Origines et enjeux de la compliance

Compliance et gouvernance

Par Blandine CORDIER-PALASSE

Présidente BCP Executive Search, Co-fondatrice Le Cercle de la Compliance


On constate l’attente pluri-stakeholders de la prise en compte de la compliance, qui parfois arrive au sommet des préoccupations des instances dirigeantes plus par la pression des investisseurs que par la pression réglementaire. Et les compliance officers montent en grade dans les organisations au plus près de la gouvernance. Aujourd’hui, savoir anticiper les risques de compliance est devenu stratégique.


Qu’est-ce que la compliance ? Après avoir défini ce qu’était la compliance pour une entreprise, identifié ses origines législatives et son périmètre, nous aborderons le rôle de la gouvernance dans son efficacité et montrerons l’impact d’un programme de compliance intelligemment mis en œuvre sur la stratégie de l’entreprise. Nous évoquerons ensuite le rôle-clé du compliance officer et les compétences que celui-ci doit avoir pour réussir pleinement sa mission au sein de l’entreprise.


Qu’est-ce que la compliance ?

Terme assez récent, la notion même de compliance peut être définie comme « l’ensemble des processus qui permettent d’assurer la conformité des comportements de l’entreprise, de ses dirigeants et de ses salariés, aux lois, règlements, normes, usages professionnels et exigences éthiques qui leur sont applicables ».


Ce terme a été utilisé pour la première fois aux Etats-Unis lors de la grande crise de 1929 et les manœuvres de certains opérateurs bancaires. En Europe, ce terme fait irruption dans les années 1960 derrière la codification du Droit de la Concurrence. Plus récemment, la prise de conscience de la globalisation de la vie économique et la place croissante des grands acteurs du net ont mis en exergue nombre des composantes de la compliance destinées à se prémunir face à certains risques et dysfonctionnements. Tout cela a finalement conquis l’ensemble du monde de l’entreprise, notamment dans le domaine de la gouvernance, avec la RSE et ses composantes.

Le mot anglais « Compliance » est tiré du verbe to comply qui vient lui-même du latin complire et qui a donné accomplir. Le suffixe anglais de ply que l’on trouve dans to comply, signifie que l’on consent. To comply veut donc dire que l’on consent à agir selon un ensemble de règles qui ont d’autres sources que la seule loi.


En français on utilise souvent de façon indifférente les termes de conformité et de compliance, pensant que la conformité serait la traduction du terme anglais compliance. Or, conformité et compliance ne recouvrent pas la même réalité. Quand on utilise le mot conformité, on vise l’identité dans la forme - on parlera ainsi de 

« copie conforme ». Quand la loi prend la forme d’une obligation, les choses sont simples : en respectant les obligations légales, on respecte la loi, on est « conforme ». Mais quand la loi dit ce qu’il ne faut pas faire, par exemple qu’il ne faut pas payer de pots de vin ou qu’il ne faut pas nouer d’ententes commerciales, les choses deviennent plus complexes.


À première vue, on pourrait dire que si une entreprise n’est pas poursuivie pour corruption ou pour entente, c’est qu’elle ne paye pas de pots de vin et n’a pas formé de cartels avec ses concurrents. L’un et l’autre sont des
crimes cachés, commis par des individus intelligents qui vont utiliser leur connaissance de l’entreprise pour dissimuler les actes frauduleux et en effacer les traces : s’il n’y pas de corruption visible, cela ne veut donc pas nécessairement dire qu’il n’y a pas d’actes corrompus. Il en va de même pour les atteintes au droit de la concurrence : s’il n’y a pas de poursuites pour entente, cela ne veut pas dire qu’il n’y a pas de cartel !


Il est dès lors légitime que les parties prenantes de l’entreprise - actionnaires, salariés, société civile, clients, fournisseurs, partenaires - considèrent que ce n’est pas parce qu’un délit n’a pas été identifié qu’il n’y en a pas. Elles posent donc la question : comment la direction de l’entreprise est-elle certaine qu’il n’y a pas de délit ? Quelles mesures a-t-elle mises en œuvre pour prévenir et détecter ce délit ? Et ce sont précisément ces règles volontaires, que l’entreprise va se donner pour s’assurer de l’absence de délit, qui vont constituer le corpus de compliance de l’entreprise.


Comme le dit Philippe Montigny 1    « On l’aura compris, la compliance est un ensemble de règles que l’entreprise se donne pour respecter l’esprit des lois et répondre aux attentes des parties prenantes. Mais les lois, et encore plus les attentes des parties prenantes évoluent. Les organes de direction doivent jouer un rôle de vigie et chercher à appréhender ce que sera la compliance de demain afin de s’y préparer ».


