Par Miren Lartigue, Journaliste, Dalloz Actualités – 13/05/2022
L’importance croissante des enjeux liés à la conformité est à l’origine de la montée en puissance et de la professionnalisation de la fonction compliance au sein des entreprises françaises. Le point sur l’impact de cette évolution pour les juristes et sur les tendances qui se dessinent aujourd’hui.
Le paysage a radicalement changé en l’espace d’une dizaine d’années. Les enjeux liés à la conformité sont longtemps restés cantonnés à une poignée de secteurs (la banque, l’industrie pharmaceutique, la construction, la défense) et aux entreprises soumises à des législations étrangères telles que le Foreign Corrupt Practices Act américain. La multiplication des lois et réglementations fixe ainsi de nouvelles exigences en la matière. Cette multiplication a dès lors drastiquement étendu le périmètre des entreprises et des matières concernées. Les références étaient à l’origine essentiellement anglo-saxonnes. Ce sont désormais des dispositions légales et réglementaires françaises et européennes qui encadrent une grande partie des exigences actuelles.
« La compliance n’est plus une option »
La diversité des enjeux auxquels sont aujourd’hui confrontées les entreprises françaises en matière de compliance est sans commune mesure avec celle qui prévalait il y a dix ans : lutte contre la corruption et les conflits d’intérêts, respect des règles de concurrence, lutte contre le blanchiment de capitaux et la fraude financière, devoir de vigilance, protection des données personnelles, respect des sanctions économiques, du contrôle des exportations, des règles en matière d’alerte interne, de cybersécurité… La loi Sapin 2 (adoptée fin 2016), la loi sur le devoir de vigilance (mars 2017) et le RGPD (entré en vigueur en 2018) ont nettement marqué un tournant en France pour les entreprises. Ces dernières ont une exposition à l’international, même si le mouvement était déjà lancé avec les premières sanctions prononcées par l’Autorité de la concurrence.
Cette augmentation des risques de non-conformité s’est accompagnée d’une nette aggravation des sanctions encourues. Des sanctions pénales viennent souvent s’ajouter aux sanctions administratives et aggraver les risques financiers comme les risques de réputation. Dans les entreprises cotées, l’importance prise par les questions de gouvernance pousse les membres des conseils d’administration, dont la responsabilité peut être engagée, à être de plus en plus exigeants sur le reporting extra financier.
Aujourd’hui, « la compliance n’est plus une option », déclare Blandine Cordier-Palasse, associée fondatrice de BCP Partners. « C’est une obligation pour certaines entreprises à partir d’un certain seuil de chiffre d’affaires et d’effectifs, mais également, par capillarité. C’est une obligation pour d’autres entreprises qui travaillent avec des partenaires qui ont besoin de montrer qu’ils sont bons élèves. »
« Si le dirigeant n’y croit pas, cela restera cosm’éthique »
La montée en puissance de ces exigences a contribué à l’essor des métiers de la conformité, de la gestion des risques et du contrôle interne. La fonction compliance a ainsi progressé dans tous les secteurs d’activité, avec des profils spécifiques, comme celui de Data Protection Officer (DPO). Cette fonction a aussi progressé avec des fonctions plus générales, comme celle de responsable ou directeur de la conformité. Leur rôle sera de diffuser la bonne parole et de former les équipes dans tous les départements de l’entreprise et ses filiales.
Mais cette fonction ne peut se déployer efficacement qu’avec le soutien de la direction. « Il faut distinguer les entreprises qui ont intégré la compliance dans leur stratégie, en amont de leur réflexion et de leurs opérations, et celles qui l’intègrent encore comme une expertise, une contrainte juridique. De ce fait, elle est moins intégrée à l’organisation de l’entreprise. Il y a moins d’adhésion de la direction et des collaborateurs », explique Blandine Cordier-Palasse. « Si le dirigeant n’y croit pas, cela restera “cosm’éthique”. »
Entre spécialisation, polyvalence et externalisation
Le périmètre de la fonction a la particularité d’être à géométrie variable, en fonction du métier de l’entreprise. Ce périmètre change également en fonction de son exposition aux risques. On observe une grande diversité des modes d’organisation en interne. Avec une nette tendance à la spécialisation dans les grandes entreprises.
