L’internationalisation des échanges et la multiplicité des réglementations nationales ou internationales – que ce soient l’anticorruption et antifraude, la lutte contre le blanchiment d’argent (LCB) et le financement du terrorisme (FT), la protection des données personnelles (RGPD), le respect de la concurrence, les embargos ou d’autres mesures restrictives – ont élargi le périmètre d’action de la fonction compliance à d’autres domaines. Ceci donc va bien au-delà de la seule prévention de la corruption d’agents publics étrangers.

Certaines entreprises ont mis en place plus tôt que d’autres des départements compliance au sein de leur organisation. Ce furent d’abord les entreprises dont les activités sont réglementées : les établissements bancaires, financiers et d’assurance, l’industrie de la pharmacie, de la défense, de l’énergie, de la santé, de la chimie pour ne citer que quelques exemples. Dans ce cas, s’agissant de secteurs sensibles, la décision de créer une fonction compliance, au sein de ces organisations, relève de la loi ou des règlements.

Par contre, pour les autres entreprises dont les activités ne sont pas réglementées, la décision de se doter d’une fonction compliance propre en charge du pilotage, de la mise en œuvre et du suivi du programme de conformité relève avant tout d’un acte de gestion de la part du management.

Ce point est important car montre que la décision n’est pas imposée par le régulateur, mais l’équipe de direction a volontairement décidé d’entreprendre une démarche de mise en conformité afin de faire évoluer la culture d’entreprise et les pratiques de bonne gouvernance, de sensibiliser les salariés et les dirigeants aux risques de non-conformité, et de promouvoir le respect des lois et règlements applicables.

Le positionnement de la fonction compliance dans l’organisation est susceptible de varier compte tenu de la taille, la nature et la complexité des activités exercées, le profil de risque et la gouvernance d’entreprise.

Ainsi, dans les grandes entreprises, l’équipe de direction jugera opportun de centraliser la fonction compliance et de placer le responsable de celle-ci à la tête d’une équipe épaulée par des nombreux collaborateurs. Dans les entreprises de taille plus réduite, cette mission de contrôle peut être confiée à un responsable ou bien à un prestataire extérieur.

Pour aider les entreprises à structurer, au sein de leur organisation, une fonction compliance intégrée, efficace et compétente dans plusieurs domaines, une série de recommandations ont été adoptées aux niveaux européen et national.

Par exemple, en Europe, l’Autorité européenne des marchés financiers (ESMA) a publié, le 5 juin 2020, le « FinalReport Guidelines on certain aspects of the MiFID II compliance function requirements » qui apportent clarté et cohérence dans l’application des exigences de MIFID II (Directive 2014/65/UE) pour la fonction de conformité des entreprises d’investissement[1].

De même, en France, l’Agence française anticorruption (AFA) a élaboré un guide pratique sur la gouvernance de « la fonction conformité anticorruption dans l’entreprise » destiné aux entités visées par les obligations de la loi Sapin II. En Italie, Confindustria et d’autres associations de catégorie (Abi, Ania, Assogestioni…) ont adopté des lignes directrices qui renforcent le système de contrôle interne et les programmes de conformité des entreprises visées par le décret législatif n°231/2001.

Tous ces dispositifs ont plusieurs points en commun, notamment en ce qui concerne le rôle du responsable, les missions confiées à la fonction compliance et les relations entre celle-ci et le conseil d’administration.

Rôle et profil du responsable de la fonction compliance

La fonction compliance est une fonction sensible et stratégique : sa raison d’être est de limiter les risques de non-conformité et de s’assurer que les valeurs et les règles internes (programmes de conformité, procédures et protocoles) de prévention des risques et de contrôle interne sont respectés dans l’entreprise et dans les relations avec les parties prenantes.

Les instances dirigeantes ont donc la responsabilité d’identifier, au sein de l’organisation, le responsable ou bien les membres du département compliance et les doter de moyens, humains et financiers, nécessaires à l’accomplissement de leur mission.

Le chef de la fonction compliance est appelé à élaborer les programmes de conformité et en piloter la mise en œuvre ainsi que la mise à jour. Pour être efficace et assumer pleinement son rôle, le responsable doit posséder des connaissances et compétences approfondies en matière de contrôle interne et de gestion des risques. Mais surtout, il doit faire preuve d’intégrité, d’indépendance de jugement et avoir libre accès au conseil d’administration.

Ce responsable rend compte à l’équipe de direction du déploiement et du fonctionnement des programmes de conformité. Cette mission implique l’établissement d’un reporting adressé au conseil d’administration et, le cas échéant, au comité d’audit et au comité du contrôle interne.

Missions de la fonction compliance

Le responsable de la fonction compliance doit notamment assurer les missions suivantes :

  1. Assurer et diffuser la veille réglementaire
  2. Mettre en place et diffuser les normes et procédures en matière de conformité
  3. Former et informer sur les risques de non-conformité et les dispositifs à mettre en œuvre
  4. Conseiller et assister les autres départements de l’entreprise pour tout élément lié à la conformité
  5. Réaliser et mettre en œuvre la cartographie des risques de non-conformité et le Code de conduite
  6. Assurer le suivi et le contrôle permanent de la conformité
  7. Mettre en place un dispositif de lutte contre la corruption
  8. Mettre en place un dispositif d’alerte éthique
  9. Assurer la mise à jour de protocoles, procédures et programmes de conformité.

Rôle et responsabilité du conseil d’administration

Un élément essentiel au bon fonctionnement de la fonction compliance repose sur l’engagement du conseil d’administration à promouvoir les valeurs d’un comportement soucieux du respect des lois, règlements et lignes directrices applicables à l’entreprise.

Les objectifs de la fonction compliance seront plus faciles à atteindre si les rôles et les responsabilités sont bien identifiés et que leur attribution est connue et bien comprise au sein de l’organisation. Le conseil d’administration et l’équipe de direction sont donc directement impliqués dans ce processus. Ils doivent notamment vérifier que l’entreprise dispose d’un cadre de gestion des risques de non-conformité efficace et que les politiques et procédures soient développées, appliquées et mises à jour.

Et sont toujours ces instances dirigeantes qui doivent promouvoir et développer la culture de la conformité au sein de l’organisation. Plus elle sera considérée comme un outil intégré du processus productif, plus elle sera acceptée d’un bout à l’autre de l’organisation de l’entreprise et le travail de la fonction compliance s’en trouvera facilité.

gp@giovannellapolidoro.com


[1] Les lignes directrices, qui remplacent les lignes directrices MIFID I de 2012 sur la fonction de conformité, complètent les obligations fondamentales (contenues dans la législation MIFID II) sur les fonctions et les obligations de déclaration de la fonction de conformité des entrerises bancaires et d’investissement.