En 2021, le cabinet Mazars a interrogé 890 experts de la conformité : 77% ont déclaré que ces cinq dernières années, leur entreprise a connu des problèmes de conformité ayant nui à leur réputation, ou entraîné des mesures disciplinaires ou des amendes.

Le responsable conformité a pour rôle de s’assurer que les réglementations juridiques, éthiques ou encore techniques imposées aux entreprises soient appliquées, afin de prévenir les risques d’infraction – et donc de sanction. Il doit naviguer entre des cadres juridiques en évolution constante, qui s’entrelacent et se superposent parfois, à l’instar des lois extraterritoriales comme le FCPA américain, de la loi Sapin 2, du cadre réglementaire européen ou encore de l’irruption des critères RSE dans les décisions des institutions financières internationales.

Or, les enjeux de la conformité dépassent largement le risque de sanction : 65% des responsables interrogés estiment qu’une bonne conformité globale est un facteur-clé de confiance des investisseurs, et 61% la considèrent essentielle pour jouir d’une bonne réputation en général.

En pratique, les entreprises s’approprient néanmoins la fonction conformité de manière inégale. Si certaines ont compris l’importance d’intégrer la conformité aux processus de décision – 40% des responsables interrogés ont déclaré que les obligations de conformité étaient examinées chaque trimestre par leur conseil d’administration –, d’autres peinent encore à intégrer les exigences réglementaires à leurs activités opérationnelles.

Pour y voir plus clair, nous vous proposons un focus sur plusieurs défis en cours ou à venir très prochainement pour la fonction conformité.

Les nouveautés réglementaires

France : une stratégie tournée vers la souveraineté

En France, la législation anticorruption s’est construite en réaction à l’extraterritorialité américaine, souvent perçue comme une ingérence étrangère dans les affaires des entreprises françaises. La CJIP (Convention Judiciaire d’Intérêt Public) créée par la loi Sapin 2 en a été une première étape, permettant aux entreprises poursuivies par des autorités étrangères de traiter directement avec l’État français.

Fin 2020, cette logique a poursuivi sa course avec la création d’une CJIP environnementale. Et cet attirail juridique continue de s’étoffer : depuis avril 2022, les entreprises françaises doivent signaler toute demande de données sensibles émanant d’autorités étrangères.

D’autres propositions sont actuellement à l’étude pour renforcer la législation anticorruption, comme celle déposée fin 2021 par le député Raphaël Gauvain.

Protection renforcée pour les lanceurs d’alertes

Les responsables conformité devront aussi s’attendre aux effets de la loi sur les lanceurs d’alertes promulguée en mars 2022, qui élargit le champ de l’alerte et de la protection à ceux qui rapportent des faits suspects. Désormais, le lanceur d’alerte peut signaler des faits qui lui ont été rapportés, même s’il n’en a pas été directement témoin, et la protection a été étendue à son entourage.

Des impératifs croissants de reporting extra-financier : la directive CSRD

La « Corporate Sustainability Reporting Directive » (CSRD) va remplacer la Directive Européenne sur le Reporting Non Financier (NFRD) afin d’étendre les exigences de reporting extra-financier. Les entreprises devront transmettre des informations plus précises afin d’évaluer l’impact de leurs activités sur l’environnement et la société.

En France, ces nouvelles dispositions devraient être mises en œuvre à partir de décembre 2022, remplaçant la déclaration de performance extra-financière (DPEF). À l’heure actuelle, seules les entreprises de plus de 500 salariés et au chiffre d’affaires supérieur à 40 millions d’€ (pour les sociétés cotées), ou à 100 millions d’€ (pour les sociétés non cotées), sont concernées par la DPEF.

Avec la CSRD, toutes les entreprises cotées sur un marché européen seront concernées, ainsi que toutes les entreprises non cotées de plus de 250 salariés et 40 millions d’€ de chiffre d’affaire (ou 20 millions d’€ de bilan). Les PME non cotées seront elles aussi encouragées à publier un reporting simplifié.

Notons que depuis mars 2022, les entreprises françaises doivent aussi respecter la « clause-filet », qui impose de soumettre les projets susceptibles d’avoir des effets notables sur l’environnement et la santé à une évaluation environnementale.

