Compliance : les nouveaux défis stratégiques et informationnels pour les entreprises françaises

Dans un précédent numéro de Netsources (№ 124 septembre/octobre 2016), nous avons introduit la compliance et la due diligence en tant que composantes du spectre de l’intelligence économique.

L’évolution de la fonction de la compliance en France et le caractère de plus en plus stratégique des aspects organisationnel et informationnel, nous incitent à continuer et à approfondir notre réflexion. Il nous semble important de continuer à partager avec les professionnels de l’information ce sujet, qui par ailleurs émerge de plus en plus dans les problématiques d’informations traitées par FLA Consultants.

En effet, la nouvelle loi, dite « loi Sapin 2 » fixe très clairement des obligations et contraintes pour les entreprises en termes de conformité aux réglementations légales et financières, qui mettent au premier plan les enjeux informationnels et qui transformeront nécessairement le système d’information de l’entreprise.

En raison de la complexité de la question, et afin d’amorcer dans les meilleures conditions la réflexion sur cette dimension informationnelle et les perspectives de développement pour les professionnels de l’information, il nous paraît important de dresser tout d’abord, de la façon la plus précise possible, le cadre et le contenu de la nouvelle loi Sapin 2.

Les procédures anticorruption à établir selon la loi Sapin 2

La réglementation en termes de compliance s’est développée aux États-Unis avec le Federal Corrupt Practices Act 1977 (FCPA) puis par extension au reste du monde. La Grande Bretagne s’inspirant du FCPA a adopté le UK Bribery Act en 2010.

La France rattrape aujourd’hui un certain retard en matière de compliance avec la Loi Sapin 2.

Cette nouvelle loi relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, adoptée le 8 novembre 2016, introduit l’obligation pour toutes les entreprises ayant au moins 500 salariés et réalisant un chiffre d’affaires supérieur à 100 millions d’euros, de se doter de programmes de prévention des risques et de conformité impliquant le développement d’un système d’information interne et externe.

Cette loi s’inscrit dans le cadre d’une vague d’initiatives nationales qui visent à mettre à niveau la réglementation française selon le modèle international et notamment anglo-saxon, et qui prévoient d’imposer les programmes de compliance dans la gouvernance des entreprises.

Jusqu’à présent, les entreprises françaises pouvaient suivre les recommandations de l’OCDE au sujet de la corruption et devaient suivre les obligations existantes dans certains pays (notamment dans les pays anglo-saxons). Mais généralement, elles n’avaient pas l’obligation de mettre en place, en France même, des mesures concrètes pour prévenir le risque corruptif ou criminel, même si elles y étaient souvent exposées dans le cadre de leurs activités à l’international.

Un des principaux points de la loi est la création d’un organisme de contrôle, dénommée Agence française anti-corruption relevant du ministère de la justice et du ministère chargé du budget.

Les procédures organisationnelles à mettre en œuvre dans l’entreprise dans le cadre de cette loi se déclinent de la manière suivante :

• l’adoption d’un code de conduite décrivant les comportements à adopter caractérisés par des faits de corruption ou de trafic d’influence ;
• la mise en œuvre d’un dispositif d’alerte interne ;
• l’établissement d’une cartographie des risques ;
• la mise en œuvre d’une procédure de vérification de l’intégrité des clients, fournisseurs, partenaires et d’autres parties prenantes ;
• la réalisation de contrôles comptables internes ou externes ;
• l’instauration de sanctions disciplinaires permettant de sanctionner les employés, qui auront été préalablement formés, en cas de violation du code de conduite de la société¹.

Ainsi le renforcement des exigences réglementaires de compliance fait peser de nouvelles responsabilités sur les entreprises françaises et leurs organes de gouvernance. Outre les sanctions disciplinaires sus-mentionnées, une peine complémentaire de mise en conformité touchera l’entreprise, et ses dirigeants, en cas d’absence de mise en place des procédures ci-dessus.

Ainsi, la mise en place de programmes de compliance peut donner du sens à l’action de chacun, dans un contexte où les risques ne sont plus seulement de nature financière mais aussi « réputationelle ».