Nous avons le plaisir de publier ici un article sur un thème inédit dans SKAN1 Outlook : les enjeux majeurs et spécificités auxquels font face les associations et autres organisations à but non lucratif dans le cadre de la mise en place d’un programme de conformité, en particulier suite aux « récentes » réglementations telles la loi anti-corruption SAPIN2. Nous remercions les auteurs Françoise Trévisani, fondatrice du cabinet TEVIA, et Fabrice Geistlich, directeur conformité et DPO de l’ADIE pour cette contribution exclusive.

Les nouveaux enjeux de maîtrise des risques de non-conformité portés par les Organisations Sans But Lucratif (OSBL)

Dans le cadre de leurs missions, les OSBL sont une composante essentielle du tissu économique et social en France, dont elles contribuent à structurer le modèle social. Ces missions s’accomplissent le plus souvent dans le cadre d’une mission de service public, bien notamment destinées à des personnes démunies, en détresse.

Pour mener leurs missions, les OSBL s’appuient sur l’engagement volontaire et désintéressé de bénévoles et de salariés exprimant ainsi leur volonté d’agir et de servir un projet créateur de lien social. Cette relation symbiotique est garante du lien de confiance liant ces organisations à leurs parties prenantes (interne et externe) parmi lesquelles figurent de nombreux acteurs publics.

Répondant aussi à des réglementations encadrant leurs actions, elles doivent maintenir un équilibre entre strict respect des cadres législatifs, réalisation de leurs missions, innovation sociale et maintien de l’adhésion des contributeurs (financiers ou bénévoles).

Désintéressées mais dépendantes de l’adhésion à leur projet, les OSBL ont la responsabilité d’agir en transparence auprès de leurs membres, bailleurs publics, mécènes et donateurs privés, et de justifier du bon usage des fonds perçus.

Cette exigence s’est renforcée à la suite de scandales ayant gravement porté atteinte à la réputation d’associations et de fondations allant jusqu’à mettre en péril leur existence.

Qu’il s’agisse de comportements non éthiques, d’actions non conformes aux règlementations ou de mauvaises décisions prises par l’instance dirigeante – sur des questions stratégiques, de gouvernance ou de gestion courante – les violations des normes sont de nature à jeter le discrédit sur toute l’organisation indépendamment de l’importance des missions mises en œuvre.

C’est pourquoi, une prise de conscience des OSBL est aujourd’hui attendue par l’ensemble des acteurs et particulièrement les autorités administratives et judiciaires qui n’hésitent plus à imposer des mesures visant à mobiliser les gouvernances en faveur de mesures préventives qui seront contrôlées, voire sanctionnées en cas de manquement. A ce titre, la Cour des Comptes⁽¹⁾ insistait sur la nécessité pour les dirigeants de se doter de cartographie d’analyse des risques internes.

Des réglementations de plus en plus nombreuses intègrent en effet dans leurs fondements une obligation de mise en conformité. Dès lors, il est urgent pour les dirigeants d’OSBL de se mobiliser, ainsi que leurs équipes, sur ces sujets afin de se doter d’un corpus de procédures ad hoc, de revisiter valeurs et règles éthiques à l’aune de ces prescriptions, et d’élaborer des programmes de prévention, de détection et de traitement des risques.

Renforcement du cadre réglementaire en matière de mise en conformité

Les règlementations françaises et internationales contenant des obligations de conformité à la charge des entités des secteurs privé et public s’appliquent aussi, selon leur profil⁽²⁾, aux OSBL et à leurs partenaires d’affaires.

La loi « Sapin 2⁽³⁾ » a introduit en France une obligation légale de mise en conformité dans le cadre de la lutte contre la corruption et le trafic d’influence. Elle a aussi instauré un cadre légal en faveur de l’alerte interne complété par la loi dite Waserman⁽⁴⁾ et la création de répertoire interne des représentants d’intérêts propre à chaque entité.

Le Règlement Général sur la Protection des Données⁽⁵⁾ instaure également la mise en place d’un programme de prévention des atteintes et de renforcement de la protection des données personnelles.

Il faut ajouter à ces textes des réglementations relatives aux sanctions économiques internationales et d’export control, ainsi que d’autres textes imposant des obligations de conformité aux partenaires d’affaires (institutionnels et du secteur marchand) des OSBL, et qui par ricochet les impactent également.

Il en est ainsi des textes relatifs à la prévention des fraudes et à la lutte contre le blanchiment et le financement du terrorisme qui s’appliquent à une palette d’assujettis dépassant le cadre du secteur bancaire et financier⁽⁶⁾ pour s’imposer aux OSBL. Il en va de même des obligations légales issues de la loi sur le devoir de vigilance⁽⁷⁾ qui pourraient se répercuter sur les OSBL relativement à la prévention des atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l’environnement.

