La CGT Canon

J-SOX :
A QUEL PRIX ?

Vous avez tous pris connaissance de la communication de la direction financière de Canon France (19 février 2025) se félicitant des résultats aux audits du cabinet Deloitte sur les règles SOX au sein de CANON France. Et vous avez tous, au moins une fois, entendu parlé des terribles « règles SOX » qui semblent, depuis plusieurs années, être « l’alpha et l’Omega » du fonctionnement de l’entreprise. Car toute non-conformité à la loi SOX peut entraîner des poursuites pénales et des sanctions pour les dirigeants d’entreprise.

Ainsi, à maintes reprises en CSE, des élus directement concernés par ces règles et impactés par les exigences, parfois délirantes, des auditeurs de Deloitte ont fait part de leur vécu et... de l’enfer enduré pour répondre à ces exigences et à ces contrôles. Canon France, eu égard à son statut de filiale de CANON Inc. côté à la bourse de New-York, se retrouve donc depuis plusieurs années soumis à ce diktat administratif et comptable « made in USA ». Mais, courant 2024, une bonne nouvelle (en apparence) était annoncée en CSE : CANON Inc. décidait de se retirer de la bourse de New York. Bye bye Wall Street, et donc bye bye les règles américaines SOX !

Notre joie fut de courte durée puisque, de SOX… nous sommes passé à J-SOX !  J-SOX est une loi japonaise portant sur les instruments et les échanges financiers. Elle est considérée comme la version japonaise… de la loi Sarbanes-Oxley (SOX) au États-Unis. Donc retour à la case départ et une aubaine pour les cabinets d’audits comme DELOITTE qui vont continuer à se goinfrer financièrement !

Si plusieurs travaux ont démontré les apports de SOX (ou J-SOX) dans l’amélioration de la qualité des contrôles internes et de celle des informations publiées par les entreprises, il est maintenant reconnu que des conséquences non négligeables impactent les entreprises. De nombreuses critiques ont été faites à l’encontre de cette dernière, et pour cause : en effet, ses injonctions imposent aux entreprises des procédures lourdes et exigeantes en matière de contrôle interne et d’audit, qui produisent parfois des effets contradictoires avec l’esprit même de cette loi. Il a été ainsi démontré que les effets pervers de cette loi l’emportent largement sur ses apports.

Afin d’éviter les risques de non-conformité, les entreprises tendent vers des formes organisationnelles plus centralisées. En effet, la centralisation est perçue par les managers comme un facteur de réduction des coûts engendrés par la complexité du processus de mise en conformité. Mais cette tendance nuit à la compétitivité des entreprises, en renforçant leur rigidité et en altérant leur capacité d’adaptation qui est pourtant stratégique. De la même manière, il est démontré que SOX a conduit à une baisse de compétitivité des entreprises qui y sont soumises, par comparaison avec les entreprises non soumises à cette loi.

Il a même été démontré l’existence d’un effet significatif de SOX sur le déclin du taux d’innovation dans les entreprises concernées en raison de la baisse des budgets alloués à la recherche et développement au profit de leurs dépenses de mise en conformité. La rigidité de la loi ainsi que la sévérité des mesures punitives induisent l’apparition d’un biais conservateur chez les dirigeants dans la sélection de nouveaux projets. Le déclin de l’innovation conduit à des pertes conséquentes de parts de marché et, de fait, à une baisse des bénéfices futurs. Il est relevé l’existence d’une baisse des cash-flows dans les entreprises soumises à cette loi. En sus, des coûts directs liés aux missions d’audit et à la mise en place des contrôles internes, des coûts indirects supplémentaires sont induits par le temps improductif des managers, dont l'activité et l’attention sont de plus en plus focalisés sur la mise en œuvre et le suivi des contrôles exigés par SOX. Ces coûts ont été un facteur dissuasif majeur pour nombre d’entreprises non américaines dans leur décision de renoncer à leur cotation boursière aux États-Unis.

