Com­pliance : lignes di­rec­trices pour la con­for­mité des en­tre­prises

Un com­por­te­ment éthique et le respect des lois doit être une évidence pour toutes les en­tre­prises. Cependant, des incidents récents ont montré que ce n’est mal­heu­reu­se­ment pas toujours le cas. En effet, la « com­pliance » demeure un sujet constant de litige. Après tout, les en­tre­prises ne fonc­tion­nent pas en vase clos, mais leurs activités affectent les sphères de nombreux groupes d’intérêt. Non seulement les grandes en­tre­prises, mais aussi les PME sont donc soumises à des pressions pour qu’elles dé­fi­nis­sent et adhèrent à un ensemble de valeurs. Compte tenu de la com­plexité du discours et du sujet, la première question qui se pose est la suivante : qu’entend-on donc exac­te­ment par le terme de com­pliance ?

Le terme de « com­pliance » (en français : con­for­mité ou plus spé­ci­fi­que­ment con­for­mité rè­gle­men­taire), est désormais fré­quem­ment utilisé dans le ma­na­ge­ment des affaires et le droit. Il provient du système financier américain, mais est aujourd’hui utilisé dans pra­ti­que­ment toutes les in­dus­tries et secteurs éco­no­miques. Il s’agit es­sen­tiel­le­ment du respect des rè­gle­men­ta­tions par les en­tre­prises et leurs employés. Dans le passé, cela sig­ni­fiait avant tout le respect des lois. Pour les banques, par exemple, l’accent a été mis en 2010 avec les dis­po­si­tions de la loi de ré­gu­la­tion bancaire et fi­nan­cière (LRBF).

Au­jour­d'hui, cependant, le concept de com­pliance se ca­rac­té­rise depuis longtemps par un champ d’action de plus en plus vaste : outre le respect de la loi, le concept inclut désormais la re­con­nais­sance de normes et de lignes di­rec­trices de l’industrie. Mais ce qui est encore plus important, c’est l’en­ga­ge­ment vo­lon­taire envers des valeurs propres et le dé­ve­lop­pe­ment de bonnes pratiques, avec les­quelles une en­tre­prise impose des règles éthiques strictes aussi bien pour sa conduite interne qu’externe.

Mais pourquoi la con­for­mité est-elle si im­por­tante ? Qu'est-ce qui se cache derrière le concept de com­pliance et quels sont les objectifs d’une en­tre­prise qui s’engage dans cette voie ?

D’un point de vue purement com­mer­cial, la fonction de com­pliance a des mo­ti­va­tions es­sen­tiel­le­ment stra­té­giques : en effet, tout comme les personnes physiques, les en­tre­prises, en tant que personnes morales, doivent se conformer aux lois na­tio­nales et in­ter­na­tio­nales en vigueur. En France, la loi stipule que les sociétés et les man­da­taires sociaux doivent veiller à ce qu’aucune violation de la loi (code du travail, code civil etc.) ne se produise dans une société.

Ne pas le faire pourrait entraîner des sanctions telles que des amendes, une capture des profits ou même l’ar­res­ta­tion et des peines de prison. En outre, il existe des con­sé­quences et des coûts internes et externes qui peuvent être encourus par l’en­tre­prise dé­fail­lante, tels que des con­sé­quences pour le personnel ou des demandes de dommages et intérêts de la part des clients et des par­te­naires com­mer­ciaux. Toutefois, ces sanctions ne se limitent pas à une seule société, mais peuvent affecter l’ensemble d’un groupe, d’une société mère et même d’un secteur d’activité. Évi­dem­ment, une assurance n’offre pas de pro­tec­tion dans un tel cas.

Le principal rôle de con­for­mité est donc d’éviter ou d’iden­ti­fier ra­pi­de­ment les com­por­te­ments criminels et d’y réagir de manière ap­pro­priée afin de minimiser le risque éco­no­mique qui peut en résulter. Bien qu’il ne soit pas possible d’éviter ainsi des in­frac­tions dé­li­bé­rées aux règles, l’existence de mesures de con­for­mité peut conduire toutefois à une réduction de la res­pon­sa­bi­lité des ges­tion­naires. La prise en compte d’un système de contrôle interne pour réduire les sanctions dépend toutefois toujours du cas d’espèce.

