Publications

Catégories
Compliance

Origine et enjeux de la compliance

Par Blandine CORDIER-PALASSE, Revue Lamy Droit des affaires, RLDA 7104, supplément au n°165 – 09/12/2020

On constate l’attente pluri-stakeholders de la prise en compte de la compliance. Cela parfois arrive au sommet des préoccupations des instances dirigeantes. L’attente se traduit plus par la pression des investisseurs que par la pression réglementaire. Et les compliance officers montent en grade dans les organisations au plus près de la gouvernance. Aujourd’hui, savoir anticiper les risques de compliance est devenu stratégique.

Qu’est-ce que la compliance ? D’abord, nous définirons ce qu’était la compliance pour une entreprise. Ensuite, nous identifierons ses origines législatives et son périmètre. Nous aborderons également le rôle de la gouvernance dans son efficacité. Puis, nous montrerons l’impact d’un programme de compliance intelligemment mis en œuvre sur la stratégie de l’entreprise. Nous évoquerons ensuite le rôle-clé du compliance officer. A cela s’ajoutent les compétences que celui-ci doit avoir pour réussir pleinement sa mission au sein de l’entreprise.

Qu’est-ce que la compliance ?

La notion même compliance est un Terme assez récent. Elle peut être définie comme « l’ensemble des processus qui permettent d’assurer la conformité des comportements de l’entreprise, de ses dirigeants et de ses salariés, aux lois, règlements, normes, usages professionnels et exigences éthiques qui leur sont applicables ».

Ce terme a été utilisé pour la première fois aux Etats-Unis. C’était lors de la grande crise de 1929 et les manœuvres de certains opérateurs bancaires. En Europe, ce terme fait irruption dans les années 1960 derrière la codification du Droit de la Concurrence. Plus récemment, la prise de conscience de la globalisation de la vie économique et la place croissante des grands acteurs du net ont mis en exergue nombre des composantes de la compliance. Celles ci sont destinées à se prémunir face à certains risques et dysfonctionnements. Tout cela a finalement conquis l’ensemble du monde de l’entreprise. Cette conquête a notamment eu lieu dans le domaine de la gouvernance, avec la RSE et ses composantes.

Le mot anglais « Compliance » est issu du verbe to comply. Ce verbe vient lui-même du latin complire et qui a donné accomplir. Le suffixe anglais de ply que l’on trouve dans to comply, signifie que l’on consent. To comply veut donc dire que l’on consent à agir selon un ensemble de règles. Ces règles ont surtout d’autres sources que la seule loi.

En français on utilise souvent de façon indifférente les termes de conformité et de compliance. On pense que la conformité serait la traduction du terme anglais compliance. Or, conformité et compliance ne recouvrent pas la même réalité. Quand on utilise le mot conformité, on vise l’identité dans la forme – on parlera ainsi de « copie conforme ». Quand la loi prend la forme d’une obligation, les choses sont simples. En respectant les obligations légales, on respecte la loi, on est « conforme ». Mais quand la loi dit ce qu’il ne faut pas faire, par exemple qu’il ne faut pas payer de pots de vin ou qu’il ne faut pas nouer d’ententes commerciales, les choses deviennent plus complexes.

À première vue, on pourrait dire que si une entreprise n’est pas poursuivie pour corruption ou pour entente, c’est qu’elle ne paye pas de pots de vin. Par conséquent, elle n’a pas formé de cartels avec ses concurrents. L’un et l’autre sont des crimes cachés, commis par des individus intelligents. Ils vont utiliser leur connaissance de l’entreprise pour dissimuler les actes frauduleux et en effacer les traces. S’il n’y pas de corruption visible, cela ne veut donc pas nécessairement dire qu’il n’y a pas d’actes corrompus. Il en va de même pour les atteintes au droit de la concurrence. S’il n’y a pas de poursuites pour entente, cela ne veut pas dire qu’il n’y a pas de cartel !