Pour accompagner les OSBL dans ces démarches de mise en conformité, les autorités, les bailleurs publics et les banques multiplient les guides, les formations et les actions préventives destinées aux associations et fondations⁽⁸⁾, portant recommandation sur les attendus ou aidant à la mise en œuvre d’une compliance effective et efficace.

Déploiement des mesures de mise en conformité

Les mesures de conformité présentes dans ces différents textes poursuivent les mêmes objectifs : prévenir, détecter et sanctionner les risques au sein de l’organisation.

Il est important de souligner que la loi dite Sapin 2 donne une vision opérationnelle très détaillée permettant de répondre méthodiquement aux exigences des autorités de contrôle dans les différents domaines de risques. Elle permet l’harmonisation des différents programmes sous réserve d’adaptation aux exigences de chaque réglementation et du contexte de chaque OSBL.

L’article 17 de la loi dite « Sapin 2 » fixe à 8 mesures les conditions de maîtrise des risques au sein d’un programme de conformité. Elles portent sur :

1. la mise en place d’un code de conduite qui marque l’implication de l’instance dirigeante et des personnels nécessitant la diffusion d’une culture de conformité par la mise en place de communications régulières,
2. la mise en place de formations efficaces et ciblées des cadres et des personnels,
3. la réalisation d’une cartographie des risques,
4. l’évaluation des tiers,
5. la réalisation de contrôles comptables à différents niveaux des organisations pour la détection des risques,
6. la remontée des signalements par la mise en place d’un système d’alerte interne,
7. l’application de sanctions disciplinaires et enfin,
8. l’évaluation continue de l’efficacité du programme de conformité.

Ces mesures peuvent être portées par différentes directions au sein des OSBL de façon complémentaire et transversale à tous les niveaux de la hiérarchie, des activités, des périmètres, des domaines de risques dès lors qu’une fonction dédiée à la conformité en articule le déploiement.

La prise en compte des spécificités des OSBL dans la mise en place d’un programme de conformité

Les spécificités des OSBL doivent être prises en compte dans la mise en place des programmes de conformité afin d’adapter les cadres prescrits au modèle de gouvernance et aux règles de gestion qui leur sont propres.

Ces spécificités induisent des risques nécessitant une vigilance particulière obligeant les dirigeants à s’impliquer plus directement dans la gestion des risques. On relèvera trois particularismes parmi d’autres qui caractérisent les OSBL et impactent les risques :

• Le statut “sans but lucratif” et le cadre fiscal dans lequel exercent les OSBL (absence d’impôts sur les sociétés, de TVA sur les financements externes perçus, émission possible de reçus fiscaux) sont vitaux pour le modèle économique de ces structures. Le respect des exigences de ce statut constitue un enjeu de conformité que doivent respecter les OSBL en s’assurant notamment de ne pas agir sur un champ concurrentiel, en limitant par exemple les financements sous forme de prestations à une part limitée des produits financiers.
• D’autre part, comme déjà évoqué, le modèle économique des OSBL, basé sur la collecte de fonds publics ou privés (subventions publiques nationales ou internationales, mécénat privé, générosité du public…) rend leur capacité financière étroitement dépendante de leur réputation, laquelle est proportionnelle au niveau de confiance qu’elles inspirent. Il y a donc là un point de vulnérabilité à garder sous contrôle.
• Egalement évoquée précédemment, la mise en oeuvre des missions s’appuie pour beaucoup sur des ressources humaines bénévoles, quantitativement nombreuses, impliquées, parfois difficiles à maintenir dans la durée donc par certains aspects plus difficiles à former à animer que des équipes de salariés. Pour autant les réglementations ne font pas de distinction entre ces deux statuts qui coexistent au sein des OSBL. Les dirigeants d’OSBL font face à un point de fragilité consistant à faire appliquer les règles légales et internes par tous les personnels.

Ces spécificités et d’autres encore qui caractérisent les OSBL par rapport aux secteurs publics et privés ont des répercussions assez fondamentales sur les comportements induits, les organisations mises en place, les modes de fonctionnement ainsi que les décisions prises par ces OSBL.

