La crise financière de 2008 a provoqué une rupture dans la manière d’appréhender les normes et par conséquent, dans la manière de diriger. La « fonction Conformité » au sein de l’entreprise n’a depuis cessé de se transformer, renouvelée constamment par les règlementations. Pour la plupart des dirigeants, le respect de cet ensemble de normes s’est mué en un objectif supérieur dans leur gouvernance. En cas de condamnation, les enjeux sont considérables : atteinte à la réputation, mais aussi instabilité économique de la structure. La culture de l’entreprise s’en trouve modifiée, notamment par l’émergence de nouveaux métiers découlant des besoins de « compliance ».
De l’émergence de la notion de conformité à son intégration dans la culture de l’entreprise
À l’origine, la fonction conformité est le fait de « définir les règles et les cadres permettant aux entreprises d’être en accord avec les lois et règlementations ». La mise en conformité implique également de placer des principes éthiques au cœur de la stratégie de l’entreprise. Si le fait d’être conforme aux règles apparaît comme une attitude logique, cela n’a pas toujours été une priorité. Le top management s’est adapté, mais ce qui semble relever du bon sens reste, pour beaucoup, lié aux risques. En effet, la règlementation adoptée depuis la crise financière de 2007-2008 a donné lieu à des sanctions parfois lourdes à l’encontre des entreprises, mais également à de nouvelles techniques offensives de leur part. La concurrence se reporte désormais aussi dans ce domaine, créant une sorte de « course à la conformité ». L’entreprise conforme pourra ainsi jouer de ce nouvel outil afin d’évincer un concurrent un peu moins précautionneux. Des stratégies de communication viennent alors créer et appuyer cet avantage concurrentiel. Le risque financier, lié à l’amende encourue, se double alors d’un risque réputationnel.
Cette montée en puissance de la fonction conformité contribue également à l’évolution du bassin d’emploi. Au sein de l’entreprise, des professions se sont développées pour soutenir l’objectif de compliance. Si le périmètre dédié à la conformité est très vaste, certaines opérations apparaissent centrales. La sécurité financière ainsi que la lutte contre le blanchiment d’argent et le financement du terrorisme (LCB-FT) constituent une partie importante de la fonction. Ainsi, des correspondants de l’organisme Tracfin[1] peuvent intervenir en interne de manière à s’assurer de la bonne application du cadre législatif. La fonction de concevoir des règles et politiques internes est également essentielle : le déontologue, par exemple, veille à l’éthique professionnelle et encadre les contrôles de conformité dans le domaine financier et bancaire. La lutte contre l’évasion fiscale constitue un autre enjeu de l’activité conformité et fait l’objet d’un suivi rigoureux, notamment depuis l’adoption de la Loi Sapin 2.
Voir aussi :
Les sanctions découlant de la non-conformité ont, certes, impacté durablement les banques, mais donnent aussi lieu à un renouvellement de leur modèle de gouvernance, au bénéfice des consommateurs.
L’objectif d’adaptation de la politique d’entreprise au respect des normes s’est doublé de l’incorporation durable de la fonction Conformité dans la culture de l’entreprise. On assiste donc à l’émergence de profils alliant connaissance du monde des affaires et spécialisation en conformité. En effet, ceux-ci permettent de renforcer la connaissance et la compréhension des métiers liés à la conformité, et donc, de mieux les faire accepter. Plus que des recommandations et obligations, le chargé d’éthique ou le chargé de la lutte contre le blanchiment (AMLO) peut donner des conseils aux employés et les soutenir dans la transformation des méthodes de travail. Ces profils hybrides ont également pour vocation d’atténuer la mauvaise perception que peuvent avoir les employés de l’activité, et plus précisément, la « peur du régulateur ».
Par ailleurs, la transformation numérique des services et des entreprises suscite de nouveaux enjeux, en particulier la protection des données personnelles. Dans le cadre de l’entrée en vigueur du RGPD, la fonction de Chargé de la Protection des Données (DPO) a été consacrée au sein de l’organisation, et est obligatoire selon la taille et l’activité de l’entreprise. Les audits de conformité ont lieu régulièrement, afin de contrôler les avancées de la structure et vérifier sa stratégie future. Des structures de contrôle contribuent également à vérifier et, le cas échéant, à sanctionner les entreprises non-conformes. C’est le cas de l’Autorité des Marchés Financiers mais aussi de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR), une émanation de la Banque de France, qui a récemment rendu une décision sanctionnant une filiale de Western Union. La société de transfert international d’argent a ainsi reçu un blâme, assorti d’une amende d’un million d’euros, pour manquements dans la lutte contre le blanchiment d’argent et le financement du terrorisme. La filiale est notamment fautive de ne pas avoir signalé certains cas à la cellule Tracfin, ainsi que de ne pas avoir recueilli les informations nécessaires à la connaissance de ses clients. De nombreuses affaires sont en cours : La Poste a, par exemple, fait appel de la décision rendue fin 2018 par l’ACPR la condamnant à 50 millions d’euros d’amende.
Ces personnalités et organismes ont comme objectif commun la mise en conformité du marché et de ses acteurs, mais aussi celui de sanctionner les pratiques délictueuses ou trompeuses. Pour s’adapter et réagir rapidement à ces situations, de nouvelles lois et règlementations alimentent le contexte dans lequel évoluent les entreprises.