Il est dès lors légitime que les parties prenantes de l’entreprise – actionnaires, salariés, société civile, clients, fournisseurs, partenaires – considèrent que ce n’est pas parce qu’un délit n’a pas été identifié qu’il n’y en a pas. Elles posent donc la question : comment la direction de l’entreprise est-elle certaine qu’il n’y a pas de délit ? Quelles mesures a-t-elle mises en œuvre pour prévenir et détecter ce délit ? Et ce sont précisément ces règles volontaires, que l’entreprise va se donner pour s’assurer de l’absence de délit. Ces règles vont constituer le corpus de compliance de l’entreprise.

Philippe Montigny1 l’a dit. « On l’aura compris. La compliance est un ensemble de règles que l’entreprise se donne pour respecter l’esprit des lois. Ces règles doivent répondre aux attentes des parties prenantes. Mais les lois, et encore plus les attentes des parties prenantes évoluent. Les organes de direction doivent jouer un rôle de vigie. Ils doivent chercher à appréhender ce que sera la compliance de demain afin de s’y préparer ».

Origines et législation de la compliance

Textes fondateurs

L’une des sources de la compliance est le Foreign Corrupt Practice Act. C’est une loi fédérale américaine de 1977, publiée pour lutter contre la corruption d’agents publics à l’étranger. L’objectif est de répondre aux enjeux de sécurité financière. Son impact fut international. Depuis, de nombreux pays ont adopté des lois similaires. On peut citer l’Autriche en 1982, l’Allemagne en 1992 puis le Royaume uni avec le UK Bribery Act en 2010, l’Espagne en 2010, l’Italie en 2012, le Brésil et la Chine en 2013, la Russie au travers de plusieurs lois régionales anticorruption.

La Convention de l’OCDE de 1997 constitue quant à elle le premier instrument mondial de lutte contre la corruption. Elle établit des normes juridiquement contraignantes tendant à faire de la corruption d’agents publics étrangers une infraction pénale. La Convention lutte dorénavant contre la corruption dans les transactions commerciales internationales. L’objectif de l’OCDE est de favoriser le développement, réduire la pauvreté et améliorer la confiance dans les marchés. Une grande partie de la corruption provient des pays exportateurs. La particularité de la Convention de l’OCDE, parmi les autres instruments multilatéraux de lutte contre la corruption, tient à ce qu’elle vise les « corrupteurs » plutôt que les « corrompus ». À noter que les 37 pays membres de l’OCDE et 7 pays non-membres l’ont ratifiée. Elle aide les pouvoirs publics et les entreprises à améliorer leur législation et leurs normes.

Évolutions récentes

En France, la loi Sapin II constitue la transposition en droit Français de ces règles internationales. Elle transpose tout particulièrement de la Convention de l’OCDE de 1997, la Convention des Nations-Unies contre la corruption et la Convention pénale sur la corruption du Conseil de l’Europe du 21 janvier 1999. On ne citera ici que quelques textes.

Elle représente une grande avancée : il y a vingt ans, les pots-de-vin étaient fiscalement déductibles en France ! Depuis le 9 décembre 2016, cette loi relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie publique impose la mise en place d’un lourd dispositif préventif en matière de lutte anticorruption.

En Europe, le mécanisme de compliance se développe dans des domaines fondateurs de l’union européenne. On peut citer le droit de la concurrence, le droit financier ou le droit de l’environnement. Le droit américain a largement influencé ces mécanismes. Ce droit a contribué à bâtir des règles spécifiques de compliance.

Le règlement général européen sur la protection des données (RGPD)2 a imposé ces obligations en matière de données. Ce règlement a sensibilisé chacun d’entre nous en tant que consommateur, client, amateur de réseaux sociaux aux contraintes. Cela nous a surtout sensibilisé à l’intérêt et à la nécessité de protéger certaines informations sensibles.

