Face aux risques pénaux complexes, la tentation est souvent procédurale : création et édition de chartes, codes de conduite, dispositifs de conformité, clauses contractuelles.
Bien que ces outils soient nécessaires, la pratique du contentieux démontre qu’ils sont rarement suffisants. En effet, – et ce que confirment plusieurs décisions récentes en droit pénal des affaires – c’est que la vulnérabilité n’émerge pas d’abord de l’absence de règles, mais bien de l’écart entre les règles affichées et leur mise en œuvre réelle.
Une gouvernance trop souvent formelle
De l’étude des contentieux récents en la matière, il est apparaît que la difficulté ne réside pas dans l’absence de règles mais dans :
- l’écart entre les règles affichées et la pratique réelle ;
- la dilution des responsabilités ;
- l’impossibilité d’identifier clairement qui décide réellement.
La gouvernance n’est pas un organigramme, c’est un système humain, vivant de décision(s) et c’est pourquoi, il s’observe dans la manière dont les arbitrages sont faits, documentés et expliqués.
Trois questions fondamentales, souvent négligées
Naturellement, dans les situations sensibles, les juridictions, les autorités ou les partenaires externes posent toujours, explicitement ou implicitement, les mêmes questions :
- Qui a décidé ?
- Sur quelle base, avec quelles informations et selon quelle logique ?
- Avec quel contrôle et où est-ce documenté ?
Lorsque ces questions restent sans réponse claire et cohérente, le risque ne vient pas des faits eux-mêmes, mais de l’opacité des décisions.
L’exemple de la CJIP du groupe bancaire espagnol Banco Santander impliquant une de ses filiales françaises la BPI Paris : gouvernance et défaillance de contrôle
Le 2 décembre 2025, le groupe bancaire espagnol Banco Santander a conclu une convention judiciaire d’intérêt public (CJIP) avec la procureure de la République de Paris, qui a ensuite été homologuée par le président du Tribunal judiciaire de Paris, et ce à la suite d’une enquête de longue durée relative à des opérations de blanchiment facilités par une filiale française, BPI Paris.
Cette CJIP, validée par le tribunal judiciaire de Paris et matérialisée par le versement d’une amende de 22,5 millions d’euros, met en lumière plusieurs points significatifs :
- l’enquête a mis au jour des opérations frauduleuses prolongées, effectuées en dehors des contrôles internes censés prévenir de tels risques ;
- la banque elle-même a souligné une « détection tardive » des pratiques, fondée sur des audits internes qui n’avaient pas permis d’identifier suffisamment tôt les risques ;
- la CJIP a été conclue malgré l’existence de dispositifs de conformité antiblanchiment, ce qui suggère un décalage entre l’affichage des procédures et leur effectivité en pratique ;
Ce dossier ne se réduit pas à une sanction financière. Il illustre une réalité juridique de fond : même dans des structures dotées de programmes de conformité, la gouvernance opérationnelle et la traçabilité des décisions sont des éléments centraux pour apprécier l’exposition au risque.
Gouverner, c’est rendre explicable
Une gouvernance protectrice n’empêche pas les crises ni n’exonère d’une responsabilité pénale éventuelle. Elle permet, en revanche, de justifier et contextualiser des décisions prises dans des environnements complexes, avec des informations parfois incomplètes ou contradictoires.
Une gouvernance intelligible repose sur :
- des circuits de décision clairs,
- des délégations réellement effectives,
- une documentation cohérente,
- une capacité à contextualiser les choix faits.
Lorsque ces éléments sont réunis, il est possible de comprendre que la trajectoire d’une décision — du risque identifié à l’arbitrage final — peut être expliquée de manière convaincante, même face à un examen externe ou judiciaire.
La gouvernance comme première ligne de défense
De l’analyse du terrain, il ressort donc clairement que la meilleure défense n’est souvent pas procédurale dès lors que ne suffit pas la démonstration de l’existence d’un code de conduite, d’un manuel de procédures, ou encore d’un système de reporting isolé.
La meilleure défense est une gouvernance intelligible, enregistrée dans les faits, cohérente dans ses arbitrages, et explicable dans le temps.
C’est cette capacité à relier les décisions aux risques identifiés qui transforme la gouvernance en véritable outil de protection du dirigeant. Comme le rappelle souvent le cabinet, il faut être en mesure de se demander si vous seriez capable d’expliquer une situation passée à la lumière d’un risque identifié.
En effet, dans de nombreux dossiers sensibles, y compris ceux réglés par CJIP, c’est précisément cette intelligibilité — ou son absence — qui fait la différence.
Gouverner, ce n’est pas seulement définir des règles. C’est assurer la cohérence, la lisibilité et l’explication des décisions qui en découlent.