La Compliance dans les entreprises françaises : évolution des pratiques ; enjeux ; questions pour le futur

Aujourd’hui, la compliance (ou la conformité) s’impose dans tous les secteurs de la vie des entreprises. Son objectif : la prévention de risques. Il s’agit d’une acception large de la notion de « risque ». Qu’entend-on par compliance ? « La conformité s’assure que l’entreprise respecte toutes les règles, dans le fond et dans la forme. On parle de conformité à quelque chose : aux lois, au règlement de la profession, mais aussi aux règles de l’entreprise définies par les procédures, par le Conseil d’Administration » explique Vivien Levy-Garboua.

Comment ont évolué les pratiques des entreprises françaises en matière de compliance ? Comment a évolué le rôle des responsables de la compliance ? Quels sont les coûts de la compliance ? Quel est l’avenir de la compliance en France ?

Évolution des pratiques des entreprises françaises en matière de compliance

Le développement de la compliance au sein des entreprises en France n’est pas un phénomène récent. Les dernières évolutions législatives et réglementaires ont mis sur le devant de la scène un sujet qui avait progressé depuis presque vingt ans.

Plusieurs facteurs ont contribué à l’instauration de programmes de compliance au sein des entreprises, en particulier en France.

  • Les évolutions législatives dans le monde et quelques grandes affaires :

Le droit de la concurrence/antitrust a indéniablement joué un rôle majeur dans la structuration des premiers programmes de compliance dans les entreprises françaises. La lutte contre les cartels illicites depuis vingt ans par le Department of Justice (DoJ) américain, la Commission Européenne et l’Autorité de la Concurrence (et dans une moindre mesure contre les abus de position dominante) a ouvert la voie et eu un rôle d’impulsion. À cet égard, la sanction du cartel des vitamines en 1999 aux Etats-Unis et en novembre 2001 par la Commission Européenne, puis d’autres décisions imposant de lourdes sanctions financières ont incité de nombreuses entreprises à mettre en place des programmes de compliance structurés, spécifiquement dédiés au respect du droit de la concurrence, puis s’étendant à d’autres domaines du droit.

La très intéressante étude réalisée en 2008 pour le Conseil de la Concurrence : « État des lieux et perspectives des programmes de conformité »2 constate l’absence totale de données en 2008 sur le sujet concernant la France, mais met en relief les facteurs qui influent sur la conformité au sein des entreprises. Une étude qui conserve beaucoup d’actualité et de pertinence dix ans après et dont la lecture reste une source utile d’informations.

Aux États-Unis, c’est l’affaire Enron, en décembre 2001, qui provoque le vote de la loi Sarbanes-Oxley de 2002 qui vient considérablement renforcer les obligations des entreprises en matière de compliance. Cette loi étendra ses effets bien au-delà des États-Unis, puisque l’ensemble des filiales hors des États-Unis des groupes américains cotés y sont soumises, et donc celles situées en France. Les entreprises françaises cotées aux États-Unis y sont également assujetties. Ces deux catégories de sociétés françaises feront avancer la mise en place de programmes de compliance en France. À titre d’exemple, elles auront l’obligation dès 2002 de mettre en place des systèmes d’alerte interne, que beaucoup d’entreprises découvrent depuis un an et demi avec la loi Sapin II.

  • Les sanctions records prononcées contre des contrevenants

Un autre facteur important ayant fait progresser la culture de compliance au sein des entreprises sont les sanctions records qui les ont touchées.

Il y a vingt-cinq ans, en 1992, le scandale de corruption par des employés de GE dans la vente de moteurs d’avion à l’armée de l’air israélienne, sanctionné par le DoJ fut à l’origine de la mise en place au sein de GE d’un programme de compliance mondial très structuré, sous la direction de Ben Heinemann. Ce programme devint un outil stratégique et un avantage compétitif dans la stratégie de développement commercial international de GE.

