Les territoires de la compliance ne cessent de s’étendre au sein des entreprises

On a parfois tendance à considérer que toutes les activités de l’entreprise sont directement ou indirectement concernées par les programmes de compliance, sans nécessairement faire la part entre ce qui relève de la compliance stricto sensu et ce qui relève plus simplement de la gouvernance, voire de la bonne gestion des risques.

Les thèmes de la compliance sont riches. Ils concernent notamment les risques de concurrence, sanctions-embargos, LCB-FT, données personnelles, conflits d’intérêts, atteintes aux biens, intégrité des tiers (dans une acception plus large que l’anticorruption), enjeux de réputation, et plus récemment les risques d’exposition résultant des textes relatifs à la responsabilité sociale et environnementale de l’entreprise.

Existe-t-il vraiment une summa divisio entre les thématiques qui devraient être intégrées dans les programmes de compliance, et celles qui ne devraient pas leur être rattachées, ne serait-ce que pour déterminer les rôles et responsabilités des acteurs internes, et notamment les ressources de la fonction de « compliance officer » ?

Voici quelques repères pour aider les entreprises dans cet exercice d’évaluation de la mise en place ou la revue de leurs programmes de compliance.

La définition du périmètre de la compliance dépend fondamentalement du modèle d’affaires et de l’analyse des risques associée de l’entreprise.

Ainsi, à titre d’exemple, les paramètres suivants seront déterminants :

• quelle est la taille de l’entreprise et du groupe auquel elle appartient (critères de chiffre d’affaires et nombre de salariés en France, selon l’article 17 de la loi Sapin II) ?
• quelle est son activité (industrie, services, banque/assurance) ?
• quelle est la structure de l’actionnariat de l’entreprise (groupe international, familial, coté, fond d’investissement, etc.) ?
• quelle est l’exposition de l’entreprise aux marchés publics français ou à l’international ? 
• quelle est l’histoire et la culture du groupe ?
• comment est organisée la gouvernance ?
• quel est le profil des tiers (clients, fournisseurs, intermédiaires) ?
• comment est organisée le groupe à l’international, le cas échéant, et quelle est sa stratégie de développement ?
• l’analyse des risques est naturellement au cœur du processus : risque pénal, sanctions financières ou commerciales (i.e. interdiction de soumettre à des marchés publics), perturbations managériales ou encore risque de réputation. 

En fonction de l’analyse fine de ces paramètres et des risques associés, l’entreprise pourra déterminer le modèle idoine de compliance dans lequel elle veut pérenniser son développement.

Gestion d'entreprise

Découvrir tous les contenus liés

Si le groupe est soumis à l’article 17 de la loi Sapin II, le programme anticorruption mis en place sera nécessairement structurant car il permettra d’y associer les autres thématiques de compliance.

La mise en œuvre du programme s’inscrit alors dans le cadre très fourni du référentiel Anticorruption français, notamment les recommandations de janvier 2021 et les nombreux guides thématiques et sectoriels publiés par l’AFA.

Si tel n’est pas le cas, il est fortement recommandé de s’inspirer de ce texte pour mettre en place les mesures correspondantes, même sur un mode allégé (plutôt que « dégradé »).

A cet égard, l’AFA a publié en décembre 2021 un guide à destination des PME et des ETI avec le concours de la Confédération des petites et moyennes entreprises (CGPME) et le Mouvement des Entreprises Intermédiaires visant à permettre aux entreprises qui n’atteindraient pas les seuils de l’article 17 de se doter d’un programme « sur-mesure » adapté à leur profil de risque.

Selon notre expérience, bien des entreprises auraient pu éviter des cas de corruption ou de détournements de fonds, avec toutes les conséquences associées, si elles s’étaient dotées de mesures de compliance a minima (ex. cartographie des risques, contrôles comptables, procédures appropriées).

