Par Blandine CORDIER-PALASSE, Revue Compliances n°8 p.32 & 33

Dans les PME-ETI, les ressources humaines et financières sont plus limitées que dans les grands groupes. Néanmoins certaines obligations et attentes sont les mêmes. Les Directions juridiques, déjà fortement sollicitées, se chargent ainsi bien souvent des missions compliance. Le rôle de la gouvernance, et notamment du Conseil d’administration, devient alors crucial pour s’assurer de la mise en conformité des organisations. Ce rôle est aussi crucial pour lutter contre la solitude des dirigeants. C’est sur ces points qu’a insisté Blandine Cordier-Palasse, Managing Partner du cabinet de recrutement BCP Executive Search et co-fondatrice du Cercle de la Compliance, lors de nos discussions.

Avant d’échanger plus en profondeur, pouvez-vous dresser un premier état des lieux de l’articulation « compliance et gouvernance » au sein des PME-ETI françaises ?

Il est complexe de dresser un portrait de la situation. Il existe de disparités selon les groupes et les secteurs d’activité, mais aussi bien sûr le type de gouvernance. Par exemple, l’approche sera différente entre une entreprise familiale dont l’objectif premier est la transmission et sa pérennité, et une entreprise détenue par un fonds à la recherche d’une performance financière à moins long terme. En outre, le niveau de maturité des organisations en matière de compliance reste encore très hétérogène.

On se rend compte que face à la complexité de l’environnement réglementaire et à la récente multiplication des lois, de nombreux dirigeants sont désemparés. C’est tout à fait compréhensible. Dès lors, il est important pour eux de pouvoir être bien entourés et accompagnés sur tous ces sujets. Cela est – et sera – d’autant plus vrai du fait de la crise que nous traversons (ndlr : l’entretien a eu lieu le 28 avril 2020). Ils vont devoir revoir – parfois en profondeur – leurs modes opératoires, voire leur business model pour s’adapter aux évolutions.

Que conseiller aux dirigeants et entrepreneurs des PME-ETI ?

Je crois que beaucoup ont compris que le droit est une véritable arme économique. Dans les PME-ETI aussi, on a observé une forte évolution de la fonction juridique et du rôle des Directeurs Juridiques. Leurs missions intègrent de plus en plus la compliance. Selon la taille et la structure, on ne peut multiplier les postes. Leur rôle, très transversal, fait d’eux des vrais partenaires du DG et du business.

Aux États-Unis, le General Counsel est le bras droit du Président et le Directeur financier son bras gauche ! En France, on voit que ce modèle inspire. Les Directeurs Juridiques sont de plus en plus des risk managers, des business partners, qui interviennent très en amont non seulement dans les projets mais aussi dans la définition de la stratégie. Et c’est nécessaire car les évolutions réglementaires impactent de plus en plus la façon de monter un projet, un contrat, une opération de M&A. Cela impacte aussi la capacité à faire du business dans tel ou tel pays etc.

Il est certainement encore un peu tôt pour en tirer de véritables enseignements. Comment la crise du Covid-19 éclaire selon vous l’importance des fonctions éthique et compliance pour l’entreprise ?

Je crois que ce que nous vivons actuellement montre – une fois de plus – l’importance cruciale du capital humain. Cela fait des années, a fortiori en tant que recruteur, que j’insiste sur son importance au sein des organisations. Pourtant, c’est la seule ressource non valorisée dans le bilan, où l’humain est encore comptabilisé comme un coût. Or c’est la prise en compte effective de ce capital et de bonnes pratiques environnementales, sociales et de gouvernance (ESG) qui permettra aux entreprises d’aligner la compliance, les valeurs, le modèle et la stratégie. L’objectif est dès lors de réussir leur transformation durable.

Par exemple : cette crise a considérablement accéléré et violemment brusqué la transformation digitale des entreprises, du fait notamment du télétravail généralisé. Le RGPD est entré en application en 2017. Il prévoit un certain nombre de dispositions en matière de protection des données et de cybersécurité. Deux ans plus tard, je constate que la mise en conformité est loin d’être achevée dans beaucoup d’organisations. De nombreux efforts ont certes été fournis, mais ce n’est pas encore abouti. Du jour au lendemain, les entreprises ont dû adopter le télétravail. Certaines étaient prêtes, d’autres non. La mise en conformité avec le RGPD a certainement sécurisé les systèmes d’information. Il a facilité la vie des organisations qui s’étaient préparées. Cela leur a apporté agilité et réactivité à un moment crucial pour leur survie.

Par son ampleur inédite, cette crise donne un coup de projecteur sur l’importance de la prévention et de la gestion des risques. Elle dépasse le cadre de la responsabilité du risk manager, pour impliquer les instances de gouvernance – tant les membres du Conseil que ceux du Comité de Direction doivent s’emparer de ce sujet. C’est à eux qu’incombe la charge de s’assurer de l’identification et l’anticipation les risques.

