Sapin II

Que recouvre la notion de compliance officer?

Ce post, assez long, décrit ce qui est attendu d’un compliance officer, ce qui revêt une certaine importance quand on s’attaque à la mise en œuvre du texte, mais il constitue la synthèse à la fois

  • des réponses aux questions posées par nombre de clients,
  • des pratiques observées,
  • et bien évidemment des textes de référence que sont la loi, le guide pratique de l’AFA et les rapports de contrôle de l’Agence.

Pour ce texte « assez long », le plan est annoncé et permet de sauter directement aux sections qui intéresseront le lecteur.

English version

Introduction « assez longue »

Une définition

Une fonction transverse

Un positionnement particulier – porte-voix de l’instance dirigeante, disposant de moyens quantifiables

Une réelle indépendance

La connaissance de l’entreprise

La formation académique

Des compétences multiples

Un titre particulier ?

Organe collégial, ou personne unique ?

Une possible externalisation ?

Introduction « assez longue »

La lecture des rapports de contrôle de l’AFA, qu’ils soient d’initiative ou induits par une CJIP, présentent une structure homogène, au moins pour ceux auxquels j’ai pu avoir accès, en 9 parties et non en 8 comme on aurait pu l’imaginer, pour coller aux 8 obligations décrites au II de l’art 17 de la loi Sapin 2.

La 9ème partie, qui est en fait la première des rapports, a trait à l’implication de l’instance dirigeante.

Cette 9ème (ou première) partie, correspond à la lecture de l’AFA du I de l’art. 17 de la loi qui dispose « I. – Les présidents, les directeurs généraux et les gérants d’une société […] sont tenus de prendre les mesures destinées à prévenir et à détecter la commission, en France ou à l’étranger, de faits de corruption ou de trafic d’influence selon les modalités prévues au II ».

Schématiquement, parce que 8 obligations sont décrites au II de l’art 17, la mise en œuvre de ces dernières incombe au premier chef, sans jeu de mots, aux dirigeants de l’entreprise soumise au dispositif Sapin 2 « II. – Les personnes mentionnées au I mettent en œuvre les mesures et procédures suivantes ».

Et pour d’évidentes raisons de disponibilité de ces derniers dirigeants, la mise en œuvre opérationnelle du dispositif de prévention de la corruption peut être déléguée – dans son exécution – à une fonction conformité ou compliance. La délégation est bien d’exécution, et non de responsabilité comme la rappelle le guide pratique de l’AFA, « La fonction conformité anticorruption dans l’entreprise », dans son IV, page 16. Ce point est d’une importance capitale.

Et l’AFA, entame ses rapports par un développement l’engagement de l’instance dirigeante, qui comporte le plus souvent

  • une sous partie visant à faire un état des lieux de la prise de position des dirigeants vis-à-vis de la prévention de la corruption dans leur entreprise. Sans entrer dans le détail il s’agit dans cette section de recenser les signaux faibles ou forts, émis par l’instance dirigeante, au sujet de la prévention de la corruption, et d’en apprécier portée et efficacité.
  • une autre sous partie, et celle qui nous intéresse ici, est celle consacrée aux moyens mis en œuvre – ou dédiés au pilotage de la mise en œuvre des mesures de prévention de la corruption. L’AFA fait ici un état des lieux de ce qu’elle a pu constater en matière d’organisation de la fonction compliance au sein de l’entité contrôlée, et des qualités, ou des lacunes, qu’elle lui attribue.

Le positionnement de ces développements dans les rapports de contrôle de l’Agence n’est évidemment pas fortuit et démontre tout l’intérêt qu’elle porte à la fonction conformité, tant à son incarnation, qu’à son organisation. On pourrait même se laisser aller à penser, que de la qualité de cette première partie, imprime parfois le ton général du rapport de contrôle.

Comme à l’habitude, si l’AFA, dans ses rapports de contrôle, ne décrit pas avec précision ce qui est attendu, il est possible, en creux, de déterminer qui remplit les conditions d’une telle fonction, en étant aidé par son guide pratique publié en 2019, et toujours d’actualité.