L’Union européenne a d’ores et déjà contribué au développement et à la cohérence de ces règles. Cela s’est fait aussi bien à l’intérieur de l’union que vis-à-vis du droit américain. On peut penser qu’un « droit européen de la compliance » aidera à une autonomisation du droit de l’union européenne face au droit américain. Cette autonomisation contribue ainsi ainsi au projet européen.

De son côté, la France a adopté la réglementation relative à la lutte contre le blanchiment de capitaux et le financement du terrorisme très rapidement. Elle l’a été après l’élaboration des 40 recommandations du Groupe d’action financière (GAFI) et de la première directive européenne.

Les champs couverts par la compliance

Mais, tout cela ne doit pas cantonner la compliance au seul management des risques, car comme mentionné plus haut, ce serait prendre un risque stratégique. En effet, les domaines d’application de la compliance sont vastes. À titre d’exemples, voici une liste non exhaustive des domaines concernés :

•les délits d’initié et la confidentialité des informations ;
•la responsabilité des dirigeants et la prévention des éventuels conflits d’intérêt ;
•la lutte contre la corruption, le trafic d’influence, la concussion, la prise illégale d’intérêts, le détournement de fonds publics et le favoritisme ;
•l’antitrust, l’export Control ;
•les délits financiers et environnementaux ;
•la fraude quelle qu’en soit la nature ;
•les droits humains ;
•la responsabilité sociale et environnementale (RSE).

Cette liste montre que l’univers de la compliance est en réalité très large car s’il est question de la « conformité », on s’intéresse surtout à la façon dont on agit au sein de l’entreprise. Et là, nous entrons dans le champ de la
gouvernance à condition qu’il n’y ait pas seulement effet d’annonce d’un programme « cosm’éthique », mais bien réalité et mise en œuvre dudit programme qui doit s’appliquer de manière holistique et opérationnelle, aussi bien aux maisons mères qu’à toutes les entités et filiales du groupe. C’est pour cette raison que les agences de notation évaluent aujourd’hui les pratiques des entreprises et publient des indicateurs de mesure.

Compliance : le rôle de la gouvernance

Gouvernance et compliance, même vision : pas de gouvernance sans compliance et pas de compliance sans gouvernance ! Une bonne gouvernance orchestrera les forces en présence, en « alignant » le Conseil d’administration, les dirigeants, les actionnaires, les salariés, sur une même stratégie de croissance pérenne et en tenant compte des parties prenantes.

La loi Sapin II d’ailleurs le précise : « Les présidents, les directeurs généraux et les gérants d’une société employant au moins cinq cents salariés, ou appartenant à un groupe de sociétés dont la société mère a son siège social en France et dont l’effectif comprend au moins cinq cents salariés, et dont le chiffre d’affaires ou le chiffre d’affaires consolidé est supérieur à 100 millions d’euros sont tenus de prendre les mesures destinées à prévenir et à détecter la commission, en France ou à l’étranger, de faits de corruption ou de trafic d’influence ».

Ainsi, au sein du conseil, les administrateurs auront à intégrer les problématiques de compliance dans différentes décisions qu’ils seront amenés à prendre. Il est très différent pour un conseil de fixer un objectif d’augmentation de chiffre d’affaires de 3 % en affirmant zéro tolérance/no compliance ; ou de fixer 3 %, quels que soient les modalités et les risques de non-compliance. La prise en compte de la compliance peut donc les conduire à décider de renoncer à des opportunités ou à abaisser les objectifs en raison de problèmes avérés – ou même seulement de risques – de conflits d’intérêts, de corruption, d’ententes…

Les risques de compliance peuvent réellement impacter l’entreprise y compris au niveau opérationnel. Il est donc indispensable que ces sujets puissent remonter au plus haut niveau de l’organisation afin de contribuer à une prise de décision éclairée de l’instance dirigeante. À cet effet, il est essentiel que le conseil mette en place un moyen d’être informé régulièrement. Il doit l’être à la fois avec des sources internes, mais aussi avec des sources externes, voire des experts indépendants.

