Compliance : lignes directrices pour la conformité des entreprises

Un comportement éthique et le respect des lois doit être une évidence pour toutes les entreprises. Cependant, des incidents récents ont montré que ce n’est malheureusement pas toujours le cas. En effet, la « compliance » demeure un sujet constant de litige. Après tout, les entreprises ne fonctionnent pas en vase clos, mais leurs activités affectent les sphères de nombreux groupes d’intérêt. Non seulement les grandes entreprises, mais aussi les PME sont donc soumises à des pressions pour qu’elles définissent et adhèrent à un ensemble de valeurs. Compte tenu de la complexité du discours et du sujet, la première question qui se pose est la suivante : qu’entend-on donc exactement par le terme de compliance ?

Qu’est-ce que la compliance ? Définition

Le terme de « compliance » (en français : conformité ou plus spécifiquement conformité règlementaire), est désormais fréquemment utilisé dans le management des affaires et le droit. Il provient du système financier américain, mais est aujourd’hui utilisé dans pratiquement toutes les industries et secteurs économiques. Il s’agit essentiellement du respect des règlementations par les entreprises et leurs employés. Dans le passé, cela signifiait avant tout le respect des lois. Pour les banques, par exemple, l’accent a été mis en 2010 avec les dispositions de la loi de régulation bancaire et financière (LRBF).

Définition: compliance

Le terme de « compliance » désigne l’ensemble des mesures visant à garantir une conduite éthique et juridiquement respectueuse d’une entreprise, de tous ses organes exécutifs et de tous ses employés en ce qui concerne la conformité règlementaire : interdictions légales et internes à l’entreprise.

Aujourd'hui, cependant, le concept de compliance se caractérise depuis longtemps par un champ d’action de plus en plus vaste : outre le respect de la loi, le concept inclut désormais la reconnaissance de normes et de lignes directrices de l’industrie. Mais ce qui est encore plus important, c’est l’engagement volontaire envers des valeurs propres et le développement de bonnes pratiques, avec lesquelles une entreprise impose des règles éthiques strictes aussi bien pour sa conduite interne qu’externe.

Pour afficher cette vidéo, des cookies de tiers sont nécessaires. Vous pouvez consulter et modifier vos paramètres de cookies ici.

Pourquoi les règles de compliance sont importantes ?

Mais pourquoi la conformité est-elle si importante ? Qu'est-ce qui se cache derrière le concept de compliance et quels sont les objectifs d’une entreprise qui s’engage dans cette voie ?

Primaire : évitement de poursuites pénales

D’un point de vue purement commercial, la fonction de compliance a des motivations essentiellement stratégiques : en effet, tout comme les personnes physiques, les entreprises, en tant que personnes morales, doivent se conformer aux lois nationales et internationales en vigueur. En France, la loi stipule que les sociétés et les mandataires sociaux doivent veiller à ce qu’aucune violation de la loi (code du travail, code civil etc.) ne se produise dans une société.

Ne pas le faire pourrait entraîner des sanctions telles que des amendes, une capture des profits ou même l’arrestation et des peines de prison. En outre, il existe des conséquences et des coûts internes et externes qui peuvent être encourus par l’entreprise défaillante, tels que des conséquences pour le personnel ou des demandes de dommages et intérêts de la part des clients et des partenaires commerciaux. Toutefois, ces sanctions ne se limitent pas à une seule société, mais peuvent affecter l’ensemble d’un groupe, d’une société mère et même d’un secteur d’activité. Évidemment, une assurance n’offre pas de protection dans un tel cas.

Le principal rôle de conformité est donc d’éviter ou d’identifier rapidement les comportements criminels et d’y réagir de manière appropriée afin de minimiser le risque économique qui peut en résulter. Bien qu’il ne soit pas possible d’éviter ainsi des infractions délibérées aux règles, l’existence de mesures de conformité peut conduire toutefois à une réduction de la responsabilité des gestionnaires. La prise en compte d’un système de contrôle interne pour réduire les sanctions dépend toutefois toujours du cas d’espèce.