Le « die­sel­gate », scandale sanitaire et in­dus­triel sur les normes de pollution occupe les médias, l’industrie et les po­li­tiques depuis septembre 2015. C’est un exemple bien connu de violation de la con­for­mité : le groupe Volks­wa­gen a admis avoir utilisé un système et des tech­niques pour réduire frau­du­leu­se­ment les émissions pol­luantes de ses moteurs notamment diesel pendant les tests d’ho­mo­lo­ga­tion et cela depuis janvier 2013. En ma­ni­pu­lant sim­ple­ment les niveaux d’oxyde d’azote pour pouvoir con­tour­ner les normes d’émission ap­pli­cables, une violation délibérée de la loi a donc été ordonnée par la direction. Depuis lors, le groupe n’a cessé d’attirer l’attention du public et des médias : Martin Win­ter­korn, PDG de la société, a dé­mis­sionné de son poste, et risque 25 ans de prison. Mais c’est toute l’industrie au­to­mo­bile qui se trouve par con­sé­quent dans une crise grave et d’autres marques, comme Chrysler ou Renault, sont aussi sus­pec­tées, de nom­breuses enquêtes pénales et civiles sont en cours.

De nombreux cons­truc­teurs au­to­mo­biles sont de plus en plus forcés d’évoluer du fait des pressions des as­so­cia­tions de con­som­ma­teurs, clients et la justice. Les con­sé­quences fi­nan­cières ne peuvent pas encore être plei­ne­ment prévues, mais dans le pire des cas, le fleuron de l’industrie allemande Volks­wa­gen devra faire face à des coûts totaux pouvant atteindre 100 milliards d’euros.

Un discours public de plus en plus important sur la res­pon­sa­bi­lité sociale des en­tre­prises a conduit à l’ajout d’une com­po­sante éthique au concept de com­pliance. Les parties prenantes, c'est-à-dire les groupes d’intérêt concernés tels que les clients, les employés et les résidents à proximité des usines, attendent des en­tre­prises non seulement qu’elles res­pec­tent les règles et la lé­gis­la­tion dans l’intérêt de l’en­tre­prise, mais aussi qu’elles res­pec­tent et défendent une éthique et les valeurs civiques ha­bi­tuelles dans le secteur. Ainsi, les en­tre­prises ne doivent pas seulement ap­pa­raître comme de grands noms de l’économie, mais aussi et surtout comme des en­tre­prises ci­toyennes au sens d’une res­pon­sa­bi­lité sociétale des en­tre­prises, abrégé en RSE.

Ce qui est considéré comme so­cia­le­ment res­pon­sable est, dans une certaine mesure, prédéfini par les or­ga­nismes de cer­ti­fi­ca­tion et les codes de ré­gle­men­ta­tion reconnus. Toutefois, dans de nombreux cas, en par­ti­cu­lier dans les secteurs sensibles tels que l’énergie ou la chimie, l’en­tre­prise est tenue de respecter des valeurs propres, qui traitent de manière proactive et directe les conflits d’intérêts po­ten­tiels avec les parties prenantes in­di­vi­duelles. Une en­tre­prise dont les activités com­mer­ciales ont des im­pli­ca­tions éco­lo­giques doit donc également com­mu­ni­quer de manière trans­pa­rente ses exigences en matière de pro­tec­tion de l’en­vi­ron­ne­ment et de dé­ve­lop­pe­ment durable et faire face aux critiques cor­res­pon­dantes. Cela a un impact positif sur leur cré­di­bi­lité et leurs relations d’affaires.

Même si un en­tre­pre­neur doit s’in­té­res­ser par principe au bon respect des règles, un en­ga­ge­ment en faveur de la res­pon­sa­bi­lité sociétale de l’en­tre­prise a également un sens d’un point de vue purement éco­no­mique : outre les sanctions, les vio­la­tions des règles peuvent également avoir un certain nombre de con­sé­quences di­rec­te­ment non fi­nan­cières. Il s’agit en par­ti­cu­lier de la perte de ré­pu­ta­tion et de confiance entre les par­te­naires com­mer­ciaux et les clients. Même si les ac­cu­sa­tions s’avèrent fausses au final, les dommages causés à l’image d’une marque ou d’une société sont parfois énormes.