Origines et législation de la compliance

Textes fondateurs

L’une des sources de la compliance est le Foreign Corrupt Practice Act, loi fédérale américaine de 1977, publié pour lutter contre la corruption d’agents publics à l’étranger afin de répondre aux enjeux de sécurité financière. Son impact fut international et depuis, de nombreux pays ont adopté des lois similaires : l’Autriche en 1982, l’Allemagne en 1992 puis le Royaume uni avec le UK Bribery Act en 2010, l’Espagne en 2010, l’Italie en 2012, le Brésil et la Chine en 2013, la Russie au travers de plusieurs lois régionales anticorruption. 

La Convention de l’OCDE de 1997 constitue quant à elle le premier instrument mondial de lutte contre la corruption en établissant des normes juridiquement contraignantes tendant à faire de la corruption d’agents publics étrangers une infraction pénale. En luttant contre la corruption dans les transactions commerciales internationales, l’objectif de l’OCDE est de favoriser le développement, réduire la pauvreté et améliorer la confiance dans les marchés. Une grande partie de la corruption provenant des pays exportateurs, la particularité de la Convention de l’OCDE parmi les autres instruments multilatéraux de lutte contre la corruption tient à ce qu’elle vise les « corrupteurs » plutôt que les « corrompus ». À noter qu’elle a été ratifiée à date par les 37 pays membres de l’OCDE et 7 pays non-membres. Elle aide les pouvoirs publics et les entreprises à améliorer leur législation et leurs normes.


Évolutions récentes

En France, la loi Sapin II constitue la transposition en droit Français de ces règles internationales, et tout particulièrement de la Convention de l’OCDE de 1997, la Convention des nations-unies contre la corruption et la Convention pénale sur la corruption du Conseil de l’Europe du 21 janvier 1999, pour ne citer que quelques textes.
Elle représente une grande avancée : il y a vingt ans, les pots-de-vin étaient fiscalement déductibles en France !
Depuis le 9 décembre 2016, cette loi relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie publique impose la mise en place d’un lourd dispositif préventif en matière de lutte anticorruption.

En Europe, le mécanisme de compliance se développe dans des domaines fondateurs de l’union européenne
comme le droit de la concurrence, le droit financier ou le droit de l’environnement, mécanismes largement influencés par le droit américain qui a contribué à bâtir des règles spécifiques de compliance.

Les obligations en matière de données imposées par le règlement général européen sur la protection des données (RGPD) ont sensibilisé chacun d’entre nous en tant que consommateur, client, amateur de réseaux sociaux aux
contraintes mais aussi et surtout à l’intérêt et à la nécessité de protéger certaines informations sensibles.

L’union européenne a d’ores et déjà contribué au développement et à la cohérence de ces règles, aussi bien à l’intérieur de l’union que vis-à-vis du droit américain. On peut penser qu’un « droit européen de la compliance » aidera à une autonomisation du droit de l’union européenne face au droit américain, contribuant ainsi au projet européen.

De son côté, la France a adopté la réglementation relative à la lutte contre le blanchiment de capitaux et le financement du terrorisme très rapidement après l’élaboration des 40 recommandations du Groupe d’action financière (GAFI) et de la première directive européenne.


Les champs couverts par la compliance

Mais, tout cela ne doit pas cantonner la compliance au seul management des risques, car comme mentionné plus haut, ce serait prendre un risque stratégique. En effet, les domaines d’application de la compliance sont vastes. À titre d’exemples, voici une liste non exhaustive des domaines concernés :

• les délits d’initié et la confidentialité des informations ;
• la responsabilité des dirigeants et la prévention des éventuels conflits d’intérêt ;
• la lutte contre la corruption, le trafic d’influence, la concussion, la prise illégale d’intérêts, le détournement
de fonds publics et le favoritisme ;
• l’antitrust, l’export Control ;
• les délits financiers et environnementaux ;
• la fraude quelle qu’en soit la nature ;
• les droits humains ;
• la responsabilité sociale et environnementale (RSE).


Cette liste montre que l’univers de la compliance est en réalité très large car s’il est question de la « conformité », on s’intéresse surtout à la façon dont on agit au sein de l’entreprise. Et là, nous entrons dans le champ de la
gouvernance à condition qu’il n’y ait pas seulement effet d’annonce d’un programme « cosm’éthique », mais bien réalité et mise en œuvre dudit programme qui doit s’appliquer de manière holistique et opérationnelle, aussi bien aux maisons mères qu’à toutes les entités et filiales du groupe. C’est pour cette raison que les agences de notation évaluent aujourd’hui les pratiques des entreprises et publient des indicateurs de mesure.