Les spécificités décrites ci-dessus induisent des risques de non-conformité inhérents aux OBSL que l’on doit analyser sur plusieurs niveaux :

• la gouvernance (organisation, pouvoirs, missions, signature),
• les finances (capacité à collecter des fonds publics ou privés, à effectuer des due diligences sur les parties prenantes, dans certains cas à générer des recettes, à maîtriser les dépenses, à se doter de comptabilité analytique y compris avec les partenaires d’affaires à l’étranger, à réaliser des contrôles et des audits internes),
• la définition de la stratégie (prise de décision pour l’atteinte des objectifs, identification des risques et des opportunités, capacité à les évaluer et les prioriser, à effectuer des veilles réglementaires),
• le respect des règles internes par les opérationnels grâce à l’existence de mesures et d’actions favorables à l’atteinte des objectifs dans le respect des réglementations (sensibilisations, formations initiales et continues, mobilisation des niveaux d’encadrement intermédiaires).

L’implication de l’instance dirigeante dans le démarrage d’un programme de conformité

Qu’il s’agisse de réglementation sectorielle, de réglementation de conformité, ou des normes métier, il est demandé aux OSBL de relever leur niveau de vigilance et de s’inscrire dans une démarche de gestion de leurs risques qui passe par la mise en place d’un plan de maîtrise des risques de non-conformité.

L’impulsion de la conformité doit être donnée au plus haut niveau de l’organisation par l’instance dirigeante qui donne le ton, « tone at the top », et s’assure de sa mise en oeuvre effective au sein de l’organisation ainsi que de son efficacité.

L’instance dirigeante doit donc se former aux enjeux de la conformité, mobiliser une équipe de compliance officers (interne ou externe) en charge de définir les règles internes qui devront être diffusées et contrôlées, voire sanctionnées.

Ne rien faire pourrait conduire les autorités à constater un manquement à l’obligation légale de mise en conformité et être préjudiciable au maintien du lien de confiance vis-à-vis de toutes les parties prenantes (bailleurs publics, agences, institutions nationales ou internationales, administrations de tutelles, régulateurs, partenaires, prestataires, donateurs et équipes internes).

Les OSBL ont donc tout à gagner à appréhender l’obligation de mise en conformité comme une démarche concourant à protéger l’association, ses dirigeants, ses collaborateurs (salariés et bénévoles) contre une éventuelle mise en cause de leur responsabilité et également comme une démarche créatrice de valeur, contribuant au renforcement d’une exigence éthique et déontologique garante du lien de confiance avec les tiers.

Les auteurs

Françoise Trevisani a pratiqué la conformité pendant 10 ans en entreprise. Titulaire d’un diplôme de responsable conformité et d’un certificat de formatrice professionnelle, elle accompagne désormais les entreprises et les Organismes Sans But Lucratif dans la mise en place de leur programme de conformité. Elle est fondatrice de la société TEVIA.

Fabrice Geistlich : engagé depuis 30 ans dans l’économie sociale et solidaire, en France et à l’international, de l’agro-écologie avec M. Pierre Rabhi, à la microfinance avec Mame Maria Nowak, les sujets de conformité d’éthique et de déontologie constituent depuis 2018 ses nouveaux challenges en faveur d’un monde plus respectueux des hommes et de la terre.

TEVIA conseille et accompagne les Entreprises et les Organismes Sans But Lucratif pour les aider à intégrer la gestion des risques de corruption dans leur stratégie et gouvernance en construisant pas à pas leur premier programme de conformité. Elle contribue à les aider dans la diffusion d’une culture de conformité auprès des instances dirigeantes et des personnels par des formations personnalisées (contact@tevia.fr).

(1) Le 25 novembre 2021, la Cour des comptes a organisé un colloque sur le thème « Garantir le bon emploi des dons des citoyens », autour des 30 ans de mise en oeuvre de la loi du 7 août 1991 sur l’appel à la générosité publique. Replay du colloque sur Youtube : https://www.youtube.com/watch?v=DJEb1IuxV-0

(2) Sur la base de ces nouvelles contraintes de conformité les ARUP et FRUP sont soumises à des contrôles par les autorités de contrôles au titre de l’article 3 de la loi Sapin 2. Elles ont donc la responsabilité de prévenir et détecter les risques associés et de mettre en place des mesures listées à l’article 17 de la loi dite « Sapin 2 ».

(3) Loi n° 2016-1691 du 09/12/2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.

(4) Loi n° 2022-401 du 22/03/22 visant à améliorer la situation des lanceurs d’alerte.

(5) RGPD règlement UE n° 2016-679 du 27 avril 2016 relatif à la protection des personnes physique à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ».

(6) https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000042648575/

(7) Loi n° 2017- 399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre.

(8) Guide pratique : maîtriser le risque d’atteinte à la probité au sein des associations et fondations reconnues d’utilité publique, janvier 2022 AFA et « guide de sensibilisation au RGPD pour les associations » CNIL.