L’importance croissante des enjeux liés à la conformité est à l’origine de la montée en puissance et de la professionnalisation de la fonction compliance au sein des entreprises françaises. Le point sur l’impact de cette évolution pour les juristes et sur les tendances qui se dessinent aujourd’hui.
Le paysage a radicalement changé en l’espace d’une dizaine d’années. Alors que les enjeux liés à la conformité sont longtemps restés cantonnés à une poignée de secteurs (la banque, l’industrie pharmaceutique, la construction, la défense) et aux entreprises soumises à des législations étrangères telles que le Foreign Corrupt Practices Act américain, la multiplication des lois et
réglementations fixant de nouvelles exigences en la matière a drastiquement étendu le périmètre des entreprises et des matières concernées. Et alors que les références étaient à l’origine essentiellement anglo-saxonnes, ce sont désormais des dispositions légales et réglementaires françaises et européennes qui encadrent une grande partie des exigences actuelles.
« La compliance n’est plus une option »
La diversité des enjeux auxquels sont aujourd’hui confrontées les entreprises françaises en matière de compliance est sans commune mesure avec celle qui prévalait il y a dix ans : lutte contre la corruption et les conflits d’intérêts, respect des règles de concurrence, lutte contre le blanchiment de capitaux et la fraude financière, devoir de vigilance, protection des données personnelles, respect des sanctions économiques, du contrôle des exportations, des règles en matière d’alerte interne, de cybersécurité… La loi Sapin 2 (adoptée fin 2016), la loi sur le devoir de vigilance (mars 2017) et le RGPD (entré en vigueur en 2018) ont nettement marqué un tournant en France pour les entreprises qui ont une exposition à l’international, même si le mouvement était déjà lancé avec les
premières sanctions prononcées par l’Autorité de la concurrence.
Cette augmentation des risques de non-conformité s’est accompagnée d’une nette aggravation des sanctions encourues. Des sanctions pénales viennent souvent s’ajouter aux sanctions administratives et aggraver les risques financiers comme les risques de réputation. Dans les entreprises cotées, l’importance prise par les questions de gouvernance pousse les membres des conseils d’administration, dont la responsabilité peut être engagée, à être de plus en plus exigeants sur le reporting extrafinancier.
Aujourd’hui, « la compliance n’est plus une option », déclare Blandine Cordier-Palasse, associée fondatrice de BCP Partners, cabinet de recrutement spécialisé dans les métiers du juridique, de la compliance et de la gestion des risques, et cofondatrice du Cercle de la compliance. « C’est une obligation pour certaines entreprises à partir d’un certain seuil de chiffre d’affaires et d’effectifs, mais également, par capillarité, pour d’autres entreprises qui travaillent avec des partenaires qui ont besoin de montrer qu’ils sont bons élèves. »
Entre spécialisation, polyvalence et externalisation
Le périmètre de la fonction ayant la particularité d’être à géométrie variable en fonction du métier de l’entreprise et de son exposition aux risques, on observe une grande diversité des modes d’organisation en interne. Avec une nette tendance à la spécialisation dans les grandes entreprises.
« Dans les grandes entreprises, la fonction compliance est aujourd’hui confiée à des personnes de plus en plus spécialisées, en charge d’un domaine de la compliance donné », explique Catherine Stavrakis, vice présidente Compliance chez Cap Gemini. « Pour moi, par exemple, c’est l’anticorruption », précise-t-elle. Chez TotalEnergies, « le département conformité est en charge de l’anticorruption et de l’antifraude », explique Stéphane Alaphilippe, responsable du département conformité et gouvernance du groupe. « Une autre équipe est dédiée à l’antitrust, une autre à la vigilance, et c’est la direction de l’audit qui est en charge des contrôles de niveau 1, 2 et 3. »
La configuration est très différente dans les entreprises de plus petite taille. « Dans les ETI, on a surtout besoin de juristes très polyvalents pour prendre en charge plusieurs voire tous les volets de la compliance », témoigne Sophie Leclerc, Chief Legal & Compliance Officer du groupe Seris. « C’est aussi ce qui fait l’intérêt de la matière, et, dans mon cas, c’est un choix », ajoute-t-elle. « Nous fonctionnons en mode projet sur des missions avec des équipes qui peuvent réunir des gens des RH, de la finance, de l’informatique… Je m’appuie beaucoup sur la direction financière pour l’audit, sur la direction informatique pour l’IT, et sur les juristes dans les filiales. Nous faisons appel à des cabinets d’avocats pour des besoins en expertise ponctuels et pour tout ce qui ne peut pas être fait
en interne faute d’effectifs – comme la cartographie des risques –, ainsi que pour bénéficier du secret professionnel de l’avocat sur certains sujets, tels que les enquêtes internes. »
Le recours à des prestataires externes reste un choix par défaut car « la compliance se prête mal à l’externalisation parce que les programmes doivent être le plus adaptés possible au métier et à la culture de l’entreprise », pointe Sophie Leclerc. Elle reste néanmoins incontournable pour les entreprises qui n’ont pas la taille critique pour recruter les compétences nécessaires.
Quelle place pour les juristes ?
Tous droits juristes de formation, Catherine Stavrakis, Stéphane Alaphilippe et Sophie Leclerc partagent la présidence de la commission compliance du Cercle Montesquieu. Cette commission créée en 2013 est aujourd’hui celle qui compte le plus grand nombre d’adhérents au sein de cette association de directeurs juridiques. Preuve s’il en est de l’intérêt que ces derniers portent au sujet.