Parce que nombre d’entreprises se posent la question du contenu de cette fonction non normée comme le précise discrètement[1] l’introduction du guide pratique, de ses contours et de ses responsabilités, cet article va donc tenter de dresser le portrait-robot du compliance officer, du directeur de la conformité, de la fonction compliance, appelons-le comme on le souhaite.  

N’étant ni dans la tête des contrôleurs, pas plus que dans celle du législateur, il s’agit bien d’une tentative de définition. Nul propos péremptoire, ou définitif, dans ces lignes, mais une approche fondée sur l’observation, de l’AFA dans ses rapports ou publications, des pratiques de place, et, bien évidemment des indispensables recul et bon sens, amis à jamais de toute fonction compliance.

Une définition 

Le guide de l’AFA précité définit les missions de la fonction conformité comme « l’ensemble des actions visant au respect des normes juridiques et à la diffusion des référentiels applicables à la prévention de la corruption, et plus généralement aux atteintes au devoir de probité, par une organisation, ses dirigeants, ses collaborateurs et les tiers avec lesquels l’organisation est en relation. » Vaste programme.

 

Une fonction transverse

La fonction compliance est transverse en ce sens qu’elle embrasse tous les processus de l’entreprise comme est censée le faire la cartographie des risques de corruption. Cela ne signifie pas que la fonction a vocation à commander aux autres processus ou fonctions de l’entreprise, mais qu’elle a vocation à communiquer et à se coordonner avec eux.

N’oublions pas que la fonction impose de concevoir, de piloter le déploiement du dispositif anticorruption, d’animer le programme, de contrôler son déploiement, d’être le point de contact « conformité », et que, pour ce faire, il est plus qu’utile d’être en contact avec tout le monde, et avec toutes les fonctions de l’entreprise, et de pouvoir appréhender la mise en œuvre du dispositif en tout point de l’entreprise.

Un positionnement particulier – porte-voix de l’instance dirigeante, disposant moyens quantifiables

Toujours pour faire le lien avec l’engagement de l’instance dirigeante, point absolument essentiel de toute fonction conformité. En effet le guide précise bien que l’instance dirigeante « assure les conditions d’une gouvernance efficace de la conformité anticorruption[2] »

Le guide précise sans ambages, et ce point n’est jamais démenti dans les rapports de contrôle qui ont pu être consultés, que « son positionnement et les moyens qui lui sont alloués témoignent de l’engagement de l’instance dirigeante sur les sujets de la prévention et de la détection de la corruption[3] ». Traduisez, la fonction est d’autant plus prise au sérieux qu’elle est au plus près des dirigeants, et que des moyens visibles (et si possible proportionnels à la tâche à accomplir) lui sont alloués.

Il suffit de faire simple lecture des questionnaires de contrôle de l’Agence pour se rendre compte que la question des moyens alloués à la fonction revête une importance capitale à ses yeux. On pourra donc dire que sans moyens, il n’est pas de fonction conformité digne de ce nom.

Au delà d’être le porte voix de l’instance dirigeante, la fonction se doit, par nature, d’être exposée à la connaissance de sujets sensibles: aide à la prise de décisions difficiles à prendre, mise en œuvre de règles ou de processus contraignants, connaissance de dossiers sensibles, potentiellement judiciaires. Le rôle de la fonction compliance est aussi celui de conseil du dirigeant.

Une réelle indépendance 

Parce que la fonction conformité a pour vocation de permettre le respect des normes anticorruption, en application de la loi ou des textes applicables en la matière, il faut pouvoir résister aux pressions – théoriques bien sûr – d’une fonction ou d’une direction générale, opérationnelle, ou fonctionnelle.

Rappelons-le, la fonction compliance n’a qu’un objectif à l’esprit, faire respecter le texte, rien que le texte, mais tout le texte. C’est beaucoup, particulièrement pour Sapin 2.