Au sujet de la gouvernance, comment doit-elle être impliquée en matière de compliance ?

Tout d’abord, il faut rappeler qu’une organisation qui est en mesure de bien identifier les risques et en parler offre des gages de bonne gouvernance. Cela rassure non seulement les actionnaires mais aussi les parties prenantes de plus en plus nombreuses. La qualité du dialogue avec celles-ci est un critère particulièrement important pour évaluer l’implication des instances de gouvernance. Les membres du Comité de Direction et du Conseil doivent pouvoir échanger régulièrement sur les thèmes de compliance. Les opérationnels doivent pouvoir faire remonter des informations aux administrateurs, y compris – si nécessaire – sans passer par le top management.

De même, les membres du Conseil doivent avoir la possibilité de challenger librement le Comex sur le risk management. Et la crise actuelle ne va qu’amplifier cette exigence. La compliance s’invite d’ailleurs de plus en plus fréquemment dans les réunions du Conseil d’administration. Certains Conseils ou Comités d’Audit abordent désormais le sujet chaque trimestre. Cela témoigne à mon sens de la prise de conscience de leur responsabilité en matière de compliance.

La compliance est un sujet « tone from the top ». Seul, le Compliance Officer est limité dans ses actions et leur portée. C’est pourquoi le rôle de la gouvernance est capital. On sait que le Compliance Officer doit avoir l’indépendance, les moyens et les ressources nécessaires à l’exercice de ses missions. La principale est celle de faire remonter des sujets, mêmes sensibles. C’est le rôle de la gouvernance de créer des conditions, notamment en termes de confiance, favorables à son efficacité d’action.

En tant que recruteur, pouvez-vous nous dire quels sont les profils les plus recherchés en matière de compliance ?

Nous recrutons de nombreux Compliance Officers et observons une véritable montée en grade de la fonction. Il y a encore quelques années, les entreprises recrutaient beaucoup de jeunes pour mettre en place des programmes de conformité.

Depuis, elles ont réalisé l’importance de pouvoir s’appuyer sur des profils plus expérimentés, qui comprennent le business et les rouages de l’entreprise, qui savent interagir avec les différentes fonctions de l’entreprise avec légitimité et crédibilité. Ils doivent par ailleurs être assez proches du top management. Ils ont la capacité de le challenger pour pouvoir mettre en œuvre un programme de conformité solide, efficace et aligné avec la stratégie de l’entreprise. Cela suppose une certaine maturité et autorité. Sur le plan des compétences, le Compliance Officer doit avoir une sensibilité juridique marquée. Il doit également comprendre le business et parler le langage des opérationnels.

Quelle est l’appétence des administrateurs que vous recrutez pour ces sujets de gouvernance et compliance ?

Nous abordons systématiquement la gouvernance et la compliance lors des entretiens de recrutement. Il est important qu’ils aient une appétence sur ces sujets vu le rôle qu’ils jouent – ou qu’ils auront à jouer. Ils doivent être en mesure d’assumer les responsabilités y afférentes. Ces échanges contribuent également à sensibiliser celles et ceux qui auront ensuite la responsabilité de la bonne mise en œuvre des programmes de compliance. Il en va de la protection des dirigeants, du business mais aussi de l’image et de la réputation de l’entreprise.

Pour conclure, quelles sont vos recommandations pour une meilleure articulation compliance et gouvernance ?

Il n’y a pas de saine gouvernance sans bonne compliance et vice versa. La compliance est un sujet de gouvernance et les administrateurs doivent s’organiser pour s’assurer que les dirigeants sont vigilants en la matière. Ils ont également un rôle de véritable soutien du dirigeant, d’autant plus en période de crise, et l’accompagner sans complaisance dans les grandes décisions de l’entreprise. Or certaines PME-ETI ont constitué un Conseil fondé sur des relations, plutôt que sur l’objectif de construire une équipe puissante par sa complémentarité, son expertise, sa diversité. Dès lors, il faut se poser la question de faire évoluer son Conseil.

Les entreprises doivent de plus en plus évaluer l’efficience de leurs instances dirigeantes et de gouvernance, s’assurer qu’il y ait un alignement entre les instances et la stratégie, pour être encore plus puissants et ainsi contribuer à la transformation durable de l’entreprise – un enjeu capital aujourd’hui.

Je crois qu’un certain nombre de dirigeants se seront rendu compte, avec cette crise, de l’importance de pouvoir s’appuyer sur des instances de gouvernance aux compétences avérées et aux profils variés pour s’assurer d’être bien conseillés et entourés. Que bonne gouvernance et compliance solide permettent de faire face à des risques de plus en plus divers, imprévisibles et fréquents, aux conséquences de plus en plus lourdes, et de traverser les moments les plus difficiles, afin de rendre l’entreprise plus agile et plus forte.