Sapin II

Tenter la non-conformité, une activité rentable?

Paul McNulty, ancien procureur général adjoint des États-Unis, est l’auteur de la célèbre formule « If you think that compliance is expensive, try non-compliance ». Cette formule, souvent reprise, est devenue un cri de ralliement pour les professionnels de la compliance, ici et ailleurs.

Au-delà de ce cri, que faut-il comprendre par la formule un tantinet provocatrice « try non-compliance »? Quels sont les risques encourus par une entreprise défaillante en matière de compliance?

Avant d’entamer cette réflexion, il convient de préciser ce que recouvre la notion de compliance ou de conformité, termes équivalents. Celle-là n’est en effet pas normée et recouvre des réalités diverses, ayant en commun l’idée de se conformer à une réglementation spécifique, et parfois à des principes éthiques.

Nous aborderons ici la conformité réglementaire, comme celle, a minima, aux normes Sapin 2 ou GDPR, qui s’appliquent à toute entreprise, de taille significative pour Sapin2, et qui constituent deux socles techniques assez contraignants pour les assujettis à ces obligations.

On pourrait également dire que la conformité couvre le devoir de vigilance et la lutte contre le blanchiment par exemple, mais leur application apparaît restreinte à des organisations présentant des caractéristiques encore plus spécifiques.

Une fois ceci posé, que risque l’entreprise qui ne se conforme pas aux obligations qui lui incombent, ou qui fait semblant de s’y conformer en « cochant la case » pour reprendre l’expression consacrée? On pourrait ici jouer les marchands de peur, agiter le spectre de la sanction pénale ou susciter deux ou trois angoisses bien senties, mais on se contentera de se référer à l’expérience et aux pratiques observées ces dernières années.

Le propos ici se veut à tout le moins raisonnable et objectif, sans surenchère inutile.

Pour évacuer rapidement le sujet des sanctions financières, elles sont théoriquement importantes pour les deux dispositifs précités: 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour les entreprises dans le cadre du RGPD, ou 200 000 euros pour le dirigeant et 1 million d’euros pour la personne morale défaillante dans le cadre de la mise en œuvre du dispositif de prévention de la corruption Sapin 2.

Bien que ces montants soient potentiellement significatifs, la pratique les rend plus raisonnables: à part quelques affaires emblématiques, et donc atypiques, les sanctions prononcées par la CNIL sont assez mesurées.

En 2023, une quarantaine d’entreprises a été sanctionnée financièrement par la CNIL pour des montants compris entre de simples rappels à l’ordre (zéro euro, donc) et 40 millions d’euros, selon la distribution suivante:

On observe que, pour 42 sanctions prononcées en 2023, 26 ne dépassent pas 50 000 €.

Les données des sanctions de la CNIL peuvent être présentées comme suit en 2023:

Alors, si l’on se réfère aux propos de Paul McNulty, qu’auraient donc à craindre les entreprises défaillantes en matière de compliance? En s’appuyant sur l’expérience, et non sur une forme d’oukase morale ou spéculative, les désagréments causés peuvent revêtir trois formes distinctes:

  • Le coût de la mise en conformité sous contrainte
  • L’impact sur l’image de l’entreprise
  • La défiance des partenaires
  • De potentielles économies

Le coût de la mise en conformité sous contrainte

Qu’il s’agisse de Sapin 2 ou du RGPD, la conformité peut être évaluée par l’entreprise elle-même et mise en œuvre à son rythme en période « normale » ou être imposée par une autorité administrative ou judiciaire, notamment après un contrôle quelle qu’en soit le fait générateur.

Dans cette hypothèse, soit l’entreprise a pris le temps de se conformer au texte à son rythme, et l’autorité de contrôle vérifiera ce qui doit l’être. Le résultat ne sera peut-être pas parfait, mais l’entreprise qui aura su anticiper les demandes et exigences de l’autorité, parce qu’elle aura préalablement lu et compris ces exigences, s’en sortira toujours à peu près bien, peut être très bien.

Pour celle, en revanche, qui n’aura pas pris en compte les textes et exigences requises, la situation sera plus délicate: qu’il s’agisse de prévention de la corruption ou de protection des données, la mise en œuvre des mesures ne se fera pas en un claquement de doigts. Surtout pas quand les exigences existent depuis plus de cinq ans et que le marché est, en moyenne, techniquement au point.

Se lancer dans une cartographie des risques de corruption ou un audit de ses processus de traitement pour mettre en œuvre toute l’organisation nécessaire n’est pas chose aisée en temps normal. Sous la pression d’une autorité publique externe, c’est autre chose. Dans un calendrier contraint, sans connaissances préalables et sans ressources internes compétentes, l’exercice devient périlleux.