Compliance : le rôle de la gouvernance


Gouvernance et compliance, même vision : pas de gouvernance sans compliance et pas de compliance sans gouvernance ! Une bonne gouvernance orchestrera les forces en présence, en « alignant » le Conseil d’administration, les dirigeants, les actionnaires, les salariés, sur une même stratégie de croissance pérenne et en 
tenant compte des parties prenantes.

La loi Sapin II d’ailleurs le précise : « Les présidents, les directeurs généraux et les gérants d’une société employant au moins cinq cents salariés, ou appartenant à un groupe de sociétés dont la société mère a son siège social en France et dont l’effectif comprend au moins cinq cents salariés, et dont le chiffre d’affaires ou le chiffre d’affaires consolidé est supérieur à 100 millions d’euros sont tenus de prendre les mesures destinées à prévenir et à détecter la commission, en France ou à l’étranger, de faits de corruption ou de trafic d’influence ».
Ainsi, au sein du conseil, les administrateurs auront à intégrer les problématiques de compliance dans différentes décisions qu’ils seront amenés à prendre. Il est très différent pour un conseil de fixer un objectif d’augmentation de chiffre d’affaires de 3 % en affirmant zéro tolérance/no compliance ; ou de fixer 3 %, quels que soient les modalités et les risques de non-compliance. La prise en compte de la compliance peut donc les conduire à décider de renoncer à des opportunités ou à abaisser les objectifs en raison de problèmes avérés - ou même seulement de risques - de conflits d’intérêts, de corruption, d’ententes...


Les risques de compliance peuvent réellement impacter l’entreprise y compris au niveau opérationnel. Il est donc indispensable que ces sujets puissent remonter au plus haut niveau de l’organisation afin de contribuer à une prise de décision éclairée de l’instance dirigeante. À cet effet, il est essentiel que le conseil mette en place un moyen d’être informé régulièrement à la fois avec des sources internes, mais aussi avec des sources externes, voire des experts indépendants.


Le tandem conseil d’administration/ComEx ou CoDir


Un fort enjeu existe dans le tandem conseil d’administration/ Comex ou CoDir : en effet, l’un donne les orientations, mais n’a pas toutes les cartes en main, tandis que l’autre, qui a toutes les cartes, se doit de les donner au conseil. D’ailleurs, conduire une réflexion sur la confiance entre conseil d’administration /Comex ou CoDir, notamment sur les risques que le Comex peut avoir tendance à minimiser pour se concentrer d’abord sur les résultats financiers, peut être une première étape dans l’instauration d’une gouvernance efficace.


Le conseil d’administration a un rôle primordial dans la politique de compliance : celui de l’impulser. Il doit montrer que ce sujet non seulement l’intéresse mais qu’il en fait une condition nécessaire à la réalisation du chiffre d’affaires et des objectifs. Il doit avoir un retour sur les risques de non-conformité légale, de non-compliance aux bonnes pratiques, ou encore de non-compliance aux attentes de l’opinion et ce, à un niveau profond de granularité. Par exemple, ne pas avoir la norme ISO 37001 va sans doute impliquer de ne pas pouvoir répondre à certains appels d’offre publics dans certains pays.


L’un des moyens de son action passe d’abord par la mise, en place d’un comité d’éthique/compliance, souvent couplé à un comité des risques. Ces comités jouent un rôle essentiel dans la définition du programme d’éthique et de compliance puis dans son déploiement. Au-delà de ces comités, le conseil aura à veiller, à travers la dirigeance, à la mise en place effective de règles, de contrôles et éventuellement de sanctions, sans lesquels la politique de compliance risque d’être lettre morte et bavardage de charte alors qu’au contraire, ces principes doivent se traduire en termes d’objectifs et de résultats.

La compliance doit être annoncée comme une priorité et ce au plus haut niveau de l’entreprise, la compliance
devant être une valeur d’adhésion. La compliance est une façon d’être, avant d’être une façon de faire !
Les parties prenantes ont besoin de sentir que la compliance est portée au plus haut niveau par la gouvernance, qu’elle est incarnée aussi dans les équipes et relayée en particulier par le middle management, et qu’elle se traduit par l’exemplarité de chacun. Si on sent que la compliance est vécue très concrètement par tous, y compris par un management bienveillant, cela permet d’asseoir la réalité et la crédibilité de la démarche et de l’engagement.