Les affaires Siemens, Alcatel, Total, Technip et plus récemment Alstom en matière de corruption, les amendes pour cartels illicites pratiqués par des entreprises françaises dans de nombreux secteurs et notamment pour les récidivistes, ont été dans la grande majorité des facteurs déclenchant le renforcement des programmes de compliance au sein des entreprises sanctionnées. D’autres, les plus avisées, sans avoir fait l’objet de sanctions, en ont tiré, par prudence et réalisme, des enseignements pour elles-mêmes.

Ces situations de crises aigües ont souvent fait progresser les entreprises vers une plus grande prudence. Il reste cependant difficile de mesurer la profondeur des transformations culturelles, en particulier quand les contrevenants sont promus ou restent en poste. Ce n’est que récemment que le DoJ a forcé, le plus souvent dans une grande discrétion, des entreprises françaises à se séparer des dirigeants et des managers dont l’implication dans les infractions avait été majeure. D’autres courent encore.

Une étude précise sur la réaction des actionnaires aux sanctions prononcées contre les entreprises serait à réaliser. On constate, en effet, encore bien souvent une passivité, voire une faible compréhension de ces problématiques par les actionnaires. Il est, en effet, curieux d’observer que le poids des sanctions est supporté par les actionnaires et que les conséquences pour le management sont dans bien des cas très réduites ou inexistantes, alors que c’est le plus souvent sa carence à empêcher, voire son incitation à transgresser, qui est à l’origine des sanctions.

Le Compliance Officer au sein des entreprises françaises : évolution de la fonction, réflexions sur son positionnement, problématique de sa responsabilité civile et pénale

La fonction de responsable de la compliance a elle aussi évolué.

Plusieurs phénomènes sont observables :

Une évolution d’abord sociologique : la fonction, longtemps occupée par un cadre supérieur en fin de carrière et dévoué corps et âme (parfois à ses dépens) aux dirigeants de l’entreprise, a évolué. La fonction s’est en grande partie rajeunie, diversifiée dans ses origines académiques, en même temps qu’elle se professionnalisait et se généralisait à un grand nombre d’entreprises.

Le rôle se professionnalise, se technicise avec des profils de plus en plus complets : on observe dans plusieurs grands groupes que l’on est passé d’un responsable de l’Éthique et de la Conformité chargé de faire des formations en interne et de participer à des conférences pour montrer à l’extérieur, dans une politique souvent de vitrine ou de façade, que l’entreprise est engagée dans un politique de compliance et d’éthique, à un directeur de la compliance professionnel de la gestion des risques avec une formation et une expérience de la fraude et du contrôle interne. Le mouvement est en marche, même si les transformations en profondeur sont parfois difficiles à réaliser.

Cette professionnalisation ne s’est pas toujours accompagnée d’indépendance. Le cas emblématique d’Alstom est là pour le rappeler : la pression mise par l’organisation et les principaux dirigeants du groupe, dont son président, pour continuer des pratiques lourdement sanctionnées, a rendu illusoires les efforts de l’équipe de compliance et d’audit, complice d’une organisation compliance de façade, dont les insuffisances notoires relevées par le DoJ ont conduit au désastre que l’on sait.

Des formations dédiées ont été créées dans plusieurs universités et plusieurs promotions sont déjà sorties de ces établissements, venant grossir les effectifs de professionnels formés aux problématiques et aux expertises de la compliance, issus de diverses origines académiques (finance, audit et contrôle interne, juristes, opérations, autres).

Des expertises sectorielles sont apparues donnant naissance à des Compliance Officers experts : on ne citera que les plus connus comme les Data Protection Officers, les Responsables Conformité et Contrôle Interne (RCCI), les Responsables de la Conformité pour les Services d’Investissement (RCSI), les responsables de la sécurité financière, les responsables de la conformité dans les établissements bancaires, les responsables du contrôle, les responsables de l’Export Control et des Sanctions Économiques, les responsables de la conformité dans le secteur pharmaceutique. Chacune de ces expertises faisant appel à une connaissance poussée du business, des process internes de l’entreprise, d’un corpus juridique et réglementaire spécifique et d’une connaissance des autorités de contrôle spécialisées et de leurs pratiques.