« Dans les grandes entreprises, la fonction compliance est aujourd’hui confiée à des personnes de plus en plus spécialisées, en charge d’un domaine de la compliance donné », explique Catherine Stavrakis, vice présidente Compliance chez Cap Gemini. « Pour moi, par exemple, c’est l’anticorruption », précise-t-elle. Chez TotalEnergies, « le département conformité est en charge de l’anticorruption et de l’antifraude », explique Stéphane Alaphilippe, responsable du département conformité et gouvernance du groupe. « Une autre équipe est en charge de l’antitrust, une autre à la vigilance. C’est la direction de l’audit qui est en charge des contrôles de niveau 1, 2 et 3. »
La configuration est très différente dans les entreprises de plus petite taille. « Dans les ETI, on a surtout besoin de juristes très polyvalents pour prendre en charge plusieurs voire tous les volets de la compliance », témoigne Sophie Leclerc, Chief Legal & Compliance Officer du groupe Seris. « C’est aussi ce qui fait l’intérêt de la matière, et, dans mon cas, c’est un choix », ajoute-t-elle.
« Nous fonctionnons en mode projet sur des missions avec des équipes qui peuvent réunir des gens des RH, de la finance, de l’informatique… Je m’appuie beaucoup sur la direction financière pour l’audit, sur la direction informatique pour l’IT, et sur les juristes dans les filiales. Nous faisons appel à des cabinets d’avocats pour des besoins en expertise ponctuels et pour tout ce qui ne peut pas être fait en interne faute d’effectifs – comme la cartographie des risques –, ainsi que pour bénéficier du secret professionnel de l’avocat sur certains sujets, tels que les enquêtes internes. »
Le recours à des prestataires externes reste un choix par défaut. « La compliance se prête mal à l’externalisation. Les programmes doivent être le plus adaptés possible au métier et à la culture de l’entreprise », pointe Sophie Leclerc. Elle reste néanmoins incontournable pour les entreprises qui n’ont pas la taille critique pour recruter les compétences nécessaires.
Quelle place pour les juristes ?
Tous droits juristes de formation, Catherine Stavrakis, Stéphane Alaphilippe et Sophie Leclerc partagent la présidence de la commission compliance du Cercle Montesquieu. Cette commission a d’ailleurs été créée en 2013. Elle est aujourd’hui celle qui compte le plus grand nombre d’adhérents au sein de cette association de directeurs juridiques. Preuve s’il en est de l’intérêt que ces derniers portent au sujet.
Selon les résultats de l’édition 2020-2021 de l’enquête Ethicorp-AFJE, réalisée auprès de juristes et d’acteurs de la compliance représentant plus de 1 500 entreprises françaises, c’est la direction juridique qui en charge de la compliance dans 63,72 % des cas. Lorsque la fonction est confiée à une direction dédiée, la direction juridique y reste étroitement associée. Selon la Cartographie des directions juridiques 2021 réalisée par LEXqi Conseil pour le Cercle Montesquieu et l’AFJE, les principaux risques que la direction juridique est appelée à gérer en matière de compliance sont « la protection des données, la lutte contre la corruption, le blanchiment et le financement du terrorisme, la RSE et la gouvernance, le respect des droits humains et la diversité ».
« Ce sont les juristes qui se sont emparés des sujets de compliance au départ. Il fallait décortiquer les réglementations et personne ne voulait se les approprier », rappelle Blandine Cordier-Palasse. « Maintenant, les équipes s’étoffent. Il faut toujours une sensibilité aux questions juridiques. Mais pour faire de l’investigation financière ou industrielle, par exemple, il est utile d’avoir un profil complémentaire d’auditeur ou d’ingénieur d’ans l’équipe. »
« L’origine est de nature juridique et réglementaire. Mais ensuite on fait moins de droit que de gestion de projet », relève Stéphane Alaphilippe. « La loi et la réglementation restent fondamentales. Mais la mise en place des politiques et leur contrôle relèvent de process. Ce volet de l’activité correspond à des profils plus financiers que juridiques », explique Catherine Stavrakis. « En tant que juristes, nous avons l’habitude d’analyser et d’évaluer les risques. Mais nous n’avons pas véritablement de formation en risk management », souligne Sophie Leclerc.
