Qu'est-ce que le système de contrôle interne ? Les obligations en vertu de la 'Loi japonaise sur les sociétés' et de la 'Loi japonaise sur les instruments financiers et les échanges' et la responsabilité des directeurs

Le système de contrôle interne est un mécanisme au sein de l’entreprise visant à prévenir les actes illégaux et à éviter les fuites d’informations. Le système de contrôle interne est défini respectivement par la loi japonaise sur les sociétés (Japanese Companies Act) et la loi japonaise sur les instruments financiers et les échanges (Japanese Financial Instruments and Exchange Act), et une obligation de mise en place d’un système de contrôle interne est imposée aux entreprises qui répondent à certaines conditions.

Dans la gestion d’entreprise, il est très important pour la conformité de construire, exploiter et maintenir correctement un système de contrôle interne.

Cet article explique ce qu’est un système de contrôle interne, en particulier le système de contrôle interne pour minimiser le risque d’incidents cybernétiques, et les responsabilités que les directeurs doivent assumer.

Qu’est-ce que le système de contrôle interne ?

Le système de contrôle interne est un système mis en place par les entreprises et les organisations pour se conformer aux lois, règlements et normes de l’industrie, en établissant et en appliquant des processus et des systèmes appropriés.

En particulier, pour les entreprises cotées, il est nécessaire de construire correctement un système de contrôle interne et de gérer les risques pour améliorer la crédibilité et l’image de marque de l’entreprise.

Système de contrôle interne en vertu du droit des sociétés japonais

Le système de contrôle interne en vertu du droit des sociétés japonais est défini par l’Article 362, paragraphe 4, point 6 du droit des sociétés japonais[ja] comme étant :

La mise en place d’un système pour assurer que l’exécution des fonctions du directeur est conforme aux lois et aux statuts, et d’autres systèmes nécessaires pour assurer la propriété des opérations de la société par actions et du groupe d’entreprises composé de cette société par actions et de ses filiales, tels que définis par ordonnance du Ministère de la Justice.

Il est défini comme une question de compétence exclusive du conseil d’administration.

Le contrôle interne en vertu du droit des sociétés vise à assurer la propriété des opérations des sociétés par actions et de leurs filiales, etc.

Système de contrôle interne en vertu de la loi japonaise sur les instruments financiers et les échanges

En vertu de la loi japonaise sur les instruments financiers et les échanges, les sociétés cotées, etc. sont tenues de soumettre un rapport de contrôle interne. Les sociétés cotées, etc. sont tenues de construire un système de contrôle interne en vertu de la loi sur les instruments financiers et les échanges et de divulguer son contenu.

Le système de contrôle interne en vertu de la loi sur les instruments financiers et les échanges diffère du droit des sociétés en ce qu’il est exigé du point de vue de la protection des investisseurs.

Qu’est-ce qu’une entreprise qui a l’obligation de mettre en place un système de contrôle interne ?

Les entreprises qui répondent à certaines exigences sont tenues de mettre en place un système de contrôle interne. Les entreprises qui ont cette obligation sont définies par le Code des sociétés japonais (Japanese Companies Act) et la Loi sur les instruments financiers et les échanges japonais (Japanese Financial Instruments and Exchange Act).

En vertu du Code des sociétés japonais, les grandes entreprises, c’est-à-dire les sociétés avec un conseil d’administration, sont tenues de mettre en place un système de contrôle interne. Une grande entreprise est définie comme une entreprise dont le capital est de 500 millions de yens ou plus, ou dont le montant de la dette est de 20 milliards de yens ou plus (Article 2, paragraphe 6 du Code des sociétés japonais).

Les entreprises qui ont mis en place un système de contrôle interne doivent inclure un aperçu de l’état d’exploitation du système de contrôle interne dans leur rapport d’activité. De plus, dans les entreprises qui ont un auditeur, l’auditeur effectue un audit du système de contrôle interne dans le cadre de son audit des fonctions exécutives du directeur.

D’autre part, selon la Loi sur les instruments financiers et les échanges japonais, les entreprises cotées qui soumettent des rapports de valeurs mobilières ont l’obligation de mettre en place un système de contrôle interne et de divulguer son contenu. Ces entreprises cotées doivent divulguer un rapport de contrôle interne avec leur rapport de valeurs mobilières pour chaque exercice financier.

Les directeurs sont également responsables des défaillances du système de contrôle interne

En cas d’incident lié au système de contrôle interne, comme un accès non autorisé ou une fuite d’informations, qui est responsable ?

Si une vulnérabilité dans le système de sécurité entraîne une fuite d’informations, la personne qui subit des dommages (par exemple, un client) à cause de cette fuite peut engager la responsabilité de l’entreprise pour non-exécution de ses obligations ou pour acte illicite en vertu du droit civil japonais, et peut demander des dommages-intérêts.

Les directeurs, en vertu de la loi sur les sociétés japonaises, sont chargés de la gestion de l’entreprise et ont l’obligation de mener leurs activités avec le soin d’un bon gestionnaire pour éviter de causer des dommages à l’entreprise.

Selon la jurisprudence, l’obligation de mettre en place un système de contrôle interne fait partie de cette obligation de diligence.

Par conséquent, si une fuite d’informations se produit et qu’une demande de dommages-intérêts est faite à l’entreprise par la personne qui a subi des dommages, le fait de ne pas avoir pris de mesures pour augmenter le niveau de sécurité ou pour éliminer les vulnérabilités pourrait être considéré comme une violation de l’obligation de diligence du directeur. Dans ce cas, le directeur pourrait également être tenu de payer des dommages-intérêts.