Cela engendrera sans nul doute différentes tensions pour nombre de collaborateurs de l’entreprise, ce qui n’est pas une expérience enviable, d’autant plus que la mauvaise qualité des résultats d’un contrôle peut en outre entraîner une sanction financière.

L’image de l’entreprise

Le deuxième effet d’une conformité défaillante est la communication au marché par l’autorité publique compétente que l’entreprise ne s’est pas conformée aux exigences réglementaires.

Aussi bien le RGPD que la loi Sapin 2 prévoient que soient rendues publiques les sanctions prononcées à l’encontre d’une organisation donnée.

Rendre publiques de telles informations, à l’époque des réseaux sociaux et d’une circulation de l’information aussi intense qu’instantanée, peut avoir des effets financiers difficilement quantifiables, mais qui font peser sur l’entreprise une chape de plomb dont on se passerait volontiers. Et si l’entreprise est cotée, les effets délétères sont augmentés de façon significative.

Exploitées par la concurrence, le grand public ou, pire encore, par des groupes de pression parfois dotés d’une audience médiatique redoutable, rien n’invite à passer à côté d’une mise en conformité.

S’il est dit que « le buzz » est toujours bon, il est quand même des publicités dont on se passe volontiers. 

La défiance des partenaires

Un autre effet induit et relativement nouveau de la conformité consiste en l’analyse du dispositif de conformité non pas par une autorité publique mais par un partenaire quel qu’il soit. Ainsi, comme la loi Sapin 2 dans son article 17 II.4 exige que l’on évalue la qualité de ses cocontractants, nombre de clients, de partenaires de joint-ventures ou même de fournisseurs sont désormais fondés à demander des gages en matière de conformité, pour éviter de devenir « complices », « partners in crime » en bon français d’une entorse à une règle de conformité.

Les réglementations actuelles font de chaque cocontractant une forme de procureur à même de juger de la qualité ou non, de la légitimité ou non de son partenaire à exercer ce pour quoi on contracte avec lui.

Ces exigences ne sont pas théoriques: il arrive parfois que des opérations de rapprochement échouent parce que le partenaire n’est pas à même de démontrer qu’il respecte les règlements auxquels il devrait se conformer.

En poussant la réflexion un peu plus loin, certains financeurs ou assureurs révèlent des exigences allant parfois au-delà de ce que la réglementation exige. La conformité devient alors l’inattendu « dernier kilomètre » d’une opération à laquelle elle s’est invitée de façon bruyante.

Pour avoir vécu pareille situation, tout pousse à prendre, a minima, au sérieux les exigences en la matière.

De potentielles économies

Il peut paraître surprenant d’imaginer que la conformité puisse être source d’économies. Pourtant, c’est le cas, et plus souvent qu’on ne pourrait le croire

De façon assez triviale, se préparer tranquillement à la conformité, en anticipant suffisamment les choses, coûte nécessairement moins que de se lancer à corps perdu, parce qu’il y a urgence, dans la mise en œuvre des huit mesures de la loi Sapin 2 ou dans le recensement et l’évaluation de ses traitements de données.

De façon plus inattendue, et particulièrement pour la loi Sapin 2 qui fait une observation attentive des processus et des pratiques de l’entreprise, l’expérience montre que cette analyse peut révéler des habitudes perfectibles d’un point de vue éthique, et qui peuvent, au-delà de leur caractère contestable, représenter des coûts parfois significatifs financièrement.

Il pourra ainsi s’agir, dans la plupart des cas pour des raisons liées à l’histoire d’une organisation, de financements accordés parfois depuis des lustres à des structures sans que l’intérêt social du financeur ne soit clairement démontrable.

On pourra ici songer au financement d’opérations d’intermédiation, à telle ou telle forme de sponsoring ou de mécénat. Parfois encore, à des situations d’achat pures et simples, baignées de conflits d’intérêts manifestes, et donc économiquement perfectibles.

En bref, l’éclairage parfois très spécifique de la loi Sapin 2 sur les processus d’une organisation se révèle souvent très utile, parfois rentable, pour le fonctionnement de l’entreprise. Contre toute attente, diront certains.

En guise de conclusion

Pour tempérer quelque peu les propos de Paul McNulty, le non-respect de la conformité ne provoquera sans doute pas apocalypse et invasions de sauterelles pour l’entreprise défaillante, mais la non-conformité peut s’avérer problématique à différents niveaux, financièrement aussi.

On peut également retourner la question en se disant que se mettre en conformité peut éviter bien des ennuis, au-delà de la seule peur du gendarme ou de considérations purement morales, à une époque où n’importe quelle information circule, au propre comme au figuré, à la vitesse de la lumière.

Dans certains cas, la mise en conformité peut même constituer un apport, financièrement aussi.

Publications les plus lues