Compliance : les nouveaux défis stratégiques et informationnels pour les entreprises françaises

Lilia Rusnac
Netsources no
126
publié en
2017.01
802
Acheter ce no
Tags
due diligence
Compliance : les nouveaux défis stratégiques et ... Image 1
Compliance : les nouveaux défis stratégiques et ... Image 1

Dans un précédent numéro de Netsources (№ 124 septembre/octobre 2016), nous avons introduit la compliance et la due diligence en tant que composantes du spectre de l’intelligence économique.

L’évolution de la fonction de la compliance en France et le caractère de plus en plus stratégique des aspects organisationnel et informationnel, nous incitent à continuer et à approfondir notre réflexion. Il nous semble important de continuer à partager avec les professionnels de l’information ce sujet, qui par ailleurs émerge de plus en plus dans les problématiques d’informations traitées par FLA Consultants.

En effet, la nouvelle loi, dite « loi Sapin 2 » fixe très clairement des obligations et contraintes pour les entreprises en termes de conformité aux réglementations légales et financières, qui mettent au premier plan les enjeux informationnels et qui transformeront nécessairement le système d’information de l’entreprise.

En raison de la complexité de la question, et afin d’amorcer dans les meilleures conditions la réflexion sur cette dimension informationnelle et les perspectives de développement pour les professionnels de l’information, il nous paraît important de dresser tout d’abord, de la façon la plus précise possible, le cadre et le contenu de la nouvelle loi Sapin 2.

Les procédures anticorruption à établir selon la loi Sapin 2

La réglementation en termes de compliance s’est développée aux États-Unis avec le Federal Corrupt Practices Act 1977 (FCPA) puis par extension au reste du monde. La Grande Bretagne s’inspirant du FCPA a adopté le UK Bribery Act en 2010.

La France rattrape aujourd’hui un certain retard en matière de compliance avec la Loi Sapin 2.

Cette nouvelle loi relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, adoptée le 8 novembre 2016, introduit l’obligation pour toutes les entreprises ayant au moins 500 salariés et réalisant un chiffre d’affaires supérieur à 100 millions d’euros, de se doter de programmes de prévention des risques et de conformité impliquant le développement d’un système d’information interne et externe.

Cette loi s’inscrit dans le cadre d’une vague d’initiatives nationales qui visent à mettre à niveau la réglementation française selon le modèle international et notamment anglo-saxon, et qui prévoient d’imposer les programmes de compliance dans la gouvernance des entreprises.

Jusqu’à présent, les entreprises françaises pouvaient suivre les recommandations de l’OCDE au sujet de la corruption et devaient suivre les obligations existantes dans certains pays (notamment dans les pays anglo-saxons). Mais généralement, elles n’avaient pas l’obligation de mettre en place, en France même, des mesures concrètes pour prévenir le risque corruptif ou criminel, même si elles y étaient souvent exposées dans le cadre de leurs activités à l’international.

Un des principaux points de la loi est la création d’un organisme de contrôle, dénommée Agence française anti-corruption relevant du ministère de la justice et du ministère chargé du budget.

Les procédures organisationnelles à mettre en œuvre dans l’entreprise dans le cadre de cette loi se déclinent de la manière suivante :

  • l’adoption d’un code de conduite décrivant les comportements à adopter caractérisés par des faits de corruption ou de trafic d’influence ;
  • la mise en œuvre d’un dispositif d’alerte interne ;
  • l’établissement d’une cartographie des risques ;
  • la mise en œuvre d’une procédure de vérification de l’intégrité des clients, fournisseurs, partenaires et d’autres parties prenantes ;
  • la réalisation de contrôles comptables internes ou externes ;
  • l’instauration de sanctions disciplinaires permettant de sanctionner les employés, qui auront été préalablement formés, en cas de violation du code de conduite de la société1.

Ainsi le renforcement des exigences réglementaires de compliance fait peser de nouvelles responsabilités sur les entreprises françaises et leurs organes de gouvernance. Outre les sanctions disciplinaires sus-mentionnées, une peine complémentaire de mise en conformité touchera l’entreprise, et ses dirigeants, en cas d’absence de mise en place des procédures ci-dessus.