Le tandem conseil d’administration/ComEx ou CoDir

Un fort enjeu existe dans le tandem conseil d’administration/ Comex ou CoDir : en effet, l’un donne les orientations, mais n’a pas toutes les cartes en main, tandis que l’autre, qui a toutes les cartes, se doit de les donner au conseil. D’ailleurs, conduire une réflexion sur la confiance entre conseil d’administration /Comex ou CoDir, notamment sur les risques que le Comex peut avoir tendance à minimiser pour se concentrer d’abord sur les résultats financiers, peut être une première étape dans l’instauration d’une gouvernance efficace.

Le conseil d’administration a un rôle primordial dans la politique de compliance : celui de l’impulser. Il doit montrer que ce sujet non seulement l’intéresse mais qu’il en fait une condition nécessaire à la réalisation du chiffre d’affaires et des objectifs. Il doit avoir un retour sur les risques de non-conformité légale, de non-compliance aux bonnes pratiques, ou encore de non-compliance aux attentes de l’opinion et ce, à un niveau profond de granularité. Par exemple, ne pas avoir la norme ISO 37001 va sans doute impliquer de ne pas pouvoir répondre à certains appels d’offre publics dans certains pays.

L’un des moyens de son action passe d’abord par la mise, en place d’un comité d’éthique/compliance, souvent couplé à un comité des risques. Ces comités jouent un rôle essentiel dans la définition du programme d’éthique et de compliance puis dans son déploiement. Au-delà de ces comités, le conseil aura à veiller, à travers la dirigeance, à la mise en place effective de règles, de contrôles et éventuellement de sanctions, sans lesquels la politique de compliance risque d’être lettre morte et bavardage de charte alors qu’au contraire, ces principes doivent se traduire en termes d’objectifs et de résultats.

La compliance doit être annoncée comme une priorité et ce au plus haut niveau de l’entreprise. Elle doit surtout être une valeur d’adhésion. La compliance est une façon d’être, avant d’être une façon de faire !

Les parties prenantes ont besoin de sentir que la compliance est portée au plus haut niveau par la gouvernance. Elle est incarnée aussi dans les équipes et relayée en particulier par le middle management. Elle se traduit par l’exemplarité de chacun. Si on sent que la compliance est vécue très concrètement par tous, y compris par un management bienveillant, cela permet d’asseoir la réalité et la crédibilité de la démarche et de l’engagement.

Compliance et stratégie

Mais la compliance n’est pas que discipline managériale. Elle a aussi une dimension stratégique puisqu’un défaut de compliance au regard des obligations légales ou de l’éthique des affaires peut engendrer un coût financier très élevé (amende, enquêtes, conseils, etc…), un risque fort d’image et de réputation, et engager la responsabilité personnelle civile et pénale des dirigeants.

Il serait donc judicieux pour la gouvernance de la considérer non comme un « coût » mais bien comme une véritable dépense d’investissement stratégique. On constate que pour réussir, cette évolution de paradigme doit passer par la mise en œuvre d’un véritable management du changement. Pour commencer, la direction générale devra :

•lister les problématiques auxquelles l’entreprise font face ;
•s’assurer qu’il n’y a pas de non-conformité légale afin d’éviter des dépenses inutiles à la place d’investissements plus pertinents stratégiquement ;
•définir les enjeux selon les marchés, les services et les produits ;
•étudier les risques fonctionnels, opérationnels, d’image et de réputation afin d’anticiper les zones de problème ;
•préparer l’entreprise à l’impact du programme sur son fonctionnement en termes non pas de contraintes et de coûts – mais plutôt d’investissements et de changement de façon de faire, voire de business model – induits et à l’éventualité de révélations délicates comme la mise à jour de pratiques condamnables ;
•concevoir l’organisation optimale tout en tenant compte de la culture de l’entreprise.