Vers un devoir de vigilance européen

Le reporting environnemental est aussi au cœur du projet de directive sur le devoir de vigilance, adopté fin février par la Commission européenne. Ce texte, qui devrait entrer en vigueur fin 2025, prévoit de nouvelles obligations pour les entreprises européennes : travail des enfants, exploitation, pollution, atteintes à la biodiversité… Les entreprises devront prendre des mesures pour repérer les potentielles atteintes, et seront responsables de faire cesser les incidences néfastes de leurs activités.

Sensibilisation au risque : l’autre défi du responsable conformité

Mais le respect des normes de contrôle et de reporting ne suffit pas toujours à protéger l’entreprise quand la menace d’une inconduite se profile – qu’elle vienne d’un salarié, d’une filiale ou d’un partenaire commercial. Y réagir efficacement dépend encore beaucoup de la volonté des salariés d’alerter leur hiérarchie lorsqu’ils sont confrontés à une situation à risque.

Or la France accuse semble bel et bien un véritables manque pour ce qui est de la sensibilisation des salariés à la notion de risque ; cela se manifeste aussi bien par une vulnérabilité aux risques technologiques comme les « rançongiciels » – la France est le troisième pays le plus touché par ces attaques informatiques – que par une certaine méconnaissance de la conduite à adopter face au risque de corruption.

Un travail de recherche a récemment révélé qu’en dépit des réglementations Sapin 2, les Français ont encore du mal à sonner l’alerte face à des situations à risque. Les chercheurs ont exposé des professionnels à des dilemmes éthiques et ont découvert que dans de nombreux cas, le caractère non éthique des situations présentées est sous-estimé. Ceux qui pourraient lancer l’alerte ne réalisent pas toujours le risque ou n’osent pas franchir le pas – à l’exception de cas extrêmes, par exemple lorsque la santé des consommateurs est clairement menacée.

L’étude relève aussi que malgré la protection croissante des lanceurs d’alertes, lorsqu’ils sont confrontés à une inconduite, les professionnels préfèrent partager le secret avec leur « espace micro-social de proximité », à savoir leurs collègues et famille proches ou leur N+1. Alerter au-delà de ce cercle reste trop souvent perçu comme un acte de trahison, qui fragiliserait leurs relations avec leurs collègues et partenaires.

On voit ici concrètement comment l’engagement de l’instance dirigeante – l’un des piliers de Sapin 2 – peut influencer positivement les comportements individuels vis-à-vis de la conformité. Si une entreprise veut pouvoir compter sur ses salariés pour rapporter une inconduite, il appartient donc aux dirigeants de travailler avec le responsable conformité afin de créer une atmosphère de confiance, dans laquelle l’employé 1) sait reconnaître une inconduite 2) ne craint pas d’être perçu comme un traître par ses proches 3) ne craint pas pour sa carrière à court- et long-terme.

Ce sont donc les deux grands défis du responsable de la conformité aujourd’hui : toujours réactualiser le dispositif de conformité selon les nouvelles exigences réglementaires d’une part, et de l’autre, effectuer un travail de fond pour s’assurer que la conformité soit véritablement l’affaire de tous.

Sources :

• Mazars.com : Mazars 2021 Global Compliance Study
• La Tribune : Malgré la loi Sapin II, les dispositifs internes anticorruption des entreprises restent peu mobilisés
• Skan1 Outlook : France : pourquoi les PME et ETI devraient aussi respecter la loi SAPIN 2 (même si elles n’y sont pas soumises)
• Skan1 Outlook : Europe de la compliance : ce à quoi doivent se préparer les entreprises
• Skan 1 Outlook : $1,1 milliard d’amende : Glencore se hisse dans le « Top 10 » des sanctions FCPA
• Skan 1 Outlook : En route vers une loi « Sapin 3 » ? Retour sur le projet déposé par le député Raphaël Gauvain pour renforcer la lutte anticorruption
• Skan1 Outlook : Lanceurs d’alerte : protection renforcée et nouveaux risques pour les entreprises
• Le Blog du droit de l’urbanisme et de l’aménagement : La « clause-filet » de l’évaluation environnementale : impactante ?
• Skan1 Outlook : Devoir de vigilance : Bruxelles dévoile les prochaines obligations des entreprises européennes