Le « dieselgate », scandale sanitaire et industriel sur les normes de pollution occupe les médias, l’industrie et les politiques depuis septembre 2015. C’est un exemple bien connu de violation de la conformité : le groupe Volkswagen a admis avoir utilisé un système et des techniques pour réduire frauduleusement les émissions polluantes de ses moteurs notamment diesel pendant les tests d’homologation et cela depuis janvier 2013. En manipulant simplement les niveaux d’oxyde d’azote pour pouvoir contourner les normes d’émission applicables, une violation délibérée de la loi a donc été ordonnée par la direction. Depuis lors, le groupe n’a cessé d’attirer l’attention du public et des médias : Martin Winterkorn, PDG de la société, a démissionné de son poste, et risque 25 ans de prison. Mais c’est toute l’industrie automobile qui se trouve par conséquent dans une crise grave et d’autres marques, comme Chrysler ou Renault, sont aussi suspectées, de nombreuses enquêtes pénales et civiles sont en cours.

De nombreux constructeurs automobiles sont de plus en plus forcés d’évoluer du fait des pressions des associations de consommateurs, clients et la justice. Les conséquences financières ne peuvent pas encore être pleinement prévues, mais dans le pire des cas, le fleuron de l’industrie allemande Volkswagen devra faire face à des coûts totaux pouvant atteindre 100 milliards d’euros.

Secondaire : assumer la responsabilité sociale

Un discours public de plus en plus important sur la responsabilité sociale des entreprises a conduit à l’ajout d’une composante éthique au concept de compliance. Les parties prenantes, c'est-à-dire les groupes d’intérêt concernés tels que les clients, les employés et les résidents à proximité des usines, attendent des entreprises non seulement qu’elles respectent les règles et la législation dans l’intérêt de l’entreprise, mais aussi qu’elles respectent et défendent une éthique et les valeurs civiques habituelles dans le secteur. Ainsi, les entreprises ne doivent pas seulement apparaître comme de grands noms de l’économie, mais aussi et surtout comme des entreprises citoyennes au sens d’une responsabilité sociétale des entreprises, abrégé en RSE.

Ce qui est considéré comme socialement responsable est, dans une certaine mesure, prédéfini par les organismes de certification et les codes de réglementation reconnus. Toutefois, dans de nombreux cas, en particulier dans les secteurs sensibles tels que l’énergie ou la chimie, l’entreprise est tenue de respecter des valeurs propres, qui traitent de manière proactive et directe les conflits d’intérêts potentiels avec les parties prenantes individuelles. Une entreprise dont les activités commerciales ont des implications écologiques doit donc également communiquer de manière transparente ses exigences en matière de protection de l’environnement et de développement durable et faire face aux critiques correspondantes. Cela a un impact positif sur leur crédibilité et leurs relations d’affaires.

Même si un entrepreneur doit s’intéresser par principe au bon respect des règles, un engagement en faveur de la responsabilité sociétale de l’entreprise a également un sens d’un point de vue purement économique : outre les sanctions, les violations des règles peuvent également avoir un certain nombre de conséquences directement non financières. Il s’agit en particulier de la perte de réputation et de confiance entre les partenaires commerciaux et les clients. Même si les accusations s’avèrent fausses au final, les dommages causés à l’image d’une marque ou d’une société sont parfois énormes.

Dans le cas des manipulations avérées de Volkswagen, de simples excuses du Directoire n’ont pas suffi à apaiser le mécontentement du public qui a suivi les révélations : les instituts d’études de marché attestent que le groupe a une image gravement ternie. Le fait que les véhicules diesel vendus en Allemagne entre 2008 et 2015 pourraient être responsables d’environ 1 200 décès prématurés dus à la pollution atmosphérique en Europe, selon une étude du MIT (Massachusetts Institute of Technology), a jeté de l’huile sur le feu. Ainsi, le scandale a une fois de plus déclenché la discussion à long terme sur l’évolution des transports, ce qui met maintenant l’industrie automobile sous pression pour agir plus fortement.

Comment mettre en pratique la compliance dans une entreprise ?

Un système de gestion de la conformité (CMS : compliance management system) est nécessaire pour la mise en œuvre et l’application du respect des règles dans l’entreprise, ce qui garantit le respect de toutes les directives et permet la détection rapide des violations des règles. L’objectif de ce système de gestion de la conformité est de mettre en œuvre et de maintenir une culture de conformité transparente, sans ambiguïté et clairement compréhensible.