Dans le cas des ma­ni­pu­la­tions avérées de Volks­wa­gen, de simples excuses du Di­rec­toire n’ont pas suffi à apaiser le mé­con­ten­te­ment du public qui a suivi les ré­vé­la­tions : les instituts d’études de marché attestent que le groupe a une image gravement ternie. Le fait que les véhicules diesel vendus en Allemagne entre 2008 et 2015 pour­raient être res­pon­sables d’environ 1 200 décès pré­ma­tu­rés dus à la pollution at­mos­phé­rique en Europe, selon une étude du MIT (Mas­sa­chu­setts Institute of Tech­no­logy), a jeté de l’huile sur le feu. Ainsi, le scandale a une fois de plus déclenché la dis­cus­sion à long terme sur l’évolution des trans­ports, ce qui met main­te­nant l’industrie au­to­mo­bile sous pression pour agir plus fortement.

Un système de gestion de la con­for­mité (CMS : com­pliance ma­na­ge­ment system) est né­ces­saire pour la mise en œuvre et l’ap­pli­ca­tion du respect des règles dans l’en­tre­prise, ce qui garantit le respect de toutes les di­rec­tives et permet la détection rapide des vio­la­tions des règles. L’objectif de ce système de gestion de la con­for­mité est de mettre en œuvre et de maintenir une culture de con­for­mité trans­pa­rente, sans ambiguïté et clai­re­ment com­pré­hen­sible.

En raison de la variété des sujets et des domaines d’intérêt que le concept de com­pliance peut affecter, le dé­ve­lop­pe­ment d’un tel CMS n’est pas une tâche facile et rapide. Les en­tre­prises de taille moyenne, en par­ti­cu­lier, manquent souvent du savoir-faire né­ces­saire à la réa­li­sa­tion d’un tel projet. Il n’existe cependant pas d’approche uni­ver­selle, car les exigences in­di­vi­duelles de mise en œuvre dépendent également de l’industrie/secteur, de la taille et du type d’en­tre­prise et de la structure or­ga­ni­sa­tion­nelle. Néanmoins, voici une ex­pli­ca­tion sommaire des étapes les plus im­por­tantes :

Au début de chaque CMS (système de gestion de la con­for­mité), il y a un en­ga­ge­ment clair et homogène de la direction de l’en­tre­prise en matière de com­pliance ainsi qu’une dé­fi­ni­tion in­di­vi­duelle du terme adaptée à l’en­tre­prise. C’est la seule façon de s’assurer que tous les res­pon­sables tra­vail­lent ensemble et d’éviter les ma­len­ten­dus sur la nature et la portée du projet. Le sérieux de l’équipe de direction à l’égard de cet en­ga­ge­ment se mesure déjà à l’aune des capacités en personnel et du budget qu’elle est prête à dépenser. Une équipe de com­pliance efficace devrait être composée d’experts de tous les services d’une en­tre­prise (par exemple : gestion des res­sources humaines, ad­mi­nis­tra­tion fi­nan­cière, service juridique etc.). Ce n’est qu’ainsi qu’il est possible d’iden­ti­fier et de couvrir tous les domaines et les risques ima­gi­nables au sein de l’en­tre­prise.

Il est aussi possible d’obtenir de l’expertise sup­plé­men­taire auprès d’avocats externes ainsi qu’auprès de con­seil­lers fiscaux et de con­seil­lers en gestion notamment. Il est enfin ju­ri­di­que­ment né­ces­saire d’impliquer le comité d’en­tre­prise dans tous les processus dé­ci­sion­nels. Par exemple, il faut préciser si les contrats de travail ou les accords d’en­tre­prise existants doivent être modifiés. Un ca­len­drier réaliste et une ré­par­ti­tion clai­re­ment définie des rôles (y compris un chef d’équipe compétent) peuvent aider à gérer les coûts et à obtenir un résultat en temps voulu.