Beaucoup parce que le texte couvre de nombreux domaines techniques, tous les processus de l’entreprise, et requiert une énergie considérable. Et que déployer cette énergie de façon uniforme dans un Groupe requiert une indépendance, pour ne privilégier, ou ne pénaliser personne.

La loi s’applique à tous, partout dans l’entreprise. Et sa mise en œuvre ne peut pas plaire à tout le monde c’est une évidence. Et « le déplaire » s’accorde mal avec une quelconque dépendance, ou alors pas très longtemps, c’est humain.

Une précision doit à ce titre être apportée : la tâche que la loi et l’Agence ont assignée aux fonctions compliance est particulièrement lourde. Et, parfois, certains, dans l’entreprise considèrent que la fonction joue la surenchère d’exigences.

Que ces derniers se rassurent, le niveau d’exigence est déjà tel, qu’il est très improbable qu’un compliance officer, rajoute de la complexité à une matière déjà fort dense. Au contraire il peinerait plutôt à faire appliquer le minimum minimorum du texte. Les impératifs de la loi et des recommandations de l’AFA sont tels, qu’il n’est pas ressenti de besoin particulier de créativité pour en rajouter.

L’indépendance est également caractérisée par un accès direct, ou immédiat aux instances dirigeantes du Groupe. Ce point est encore une fois absolument essentiel. Comment être le porte-voix d’une instance, comment imposer le verbe de la loi, sans avoir l’appui et l’accès à un dirigeant ? Comment être pris au sérieux autrement ? Cela ne signifie évidemment pas que la fonction compliance est le dirigeant. Cela signifie simplement que grâce à sa proximité avec le dirigeant, tout ce qui émane d’elle n’est pas le fruit de sa seule volonté, mais a été accepté et validé par le plus haut niveau de l’entreprise.

Pour conclure sur la question de l’indépendance, il va de soi que toute fonction de direction de la conformité qui serait sous la férule (même bienveillante) de toute autre fonction, quelle qu’elle soit, ne répondrait pas à cette exigence, et doit donc être proscrite.

La fonction compliance est une fonction nouvelle, exigeante, dense, non normée et non réglementée de façon certaine. Et pour pouvoir s’imposer, ou plus largement, faire son travail correctement, elle doit être indépendante, et n’avoir comme guide que les textes. Bien.

Faut-il que cette fonction soit donc assumée par un robot, imperméable aux faiblesses de l’être et tout entier consacré à l’application de sa fonction ?

La réponse est dans la question. Le seul moyen de pouvoir assumer cette nouvelle et lourde tâche passe par cette notion, très subjective, qu’est la crédibilité auprès de tous les collaborateurs, auprès des dirigeants, des administrateurs, des régulateurs, bref auprès de toutes les composantes internes, externes – parfois imposées, de l’entreprise.

Et cette crédibilité passe par différents signes qui peuvent être énumérés comme suit.

La connaissance de l’entreprise

(ou son humilité vis-à-vis d’elle) :

–          soit l’on connaît son entreprise, parce qu’on y exerce depuis suffisamment longtemps pour en connaître la plupart des rouages, ses forces ses faiblesses, sa (géo)politique interne, et l’ensemble de son activité, parfois très technique ou assez peu accessible, et il sera relativement aisé de faire passer des messages liés à des exigences réglementaires, pas toujours intuitives, pas toujours agréables. Parce que considéré comme appartenant et faisant corps avec l’organisation, les messages seront plus faciles ou moins difficiles –  à transmettre à un public potentiellement rétif.

–          Soit l’on est nouveau dans l’entreprise, ce qui peut être souvent le cas pour une fonction compliance, et il faudra faire preuve d’une écoute sans faille, de modestie et d’humilité. Le défaut de connaissance de l’organisation sera largement compensée par une capacité d’écoute, par une capacité didactique, qui caractériseront sans aucun doute une grande crédibilité. Imposer sans expliquer, être péremptoire sans connaître du fonctionnement de l’organisation serait délétère. Et peut-être même irrécupérable.