Ainsi, la mise en place d’un programme de compliance ne doit pas être conçue uniquement pour répondre à une obligation légale, mais aussi (et surtout) pour prévenir et détecter des schémas de fraude et de corruption, sous toutes ses formes (ex. escroquerie en bande organisée, abus de biens social, abus de confiance, recel de délits d’atteinte à la probité, etc).

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Les risques de concurrence peuvent affecter gravement et durablement les entreprises, quelle que soit leur taille, en cas d’infractions de cartel ou d’abus de position dominante. 

L’Autorité de la concurrence a publié un document-cadre le 24 mai 2022 qui encourage vivement les entreprises à se doter d’un tel programme. A vocation pédagogique, ce document détaille les mesures concrètes et effectives que les entreprises devraient mettre en œuvre pour prévenir les violations des règles de concurrence.

Pour mémoire, l’Autorité est revenue en 2017 sur sa pratique antérieure qui permettait aux entreprises de bénéficier de possibles réductions d’amendes en cas de programme de conformité aux règles de concurrence, considérant que « l’élaboration et la mise en œuvre de programmes de conformité ont vocation à s’insérer dans la gestion courante des entreprises, particulièrement lorsque celles-ci sont de taille conséquente ».

Cette thématique, rendue encore plus actuelle depuis les sanctions à l’encontre de la Russie, sera nécessairement prise en compte par les entreprises opérant à international.

Particulièrement complexe, cette question nécessite une analyse fine et un suivi en temps réel de l’évolution des sanctions internationales et embargos imposées à l’encontre de pays, personnes morales et physiques, par plusieurs pays ou organisations internationales : l’ONU, l’Union européenne, les Etats-Unis, le Royaume-Uni, la Chine, etc.

Ces risques doivent être également complétés par le respect du contrôle des exportations, qui concerne particulièrement les biens à double usage.

Nombre d’entreprises se sont ainsi dotées de programmes « sanctions-embargos » et mis en œuvre une organisation et des ressources adaptées pour gérer au mieux ce risque majeur.

Elles peuvent notamment s’appuyer sur les ressources du site de la direction du Trésor (ex. registre national de gel des avoirs), de la Commission européenne (cf. site EU sanction Map) ou encore de l’Office of Foreign Assets (OFAC) américain (et notamment « a Framework for OFAC Compliance commitments » sur le site de l’OFAC).

Autre thématique critique, les entreprises dites « assujetties » (banques, assurances, secteur immobilier, luxe…) doivent mettre en œuvre un programme sous le contrôle, notamment de l’ACPR, qui sanctionne régulièrement des « assujetties » dans le secteur bancaire et financier y compris des établissements disposant de programmes robustes et matures depuis de longues années. 

Le RGPD offre une boîte à outils diversifiée pour permettre aux organismes de gérer leur conformité d’une façon dynamique et de démontrer qu’ils respectent la règlementation : registre des traitements, mentions d'information, analyses d'impact sur la protection des données, encadrement des transferts, référentiels, certifications ou codes de bonne conduite.

Toutes les entreprises sont concernées, et sont fortement incitées à mettre en place un programme de conformité adapté au modèle d’affaires (ex. BtoB vs BtoC) et au profil de risque de l’entreprise.

La question de savoir si les enjeux de RSE constituent ou non des thématiques de compliance est débattue. La première école considère que par nature ces questions relèvent d’une logique différente et que faute de régulateur à même de sanctionner le non-respect des principes et normes de RSE (cf. notamment la décision TotalEnergies du 28 février 2023), la RSE ne saurait se réduire à de la compliance.

Pour d’autres, le mouvement initié par les directives CSRD et la proposition sur le devoir de vigilance européen dite CS3D conduira inexorablement les entreprises à mettre en œuvre des programmes de compliance RSE, notamment si un régulateur est institué avec le pouvoir d’édicter des recommandations et de prononcer des sanctions, à l’instar des autres autorités (ex. ADLC, ACPR, AMF, CNIL, AFA, HATVP).