Compliance et stratégie

Mais la compliance n’est pas que discipline managériale. Elle a aussi une dimension stratégique puisqu’un défaut de compliance au regard des obligations légales ou de l’éthique des affaires peut engendrer un coût financier très élevé (amende, enquêtes, conseils, etc…), un risque fort d’image et de réputation, et engager la responsabilité personnelle civile et pénale des dirigeants.

Il serait donc judicieux pour la gouvernance de la considérer non comme un « coût » mais bien comme une véritable dépense d’investissement stratégique. On constate que pour réussir, cette évolution de paradigme doit passer par la mise en œuvre d’un véritable management du changement. Pour commencer, la direction générale devra :

• lister les problématiques auxquelles est confrontée l’entreprise ;
• s’assurer qu’il n’y a pas de non-conformité légale afin d’éviter des dépenses inutiles à la place d’investissements plus pertinents stratégiquement ;
• définir les enjeux selon les marchés, les services et les produits ;
• étudier les risques fonctionnels, opérationnels, d’image et de réputation afin d’anticiper les zones de problème ;
• préparer l’entreprise à l’impact du programme sur son fonctionnement en termes non pas de contraintes et de coûts – mais plutôt d’investissements et de changement de façon de faire, voire de business model - induits et à l’éventualité de révélations délicates comme la mise à jour de pratiques condamnables ;
• concevoir l’organisation optimale tout en tenant compte de la culture de l’entreprise. 


La compliance est aussi une arme économique : au lieu de n’y voir qu’un ensemble de contraintes juridiques, les entreprises se sont, depuis une vingtaine d’années, organisées pour définir les « bonnes pratiques ». Citons ainsi la commission anticorruption de la Chambre de commerce internationale (ICC) qui joue un rôle de leader dans l’élaboration des règles du commerce international et dans la diffusion de bonnes pratiques. L’enjeu était de concevoir collectivement ce qu’il fallait définir pour s’assurer de la bonne conformité à la loi tout en définissant ce qui « convient aux entreprises ».

Ainsi, les entreprises qui ont signé le Global Compact des Nations Unies entendent non seulement faire l’effort de leur côté, mais aussi veiller à ce que leurs fournisseurs et les autres parties prenantes agissent de même. Quand de telles attitudes et de tels comportements sont pris en compte dans les relations commerciales, on voit bien qu’il s’agit réellement d’avantages compétitifs possibles !

Ajoutons enfin que les normes ISO ont pris le relais.


Toujours d’un point de vue stratégique, notons qu’après la loi, après les usages professionnels, les bonnes pratiques et les normes, le troisième référentiel de la compliance est issu des exigences éthiques et des attentes de l’opinion. On y trouve pêle-mêle les droits de l’homme, les préoccupations environnementales, sociales et autres enjeux RSE, qui, s’ils ne sont pas pris en compte suffisamment sérieusement par les entreprises, peuvent devenir rapidement l’objet d’une loi et être plus compliqués à mettre en œuvre. L’enjeu stratégique est ici de percevoir les attentes émergentes de l’opinion - les parties prenantes -, d’y répondre par de bonnes pratiques, et des bonnes pratiques crédibles ! Bien sûr, les attentes de l’opinion sont souvent complexes et mal définies, mais parfois un fait divers les cristallise, sans pour autant gommer leur complexité. On pense à la question des données personnelles chez les GAFA ou à l’émergence de mouvements comme #metoo, etc… la veille stratégique doit alors couvrir aussi ces domaines.


Enfin, dans les premiers temps des politiques de compliance, on pensait que le « ton » devait être donné par le
« sommet », le fameux « tone at the top », mais on s’est rendu compte que le middle management était aussi fondamental et que la réussite de la mise en œuvre concrète de la compliance est l’affaire de tous. C’est pourquoi la présence de relais et de leviers – tels que le compliance officer - est fondamentale.


