnel de Paris le 15 juin 2021 à une amende de 1 M€. Cette condamnation porte sur :

• « la collecte de données à caractère personnel dans un fichier par un moyen frauduleux » ;
• « le détournement de la finalité d’un traitement de données à caractère personnel » ;
• « la divulgation illégale volontaire de données à caractère personnel » ;
• « la violation du secret professionnel ».

Bien que le RGPD ne soit, au moment des faits, pas encore en vigueur, la loi informatique et libertés de 1978 était quant à elle applicable.

Dès février 2012, Ikea est soupçonnée d’accéder aux fichiers confidentiels Stic (système de traitement des infractions constatées), des immatriculations ou des permis de conduire et d’avoir enquêté sur les antécédents judiciaires et la vie privée de ses salariés en recourant à des agents de sécurité privée.

Cet espionnage est révélé par Le Canard enchaîné le 29 février 2012. Il s’agit d’un espionnage généralisé de candidats à l’embauche et de clients. Une enquête préliminaire est alors ouverte par le parquet de Versailles, le 1^er mars 2012, pour « utilisation frauduleuse de données personnelles » à la suite de la plainte du syndicat Force ouvrière.

Condamnés pour surveillance illégale

La justice s’est prononcée le 15 juin 2021 sur la licéité de la surveillance des salariés et sur l’empiétement de l’employeur sur la vie privée. Le tribunal correctionnel de Versailles a jugé Ikea France coupable pour sa politique institutionnalisée de surveillance des salariés, treize des quinze prévenus ont été punis pour leur participation à cette surveillance illégale.

Il convient donc de rappeler que tout dispositif de surveillance doit être porté à la connaissance des salariés et doit toujours être proportionné au but recherché. Dans le cas de la prévention de la fraude interne chez Ikea, un tel dispositif était disproportionné.