La valorisation des due diligences de compliance : le nouvel enjeu des opérations de croissance externe

Dans le cadre d’un processus de croissance externe, les due diligences de compliance font partie des travaux qui doivent être envisagés avant la prise de contrôle et l’intégration d’une cible potentielle. Elles permettent d’appréhender l’intégralité des risques liés à la compliance, aussi bien sur les problématiques d’anticorruption que sur d'autres sujets tels que, par exemple, la protection de la vie privée. 

Les due diligences de compliance offrent la possibilité aux acquéreurs potentiels d’identifier les risques liés à des défaillances de programme de conformité, des zones de risques dans les processus internes pouvant mener à des non-conformités significatives ainsi que, potentiellement, des faits passés avérés. De fait, la réalisation de ces due diligences de compliance permettra d’anticiper les plans de mises en conformité à mettre en place post acquisition ainsi que d’en estimer les coûts et de tenter d’apprécier certains risques, moins faciles à quantifier, tel que le risque réputationnel.

Une pression croissante de l’environnement réglementaire

De façon croissante ces dernières années, l’environnement réglementaire international exerce une pression de plus en plus importante sur les sociétés et c’est pourquoi les problématiques de compliance doivent désormais être appréhendées globalement.

Prenons, par exemple, le sujet de l’anticorruption. Le régulateur est de plus en plus vigilant aux opérations de croissance externe. On notera à ce titre que l’Agence française anticorruption (AFA) a publié son guide pratique portant sur Les vérifications anticorruption dans le cadre des fusions-acquisitions en janvier 2020 à l’issue d’une consultation publique. 

Sur le sujet de la protection des données à caractère personnel, toutes les entités situées au sein de l’Union européenne (UE) sont soumises au Règlement général sur la protection des données 2016/679 (RGPD), et par voie de conséquence, la maîtrise des facteurs de risques qui en découle prend une place de plus en plus importante dans les opérations de croissance externe. Et ce d’autant plus qu’en fonction du type et de la matérialité des non-conformités, des sanctions pouvant atteindre au maximum entre 20 millions d’euros ou 4% du chiffre d’affaire consolidé, soit le montant le plus important entre les deux, pourraient être prononcées.

L’utilisation de l’approche par les risques pour établir les travaux de due diligence de compliance

Les due diligences de compliance deviennent indispensables dans bon nombre d’études d’opportunités de croissance externe. Pour mesurer l’importance de ces travaux, il est primordial d’adopter une approche par les risques afin de déterminer la nature et l’étendue des procédures de vérification à mettre en œuvre, ou simplement leur pertinence.

Prenons l’exemple du programme anticorruption. Une première étape sera de se pencher sur le profil de risque de l’acquéreur : s’il n’est pas encore dans les seuils de l’article 17 de Sapin 2, soient 500 employés et 100 millions d’euros de chiffre d’affaires, est-ce que l’acquisition de la cible la lui ferait atteindre ? Quelles sont ses activités ou ses implantations géographiques ? Bref, quelles sont les éléments qui augmenteraient son profil de risque ainsi que l’attention des régulateurs à son encontre.

La deuxième étape de l’analyse de risque de non-conformité serait de se pencher sur le profil de risque de la cible : est-elle soumise à loi Sapin 2 ? A-t-elle un dispositif de prévention de la corruption en place ? Dans quelle(s) industrie(s) évoluent-t-elles ? Dans quels pays est-elle implantée ?

En effet, il ne faut pas oublier que le fait de ne pas être soumis à Sapin 2 n’empêche pas que les risques de corruption sont plus prévalents dans certaines industries ou certains pays : une due diligence de compliance pré-acquisition peut être malgré tout nécessaire selon le contexte. En outre, même si la présence d’un programme anticorruption n’élimine pas complètement les risques que de la survenance de faits de corruption, il participe pleinement à leur atténuation et démontre un engagement des dirigeants, indicateur clé de la qualité de l’environnement de contrôle.

S’agissant des problématiques liées à la protection des données personnelles, il convient de s’interroger, d’une part, sur l’enjeu pour la société cible et, d’autre part, sur le niveau de risque associé à l’opération pour l’acquéreur afin de déterminer la profondeur des analyses à mener. Par exemple, une entreprise manufacturière n’ayant pas comme clients des personnes physiques et qui serait implantée uniquement en France aura théoriquement les mêmes risques de sanctions potentielles qu’une entreprise telle que Google, qui est en contact direct avec des personnes physiques. En revanche, le risque que l’entreprise manufacturière atteigne le montant maximal des sanctions est plus faible car elle manipule beaucoup moins de données à caractère personnel et effectue des traitements à risques moindres sur les personnes concernées.