Selon les résultats de l’édition 2020-2021 de l’enquête Ethicorp-AFJE, réalisée auprès de juristes et d’acteurs de la compliance représentant plus de 1 500 entreprises françaises, c’est la direction juridique qui en charge de la compliance dans 63,72 % des cas. Et lorsque la fonction est confiée à une direction dédiée, la direction juridique y reste étroitement associée. Selon la Cartographie des directions juridiques 2021 réalisée par LEXqi Conseil pour le Cercle Montesquieu et l’AFJE, les principaux risques que la direction juridique est appelée à gérer en matière de compliance sont « la protection des données, la lutte contre la corruption, le blanchiment et le financement du terrorisme, la RSE et la gouvernance, le respect des droits humains et la diversité ».
« Ce sont les juristes qui se sont emparés des sujets de compliance au départ parce qu’il fallait décortiquer les réglementations et que personne ne voulait se les approprier », rappelle Blandine Cordier-Palasse. « Maintenant, les équipes s’étoffent. Il faut toujours une sensibilité aux questions juridiques, mais pour faire de l’investigation financière ou industrielle, par exemple, il est utile d’avoir un profil complémentaire d’auditeur ou d’ingénieur d’ans l’équipe. »
« L’origine est de nature juridique et réglementaire, mais ensuite on fait moins de droit que de gestion de projet », relève Stéphane Alaphilippe. « La loi et la réglementation restent fondamentales, mais la mise en place des politiques et leur contrôle relèvent de process, et ce volet de l’activité correspond à des profils plus financiers que juridiques », explique Catherine Stavrakis. « En tant que juristes, nous avons l’habitude d’analyser et d’évaluer les risques, mais nous n’avons pas véritablement de formation en risk management », souligne Sophie Leclerc.
Une pluralité d’intervenants et de compétences
Chez TotalEnergies, l’équipe en charge de l’anticorruption et de l’antifraude, pilotée par Stéphane Alaphilippe, comprend « une spécialiste de la communication financière, une juriste spécialisée contrats et une juriste de formation qui s’est spécialisée en gestion des risques », précise-t il. « Les responsables conformité de chaque section de l’entreprise sont issus des RH. Dans les filiales, ce sont majoritairement des responsables financiers. Et sur le volet due diligence, nous avons choisi de responsabiliser des opérationnels parce que ce sont eux qui connaissent le mieux les clients. »
Chargé d’impulser et de piloter ces politiques, le compliance officer doit faire preuve d’un certain nombre de compétences et qualités. « Il faut un profil expérimenté, qui connaît bien le business pour être en mesure de proposer des solutions compliant aux opérationnels », explique Blandine Cordier-Palasse. Il faut « du courage, être diplomate et très bon communicant, et inspirer confiance pour que les dirigeants et les opérationnels viennent évoquer les sujets sensibles avec vous ». Et « il est souhaitable que le compliance officer soit rattaché à un membre du comité exécutif, voire aussi au comité des risques afin d’avoir la légitimité requise, en interne et en externe ».
Autant d’exigences qui tendent à privilégier les profils seniors. « On peut d’ailleurs mesurer la maturité de la fonction au sein d’une entreprise à l’aune de l’expérience de son compliance officer, même s’il peut arriver qu’un profil confirmé se trouve limité dans son action et son influence faute de moyens attribués à la fonction », poursuit-elle. « Nous sommes sollicités par des entreprises qui cherchent un profil plus senior que celui qu’elles avaient choisi deux ans plus tôt, afin d’asseoir la fonction et déployer le programme efficacement. »
Un marché sous tension
Ce profil de compliance officer expérimenté est-il facile à trouver sur le marché ? « Non, il n’y a pas encore beaucoup de personnes qui ont acquis une expérience solide », répond la chasseuse de tête. Qui plus est, « il faut adapter le profil de candidats à rechercher à la maturité de l’entreprise, au secteur d’activité plus ou moins transposable, à la culture et aux valeurs de l’entreprise et des candidats. Leur expérience est plus ou moins valorisable selon que leur entreprise avait – ou pas – recours à des cabinets d’avocats expérimentés sur ces sujets. Elle peut ne pas avoir beaucoup de valeur si ce sont des cabinets d’avocats qui ont tout fait, ou si le compliance officer était confronté à une direction qui n’y croit pas ou à des opérationnels retors. »
Cette difficulté à trouver les bons profils s’étend à tous les niveaux. « Il y a une tension sur le recrutement des stagiaires et des alternants comme sur celui des personnes qui ont déjà de l’expérience », observe Stéphane Alaphilippe. Ce qui pose la question « de la rétention des talents,
étant donnée la valeur sur le marché d’une personne qui a déjà deux ou trois ans d’expérience ».
Ce décalage entre l’offre et la demande devrait se réduire à mesure que les formations, initiales et continues, se développent et que les professionnels en poste acquièrent de l’expérience. « C’est une fonction qui est en train de mûrir et qui monte dans toutes les organisations. L’enjeu, aujourd’hui, c’est que les dirigeants comprennent que la compliance contribue à la performance de l’entreprise et lui donnent les moyens humains, financiers et techniques – c’est-à-dire les outils – pour déployer et monitorer un programme efficace et insuffler cette culture dans toute l’organisation », conclut Blandine Cordier-Palasse.
par Miren Lartigue, Journaliste