La Compliance pour protéger les intérêts de l’entreprise

Alors que l’environnement réglementaire devient de plus en plus complexe, la « compliance » est au fil du temps devenue un élément clé de la gestion des risques et de la protection des intérêts de l’entreprise. Une démarche qui s’appuie sur la mise en place d’une organisation, de ressources et d’outils propres à accompagner les entreprises dans le respect de ces réglementations.

Cette année encore sera marquée par de nouvelles évolutions réglementaires, des risques émergents et des attentes croissantes et persistantes des parties prenantes. Dans ce contexte mouvant, garder une longueur d’avance n’est pas un avantage mais une nécessité. À cet effet, la conformité (aussi appelée Compliance) ne peut être une option pour les entreprises. Elle consiste à déployer des procédures préventives visant à garantir qu’une entreprise, ses employés et son écosystème de partenaires respectent les normes légales et réglementaires en vigueur dans leur secteur d’activité.

Aujourd’hui, cette notion de « compliance » s’étend également à l’éthique des affaires et encourage les entreprises à aller au-delà du simple respect des lois pour adopter des pratiques commerciales responsables et durables. La Compliance représente donc bien plus qu’un ensemble de règles à suivre. Elle constitue un pilier fondamental de la stratégie d’entreprise, essentiel pour assurer sa pérennité et sa compétitivité dans un marché de plus en plus exigeant en matière de transparence et d’intégrité.

Les champs d’application de la Compliance

La Compliance couvre un large éventail de domaines. « Les réglementations auxquelles sont confrontées les entreprises dépendent souvent de leur taille et de leur secteur d’activité, explique Pascal Goupilleau, directeur Business Line Conformité chez Ellisphere. Ainsi, la réglementation AML (ou LCB FT en français) destinée à lutter contre le blanchiment des capitaux et le financement du terrorisme va davantage concerner le secteur bancaire et les assurances (mais pas uniquement) ».

Pour se mettre en conformité avec cette réglementation, les entreprises doivent déployer des procédures de connaissance clients (KYC) et de détection des transactions suspectes pour prévenir le blanchiment d’argent et le financement du terrorisme.

« D’autres entreprises vont être davantage concernées par la loi Sapin 2 et son article 17 qui oblige les assujettis à mettre en place un dispositif anticorruption », poursuit Pascal Goupilleau. Selon l’AFA (Agence Française Anticorruption), les huit mesures constitutives d’un dispositif de lutte anti-corruption, sont aujourd’hui partiellement mises en place par les assujettis notamment la cartographie des risques et l’évaluation des tiers…

Avec l’entrée en vigueur du réglement général sur la protection des données (RGPD) en 2018, ou le règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016, la protection des données personnelles est également devenue un enjeu majeur de Compliance. Dans le cadre de la RGPD, les entreprises doivent s’assurer qu’elles collectent, traitent et stockent les données personnelles de manière conforme, en respectant les droits des individus et en mettant en place des mesures de sécurité adéquates contre les risques cyber.

« Actuellement, les directives européennes CSRD et CS3D sont également beaucoup évoquées, ajoute Pascal Goupilleau. Elles portent respectivement sur le rapport de durabilité et le plan de vigilance – qui sont actuellement retravaillées par les institutions EU pour les alléger face à la grogne des entreprises devant ce qu’elles estiment être une surcharge réglementaire. La CSRD nécessite de respecter des normes de reporting rigoureuses pour réaliser un rapport de durabilité, à savoir un reporting d’indicateurs extra-financiers. Les seuils, ainsi que le contenu de la réglementation, sont en train d’être revus à Bruxelles pour alléger les contraintes imposées tout en préservant le sens qui doit permettre d’encourager les entreprises à rendre compte notamment de leur impact et de celui de leurs parties prenantes, sur la planète ».

Plus largement, la responsabilité sociale des entreprises (RSE) fait également partie des enjeux de Compliance. Elle concerne le respect des normes sociales, environnementales et éthiques, dans toutes les activités de l’entreprise. Elle intègre ainsi notamment les initiatives visant à garantir des conditions de travail équitables, à réduire l’empreinte carbone ou encore à s’engager dans des pratiques durables et responsables.

La Compliance peut également concerner de nombreux autres domaines comme le droit de la concurrence qui vise à prévenir les pratiques anticoncurrentielles telles que les abus de positions dominantes, les ententes illicites ou encore les sanctions économiques et les embargos imposés par différents pays ou organisations internationales…

La Compliance, un outil de gestion des risques de non-conformité

« L’entreprise et son dirigeant sont ainsi responsables de leur conformité par rapport à ces différentes réglementations », précise Pascal Goupilleau. En effet, dès lors que certaines de ces réglementations ne sont pas respectées, l’entreprise s’expose notamment à des poursuites judiciaires et à des sanctions financières parfois très lourdes.

La Compliance est donc avant tout un outil de gestion des risques. Elle permet d’identifier, d’évaluer et de prévenir ces risques liés au non-respect des lois, des réglementations et des normes éthiques. La mise en place d’un système de Compliance efficace protège également les entreprises contre les risques réputationnels et renforce la confiance des parties prenantes (clients, investisseurs, partenaires, collaborateurs).