Au-delà du risque de sanction, le risque de non-conformité peut être pris en compte au travers de l’évaluation du coût de mise en place d’un programme de conformité en fonction des différents manquements constatés. Par exemple, l’ampleur d’un programme de conformité au RGPD dans cette entreprise manufacturière ne sera pas aussi important que dans celle qui fait du marketing digital. De même, l’évaluation de la criticité des manquements constatés pourra être prise en compte en fonction des risques. On pourra alors se poser la question de l’estimation des sanctions potentielles en fonction des sanctions prononcées précédemment dans des situations similaires ou comparables. L’ampleur des procédures de due diligence de compliance sera donc à adapter aux enjeux et aux spécificités de la cible.

L’évaluation du risque de sanction

Une fois actée la nécessité de réaliser des due diligences compliance, il est crucial d’établir une méthodologie pragmatique et opérationnelle qui permettra d’évaluer efficacement le coût des risques inhérents aux non-conformités à travers une due diligence de compliance pré-acquisition.

Une première approche serait d’évaluer le montant de la sanction potentielle. Toutefois, la probabilité d’un contrôle de la part du régulateur et l’appréciation qu’il porterait sur la situation représentent des inconnues qui ne peuvent être ni calculées ni même estimées. Ainsi, le montant de la sanction ne sera pas factorisé selon la probabilité d’un contrôle par le régulateur. L’approche qui consisterait à majorer la sanction maximale en fonction des éventuelles non-conformités détectées lors des due diligences de compliance apparaît quant à elle bien plus pragmatique et opérationnelle, lorsque les lois nationales le permettent. Aussi dans l’éventualité où une sanction maximale n’existe pas dans la loi, par exemple dans le cas du UK Bribery Act où la sanction est potentiellement illimitée, une évaluation de la sanction en fonction des autres cas répertoriés sur des manquements et des organisations similaires permettra une estimation de la sanction potentielle.

Par la suite, une fois l’opération de croissance externe réalisée, l’acquéreur devra potentiellement assumer la responsabilité des conséquences pénales des faits de corruption qui perdureraient suite à la transaction et éventuellement celles de faits de corruption antérieurs à cette dernière. En conséquence, les amendes et/ou les transactions avec les autorités (Convention judiciaire d’intérêt public (CJIP) en France ou Deferred Prosecution Agreement (DPA) dans le monde anglo-saxon) sont également des coûts potentiels qui résulteraient de l’intégration de la cible. Toutefois, l’identification de ces faits et les transactions avec les autorités ne pourraient être réalisées qu’à la suite de due diligences de compliance post-acquisition, une fois que l’accès à tous les documents et systèmes de la cible a été accordés et autorisent la conduite de revues de transactions plus détaillées.

En conséquence, l’approche consistant en une évaluation des sanctions ou des transactions avec les régulateurs devrait plutôt rentrer dans l’appréciation du risque réputationnel étant donné les diverses incertitudes entourant les contrôles des régulateurs et l’établissement du montant de la sanction ou de la transaction.

L’estimation du coût de remise en conformité de la cible

Au-delà de l’effervescence réglementaire sur ce sujet et des exigences de vigilance qu’imposent les autorités de supervision, les due diligences de compliance pré-acquisition apparaissent incontournables lorsqu’un acquéreur désire maîtriser les coûts de la phase d’intégration de la cible. En effet, ces coûts doivent être pris en compte dans le coût global de l’opération étant donné que la mise place un programme de conformité est un exercice qui peut s’avérer onéreux.

Pour les estimer, l’appréciation du coût de mise en conformité de l’acquéreur lui-même serait un benchmark pertinent. Il conviendrait pour ce faire de prendre en considération les caractéristiques spécifiques de la cible (i.e. tailles, risques spécifiques, maturité de la conformité, environnement réglementaire, etc.) ainsi que l’historique des coûts d’intégration de cibles lors de précédentes opérations de croissance externe.

Les red flags identifiés lors des due diligences de compliance pré-acquisition permettront aussi d’évaluer la nature et l’étendue des procédures de due diligence de compliance post-acquisition, qui pourraient également entrer dans les coûts d’intégration de la cible. Comme l’expérience anglo-saxonne nous le démontre, si des vérifications sont effectuées rapidement et de bonne foi suivant l’acquisition et avec un désir de transparence avec les autorités si des faits étaient identifiés, cela pourra potentiellement permettre de diminuer l’importance des sanctions et transactions avec les régulateurs.

La prise en compte des résultats des due diligences de compliance dans le coût global de l’opération de croissance externe

Lorsque les due diligences de compliance pré-acquisition ont livré leurs conclusions, la question résiduelle est de savoir comment les intégrer dans l’analyse d’opportunité de croissance externe.
Le cas le plus extrême est celui où le risque identifié, aussi bien financier que réputationnel, serait considéré comme suffisamment élevé (cas de corruption avéré, risque réputationnel trop important pour citer quelques exemples) pour que la seule décision possible soit de ne pas poursuivre avec la transaction. Dans ce cas, les due diligences de compliance auront permis de protéger l’acquéreur potentiel de conséquences négatives trop importantes.