En raison de la variété des sujets et des domaines d’intérêt que le concept de compliance peut affecter, le développement d’un tel CMS n’est pas une tâche facile et rapide. Les entreprises de taille moyenne, en particulier, manquent souvent du savoir-faire nécessaire à la réalisation d’un tel projet. Il n’existe cependant pas d’approche universelle, car les exigences individuelles de mise en œuvre dépendent également de l’industrie/secteur, de la taille et du type d’entreprise et de la structure organisationnelle. Néanmoins, voici une explication sommaire des étapes les plus importantes :

Étape 1 : mettre en place une équipe responsable de la compliance

Au début de chaque CMS (système de gestion de la conformité), il y a un engagement clair et homogène de la direction de l’entreprise en matière de compliance ainsi qu’une définition individuelle du terme adaptée à l’entreprise. C’est la seule façon de s’assurer que tous les responsables travaillent ensemble et d’éviter les malentendus sur la nature et la portée du projet. Le sérieux de l’équipe de direction à l’égard de cet engagement se mesure déjà à l’aune des capacités en personnel et du budget qu’elle est prête à dépenser. Une équipe de compliance efficace devrait être composée d’experts de tous les services d’une entreprise (par exemple : gestion des ressources humaines, administration financière, service juridique etc.). Ce n’est qu’ainsi qu’il est possible d’identifier et de couvrir tous les domaines et les risques imaginables au sein de l’entreprise.

Il est aussi possible d’obtenir de l’expertise supplémentaire auprès d’avocats externes ainsi qu’auprès de conseillers fiscaux et de conseillers en gestion notamment. Il est enfin juridiquement nécessaire d’impliquer le comité d’entreprise dans tous les processus décisionnels. Par exemple, il faut préciser si les contrats de travail ou les accords d’entreprise existants doivent être modifiés. Un calendrier réaliste et une répartition clairement définie des rôles (y compris un chef d’équipe compétent) peuvent aider à gérer les coûts et à obtenir un résultat en temps voulu.

Étape 2 : analyse de la compliance

La tâche principale de l’équipe est alors d’effectuer une analyse sur l’état actuel. Il s'avère souvent que des structures de compliance (au moins rudimentaires) existent déjà dans l'entreprise, sous la forme de « règles non écrites » qui s’appliquent aux employés. Sur la base de cette pré-évaluation, le statut futur est ensuite défini : quelles mesures et quels mécanismes doivent être complétés, modifiés ou entièrement développés afin de véritablement créer un concept de compliance de l’entreprise ? Il est pour cela utile d’identifier les interfaces de la société civile avec lesquelles l’entreprise doit composer dans ses activités quotidiennes.

Le cabinet international d’audit KPMG avait justement apporté en 2016 à ce sujet plusieurs pistes de réflexions et des recommandations. Il faut surtout noter qu’a la même année, la loi dite « Loi Sapin 2 » du nom du ministre qui a porté cette réforme, est véritablement la première à instituer des obligations en matière de conformité en France. Le but était de hisser le droit national au niveau des standards internationaux. En effet, la Loi n°2016-169 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique instaure plusieurs changements dont notamment l’obligation de mettre en place un système interne de prévention et de détection de la corruption pour les sociétés d’au moins 5000 salariés dont le chiffre d’affaires est supérieur à 100 millions d’euros, et contient d’autres dispositions concernant les devoirs directs et les domaines de responsabilité des entreprises.

La sélection suivante des domaines de risque possibles ne prétend donc pas à l’exhaustivité :

  • Droit du travail (par exemple l’interdiction de la discrimination ou bien le respect de la protection contre le licenciement)
  • Droit de la sécurité sociale (par exemple éviter l’abus ou le travail indépendant abusif)
  • Droit pénal (par exemple : vol, extorsion, fraude, évasion fiscale, travail non déclaré)
  • Droit fiscal (par exemple : déclaration d’impôts, on parle souvent de Tax compliance)
  • Protection des données selon le RGPD, c’est l’IT compliance
  • Sécurité au travail conformément à la loi sur la santé et la sécurité au travail
  • Protection sanitaire
  • Législation environnementale et protection de la nature
  • Droit public
  • Législation antitrust

Étape 3 : formulation et communication des directives de compliance

Il existe de nombreux modèles de politiques de conformité sur Internet, mais il n’existe aucune exigence générale quant au contenu et à la structure d’un tel document. Il est préférable d’adapter toutes les règles aux besoins et à la situation de l’entreprise.