Une pluralité d’intervenants et de compétences
Chez Total Énergies, Stéphane Alaphilippe pilote l’équipe en charge de l’anticorruption et de l’antifraude. Elle comprend « une spécialiste de la communication financière, une juriste spécialisée contrats et une juriste de formation, spécialisée en gestion des risques », précise-t-il. « Les responsables conformité de chaque section de l’entreprise sont issus des RH. Dans les filiales, ce sont majoritairement des responsables financiers. Et sur le volet due diligence, nous avons choisi de responsabiliser des opérationnels. Ce sont eux qui connaissent le mieux les clients. »
Chargé d’impulser et de piloter ces politiques, le compliance officer doit faire preuve d’un certain nombre de compétences et qualités. « Il faut un profil expérimenté. Celui-ci doit connaître le business pour être en mesure de proposer des solutions compliant aux opérationnels », explique Blandine Cordier-Palasse. « Du courage, être diplomate et très bon communicant » devient nécessaire. Le but est d’inspirer confiance pour que les dirigeants et les opérationnels viennent évoquer les sujets sensibles avec vous ». « Il est souhaitable que le compliance officer soit rattaché à un membre du comité exécutif. Il devrait l’être aussi avec le comité des risques afin d’avoir la légitimité requise, en interne et en externe ».
Autant d’exigences qui tendent à privilégier les profils seniors. « On peut d’ailleurs mesurer la maturité de la fonction au sein d’une entreprise à l’aune de l’expérience de son compliance officer. Il peut arriver qu’un profil confirmé se trouve limité dans son action. Ce même profil peut se trouver limité dans son influence faute de moyens attribués à la fonction », poursuit-elle. « Des entreprises nous sollicitent car elles cherchent un profil plus senior que celui qu’elles avaient choisi deux ans plus tôt, afin d’asseoir la fonction et déployer le programme efficacement. »
Un marché sous tension
Ce profil de compliance officer expérimenté est-il facile à trouver sur le marché ? « Non, il n’y a pas encore beaucoup de personnes qui ont acquis une expérience solide », répond la chasseuse de tête. Qui plus est, « il faut adapter le profil de candidats à rechercher à la maturité de l’entreprise, au secteur d’activité plus ou moins transposable, à la culture. Il faut surtout l’adapter aux valeurs de l’entreprise et des candidats. Leur expérience est plus ou moins valorisable. Cela dépend si l’entreprise avait – ou pas – recours à des cabinets d’avocats expérimentés sur ces sujets. Elle peut ne pas avoir beaucoup de valeur si ce sont des cabinets d’avocats qui ont tout fait. Cela peut aussi être le cas si le compliance officer était confronté à une direction qui n’y croit pas ou à des opérationnels retors. »
Cette difficulté à trouver les bons profils s’étend à tous les niveaux. « Il y a une tension sur le recrutement des stagiaires et des alternants. Il y a également une tension sur celui des personnes qui ont déjà de l’expérience », observe Stéphane Alaphilippe. Ce qui pose la question « de la rétention des talents, étant donnée la valeur sur le marché d’une personne qui a déjà deux ou trois ans d’expérience ».
Ce décalage entre l’offre et la demande devrait se réduire. En effet, les formations, initiales et continues, se développent et que les professionnels en poste acquièrent de l’expérience. « C’est une fonction qui est en train de mûrir et qui monte dans toutes les organisations. Ainsi, l’enjeu, aujourd’hui, c’est que les dirigeants comprennent que la compliance contribue à la performance de l’entreprise. Pour cela, les dirigeants doivent donner les moyens humains, financiers et techniques. Ils doivent donner les outils – pour déployer et monitorer un programme efficace et insuffler cette culture dans toute l’organisation », conclut Blandine Cordier-Palasse.