La formation académique 

Une formation particulière est-elle une autre des composantes de la crédibilité de la fonction compliance ? Sujet délicat. Tout est question de point de vue. Empiriquement, l’on pourra affirmer sans crainte que nombre de compliance officers ont suivi une formation juridique, ou variante, que nombre de fonctions juridiques se retrouvent désignées pour remplir cette fonction, parce qu’elles connaissent la chose juridique.       Telle formation serait-elle donc une condition nécessaire à l’accomplissement de cette mission ?

La réponse est probablement non, mais ce type de formation académique peut aider. Non pas qu’il faille être juriste pour lire le texte ou les productions de l’AFA, mais la formation juridique permet de mesurer les interactions avec d’autres textes, proches de l’anticorruption, d’anticiper d’une certaine manière les exigences de l’Agence, par une lecture, en juriste, de ses exigences. Et il faut bien reconnaître que les sujets de conformité, particulièrement dans les environnements anglosaxons, sont adressés par des juristes.

Une fois ceci posé, certains compliance officers qui n’ont pas suivi de formation juridique, donnent pleine satisfaction aux Groupes qui les emploient, ainsi qu’à leurs collaborateurs, dans l’exécution de leur mission.

Des compétences multiples

Des compétences multiples d’un compliance officer seraient plus à mettre en avant que la seule formation juridique.

En effet, la loi Sapin 2 traite de tous les processus de l’entreprise, la fonction conformité doit être capable de comprendre intimement le fonctionnement de son entreprise, et des particularités liées à son activité. Il se doit également, sans être comptable de comprendre ses finances, sans être informaticien d’avoir quelques réflexes en matière de systèmes d’information, sans être chef de projet de déployer les différentes mesures de l’art. 17, sans être dirigeant d’être à même d’être écouté et compris par l’un d’eux, d’instruire des alertes sans être Sherlock Holmes, d’être discret sans avoir fait vœu de silence…

En bref le compliance officer eu sens de la loi Sapin 2 est une forme de caméléon, assez inédit dans la vie contemporaine des entreprises, et c’est avant tout sa polyvalence qui doit être privilégiée.

C’est la raison pour laquelle, l’on attribue parfois ce rôle, juristes mis à part, à des personnes en charge des risques, du contrôle interne.

Parce que justement ces rôles sont le plus souvent endossés par des fonctions très polyvalentes. On me reprochera sans doute d’oublier, bien involontairement, certaines autres fonctions qui ont en charge cette noble tâche, mais l’idée est ici, on l’aura compris de dresser un portrait assez général de la conformité, pour laquelle mille variantes ou autres possibilités pourraient être envisagées.

Dernier point relatif à la crédibilité de la fonction : le niveau d’expérience attendu. La réponse à cette question est plus simple qu’on ne pourrait le penser.

La matière est jeune, elle ne compte que peu de jurisprudence, et sa doctrine est souvent portée par des professionnels, sans trop d’aspects purement conceptuels ou théoriques. Le recul sur la question de la compliance Sapin 2 n’a pas atteint les 10 ans, donc le peu d’expérience en la matière n’est pas un handicap, et une fois les conditions précédentes évoquées remplies, rien ne oppose à ce que quelqu’un d’assez peu expérimenté tienne très dignement ce rôle.

« Aux âmes bien nées, la valeur n’attend point le nombre des années » pour reprendre l’heureuse formulation de Corneille. Mais ne surtout pas perdre de vue que la jeunesse ne constitue pas un handicap, dès lors que, « bien née », comprenez que les conditions d’indépendance, de connaissance de l’entreprise, de proximité avec l’instance dirigeante sont réunies.

Par ailleurs, une importante expérience constitue en soi un avantage, c’est une évidence : connaissance de l’entreprise, ou des entreprises, langage ou passé commun avec l’instance dirigeante, carrière constituée de différents postes ayant permis d’accumuler des compétences dans différents domaines, sont autant d’atouts pouvant renforcer la confiance, dans l’exercice d’une fonction aussi transverse.