Ainsi, la mise en place de programmes de compliance peut donner du sens à l’action de chacun, dans un contexte où les risques ne sont plus seulement de nature financière mais aussi « réputationelle ».

Les enjeux organisationnels de la compliance

La compliance ne se limite pas au respect des normes juridiques ou financières. Elle touche l’ensemble des processus qui visent à assurer une bonne gouvernance dans l’entreprise et à assurer sa performance et sa pérennité.

En effet, la perte de marchés et l’impact financier des sanctions peuvent mettre en danger la société.

Globalement, la mise en place de programmes de compliance, comprenant les procédures évoquées ci-dessus, constitue un outil de stratégie et d’organisation pour accompagner le changement de culture et de paradigme de l’entreprise. Cette démarche a pour objectif de définir et évaluer les risques, de sensibiliser toutes les parties prenantes à adapter un comportement responsable, afin de transformer ces risques en opportunités et assurer la sécurité de l’entreprise.

Ce sujet ne peut manquer de soulever de nombreuses interrogations chez les dirigeants d’entreprises, les juristes, et les financiers. Comment les nouvelles obligations vont-elles impacter les entreprises dans leur organisation, leur gouvernance et leur business model ?

Le professionnel de l’information aura-t-il un rôle support ? Comment décliner une démarche d’intelligence économique ou d’intelligence du risque dans ce nouveau contexte ?

D’un point de vue organisationnel, l’établissement de programmes de compliance engage un travail interdisciplinaire, impliquant différentes fonctions de l’entreprise : juridique, financière, opérationnelle (marketing, production, export), intelligence économique, communication ou ressources humaines et sécurité. La synergie de ces fonctions est susceptible de rencontrer plusieurs contraintes notamment d’ordre, managérial (organisationnel) et informationnel.

La réussite de la mise en place et la consolidation de cette fonction dépend en grande partie de la capacité de collaboration et de travail en commun de ces différentes fonctions de l’entreprise, représentant différents métiers, mais indispensables pour l’intérêt général. Les professionnels de l’information, au même titre que les autres fonctions, vont devoir se positionner et revendiquer un certain leadership pour valoriser leurs compétences.

Il est évident que dans le contexte du développement de la fonction de compliance en France, la direction juridique est naturellement positionnée pour s’approprier cette fonction. Dans le monde anglo-saxon et notamment aux États-Unis, la compliance est par contre séparée de la fonction juridique.

La compliance ne concerne que les affaires juridiques mais aussi en grande partie les affaires de stratégie d’entreprise. C’est pour cela qu’il est recommandé que la personne en charge de la compliance (« Compliance Officer ») soit promue au plus haut niveau de la gouvernance et ait un lien direct avec la direction de l’entreprise. C’est également une fonction transversale car la collaboration avec toutes les autres directions opérationnelles est absolument nécessaire.

Les enjeux informationnels de la compliance

En dehors de l’aspect purement organisationnel, un programme de compliance performant pour son fonctionnement se nourrit avant tout de l’information stratégique disponible à l’intérieur et à l’extérieur de l’organisation.

En effet, outre le code de déontologie, il faut créer de toutes pièces les procédures recommandées, prévoir des audits supplémentaires des contrats, des comptes et des relations commerciales mêmes non formalisées, faire réaliser des investigations sur les « tierces parties » (due diligence), désigner des responsables internes, voire même créer des postes dédiés, trouver les prestataires compétents, lister et former les salariés/managers « à risque » et mener une veille juridique sur les marchés visés et l’environnement concurrentiel.

L’intelligence économique comme outil de management de l’information peut assurément servir dans ce cadre.

Premièrement, grâce à sa fonction d’anticipation et de compréhension des évolutions de l’environnement de l’entreprise, l’intelligence économique, via l’établissement d’un processus régulier de « veille des risques », contribue à la constitution et la mise à jour permanente de la cartographie des risques, qui, rappelons-le, fait partie des procédures organisationnelles à mettre en place.