La Compliance peut aussi être un levier de performance. En optimisant les processus internes, en favorisant la transparence et en développant une culture éthique, elle contribue en effet à l’efficacité opérationnelle et à la création de valeur à long terme. Par ailleurs, une entreprise engagée en matière de Compliance est souvent perçue comme étant fiable et responsable, ce qui peut lui ouvrir de nouvelles opportunités commerciales, notamment dans les secteurs où les marchés sont fortement réglementés. La démarche est parfois indispensable pour répondre à certains appels d’offres.

« S’inscrire dans une démarche de Compliance soulève néanmoins plusieurs enjeux pour l’entreprise, explique Yann Soudy, directeur associé de Values Associates. Par exemple, l’évaluation des tiers doit être adaptée à la cartographie des risques spécifiques de l’entreprise. Le volume élevé de tiers à analyser, incluant actionnaires et bénéficiaires effectifs, nécessite par ailleurs des solutions automatisées pour garantir une évaluation efficace et réduire la charge des équipes conformité ».

« Il y a également un enjeu important de qualité des données. Les informations collectées, qu’elles proviennent d’outils externes ou de saisies manuelles, doivent être systématiquement vérifiées afin d’éviter les décisions biaisées et de garantir la fiabilité des analyses. D’autre part, une gestion uniforme des tiers est inefficace et il est indispensable de définir des niveaux de risque pour ajuster les procédures de contrôle à chaque typologie de tiers. La Compliance soulève également des enjeux de gouvernance, de pilotage, de traçabilité ou encore de confidentialité », ajoute-t-il.

S’inscrire dans une démarche de Compliance

Pour être efficace, la Compliance nécessite donc la mise en place d’une politique en la matière, mais aussi d’une organisation et de ressources humaines et technologiques.

« Il s’agit dans un premier temps de structurer un cadre méthodologique et organisationnel, précise Yann Soudy. À cet effet, les entreprises doivent définir une politique d’évaluation des risques liés à la conformité, intégrant une approche sur-mesure, alignée sur la cartographie des risques spécifiques de l’entreprise. Il convient ensuite d’élaborer un processus différencié avec des niveaux de contrôle adaptés à la criticité des tiers et au contexte réglementaire. D’autre part, quelle que soit l’organisation en place, les rôles et responsabilités de chacun doivent être clairement définis : opérationnels en charge de la collecte d’informations, Compliance pour la validation et le suivi, et direction pour le pilotage et les arbitrages nécessaires ».

« Nous constatons que les grandes entreprises qui souhaitent mieux se protéger face à ces risques créent en central la fonction de Chief Compliance Officer, note ainsi Pascal Goupilleau. Il aura alors en charge la mise en place d’une organisation et d’un dispositif de conformité adapté. Il se fera éventuellement accompagner pour passer en revue les processus, identifier les groupes de tiers à risque et écrire les procédures d’évaluation des tiers, et choisira les bons outils notamment digitaux pour appliquer ces procédures. Dans les entreprises ayant peu de tiers à évaluer, on retrouve souvent une direction juridique ou une équipe Compliance amenée à procéder aux due diligence. Enfin dans les grands groupes qui ont des filiales responsables de leurs tiers, il est souvent nécessaire d’impliquer les opérationnels responsables de la relation avec le soutien de relais locaux pour réaliser les évaluations de leurs tiers. Dans tous les cas, le personnel doit être formé à la réglementation qui les concerne suivant les relations qu’ils peuvent avoir avec des tiers ».

Digitalisation et automatisation des contrôles

Pour contrôler et gérer la conformité, il convient de s’appuyer sur des données fiables, internes et externes, en particulier sur ses tiers et de mettre en œuvre des outils d’évaluation de ces tiers. Certains éditeurs comme par exemple Values Associates, Navex ou Prevalent proposent ainsi des outils d’évaluation et de gestion des risques liés aux tiers.

« Notre outil d’évaluation des tiers intègre une base de données centralisées, des Workflows automatisés et des tableaux de bords dynamiques, précise Yann Soudy. Les contrôles de cohérence entre les données internes et externes sont automatisés. L’outil permet également de mettre en place un référentiel de conformité unique applicable à toutes les entités, et propose une gestion stricte des droits d’accès. D’autre part, le recours aux algorithmes de « screening » et à l’intelligence artificielle permet de faciliter l’identification des signaux d’alerte et de réduire le temps de recherche et d’analyse. La mise en place d’un système de monitoring continu permet pour sa part d’actualiser les analyses en fonction de nouvelles formations détectées ».

Les prestataires spécialisés dans l’information d’entreprises mettent également à la disposition des entreprises leurs propres outils d’évaluation des tiers, à l’instar d’Altares, d’Ellisphere ou encore d’Infolegale. « Notre solution Compliance for Business a ainsi pour vocation de faciliter l’évaluation des tiers à risque tout en respectant les réglementations en vigueur comme Sapin 2 et le Devoir de Vigilance », ajoute Pascal Goupilleau.

Enfin au-delà des outils, il est également indispensable d’investir dans des programmes de formation et de sensibilisation, de mettre en place des dispositifs de contrôle efficaces et de promouvoir une culture d’intégrité au sein de l’organisation. Pour que le plan de gestion des risques de conformité soit efficace, il faut en effet s’assurer une adhésion totale de la part de tous les niveaux de l’entreprise, des dirigeants au personnel intérimaire.