La compliance est aussi une arme économique : au lieu de n’y voir qu’un ensemble de contraintes juridiques, les entreprises se sont, depuis une vingtaine d’années, organisées pour définir les « bonnes pratiques ». Citons ainsi la commission anticorruption de la Chambre de commerce internationale (ICC) qui joue un rôle de leader dans l’élaboration des règles du commerce international et dans la diffusion de bonnes pratiques. L’enjeu était de concevoir collectivement ce qu’il fallait définir pour s’assurer de la bonne conformité à la loi tout en définissant ce qui « convient aux entreprises ».

Ainsi, les entreprises qui ont signé le Global Compact des Nations Unies entendent non seulement faire l’effort de leur côté, mais aussi veiller à ce que leurs fournisseurs et les autres parties prenantes agissent de même. Quand de telles attitudes et de tels comportements sont pris en compte dans les relations commerciales, on voit bien qu’il s’agit réellement d’avantages compétitifs possibles !

Ajoutons enfin que les normes ISO ont pris le relais.

Toujours d’un point de vue stratégique, notons qu’après la loi, après les usages professionnels, les bonnes pratiques et les normes, le troisième référentiel de la compliance est issu des exigences éthiques et des attentes de l’opinion. On y trouve pêle-mêle les droits de l’homme, les préoccupations environnementales, sociales et autres enjeux RSE. S’ils ne sont pas pris en compte suffisamment sérieusement par les entreprises, ils peuvent devenir rapidement l’objet d’une loi. Ainsi, leur mise en oeuvre peut devenir plus compliquée.

L’enjeu stratégique est ici de percevoir les attentes émergentes de l’opinion – les parties prenantes -, d’y répondre par de bonnes pratiques, et des bonnes pratiques crédibles ! Bien sûr, les attentes de l’opinion sont souvent complexes et mal définies, mais parfois un fait divers les cristallise, sans pour autant gommer leur complexité. On pense à la question des données personnelles chez les GAFA ou à l’émergence de mouvements comme #metoo, etc… la veille stratégique doit alors couvrir aussi ces domaines.

Enfin, dans les premiers temps des politiques de compliance, on pensait que le « ton » devait être donné par le « sommet », le fameux « tone at the top ». On s’est rendu compte que le middle management était aussi fondamental. La réussite de la mise en œuvre concrète de la compliance est l’affaire de tous. C’est pourquoi la présence de relais et de leviers – tels que le compliance officer – est fondamentale.

La mise en œuvre de la politique de compliance – le chief compliance officer

L’une des clés de la mise en œuvre d’un tel changement passe aussi par la nomination d’un « Chief compliance officer ». Il sera le véritable chef d’orchestre, jouant la partition du Comex dont le thème est donné par le Conseil d’administration. Il collaborera de manière très transverse, pluridisciplinaire et matricielle avec les directions juridique, risques, ressources humaines, développement durable et les directions opérationnelles. Le but est d’analyser l’ensemble des risques juridiques, des risques opérationnels et extra financiers, évaluer l’impact de l’ensemble des réglementations internationales, des normes professionnelles sectorielles sur le business, pour prendre en compte les attentes des parties prenantes externes, etc…

La loi Sapin II est constituée de huit piliers qui, même s’ils concernent essentiellement la prévention de la corruption, servent de base à l’élaboration du programme. A cela s’ajoute l’approche compliance d’un certain nombre de problématiques. Cette loi a à la fois accru et ancré la fonction du compliance officer. Nous citerons tous les enjeux, sans entrer dans les détails :

•l’élaboration d’un code de conduite et d’une cartographie des risques ;
•ensuite la mise en place de procédures d’évaluation des tiers

•la création d’un moyen d’alerte et de procédures de contrôles comptables, internes ou externes ;
•la mise en oeuvre d’un dispositif de formation ainsi que d’un régime disciplinaire permettant de sanctionner les salariés ;
•l’instauration d’un dispositif de contrôle et d’évaluation des mesures mises en œuvre.