La mise en œuvre de la politique de compliance - le chief compliance officer


L’une des clés de la mise en œuvre d’un tel changement passe aussi par la nomination d’un « Chief compliance offcer ». Il sera le véritable chef d’orchestre, jouant la partition du Comex dont le thème est donné par le Conseil d’administration. Il collaborera de manière très transverse, pluridisciplinaire et matricielle avec les directions juridique, risques, ressources humaines, développement durable et les directions opérationnelles pour analyser l’ensemble des risques juridiques, des risques opérationnels et extra financiers, évaluer l’impact de l’ensemble des réglementations internationales, des normes professionnelles sectorielles sur le business, pour prendre en compte 
les attentes des parties prenantes externes, etc…

La loi Sapin II, avec ses huit piliers qui, même s’ils concernent essentiellement la prévention de la corruption, servent de base à l’élaboration du programme et à l’approche compliance d’un certain nombre de problématiques, a à la fois accru et ancré la fonction du compliance officer et, sans entrer dans les détails de tous les enjeux, nous citerons :

• l’élaboration d’un code de conduite et d’une cartographie des risques ;
• la mise en place de procédures d’évaluation des tiers, d’un dispositif d’alerte et de procédures de contrôles comptables, internes ou externes ;
• la mise en place d’un dispositif de formation ainsi que d’un régime disciplinaire permettant de sanctionner les salariés ;
• la mise en place d’un dispositif de contrôle et d’évaluation des mesures mises en œuvre.

Sans oublier que la loi Sapin II n’est que le volet français des réglementations internationales sur la prévention de la corruption applicables aux groupes internationaux. Et comme nous l’avons vu, bien d’autres réglementations, normes, enjeux géopolitiques doivent être appréhendés dans une démarche holistique et mondiale de la compliance pour définir et mettre en œuvre la stratégie de l’entreprise. On comprend donc que le compliance officer doit avoir l’indépendance, les moyens et les ressources nécessaires à l’exercice de ses missions – dont celle de faire remonter des sujets, mêmes sensibles au comité d’audit, au président – et c’est le rôle de la gouvernance de créer des conditions, notamment en termes de confiance, favorables à son efficacité d’action.

On comprend aussi pourquoi on assiste à une véritable montée en grade de la fonction compliance. Il y a quelques années, les entreprises nous sollicitaient pour recruter plutôt des jeunes, souvent rattachés à la direction juridique, pour mettre en place des programmes de « conformité ».De plus en plus, elles réalisent l’importance de s’appuyer sur des profils plus expérimentés, qui comprennent le business et les rouages de l’entreprise, qui savent interagir avec les différentes fonctions de l’entreprise, qui ont déjà acquis une bonne expérience en matière de compliance pour être capables de mettre en place, déployer et monitorer le programme, assurer la formation et la sensibilisation des dirigeants et des opérationnels et soient perçus comme légitimes et crédibles. Sur le plan des compétences, les compliance officers doivent avoir une sensibilité juridique marquée mais aussi comprendre le business et parler le langage des opérationnels. Ils doivent être assez proches du top management, tout en ayant la capacité de le challenger afin d’avoir les coudées franches pour implémenter un programme de conformité solide, efficace, déployé de manière holistique dans toutes les entités du groupe et aligné avec la stratégie de l’entreprise : cela suppose une certaine maturité et autorité mais aussi du courage pour faire évoluer le « on a toujours fait comme ça».


Vers une direction « Éthique et Compliance »

Nous conclurons avec la proposition de créer une direction regroupant l’ensemble des composantes avec à sa tête un directeur « Éthique et Compliance ». On sait en effet que, lorsque la fonction Compliance existe dans une entreprise, on ne lui demande pas toujours dès le départ d’intervenir dans les décisions stratégiques. Or, cette légitimité est clé. Avoir un directeur « Éthique et Compliance » qui a un rôle de chef d’orchestre transversal car proche à la fois de la Direction générale, des opérationnels et des directions fonctionnelles juridiques, risques, finance, ressources humaines en particulier, et vertical – car rapportant aux instances de gouvernance et infusant la culture jusqu’aux équipes de terrain – confère à la fonction une véritable dimension stratégique. D’aucuns donnent à ce directeur une place au Comex et lui ouvrent régulièrement, voire dans certaines situations, une invitation aux réunions du Conseil d’administration. Cette fonction serait à l’écoute des différentes parties prenantes dont on a souligné l’importance, en tant qu’acteurs de la compliance et de la gouvernance. Le savoir-être du directeur « Éthique et Compliance » est fondamental pour faire évoluer le groupe dans une culture d’éthique et de compliance.


Nous finirons en disant que la compliance est l’un des fondements de la stratégie des entreprises du XXIème siècle, la condition nécessaire – mais non suffisante – de la performance et de la pérennité de l’entreprise. Les faibles la verront comme une contrainte supplémentaire, les forts comme un mode de gouvernance de toute l’entreprise, une façon de respecter les hommes et les femmes que sont les clients, les employés, les fournisseurs et de manière plus globale, l’écosystème de toutes ses parties prenantes.


Blandine CORDIER-PALASSE

Présidente BCP Executive Search, Co-fondatrice Le Cercle de la Compliance