Créer une fonction compliance au sein de l’entreprise

Par LA LETTRE DES JURISTES D'AFFAIRES

Par Axel Jurgensen, Associé Day One

L’éthique et la conformité sont aujourd’hui au cœur des défis des entreprises. Lutte anti-blanchiment, lutte anti-corruption, traitement des données à caractère personnel, délits d’initiés, antitrust, RSE, les sujets des métiers de la compliance, souvent brûlants, ne manquent pas.

Ils sont d’autant plus d’actualité que nombre de réglementations nationales ou communautaires en la matière s’appliquent désormais à des entreprises n’ayant pas leur siège dans le pays ou la zone concerné(e), en vertu du principe d’extraterritorialité : c’est le cas par exemple du FCPA, auquel une entreprise ayant un compte en banque aux Etats-Unis ou commerçant en dollars est soumise, sans pour autant avoir une filiale sur place, ou plus récemment du RGDP ou de la loi Sapin II, qui appliquent également – selon certaines conditions – le principe d’extraterritorialité. Aussi, de plus en plus conscientes de l’importance stratégique et financière de ces sujets, nombre d’entreprises envisagent aujourd’hui de se doter d’une véritable fonction compliance. Or, du fait du caractère encore relativement nouveau[1] et hautement protéiforme de ces sujets, la mise en place d’une telle fonction n’est pas toujours aisée, et appelle quelques clarifications préalables.

Définition de la Fonction compliance

« Fonction compliance », de quoi parlons-nous ? Lorsque l’on évoque la compliance au sens large, la première chose à faire consiste à définir cette terminologie. D’une entreprise ou d’un secteur à l’autre, les appellations oscillent en effet entre « direction conformité », « direction compliance », « business integrity », etc. Nous retiendrons ici l’expression « éthique et compliance », qui fait référence à une fonction en charge de veiller non seulement au respect d’un certain nombre de réglementations, mais aussi plus largement à l’application des valeurs et de la philosophie du groupe (charte éthique, code déontologique, intégrité des affaires, etc.).

Au-regard des créations de fonction éthique et compliance que nous avons réalisées chez Day One, deux enjeux nous semblent essentiels à la réussite d’une telle entreprise.

Le périmètre de l’éthique et de la compliance

Le premier enjeu réside dans la définition du périmètre de l’éthique et de la compliance retenu par la société ou le groupe.

Pour ce faire, il conviendra d’identifier et de prioriser les sujets de conformité les plus importants eu égard au secteur d’activité de l’entreprise, à sa culture, sa stratégie et – plus encore – à la volonté du Top Management. Ce processus devrait permettre de classer les enjeux de compliance en deux grandes rubriques :

« Essentials». On y classe habituellement tous les sujets relatifs à l’éthique, la corruption, la fraude, le blanchiment, les conflits d’intérêts, le droit de la concurrence, le contrôle des exportations / embargos, à la sécurité des données et les sujets relatifs aux tiers et partenaires.
« Becoming Essentials». Sont ici le plus souvent concernées les sujets de RSE, qu’il s’agisse des droits humains, de l’égalité d’accès à l’emploi, de la conformité environnementale, ou encore de la discrimination et des harcèlements, mais également les questions de confidentialité (hors traitement des données à caractère personnel) aux dons/mécénat et au droit des animaux pour certains secteurs par exemple.

Ces différents rangs de priorité sont à apprécier en fonction du secteur de l’entreprise, de ses obligations réglementaires et de sa maturité sur ces sujets.

La structuration de la Fonction compliance

Une fois cette cartographie clairement définie au sein de l’entreprise, le second enjeu réside dans la structuration de la fonction en elle-même. Celle-ci doit en effet être dotée de la bonne organisation, de ressources humaines adéquates, d’outils performants et – plus encore – des bons messages à véhiculer.