La gouvernance de la fonction est devenue un enjeu et s’est affermie : la gouvernance de la fonction compliance s’est posée d’abord dans le secteur bancaire et financier suite aux travaux de Bâle II repris par le Règlement 97-02 du Comité de la Règlementation Bancaire et Financière, applicable aux établissements de crédit et aux entreprises d’investissement et par les Directives européennes, dont la Directive MIF (Marchés d’Instruments Financiers) transposée par le Règlement Général de l’Autorité des Marchés Financiers (AMF). Ainsi, dans le secteur bancaire et financier, la fonction doit, en matière hiérarchique, lorsqu’elle n’est pas confiée à un membre de l’organe exécutif, être rattachée directement à la direction générale de l’entreprise, ou tout au moins à un niveau d’autorité suffisant pour assurer son indépendance vis-à-vis des autres services.

L’Agence Française Anticorruption (AFA) est venue élargir le débat en posant le principe, dans ses recommandations pour la mise en application des dispositions de la Loi Sapin II relatives à la prévention de la corruption de décembre 2017, que le responsable de la conformité anti-corruption soit désigné par l’instance dirigeante, lui rende compte et dispose d’un positionnement hiérarchique adapté. L’AFA préconise qu’il bénéficie, pour sa mission de conformité, à l’égard des services, d’une indépendance fonctionnelle réelle, des compétences et des moyens nécessaires à l’exercice de sa fonction.

Une réflexion et un débat ont commencé à émerger sur les implications organisationnelles et en matière de gouvernance de ces nouvelles exigences. Au-delà de la concurrence naturelle entre les fonctions au sein de l’entreprise, rappelons ici que l’enjeu est celui de la crédibilité de la démarche de l’entreprise dans sa volonté affichée de se conformer aux règles qui régissent l’ensemble de son fonctionnement et de ses activités.

Rappelons que les guidelines du DoJ, du SFO et du Programme d’Intégrité de la Banque Mondiale fixent, quant à eux, le même principe de positionnement et d’indépendance hiérarchique. Ceux-ci sont opposables aux entreprises françaises pour autant que leurs opérations tombent dans leur champ d’application, ce qui est le cas de la grande majorité des entreprises exportatrices. Ce ne sont donc pas seulement les recommandations de l’AFA que les entreprises doivent considérer dans leur réflexion sur le positionnement de la fonction « Compliance ».

La responsabilité civile et pénale du Compliance Officer ne fait que commencer à se poser :

Force est pourtant de constater que dans les cinq dernières années, environ une dizaine de responsables de la compliance des secteurs industriel et bancaire, ont été inquiétés par le DoJ aux États-Unis. D’autres cas plus récents ont suivi, dont celui emblématique de l’ingénieur de Volkswagen chargé du contrôle des émissions carbone, condamné pénalement aux Etats-Unis à plusieurs années de prison pour avoir participé à l’organisation de la fraude aux émissions carbone. Si son profil professionnel n’était pas stricto sensu celui d’un Compliance Officer généraliste, il n’en reste pas moins que la question de la responsabilité pénale d’un manager investi d’une fonction de contrôle de règles techniques par son entreprise n’est pas sans évoquer celle d’un Compliance Officer qui fermerait les yeux sur les pratiques de son entreprise, notamment en matière de corruption. La question de la responsabilité pénale de toute personne chargée au sein de l’entreprise de faire respecter l’application des règles auxquelles est assujettie l’entreprise est posée et ce, d’autant plus lorsque la fraude est un système organisé au sein de l’entreprise, voire par l’entreprise.

Le Compliance Officer doit avoir un niveau d’indépendance qui le protège des pressions des opérationnels et de la direction générale et être exempt de conflits d’intérêts.