Jurisprudence sur le système de contrôle interne

Comme mentionné ci-dessus, les entreprises et les directeurs sont tenus de mettre en place un système de contrôle interne. À partir de maintenant, nous allons développer notre explication en nous basant sur des cas concrets.

L’affaire Yakult, jugement du tribunal de district de Tokyo (16 décembre 2004, Heisei 16)

Yakult a échoué dans des transactions de dérivés hautement spéculatives visant à compenser les pertes latentes sur les titres, ce qui a au contraire amplifié les pertes. En réponse à cela, les actionnaires ont intenté une action en justice représentative des actionnaires, demandant une indemnisation de 53,3 milliards de yens à la direction de l’époque.

Dans cette affaire, la question était de savoir si un système de gestion des risques liés aux transactions de dérivés avait été mis en place.

Le tribunal a ordonné à l’ancien vice-président, qui avait géré les transactions de dérivés en tant que responsable de la gestion des actifs, de payer 6,7 milliards de yens pour avoir “violé son devoir de diligence en tant que directeur”. Cependant, la responsabilité des autres membres de la direction n’a pas été reconnue car “l’entreprise avait un certain système de gestion des risques”. De plus, après la survenue de la perte, le tribunal a nié l’insuffisance du système de gestion des risques, en raison du fait que la reconnaissance du risque lié aux transactions de dérivés s’est rapidement développée (= n’était pas suffisante à l’époque). Le jugement de la cour d’appel de Tokyo en mai 2008 a soutenu le premier jugement, tout comme la Cour suprême.

Dans ce procès, il a été indiqué que le contenu du système de contrôle interne devrait être déterminé en référence à des études administratives sur la gestion des risques et à des exemples de risques.

L’affaire de l’ordre erroné des actions de J:COM (jugement de la cour d’appel de Tokyo, 24 juillet 2013, Heisei 25)

C’est l’affaire où un employé de Mizuho Securities a mal saisi dans l’ordinateur une commande qui aurait dû être “vendre une action à 610 000 yens” comme “vendre 610 000 actions à 1 yen”, causant ainsi un préjudice important au client.

Mizuho Securities a remarqué l’erreur et a procédé à l’annulation, mais en raison d’un défaut dans le système de la Bourse de Tokyo, l’annulation n’a pas été effectuée, et le prix des actions a chuté brusquement en raison d’un nombre inhabituellement élevé d’ordres de vente. En conséquence, des dommages de plus de 40 milliards de yens ont été causés. Mizuho Securities a soutenu que la raison pour laquelle ils n’ont pas pu annuler l’ordre erroné et ont subi une perte de plus de 40 milliards de yens était due à un bug dans le système de la Bourse de Tokyo, et a demandé des dommages et intérêts à la Bourse de Tokyo.

Dans ce procès, la question principale était de savoir si le “bug du système constituait une négligence grave”. La cour d’appel de Tokyo a ordonné à la Bourse de Tokyo de payer environ 10,7 milliards de yens, affirmant que “le fait de ne pas avoir exercé rapidement le droit de suspendre les transactions constituait une négligence grave de la part de la Bourse de Tokyo”.

La question de savoir si la Bourse de Tokyo aurait pu techniquement découvrir et résoudre ce bug a également été débattue, mais la cour d’appel de Tokyo a évité de se prononcer sur l’aspect technique, affirmant que “les arguments des experts qui ont soumis leurs opinions sont contradictoires et il est difficile de les départager”.

Cependant, le fait que la Bourse de Tokyo n’ait pas annulé les transactions malgré le fait qu’elle avait remarqué qu’il y avait clairement des transactions anormales a été reconnu comme une négligence grave de la part de la Bourse de Tokyo.

Ainsi, lorsque le tribunal ne peut pas juger sur le plan technique, il peut y avoir des cas où un acte illégal est reconnu en se concentrant sur des points autres que la technique.

En résumé : Pour la mise en place d’un système de contrôle interne, consultez un avocat

En particulier pour les entreprises cotées, il est nécessaire de mettre en place et d’exploiter correctement un système de contrôle interne pour la gestion des risques.

En cas d’incident lié à la sécurité de l’information, si l’entreprise est jugée n’avoir pas pris les mesures de sécurité de l’information appropriées en fonction de sa taille et de la nature de ses activités, elle risque d’être tenue responsable pour non-exécution de ses obligations. Dans ce cas, il est également possible que des demandes d’indemnisation pour dommages soient formulées à l’encontre des directeurs pour violation de leur devoir de diligence. Pour le système de contrôle interne relatif à la sécurité de l’information, veuillez consulter un avocat spécialisé en IT et en droit des entreprises dès que possible.

Article connexe : Comment prévenir les incidents de sécurité chez les sous-traitants ? Explication de la mise en place et de l’exploitation du système de contrôle interne du donneur d’ordre[ja]

Présentation des mesures prises par notre cabinet

Le cabinet d’avocats Monolith est un cabinet d’avocats spécialisé dans l’IT, et plus particulièrement dans l’Internet et le droit. La nécessité d’un contrôle juridique dans la construction des systèmes de contrôle interne est de plus en plus importante. Notre cabinet propose des solutions à de nombreuses entreprises en vue de respecter la conformité. Les détails sont décrits dans l’article ci-dessous.

Domaines d’intervention du cabinet d’avocats Monolith : Droit des entreprises IT et start-ups[ja]