En matière d’organisation, le plus important est de positionner la fonction en amont des process et de lui garantir une bonne intégration dans le cycle des projets afin de lui permettre d’être dans l’anticipation. C’est en effet en étant intégrée et informée des problématiques en amont que la fonction compliance apporte le plus de valeur ajoutée. La nature du rapport hiérarchique a peu d’importance d’un point de vue administratif tant que le Directeur ou Responsable de la conformité est consulté suffisamment en amont. En effet, cela coûte bien plus cher en temps et en énergie de rattraper une mauvaise application d’une réglementation a posteriori que de faire une étude d’impact. Le Chief Compliance Officer doit aussi clairement reporter, d’un point de vue fonctionnel, a minima, au PDG ou au DG de l’entreprise, afin de pouvoir bénéficier de l’indépendance nécessaire à l’exercice de la mission et d’être en prise direct avec le « Tone at the Top».
En matière de ressources humaines, on privilégiera des profils pluri-disciplinaires et orientés business car, si l’expertise juridique est un atout certain, voire un prérequis, dans l’exercice efficient des missions de conformité, les compliance officers ne doivent pas seulement être de bons juristes, mais aussi et surtout être informés et comprendre la stratégie de l’entreprise et la réalité des métiers des opérationnels afin de pouvoir développer un programme, des contrôles et in fine une culture appropriée. Ils doivent avoir des « soft skills » également très importantes notamment : « leadership », « assertivité », « communication interpersonnelle », « négociation » et, du courage !
Les outils, notamment digitaux (« Regtech »), sont une des clés du succès de la fonction compliance, car elle est transversale à l’ensemble de l’entreprise et nécessite une remontée constante de l’information en mode « Bottom up». Dès lors, au-delà de la nécessité de doter la fonction de relais identifiés au sein des unités opérationnelles, toute démarche ou outil permettant d’automatiser, de dématérialiser, ou de désintermédier les process compliance constitueront des gages de réussite. A toutes fins utiles, on citera notamment les outils de blended learning (permettant un mix de e-learnings et de formations présentielles), les outils d’auto-évaluation de la culture conformité, les outils de dématérialisation et de robotisation KYC, ou encore les outils de reporting de la fonction compliance, tous particulièrement « en vogue » au sein des directions éthique et compliance.

La définition et la communication des messages clés

La définition et la communication des messages clés est tout aussi essentielle. En effet, comme le soulignent de nombreux régulateurs[2], les heures que les compliance officers passent à rédiger des procédures sont vaines si les opérationnels ne les appliquent pas. Or, ce défaut d’application des procédures est souvent dû à la « culture » même de l’entreprise, qu’il conviendra dès lors de faire évoluer. Et ce n’est pas là le défi le plus simple à relever. Trois aspects nous semblent fondamentaux en la matière.

D’abord, la définition du « Tone at the Top », ainsi que sa formalisation et sa diffusion en interne. Cet engagement des dirigeants d’un groupe donné en matière d’éthique et de conformité est en effet primordial car il permet de créer une véritable dynamique au sein de l’entreprise. Il constitue d’ailleurs un critère d’évaluation de la robustesse d’un programme anti-corruption pour les américains et pour l’Agence Française Anti-corruption[3].
Ensuite, la formalisation et la diffusion du « Tone in the Middle », qui correspond à la déclinaison du « Tone at the Top » au niveau des Directeurs et des Managers de l’entreprise.
Enfin, la mise en place de programmes de sensibilisation et de formation des opérationnels et des populations les plus exposées au risque.

**La compliance comme outil de compétitivité**

Si elle est bien menée, la création d’une fonction compliance peut constituer un formidable outil de compétitivité. En effet, les scandales de non-conformité sont souvent très onéreux. Qu’on en juge par les affaires récentes ayant touché, dans des domaines différents, BNP Paribas, Walmart, Volkswagen ou plus récemment LafargeHolcim. En faisant de la compliance une véritable priorité et en évitant ainsi les lourdes amendes et les frais d’avocats considérables engendrés par certaines actions contentieuses, une entreprise a plus de réserve disponible afin d’investir et doper sa croissance. De même, en améliorant la réputation de l’entreprise, la fonction compliance (qui en est la garante) contribue à son développement, tant il est vrai que l’image « propre » est devenue un argument de vente, voire un prérequis dans certains secteurs, pour remporter des contrats. C’est ainsi que doit être envisagée la création d’une fonction compliance aujourd’hui : loin d’être une simple fonction de contrôle et un frein au business, elle est un vecteur clé de croissance de l’entreprise.

[1]Hors certains secteurs comme la banque, l’assurance, les entreprises pharmaceutiques pour qui la Fonction compliance existe depuis de nombreuses années.
[2]Compliance ‘Culture’–A Timeline of Regulators’ Comments – WSJ – February 5^th, 2016
[3]Voir les Recommandation de l’AFA, p6, disponibles sur le site : https://www.economie.gouv.fr/afa

Day One Compliance Conformité Sapin II RGPD LafargeHolcim Fonction compliance Business integrity Éthique et compliance