À cet égard, l’issue du procès encore en cours intenté par le Serious Fraud Office contre l’ancien SVP Ethics & Compliance d’Alstom, qui était en même temps administrateur de la société Alstom International Ltd, chargée du paiement des consultants d’Alstom Transport, mis en examen en 2015 par le SFO pour son implication dans des faits de corruption pour l’appel d’offres du métro de Budapest, fera date. Au-delà des constatations déjà faites par le DoJ dans sa décision de décembre 2014 sur la mise en place par les dirigeants d’Alstom de l’époque d’une organisation compliance de pure façade, la question de la responsabilité pénale du SVP Ethics & Compliance d’Alstom et de celle des dirigeants du groupe et de plusieurs de ses managers devra être tranchée.

La problématique du coût de la compliance

La compliance étant une fonction support et de contrôle, la problématique de son coût se pose sous différents angles : le coût de la conformité pour l’entreprise – à savoir se mettre en conformité et demeurer en conformité – et le coût de la non-conformité.

Le coût de la compliance : S’il est indéniable qu’il y a un coût pour l’entreprise à se conformer aux règles du jeu de ses différentes activités, il semble logique que ce coût soit internalisé et supporté par elle. On voit aujourd’hui a posteriori ce qu’il en coûte d’avoir laissé pendant près d’un siècle les activités industrielles ne pas internaliser la dimension et le coût environnemental de leurs activités.

La problématique se pose de façon la plus aigüe pour les entreprises de taille intermédiaire. À cet égard, le développement d’outils de mise en conformité adapté aux ETI et la digitalisation d’un grand nombre de process sont deux impératifs qui devraient apporter des solutions à cette question du coût.

Au-delà de sa dimension managériale et culturelle, la compliance a une dimension opérationnelle et pratique qui doit être prise en compte et constamment améliorée.

Il incombe largement aux fonctions opérationnelles au sein de l’entreprise (production ; R&D ; ingénierie ; ventes et marketing ; finances ; ressources humaines) et aux managers qui les dirigent, sous la coordination voire la direction d’un Compliance Officer, de piloter et de faire vivre la gouvernance, la gestion des risques et la conformité de leurs activités aux règles qui les régissent. L’intégration dans les grands processus de l’entreprise de jalons de compliance est indéniablement la meilleure façon d’appréhender la compliance de façon opérationnelle. Il semble logique que les coûts y afférents soient supportés par ces différentes fonctions, puisqu’il s’agit bien à chaque fois d’assurer une bonne gouvernance et un bon contrôle des risques induits par ces activités. À cet égard, l’exigence de la loi Sapin II et des recommandations de l’AFA, que les entreprises procèdent à des due diligences des principaux fournisseurs, devrait faire progresser la fonction et les processus « achats » de bien des entreprises françaises.

Le coût de la compliance est peu de chose au regard du coût exorbitant de la non-conformité.

Les coûts de la non-conformité comportent par nature :

  • des coûts financier (le premier coût financier de la non-conformité n’est jamais comptabilisé par les entreprises : il s’agit du coût de l’ensemble des ressources de l’entreprise affectées à la résolution des situations de crise de non-conformité, à commencer par l’incapacité qu’a une organisation de continuer à fonctionner normalement lorsque les autorités judicaires des États-Unis la menacent sérieusement ; les amendes, honoraires d’avocats et de conseils ; les coûts de remédiation (mise en place sous monitoring d’une organisation de compliance conforme aux exigences de l’autorité), actions en dommages et intérêts contre l’entreprise de la part des concurrents lésés ; action en dommages et intérêts contre les dirigeants responsables d’avoir laissé prospérer des comportements ayant conduit à des sanctions à la charge de l’entreprise et in fine de ses actionnaires) ;
  • des coûts humains : licenciements exigés par les autorités répressives (en France, au cours des cinq dernières années, des dizaines de cadres et quelques dirigeants de grands groupes ont été licenciés ou ont quitté précipitamment leurs fonctions sous la pression du DoJ, parfois très discrètement), peines de prison, destruction d’organisations, notamment commerciales ;
  • des coûts réputationnels pour les entreprises et leurs dirigeants : le discrédit porté sur l’entreprise sanctionnée ; la perte de confiance et de motivation chez les employés et managers de groupes sanctionnés ; la perte de crédibilité auprès des candidats à l’embauche sont autant de coûts difficilement.