La tâche prin­ci­pale de l’équipe est alors d’effectuer une analyse sur l’état actuel. Il s'avère souvent que des struc­tures de com­pliance (au moins ru­di­men­taires) existent déjà dans l'en­tre­prise, sous la forme de « règles non écrites » qui s’ap­pli­quent aux employés. Sur la base de cette pré-éva­lua­tion, le statut futur est ensuite défini : quelles mesures et quels mé­ca­nismes doivent être complétés, modifiés ou en­tiè­re­ment dé­ve­lop­pés afin de vé­ri­ta­ble­ment créer un concept de com­pliance de l’en­tre­prise ? Il est pour cela utile d’iden­ti­fier les in­ter­faces de la société civile avec les­quelles l’en­tre­prise doit composer dans ses activités quo­ti­diennes.

Le cabinet in­ter­na­tio­nal d’audit KPMG avait justement apporté en 2016 à ce sujet plusieurs pistes de ré­flexions et des re­com­man­da­tions. Il faut surtout noter qu’a la même année, la loi dite « Loi Sapin 2 » du nom du ministre qui a porté cette réforme, est vé­ri­ta­ble­ment la première à instituer des obli­ga­tions en matière de con­for­mité en France. Le but était de hisser le droit national au niveau des standards in­ter­na­tio­naux. En effet, la Loi n°2016-169 relative à la trans­pa­rence, à la lutte contre la cor­rup­tion et à la mo­der­ni­sa­tion de la vie éco­no­mique instaure plusieurs chan­ge­ments dont notamment l’obli­ga­tion de mettre en place un système interne de pré­ven­tion et de détection de la cor­rup­tion pour les sociétés d’au moins 5000 salariés dont le chiffre d’affaires est supérieur à 100 millions d’euros, et contient d’autres dis­po­si­tions con­cer­nant les devoirs directs et les domaines de res­pon­sa­bi­lité des en­tre­prises.

La sélection suivante des domaines de risque possibles ne prétend donc pas à l’ex­haus­ti­vité :

• Droit du travail (par exemple l’in­ter­dic­tion de la dis­cri­mi­na­tion ou bien le respect de la pro­tec­tion contre le li­cen­cie­ment)
• Droit de la sécurité sociale (par exemple éviter l’abus ou le travail in­dé­pen­dant abusif)
• Droit pénal (par exemple : vol, extorsion, fraude, évasion fiscale, travail non déclaré)
• Droit fiscal (par exemple : dé­cla­ra­tion d’impôts, on parle souvent de Tax com­pliance)
• Pro­tec­tion des données selon le RGPD, c’est l’IT com­pliance
• Sécurité au travail con­for­mé­ment à la loi sur la santé et la sécurité au travail
• Pro­tec­tion sanitaire
• Lé­gis­la­tion en­vi­ron­ne­men­tale et pro­tec­tion de la nature
• Droit public
• Lé­gis­la­tion antitrust

Il existe de nombreux modèles de po­li­tiques de con­for­mité sur Internet, mais il n’existe aucune exigence générale quant au contenu et à la structure d’un tel document. Il est pré­fé­rable d’adapter toutes les règles aux besoins et à la situation de l’en­tre­prise.

Une cons­truc­tion possible pourrait ainsi être la suivante :

1. Les règles générales de conduite
2. Questions spé­ci­fiques (par exemple, cadeaux à des par­te­naires com­mer­ciaux, com­por­te­ment à l’égard des con­cur­rents, égalité de trai­te­ment des employés)
3. Les personnes de contact et les for­ma­li­tés de sig­na­le­ment des in­frac­tions
4. Mé­ca­nismes de do­cu­men­ta­tion des in­frac­tions
5. Sanctions (par exemple rappel/caution, transfert, li­cen­cie­ment (extra-ordinaire), réduction de salaire, com­pen­sa­tion, rapport de police)

Une fois terminée, la politique de con­for­mité doit être com­mu­ni­quée ou­ver­te­ment et clai­re­ment à l’ensemble de l’en­tre­prise ou de l’organisme. Cela peut se faire par exemple, par le biais de cir­cu­laires, de pu­bli­ca­tions sur l’Intranet et des évé­ne­ments d’in­for­ma­tion. Des sessions de formation ré­gu­lières doivent être or­ga­ni­sées pour sen­si­bi­li­ser tous les acteurs de l’en­tre­prise (y compris les par­te­naires con­trac­tuels et les four­nis­seurs) à la nouvelle culture, politique de con­for­mité. Il est aussi essentiel que tous les employés soient liés par leur contrat de travail au moyen de clauses com­plé­men­taires ap­pro­priées par le biais d’avenants notamment.