Selon le modèle d’affaires de l’entreprise et son profil de risque, elle pourra mettre en œuvre des dispositifs dans les domaines suivants, qui concernent des thématiques transversales présentées ci-dessous.

Protection des lanceurs d’alerte

Pour mémoire, et c’est un point critique, la loi Waserman du 21 mars 2022 (transposant la directive européenne visant à protéger les lanceurs d’alerte datant d’octobre 2019) impose aux entreprises employant plus de 50 salariés la mise en place d’un dispositif de recueil des signalements dont le champ est particulièrement vaste puisque qu’il concerne tout crime ou délit ou un préjudice pour l’intérêt général.

Enquêtes internes et investigations

Les enquêtes internes faisant notamment suite aux alertes (mais aussi le plus souvent suite à des audits ou réalisés dans le cadre de la chaîne managériale) concernent le plus souvent des problématiques de ressources humaines, mais peuvent aussi concerner des allégations d’atteinte aux biens (ex. détournement de fonds, escroquerie) ou d’atteinte à la probité (ex. corruption au sens large). 

La qualification pénale des faits est déterminante, notamment pour déterminer d’éventuelles actions judiciaires, y compris devant le parquet national financier (PNF) en cas de corruption. A cet égard, on pourra se reporter aux récentes publications de l’AFA et du PNF (ex. lignes directrices du PNF sur la mise en œuvre de la CJIP, datant de janvier 2023, et guide AFA-PNF sur les enquêtes internes en matière de corruption, publié en Mars 2023). 

Intégrité des tiers

Si cette question est généralement abordée au travers du programme anti-corruption, de plus en plus d’entreprises éprouvent la nécessité de mettre en place un dispositif plus large afin d’étendre le champ des due diligences de tiers (ex. sanctions, antitrust, RSE, réputation).

Conflits d’intérêts

De même, cette question est souvent traitée dans le cadre du programme anti-corruption. Pourtant, elle constitue une thématique transversale ancrée dans la gouvernance et la culture éthique de l’entreprise. On lui rattache le plus souvent le dispositif sur les déclarations des actions de représentation d’intérêts à la Haute Autorité pour la transparence de la vie publique (HATVP), du moins pour les entreprises concernées.

Dans de nombreux secteurs, des autorités administratives disposent de pouvoirs de sanctions propres aux secteurs qu’ils ont la mission de contrôler (ex. secteurs nucléaire, santé, ferroviaire, etc.). 

Des programmes de compliance spécifiques sont alors établis pour maîtriser au mieux le respect de ces règlementations par les entreprises concernées.

Un programme de conformité thématique ou transversal a vocation à s’insérer dans un programme de conformité global qui rassemble l’ensemble des dispositifs préventifs mis en place par l’entreprise (en matière de lutte contre le blanchiment et la corruption, de protection des données personnelles, de responsabilité sociale, sociétale et environnementale, etc.).

La gouvernance du programme global et des programmes thématiques ou transversaux nécessite la mise en place d’une organisation rigoureuse, à même de les gérer de manière efficace, sous le contrôle vigilant des organes de gouvernance, notamment les comités d’audit.

Ainsi, ce mouvement global somme toute assez récent constitue-t-il bien une véritable révolution dans l’organisation des entreprises, et nécessite l’allocation de ressources adaptées en fonction du profil de risques de l’entreprise.

Si le programme est surdimensionné, il peut affecter l’agilité opérationnelle de l’entreprise. En revanche, si la couverture des risques ou le sous-dimensionnement d’un programme nuit à son efficacité pour prévenir et détecter la survenance d’un risque majeur, le coût pour l’entreprise peut être largement supérieur à l’économie réalisée.

Dès lors, les rôles et responsabilités et les ressources de la fonction compliance (ainsi que de toutes les fonctions qui concourent à la mise en œuvre du programme global) constituent un défi majeur pour les instances de gouvernance et les organes exécutifs.