Quant à la quantification du coût de la non-conformité, il serait fastidieux et hasardeux d’avancer des chiffres définitifs et aucune entreprise ne publie de chiffre consolidé. Si l’on revient aux deux dossiers français les plus emblématiques de ces dernières années : les sanctions prononcées contre Alstom par le DoJ pour corruption et par les différentes autorités de la concurrence pour participation à des cartels illicites ces dix dernières années et les coûts encourus auront coûté aux actionnaires très largement plus d’un milliard d’euros ; les sanctions prononcées contre la BNP et les coûts encourus auront dépassé 9 milliards d’euros.

Les questions pour le futur

L’instrumentalisation de la compliance à des fins de domination économique a donné au sujet de la compliance une nouvelle dimension stratégique, a rendu les entreprises plus exposées et a renouvelé les enjeux.

Ce que l’on constate en France est une difficulté à appréhender la profondeur du sujet, même si face à l’urgence un certain nombre de solutions ont émergé. Quatre remarques générales peuvent être faites :

  • Une relative inadéquation de l’appréciation des risques par certaines entreprises et leurs dirigeants et leur impréparation à affronter certains risques. Que des entreprises de la taille de BNP Paribas, Alstom ou Airbus aient pu connaître ou connaissent les affaires qui les ont secouées, avec le montant de pénalités et les répercussions profondes qu’elles ont eues, en est une illustration. Il y avait pourtant des précédents à méditer, qui auraient pu faire éviter ces « affaires ». Les dirigeants de ces entreprises n’ont certainement pas eu la hauteur de vue que l’on peut légitimement attendre d’eux ;
  • La difficulté culturelle d’appréhender le droit et la compliance comme un instrument stratégique au service de l’entreprise et de s’en servir à cette La prédominance en France d’une approche politique des sujets de compliance qui touchent l’entreprise, au détriment du droit et de son utilisation à des fins de stratégie d’entreprise reste une constante ;
  • Le retard et l’impréparation de la réponse politique en France et l’insuffisante coordination européenne. La loi Sapin II est intervenue comme une réponse, non comme une anticipation ; les réflexions et débats sur les conséquences de la décision du président américain à l’égard de l’Iran et les effets de cette décision sur les entreprises européennes sont elles aussi tardives, en réaction et largement insuffisantes ;
  • L’habileté de nos adversaires et de nos concurrents à tirer parti des faiblesses de nos entreprises : les dossiers précités traités par le DoJ, la SEC et l’OFAC ces cinq dernières années contre les entreprises françaises sont à cet égard emblématiques.

L’approche tendant à placer la compliance dans le cadre plus large de la gouvernance et de l’appréciation des risques (Governance, Risks, Compliance (GRC)) est susceptible de révéler une autre faiblesse du capitalisme français, celle de sa gouvernance. Il n’est de compliance pérenne sans une bonne appréciation des risques et sans une gouvernance solide des entreprises.

On peut s’interroger sur la capacité des entreprises françaises à construire une culture et des organisations de compliance solides, compte tenu des caractéristiques de la gouvernance d’un certain nombre de groupes français et du capitalisme français de façon plus générale. Même s’il convient de ne pas caricaturer et généraliser la situation, le monde des entreprises étant par nature divers, il est indéniable que le caractère largement endogamique de nombreux conseils d’administration de grands groupes français ne constitue pas un facteur favorable à une approche rationnelle des problématiques de compliance. Le cas Alstom en est une illustration éclatante, où la multiplicité et l’enchevêtrement des conflits d’intérêts des administrateurs, de l’équipe dirigeante et de certains actionnaires, voire de responsables politiques, a conduit au désastre que l’on sait. À cet égard le documentaire Alstom : la Guerre fantôme3 donne une illustration tristement exacte de ce monde de conflits d’intérêts croisés qui caractérise une partie du monde des grandes entreprises françaises et a révélé sa faiblesse face aux actions conjuguées du DoJ et d’un concurrent déterminé et très mature dans son approche de la compliance.