Une construction possible pourrait ainsi être la suivante :

  1. Les règles générales de conduite
  2. Questions spécifiques (par exemple, cadeaux à des partenaires commerciaux, comportement à l’égard des concurrents, égalité de traitement des employés)
  3. Les personnes de contact et les formalités de signalement des infractions
  4. Mécanismes de documentation des infractions
  5. Sanctions (par exemple rappel/caution, transfert, licenciement (extra-ordinaire), réduction de salaire, compensation, rapport de police)

Une fois terminée, la politique de conformité doit être communiquée ouvertement et clairement à l’ensemble de l’entreprise ou de l’organisme. Cela peut se faire par exemple, par le biais de circulaires, de publications sur l’Intranet et des événements d’information. Des sessions de formation régulières doivent être organisées pour sensibiliser tous les acteurs de l’entreprise (y compris les partenaires contractuels et les fournisseurs) à la nouvelle culture, politique de conformité. Il est aussi essentiel que tous les employés soient liés par leur contrat de travail au moyen de clauses complémentaires appropriées par le biais d’avenants notamment.

De nombreuses entreprises décident également de publier une version réduite de leur politique de conformité sur leur site Web sous la forme d’un « code d’éthique de conduite » ou d'une Mission Statement and core values  soit « conformité avec nos valeurs fondamentales et notre énoncé de mission » et cela peut être associé à un certificat officiel. Un tel engagement public peut servir à renforcer la confiance des clients et des partenaires commerciaux et à attirer des candidats dans le contexte de la marque employeur. Le plus important, cependant, c'est que les gestionnaires donnent toujours le bon exemple et illustrent la culture de conformité tant à l'interne qu'à l'externe.

Étape 4 : mise en œuvre et ajustement du fonctionnement

Bien que la responsabilité principale et entière de la conformité incombe à la direction de l’entreprise. La compliance peut toutefois être délégué à un responsable conformité (ou Chief Compliance Officer en anglais) ou à une équipe complète dédiée à la compliance.

Cette dernière est alors responsable, entre autres, des tâches suivantes :

  • Implémentation et réalisation de la CMS (système de gestion de la conformité)
  • Organisation et mise en place de formations
  • Contrôle continu de la qualité
  • Sondages auprès des employés
  • Suivi des modifications et des évolutions législatives
  • Adaptation, extension et développement de la CMS si nécessaire
  • Documentation des infractions
  • Rapports réguliers à la direction

Une tâche aussi complexe exige un personnel compétent et qualifié (bien souvent des juristes), d’où la nécessité d’accorder une attention particulière au recrutement. Le responsable de la conformité n’a pas nécessairement besoin d’être au plus haut niveau de la direction, mais doit maintenir un lien de communication direct, cohérent et le plus court possible avec elle afin de travailler de manière efficace et réactive. C’est en effet la seule façon de s’assurer que les efforts en matière de conformité portent leurs fruits.

Conclusion : la compliance, un obstacle commercial ?

Les avantages et les objectifs des mesures de compliance sont évidents compte tenu des lois existantes et de la responsabilité sociale actuelle des entreprises. Cependant, cela ne change pas grand-chose au fait que le concept jouit d’une réputation parfois négative dans certains cercles de gestion : à savoir celle de remettre en question certaines des meilleures pratiques commerciales et donc d’entraver l’activité commerciale globale.

Nombreux sont ceux qui considèrent que le principal problème réside dans la complexité inhérente au concept de conformité et dans son caractère évolutif. Les entreprises, en particulier les groupes mondiaux, sont confrontés à un véritable déluge de règles et d’interdictions nationales, internationales et sectorielles. En outre, il y a des sujets venant la société qui sont en constante évolution. Par conséquent, les systèmes complets de gestion de la conformité ne se retrouvent souvent que dans les grandes entreprises, alors que la question n’a souvent qu’une importance secondaire dans les petites et moyennes entreprises.

Il est donc d’autant plus important et urgent de sensibiliser tous les responsables des entreprises au respect des règles et de nommer un responsable de la conformité ou de la compliance formé et expérimenté qui soit capable de relever les défis inhérents à ce poste : se battre contre les réserves et faire adhérer l’ensemble des managers. Ainsi, il participe au final à une nouvelle culture d’entreprise.

Veuillez prendre connaissance des mentions légales en vigueur sur cet article.