Qelle place pour la compliance dans l'entreprise ?

Interview de JY Trochon par les petites affiches : La compliance ne serait donc finalement qu'une extension du métier de juriste d'entreprise ? J.-Y. T. : C'est un peu plus compliqué. J'ai quelques convictions en la matière. D'abord, la compliance doit être définie selon l'activité de chaque entreprise et la cartographie du risque associée. Connaître le détail des règles ITAR ou des normes en matière de blanchiment est fondamental pour un juriste qui travaille dans l'armement ou la banque, pas nécessairement dans tous les secteurs. Donc, chaque entreprise doit apporter sa propre définition du périmètre de la compliance, laquelle est nécessairement évolutive en fonction de la « respiration » de l'entreprise, notamment si elle se diversifie. Ensuite, la compliance n'est pas un monopole de la fonction juridique, et les juristes, y compris les avocats, qui croient que la compliance entre dans leur domaine exclusif font fausse route. En revanche, elle doit être partie intégrante de leur mission, aux côtés de toutes les autres fonctions de l'entreprise : conseils d'administration, management, stratégie, audit, contrôle interne, ressources humaines, je ne peux pas toutes les citer. Mais il faut un primus inter pares, quelqu'un qui anime, coordonne et valide l'ensemble de la démarche. Le directeur juridique est un bon candidat pour ce faire, mais il n'est pas le seul. On sait que de plus en plus de fonctions de compliance se développent en dehors des directions juridiques, on parle de « compliance.2 », un nouveau modèle de fonction affranchie de la direction juridique, qui suscite de nombreux débats aux États-Unis. En France, le modèle idoine est en devenir. Il dépendra notamment de la manière dont les entreprises s'approprient le cadre posé par la Loi Sapin II. Quoi qu'il en soit, le directeur juridique devra être avec ses équipes un pilier de la compliance, un référent incontournable, car les risques lorsqu'ils se matérialisent conduisent naturellement la direction générale à se tourner vers lui. Compliance, conformité, intégrité, éthique, quels termes choisir ? J.-Y. T. : C'est une question de sémantique qui appartient à la culture de chaque groupe. La mondialisation conduit de plus en plus les groupes à adopter le terme compliance (qui soit dit en passant est d'abord latin - complere - qui signifie remplir ses obligations) avant d'être devenu un terme anglais, puis aujourd'hui universel. La notion d'intégrité a une signification plus englobante. Certes, elle est teintée de morale, mais le développement des normes de compliance résulte précisément d'une exigence croissante d'éthique, donc de morale, de la part de la société civile. Le terme de Responsible Business Conduct me paraît également bien refléter les enjeux de la démarche. Last, but not least, il faut toujours resituer ces questions dans une optique de gouvernance, car l'impulsion doit venir du board et de la direction générale. « La matière sous-jacente de la compliance est souvent juridique et réglementaire, ce qui n'en fait pas une activité juridique en tant que telle. C'est plutôt une ‘‘science de l'entreprise'' ». Affiches Parisiennes : Quels sont les principaux enjeux autour de la compliance au cours des prochaines années ? J.-Y. T. : L'avenir le dira, au gré des affaires qui ponctuent l'actualité. Les questions d'embargos, de normes environnementales ou d'optimisation fiscale (BNP, Volkswagen, Panama Papers), pour ne prendre que ces trois exemples, ont récemment mis sur le devant de l'actualité des risques qui n'étaient pas nécessairement en haut de l'agenda des compliance officers et des boards. Et pourtant les conséquences pour les entreprises concernées ont été considérables. Tout dépend d'abord des activités et du business model de l'entreprise. D'où la nécessité d'une cartographie des risques allant très en profondeur. Ensuite, les questions d'organisation interne autour des risques pays, souvent les plus importants en matière de fraude, corruption, antitrust, embargos, contrôle des exportations, blanchiment, etc. L'organisation, déclinée en process de contrôle interne et d'audit, de politiques et procédures, d'outils numériques (notamment en matière de forensic), le niveau de formation des personnes dédiées, la transparence en matière de reporting et la qualité des réponses apportées aux problèmes identifiés, sont des enjeux majeurs. Selon la nature des activités de l'entreprise, les questions de protection de la vie privée (data privacy), de contrôle des sous-traitants et des droits de l'Homme, de sécurité (cyber-sécurité notamment) ou encore de droit social devraient prendre une importance plus grande encore. De même, les boards doivent absolument consacrer le temps nécessaire à la définition, la validation et le contrôle de la démarche de compliance, c'est d'ailleurs au cœur de leur mission. Enfin, le principal dirigeant de l'entreprise doit être confortable avec l'organisation mise en place pour prévenir et gérer ces risques, et disposer d'un canal de communication privilégié et d'une chaîne de reporting courte. Autre défi, la capacité pour les entreprises de s'adapter en évitant la bureaucratie paralysante. Je suis convaincu que la compliance doit permettre d'améliorer l'organisation, et non le contraire, si les processus et les systèmes de contrôle et l'utilisation du numérique sont optimisés.