De nom­breuses en­tre­prises décident également de publier une version réduite de leur politique de con­for­mité sur leur site Web sous la forme d’un « code d’éthique de conduite » ou d'une Mission Statement and core values  soit « con­for­mité avec nos valeurs fon­da­men­tales et notre énoncé de mission » et cela peut être associé à un cer­ti­fi­cat officiel. Un tel en­ga­ge­ment public peut servir à renforcer la confiance des clients et des par­te­naires com­mer­ciaux et à attirer des candidats dans le contexte de la marque employeur. Le plus important, cependant, c'est que les ges­tion­naires donnent toujours le bon exemple et il­lustrent la culture de con­for­mité tant à l'interne qu'à l'externe.

Bien que la res­pon­sa­bi­lité prin­ci­pale et entière de la con­for­mité incombe à la direction de l’en­tre­prise. La com­pliance peut toutefois être délégué à un res­pon­sable con­for­mité (ou Chief Com­pliance Officer en anglais) ou à une équipe complète dédiée à la com­pliance.

Cette dernière est alors res­pon­sable, entre autres, des tâches suivantes :

• Im­plé­men­ta­tion et réa­li­sa­tion de la CMS (système de gestion de la con­for­mité)
• Or­ga­ni­sa­tion et mise en place de for­ma­tions
• Contrôle continu de la qualité
• Sondages auprès des employés
• Suivi des mo­di­fi­ca­tions et des évo­lu­tions lé­gis­la­tives
• Adap­ta­tion, extension et dé­ve­lop­pe­ment de la CMS si né­ces­saire
• Do­cu­men­ta­tion des in­frac­tions
• Rapports réguliers à la direction

Une tâche aussi complexe exige un personnel compétent et qualifié (bien souvent des juristes), d’où la nécessité d’accorder une attention par­ti­cu­lière au re­cru­te­ment. Le res­pon­sable de la con­for­mité n’a pas né­ces­sai­re­ment besoin d’être au plus haut niveau de la direction, mais doit maintenir un lien de com­mu­ni­ca­tion direct, cohérent et le plus court possible avec elle afin de tra­vail­ler de manière efficace et réactive. C’est en effet la seule façon de s’assurer que les efforts en matière de con­for­mité portent leurs fruits.

Les avantages et les objectifs des mesures de com­pliance sont évidents compte tenu des lois exis­tantes et de la res­pon­sa­bi­lité sociale actuelle des en­tre­prises. Cependant, cela ne change pas grand-chose au fait que le concept jouit d’une ré­pu­ta­tion parfois négative dans certains cercles de gestion : à savoir celle de remettre en question certaines des meil­leures pratiques com­mer­ciales et donc d’entraver l’activité com­mer­ciale globale.

Nombreux sont ceux qui con­si­dè­rent que le principal problème réside dans la com­plexité inhérente au concept de con­for­mité et dans son caractère évolutif. Les en­tre­prises, en par­ti­cu­lier les groupes mondiaux, sont con­fron­tés à un véritable déluge de règles et d’in­ter­dic­tions na­tio­nales, in­ter­na­tio­nales et sec­to­rielles. En outre, il y a des sujets venant la société qui sont en constante évolution. Par con­sé­quent, les systèmes complets de gestion de la con­for­mité ne se re­trou­vent souvent que dans les grandes en­tre­prises, alors que la question n’a souvent qu’une im­por­tance se­con­daire dans les petites et moyennes en­tre­prises.

Il est donc d’autant plus important et urgent de sen­si­bi­li­ser tous les res­pon­sables des en­tre­prises au respect des règles et de nommer un res­pon­sable de la con­for­mité ou de la com­pliance formé et ex­pé­ri­menté qui soit capable de relever les défis inhérents à ce poste : se battre contre les réserves et faire adhérer l’ensemble des managers. Ainsi, il participe au final à une nouvelle culture d’en­tre­prise.

Veuillez prendre con­nais­sance des mentions légales en vigueur sur cet article.