Dans les cas où la transaction est possible, la question est de savoir comment ces conclusions peuvent être prises en compte dans le prix final ou dans l’appréhension par l’acquéreur du coût global de l’opération, incluant l’intégration et du retour attendu sur l’investissement envisagé.

Dans le cas où un risque principal et majeur serait clairement identifié sur des pratiques antérieures avérées, dans certains cas, si la réalisation technique est possible, il peut être envisagé de réaliser un carve out de ces sujets ou inversement de faire un carve out de l’ensemble des sujets à l’exception de ce sujet identifié. Cela peut permettre de protéger l’acquéreur des conséquences aléatoires et potentiellement très significatives de pratiques antérieures à l’acquisition. 

Dans le cas d’identification d’un risque de sanction ou la nécessité de mise en place d’un plan majeur de mise en conformité, une réduction du prix final proposé ou la prise en compte des coûts futurs estimés qui entrainerait une baisse du taux de rentabilité interne (TRI) attendu doit être envisagée.

Dans l’hypothèse d’une prise de participation partielle et/ou quand le management historique a vocation à poursuivre son activité, une alternative pourrait être d’intéresser le management ou le vendeur à l’atteinte d’objectifs de conformité par un complément de prix, un earn out, ou la libération d’un séquestre spécifique qui aurait été mis en place dans le cas d’atteinte d’objectifs clairement identifiés.

Enfin, la prise en compte des risques identifiés au sein d’une garantie, voire au sein des garanties spécifiques, pourrait constituer une façon de protéger l’acquéreur.

Ces éléments doivent être remis dans le contexte d’un processus transactionnel souvent concurrentiel dont la difficulté principale restera de trouver le meilleur équilibre entre une offre attractive pour le vendeur et une offre qui protège au mieux les intérêts de l’acquéreur.

En résumé

En résumé, une approche méthodologique permettant de valoriser le résultat des due diligences compliance pré-acquisition se baserait sur la prise en compte des éléments suivants :

  • Les risques de conformité inhérents
       
    • à la situation de l’acquéreur
    • à la situation de la cible

Il est à noter que le risque de réputation pourra être pris en compte dans l’appréciation des risques inhérents et donc à travers le recensement de la nature et de l’étendue des procédures de due diligence de compliance pré-acquisition et post-acquisition à effectuer.

  • Une évaluation des manquements constatés de la cible menant :
       
    • à une estimation des coûts de mise en conformité
    • à une estimation des sanctions, amendes ou transactions avec les autorités en fonction des sociétés évoluant dans la/les mêmes industries et/ou la/les mêmes activités, lorsque cela est pertinent

Evidemment, cette approche n’aura pas l’exactitude d’une loi scientifique mais permettra d’estimer de façon pragmatique, opérationnelle et plus complète les coûts d’intégration de la cible émanant des enjeux de conformité. De plus, au fur et à mesure que des données fiables seront disponibles, tant à travers l’expérience des industries que par les informations communiquées par l’acquéreur et la cible sur les coûts relatifs à la conformité, ces estimations convergeront vers la réalité.

En conclusion

Pour conclure, l’évaluation de la situation des cibles en matière de conformité lors des opérations de croissance externe permet de maîtriser les coûts globaux et de maximiser le retour sur investissement en fournissant une meilleure visibilité à l’acquéreur, particulièrement sur la phase d’intégration, sur les efforts de mise en conformité à venir ainsi que sur les risques de l’opération de croissance externe.

Il est préférable d’investir sur ces due diligences de compliance en amont de la transaction afin de bien connaître la cible, d’appréhender les enjeux de compliance et d’apprécier plus justement le coût global de l’opération, plutôt que d’engager des dépenses importantes et inattendues suite à un contrôle du régulateur ou lors de la découverte de non-conformités importantes qui diminueraient le retour sur investissement (ROI) global de l’opération.

Rappelons-nous en terminant que les frais et les efforts engagés afin de regagner la confiance des parties prenantes (i.e. marchés publics, atteinte à la réputation, etc.) peuvent constituer des conséquences néfastes d’opérations de croissance externe dont les risques relatifs à la conformité n’auraient pas été appréhendés de façon adéquate.

 
La valorisation des due diligences de compliance : le nouvel enjeu des opérations de croissance externe 2020-03-06T05:00:00.0000000 /insights/publications/la-valorisation-des-due-diligences-de-compliance /-/media/assets/images/publications/featured-images/2019/compliance-and-regulatory-consulting/debt-funds-tax-headwinds.jpg publication {6825894A-61A8-4192-A31F-2AB00065E87D} {3541EF5D-E714-417E-8476-E0B66E656311}

Services connexes

Transaction Advisory Services

Conseils analytiques et accompagnement financier tout au long du continuum de la Transaction.

Transaction Advisory Services