Avec ce nouveau rôle, les professionnels de l’information deviennent des acteurs à part entière de la gouvernance de l’entreprise et rentrent dans la sphère décisionnelle. Il faut cependant préciser que ce rôle doit être clairement revendiqué et assumé auprès des managers de la compliance, dont ils devront se rapprocher impérativement.

L’un des aspects qui pourrait être partagé entre les professionnels de l’information et les juristes est la veille et le suivi de l’évolution du cadre légal et réglementaire en matière d’anticorruption dans différents pays. Les deux compétences précieuses que sont la recherche experte d’information et l’analyse et l’interprétation juridique des textes permettront à l’entreprise d’être parfaitement au fait des exigences réglementaires en vigueur et d’anticiper de la meilleure des manières les réglementations à venir.

Les audits supplémentaires des contrats, des comptes et des relations commerciales, la réalisation des investigations sur les tierces parties, autrement dit la due diligence, rentrent également dans la sphère de l’intelligence économique.

L’exercice de la due diligence et du contrôle de conformité demandent des investigations poussées sur l’environnement de l’organisation ou les cibles potentielles.

La due diligence, en tant que composante de la stratégie de gestion du risque, s’appuie sur deux éléments essentiels : les outils et les sources d’information qui comprennent principalement les bases de données donnant accès aux données financières, à l’information économique et politique, listes de sanctions, listes des PPEs (Personnes Politiquement Exposées), etc., et les ressources humaines disposant des compétences techniques et analytiques pour exploiter ces sources et constituer un rapport de qualité.

Compte tenu du développement du concept de compliance avec sa dimension extraterritoriale et ses effets en matière de risques pour l’image de l’entreprise, les capacités de recueil d’information et d’analyse sont devenues de plus en plus nécessaires, sur le marché national et international. Par conséquent, les professionnels de l’information ont un rôle déterminant à jouer dans le domaine de la compliance.

Sur le plan opérationnel, trois domaines d’application rentrent ainsi dans leurs compétences : la veille et la cartographie des risques, la veille réglementaire et la due diligence.

Un nouveau marché de l’information à investir ? par qui ?

L’ensemble des domaines d’application décrits ci-dessus ne peuvent être mis en œuvre facilement que dans de grandes sociétés intégrant la totalité des fonctions énoncées.

Dans le contexte économique actuel, certaines tâches, comme la veille juridique et réglementaire ou certaines investigations, sont parfois externalisées par ces grands groupes.

D’autres fonctions, nécessairement liées à la compliance, sont également externalisées comme l’audit des comptes, leur certification, ou la formation continue des personnels. Il est évident que pour des raisons de coûts, une entreprise ne peut pas tout internaliser.

Un groupe international par exemple peut créer une équipe dédiée à la compliance et en plus faire appel à des prestataires externes. Quant aux ETI2de 500 personnes, qui sont soumises aux mêmes obligations, elles ne disposent pas des mêmes moyens.

C’est certainement dans ces entreprises, dans lesquelles les compétences sont plus polyvalentes, que les professionnels de l’information peuvent se positionner et jouer un rôle stratégique dans la mise en place et la consolidation opérationnelle de la fonction de compliance.

De façon générale, dans la mesure où le nouveau champ d’intervention de la compliance est très large, de nouveaux acteurs font leur apparition.

Ainsi, les cabinets de conseil en intelligence économique se saisissent du marché qui s’ouvre, en prestataires directs ou indirects des départements de compliance, offrant des services sur mesure à valeur ajoutée en termes de veille, recherche d’information stratégique et investigation. Sur ce nouveau marché, les spécialistes internes et externes de l’information devront trouver leur place, et la complexité à la fois de la nouvelle organisation et du système d’information ne facilitera pas la tâche.

  • 1 Nous avons extrait et résumé ces procédures organisationnelles à mettre en oeuvre à partir de la source principale : LOI n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique
  • 2 Entreprise de taille intermédiaire (entre la TPE et la PME)