Au-delà de la gouvernance des organes sociaux des entreprises, la gouvernance interne des différentes fonctions a elle aussi montré ses limites dans plusieurs affaires récentes : les affaires BNP Paribas, Alstom et Airbus n’auraient pas atteint ces degrés de gravité si les fonctions de contrôle internes (finance, audit, juridique, compliance) au sein de ces entreprises avaient joué leur rôle avec le niveau d’indépendance que les conseils d’administration et les actionnaires devraient exiger d’eux dans des groupes de cette taille. La décision du DoJ sur les carences de la direction financière, de l’audit et de la compliance d’Alstom avant 2014 mérite d’être lue et méditée tant elle révèle les limites de l’efficacité de l’organisation de certaines entreprises, encore figées dans un principe d’autorité d’un PDG qui bride tous les contre-pouvoirs et annihile toute gouvernance digne de ce nom pour insuffler la culture qu’il croit, à tort, gagnante.

Cette endogamie se retrouve dans la capacité du capitalisme français à recycler les dirigeants et managers ayant conduit leurs groupes à ces désastres. À cet égard, le changement culturel nécessaire au sein de bon nombre d’entreprises aura difficilement lieu tant que ceux qui ont plaidé coupable et fait endurer aux actionnaires de leurs groupes de très lourdes sanctions, restent aux commandes ou sont nommés administrateurs, dirigeants ou à des positions de responsables de la compliance d’autres groupes du CAC 40. Quelle est leur crédibilité pour insuffler la dynamique d’une politique de conformité de nature à protéger l’entreprise contre les risques qui la menacent ? Rappelons que le DoJ avait, dans sa décision de 2014 relative au groupe Alstom, constaté les lourdes carences pendant une période de plus de dix ans de la direction financière, de l’audit et du contrôle interne d’Alstom. On peut dès lors s’interroger sur la crédibilité qu’aura ce grand groupe français du CAC 40 du secteur de l’énergie auprès des différentes autorités de contrôle françaises et étrangères, en nommant l’ancien directeur de l’audit du groupe Alstom en qualité de Group Compliance Officer.

L’évolution viendra en partie de la pression des investisseurs et fonds d’investissement (étrangers et français) soucieux de sécuriser un niveau de rentabilité non affecté par les charges exceptionnelles que constituent les amendes. On peut mentionner la décision du Fonds Souverain Norvégien d’imposer aux conseils d’administration de toutes les sociétés dans lesquelles ils ont investi, de mettre en place des politiques de prévention de la corruption. Cette décision récente, passée trop largement inaperçue, devrait pourtant faire école auprès de tous les fonds d’investissement, publics et privés, et à terme auprès de tous les actionnaires avisés.

Pour finir, on ne saurait évoquer l’avenir de la compliance au sein des entreprises en France sans mentionner le rôle grandissant des salariés et de la société civile, des ONG et des organisations professionnelles. Chacun dans son domaine respectif joue un rôle dans la transformation culturelle à l’œuvre. Ce sont autant de leviers du changement dont l’AFA mais aussi d’autres autorités de contrôle comme l’Autorité de la Concurrence ou encore la CNIL, ont pleinement saisi le rôle en formant et informant chacun de ces groupes de façon ciblée pour les engager dans cet effort dont l’objectif est la compétitivité des entreprises, leur adaptation à des risques en constante évolution et l’évolution du capitalisme.

Auteur : Pierre Laporte
Directeur Exécutif du pôle Compliance