 

Les difficultés organisationnelles

Avec la surcharge de travail engendrée, cela devrait obliger à des recrutements supplémentaires conséquents. Problème chez CANON France : la stratégie, depuis plusieurs années, est de tailler le plus possible dans la masse salariale pour baisser les couts !  D’autre part, la mise en œuvre des contrôles confronte les Directions à des situations conflictuelles opposant les singularités organisationnelles de l’entreprise aux exigences formelles de SOX. En effet, la polyvalence et l’agilité de l’équipe sont les deux éléments clés pour le fonctionnement au quotidien des services. Parmi les exigences de SOX, par exemple, toutes les communications entre les services doivent être formalisées par écrit. Or, pour l’ensemble des services, cela est insensé, étant donné la proximité physique des responsables dans l’entreprise et d’un mode d’intercommunication à la fois informel et souple.

 

Les difficultés d’ordre technique

L’une des exigences de SOX n’est pas seulement de mettre en place des contrôles, il faut aussi les formaliser pour pouvoir apporter des preuves. Et il n’est pas toujours possible de fournir ces éléments. L’un des exemples les plus éloquents est celui des opérations de test des systèmes de production réalisées en mode « cloud computing », c’est-à-dire sur une plate-forme virtuelle accessible via une adresse URL temporaire fournie par le prestataire : à la fin de cette opération, ce lien disparaît automatiquement, ne laissant aucune preuve tangible du déroulement des tests. Or, SOX exige systématiquement des éléments incontestables pour prouver l’efficacité et la fiabilité de ces opérations. Problème… Malgré ses avantages en termes d’agilité et de réduction des coûts, la technologie du cloud computing ne semble pas compatible avec les exigences de SOX. De plus, la délégation des responsabilités au prestataire cloud constitue un domaine de risque, selon les termes mêmes de cette loi.

Par ailleurs, l’une des exigences de cette loi en matière de sécurité consiste à mettre en place un outil de gestion de mots de passe présentant un certain degré de complexité. Selon les DSI, cela incite les utilisateurs à garder une trace écrite de leurs mots de passe dans des emplacements non sécurisés – ce qui est tout à fait contradictoire avec l’esprit de cette exigence. Bel exemple d’effet pervers !

 

Les difficultés d’ordre économique

Les exigences de mise en conformité engendrent des coûts supplémentaires pour les services qui, comme les fonctions support, ne disposent que de budget limité. Ces coûts sont principalement liés à la mise en place de contrôles internes informatiques adéquats, mais aussi aux temps improductifs nécessaires à cette mise en place. Ces temps improductifs découlent essentiellement de la nécessité de fournir des preuves et de formaliser, ce qui entraîne des coûts injustifiés.

 

Les difficultés d’ordre culturel

La loi J-SOX, qui est d’essence culturelle japonaise, est difficile à intégrer dans une entreprise française. Son niveau de rigidité impose un formalisme « inutile », qui n’a parfois aucun intérêt ni aucune valeur. Face aux quasi-absurdités de cette loi par rapport au contexte réel, les Directions sont amenées à recourir à des arbitrages et à des interprétations afin de se rapprocher du niveau de conformité exigé.

 

Conclusion

Voilà un état des lieux non exhaustifs des carcans générés par SOX (ils sont tellement nombreux qu’il est impossible de tous les développer ici !). Les défis que les entreprises se doivent de relever pour mener à bien leurs démarches de mise en conformité avec les exigences de SOX sont tels que, plus de dix ans après son adoption, cette loi continue à être un objet de controverse sur les plans tant académique que professionnel. Les effets et les conséquences de SOX exposent les entreprises à des difficultés d’ordres organisationnel, technique, économique et culturel et sont désormais reconnues et indéniables. De nombreux économistes et spécialistes s’accordent sur le sujet.

Alors, à quand la fin du calvaire ?