Sans oublier que la loi Sapin II n’est que le volet français des réglementations internationales sur la prévention de la corruption applicables aux groupes internationaux. Et comme nous l’avons vu, bien d’autres réglementations, normes, enjeux géopolitiques doivent être appréhendés dans une démarche holistique et mondiale de la compliance. L’objectif est de définir et mettre en œuvre la stratégie de l’entreprise. On comprend donc que le compliance officer doit avoir l’indépendance, les moyens et les ressources nécessaires à l’exercice de ses missions. La principale est celle de faire remonter des sujets, mêmes sensibles au comité d’audit, au président. C’est le rôle de la gouvernance de créer des conditions, notamment en termes de confiance, favorables à son efficacité d’action.

On comprend aussi pourquoi on assiste à une véritable montée en grade de la fonction compliance. Il y a quelques années, les entreprises nous sollicitaient pour recruter plutôt des jeunes. Ils étaient souvent rattachés à la direction juridique, pour mettre en place des programmes de « conformité ». De plus en plus, elles réalisent l’importance de s’appuyer sur des profils plus expérimentés. Ils comprennent le business et les rouages de l’entreprise et savent interagir avec les différentes fonctions de l’entreprise. Ils ont déjà acquis une bonne expérience en matière de compliance pour être capables de mettre en place, déployer et monitorer le programme. L’objectif est d’assurer la formation et la sensibilisation des dirigeants et des opérationnels et d’être perçus comme légitimes et crédibles.

Sur le plan des compétences, les compliance officers doivent avoir une sensibilité juridique marquée. Ils doivent aussi comprendre le business et parler le langage des opérationnels. Ils doivent être assez proches du top management, tout en ayant la capacité de le challenger. Le but est d’avoir les coudées franches pour implémenter un programme de conformité solide, efficace, déployé de manière holistique dans toutes les entités du groupe et aligné avec la stratégie de l’entreprise. Cela suppose une certaine maturité et autorité mais aussi du courage. L’objectif est de faire évoluer le « on a toujours fait comme ça ».

Vers une direction « Éthique et Compliance »

Nous conclurons avec la proposition de créer une direction regroupant l’ensemble des composantes. La direction aurait alors à sa tête un directeur « Éthique et Compliance ». On sait en effet que, lorsque la fonction Compliance existe dans une entreprise, on ne lui demande pas toujours dès le départ d’intervenir dans les décisions stratégiques. Or, cette légitimité est clé.

Le directeur « Éthique et Compliance » a un rôle de chef d’orchestre mais également transversal. Il est proche à la fois de la Direction générale, des opérationnels et des directions fonctionnelles juridiques, risques, finance, ressources humaines en particulier, et vertical. Il rapporte aux instances de gouvernance et infuse la culture jusqu’aux équipes de terrain. De plus, il confère à la fonction une véritable dimension stratégique. D’aucuns donnent à ce directeur une place au Comex. Ils lui ouvrent régulièrement, voire dans certaines situations, une invitation aux réunions du Conseil d’administration. Cette fonction serait désormais à l’écoute des différentes parties prenantes. On a en souligné l’importance, en tant qu’acteurs de la compliance et de la gouvernance. Le savoir-être du directeur « Éthique et Compliance » est fondamental. Son but est de faire évoluer le groupe dans une culture d’éthique et de compliance.

Nous finirons en disant que la compliance est l’un des fondements de la stratégie des entreprises du XXIème siècle. La condition est nécessaire – mais non suffisante – de la performance et de la pérennité de l’entreprise. Les faibles la verront comme une contrainte supplémentaire. Les forts la verront comme un mode de gouvernance de toute l’entreprise. Elle constitue une façon de respecter les hommes et les femmes que sont les clients, les employés, les fournisseurs. De manière plus globale, il s’agit de l’écosystème de toutes ses parties prenantes.

(1) P. Montigny, Président du CIRCE Finance, Président du comité de certification, ETHIC Intelligence.

(2) Règl. n°2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit RGPD, applicable à partir du 25 mai 2018.

Blandine CORDIER-PALASSE

Présidente BCP PARTNERS, Co-fondatrice Le Cercle de la Compliance