Finalement cette fonction admet un spectre d’expérience, et donc d’âge, particulièrement large : d’à peine trentenaire, à post retraité. Un constat s’impose par l’observation: il n’y a pas de règle ! Et les limites du spectre, peu ou très expérimenté, aussi différentes qu’elles fussent, présentent des particularités différentes, utiles aux besoins de la cause.

Un titre particulier ?

Corollaire de ce développement, existe-t-il un titre, ou un poste particulier qui supporterait mieux qu’une autre cette fonction de conformité ? La réponse est probablement non. Direction juridique, direction des risques, secrétariat général, direction conformité (au premier chef, évidemment), direction de l’audit, ou du contrôle interne peu importe.

Seules comptent les compétences qu’on veut y mettre, mais seront considérées par l’AFA comme valables les postes où l’indépendance, la proximité avec l’instance dirigeante, et la crédibilité technique sont au rendez-vous. Le titre importe peu.

D’autres questions peuvent également surgir lorsque la question de la conformité se pose.

Organe collégial, ou personne unique ? 

La responsabilité de la mission, et la pratique le démontrent, la direction de la conformité ne devrait incomber qu’à une personne.

Qu’il existe des comités conformité ou compliance est une pratique courante et utile, que dans une optique de déploiement l’on trouve des réseaux de compliance officers, c’est une nécessité. Ces 2 cas de figure sont le signe d’une prise en charge organisationnelle cohérente de la conformité.

En revanche, pour la direction de la fonction, il apparaît, et les pratiques observées le confirment, qu’une seule tête doive apparaître.

Toujours pour les mêmes raisons : l’indépendance, la proximité avec la direction, et la crédibilité. Puisque le système induit par Sapin 2 est éminemment vertical, et lié à l’instance dirigeante, la prise en main de la fonction conformité doit également suivre ce chemin. Pour  incarner le « tone at the top » exigé par l’AFA.

Au-delà, de cette exigence, c’est probablement une garantie de plus à la force de la fonction.

Une possible externalisation ?

Question de moins en moins posée par les entreprises vu l’ampleur de la tâche de la mise en œuvre d’un programme Sapin 2, il peut y être apporté une réponse.

Même si le guide pratique de l’AFA semble indiquer que la fonction compliance est nécessairement salariée, lorsqu’il la compare à la fonction de DPO, rien n’empêche une entreprise de déléguer la fonction à des tiers. Et ces tiers pourraient être consultants, ou à des avocats, parce que que soumis à une exigence de confidentialité particulièrement forte.

Mais cette délégation ne saurait être « trop longue ». En effet la fonction peut temporairement être assumée par des tiers. Externaliser de façon permanente, serait d’une certaine manière contradictoire avec les principes commandant à la fonction. Cette dernière incarnant l’expression du plus haut niveau hiérarchique de l’entreprise, elle ne s’accommoderait pas à long terme de toute forme d’externalisation.

A court terme, en revanche, pour la structuration d’un dispositif de prévention de la corruption, confier les clés à un tiers peut renforcer la crédibilité tant attendue, avant évidemment de transmettre le projet déployé à un salarié de l’entreprise, qui en assurerait la gestion à moyen et long terme.

Voilà donc un certain nombre de réponses, à des questions générales, par petites touches, relatives à ce profil assez récent, particulièrement dans le monde de l’industrie et des services non financiers.

Puisse ce rôle voir ses contours de mieux en mieux définis, Sans pour autant que cette dernière ne fasse l’objet d’une énième couche réglementaire. Ce serait rajouter à la complexité du monde de l’entreprise, qui n’en manque pas.

[1] « […] la responsabilité et la liberté de gestion reconnues à chaque organisation […] »

[2] I.1. du guide La fonction conformité anticorruption dans l’entreprise Page 4

[3] Introduction du guide, page 2.

Publications les plus lues