Un cadre législatif en perpétuelle évolution
La définition de la fonction Conformité a été développée dans les travaux du Comité de Bâle sur le contrôle bancaire, un forum qui a lieu plusieurs fois par an depuis 1974. En 2003, les réunions du Comité, associant des pays comme la France, l’Allemagne, les États-Unis ou encore la Suisse, définissent le risque de non-conformité comme découlant de « l’absence de respect des dispositions législatives et réglementaires, des normes et usages professionnels et déontologiques ». Cette définition, conçue à l’origine pour les secteurs bancaire et financier, s’est finalement diffusée à l’ensemble des structures économiques. Il s’agit pour toutes de contribuer à la gestion de ce risque de non-conformité et de circonscrire au maximum les pertes financières, l’atteinte à la réputation ou les sanctions judiciaires. De surcroit, dans le cadre de la mise en œuvre des Accords de Bâle II, de nouvelles mesures ont spécifié le contexte de la fonction Conformité, érigeant celle-ci au statut d’organe indépendant rendant compte directement à la direction.
Pour mieux saisir toutes les finalités de la fonction Conformité, il s’agit de préciser les concepts de « hard law » et de « soft law ». Le premier correspondrait à un droit délibéré, tandis que le second, à un droit spontané. Le « soft law » désignerait alors « l’ensemble des textes de droit international non contraignants et pouvant être librement interprétés, mais qui s’appliquent sous la pression internationale, sous couvert de protection de l’intérêt général ». Ces mesures basées sur des sources non législatives et non règlementaires pourraient rester lettre morte, mais suscitent plutôt une stratégie de la part des États. De toute évidence, la conformité est un objectif mondialement pris en compte, mais adapté à l’échelle nationale. Le principe du « à chaque pays, sa régulation » cause d’inévitables disparités entre les cadres législatifs en vigueur. Ainsi, l’extraterritorialité est un autre enjeu lié à la mise en conformité. En effet, manier la règlementation et les normes composant le soft law. Ces tentatives d’élargissement de la compétence d’un droit national, notamment de la part des États-Unis, entrainent des réactions européennes. Celles-ci peuvent être d’ordre règlementaire : c’est le cas du Règlement Général sur la Protection des Données qui est entré en vigueur en 2018 de manière à répondre aux enjeux liés aux données personnelles. Il contribue à limiter les applications des lois, règlements et autres actes juridiques par des pays non membres de l’Union Européenne, pouvant nuire aux intérêts de ses ressortissants. Bien qu’insuffisant, le RGPD constitue donc un premier moyen de lutte contre l’extraterritorialité du droit et par conséquent, contre la non-conformité. Par ailleurs, l’amicus curiae se développe au sein de certaines organisations internationales par le biais du droit américain. Il s’agit, pour une personnalité ou un organisme, de proposer un avis, un document ou toute autre information pouvant aider un tribunal à trancher une affaire. En se servant de cet outil juridique, la mission « EuropeanIssuers » s’est fixée comme objectif la défense des intérêts de grandes sociétés européennes pouvant être sévèrement impactées par un revirement de jurisprudence. En effet, une décision allant à l’encontre d’un principe règlementaire précédemment établi peut causer de facto la non-conformité de sociétés possédant des activités sur le sol où cette décision a été rendue. EuropeanIssuers tente donc, lorsqu’elle a connaissance d’une situation à risque, d’intervenir pour faire pencher la balance et limiter les dommages collatéraux. L’affaire Petrobras a, par exemple, fait l’objet d’un amicus curiae. En effet, lors du jugement, la modification d’une jurisprudence aurait placé de facto les émetteurs européens dans une « situation d’extraterritorialité réglementaire non consentie ».
Un premier niveau de mise en conformité acquis
Depuis la crise de 2008, se conformer aux normes et aux dispositions législatives et règlementaires est devenu primordial pour les entreprises. À l’origine un enjeu majeur pour les banques et acteurs financiers, la conformité s’est diffusée dans l’ensemble des secteurs d’activité. Le terme de « compliance » s’est d’ailleurs graduellement imposé dans le vocabulaire du management d’entreprise. Les dix ans qui se sont écoulés depuis l’apogée de la crise financière, et plus particulièrement de la crise des subprimes, ont ainsi propulsé le risque de non-conformité au sommet des préoccupations des dirigeants. Comme explicité dans cet article, la non-conformité d’une entreprise la place dans une situation sensible. Elle risque d’être sanctionnée, de subir de lourdes pertes financières ou encore de voir sa réputation dégradée. D’abord conçue pour être une fonction indépendante de l’organigramme d’entreprise, la fonction Conformité tend à s’incorporer dans l’ensemble des directions. Les spécialistes de la conformité soutiennent le regroupement des méthodes afin de mieux partager l’expérience et les savoir-faire, et en faire bénéficier l’ensemble de l’organigramme. Par ailleurs, concernant la diffusion des bonnes pratiques de sûreté, les métiers de la prévention et de la gestion du risque y acquièrent une place significative. Peu à peu, la cyber-sûreté (appelée par déformation la cyber-sécurité) vient détrôner la conformité dans le classement des enjeux pour les chefs d’entreprise. On pourrait alors considérer qu’un « premier niveau » de mise en conformité est acquis.
[1] Cellule française de lutte contre le blanchiment de capitaux et le financement du terrorisme.