Retranscription Conférence Cercle De la
publicité
Retranscription de la conférence du 26 janvier 2012 « Risques juridiques et conformité » Manager la Compliance le jeudi 26 Janvier 2012 au Cercle France-Amériques 1 Programme Accueil M. Jean-Luc FOURNIER, Vice-président France-Amériques Introduction M. Daniel TRICOT, Président et co-fondateur du Cercle De la Compliance, Président honoraire de la chambre commerciale, économique et financière de la Cour de Cassation Modérateur Mme Blandine CORDIER-PALASSE, Vice-présidente et co-fondatrice du Cercle, Associée BCC Executive Search Présentation M. Philippe MONTIGNY « Conformité : entre conformisme et modernité », Co-fondateur du Cercle et Président d’Ethic Intelligence Table ronde des co-auteurs* Mme Catherine DELHAYE, Co-fondatrice du Cercle et Deputy General Counsel d’Accenture en charge de la Direction mondiale Regulatory, Ethics and Compliance M. Henry-Benoît LOOSDREGT, Consultant, Ethique des Organisations M. Christophe ROQUILLY, Directeur du centre de recherche LegalEdhec et Professeur à l’EDHEC Business School M. Christophe COLLARD, Centre de recherche LegalEdhec et Professeur à l’EDHEC Business School *« Risque juridique et conformité », premier ouvrage de la collection Lamy Conformité, édité en partenariat avec Le Cercle De la Compliance et l’AFJE en Janvier 2012 2 Programme détaillé Philippe MONTIGNY « Conformité : entre conformisme et modernité », Co-fondateur du Cercle et Président d’Ethic Intelligence. Plus précisément, il aborde deux grands thèmes : - Quel est le corpus de référence de la conformité : références pénales, professionnelles et éthiques en montrant que chacun d’eux génère des règles de nature différentes. - Qu’est-ce que l’entreprise doit faire pour se mettre en conformité avec ces trois corpus aussi différents - Pour conclure que le conformisme c’est se « conformer » aux règles établies par d’autres, et que le modernisme c’est : i) d’élaborer ou de participer à l’élaboration de ces règles ii) d’impliquer la vigilance active des collaborateurs qui deviennent les « acteurs » de la Compliance, permettant ainsi de reprendre l’articulation entre « rule based Compliance » et « principle based Compliance » et ouvrir le débat européo-américain sur le sujet Table ronde, modérateur : Blandine CORDIER-PALASSE 1. Christophe COLLARD abordera d'abord les aspects suivants : - la Compliance, tout le monde en parle, mais peut-on s'entendre sur le sens à donner au terme, et ses implications ? - la défiance culturelle (voir l'utilisation du terme « conformisme ») que génère parfois la Compliance, un concept venu d'ailleurs. - les « questions de territoire » (toujours une forme de défiance) qui peuvent voir jour dans l'entreprise (à tout le moins chez certains acteurs) entre direction juridique et direction de la Compliance /des risques 2. Catherine DELHAYE évoquera : - la différence d'approche entre l'éthique à la française et l'éthique à l'américaine - laquelle ne se conçoit pas sans un dispositif extrêmement strict et détaillé de mise en œuvre des principes éthiques, des valeurs, de contrôles et de sanctions, - donc des moyens très lourds 3. Christophe ROQUILLY abordera ensuite le lien fort et indispensable entre "management des risques – notamment juridiques –- et Compliance ». 3 4. Henry-Benoît LOOSDREGT établira enfin le lien entre compliance et gouvernance de l'entreprise en abordant : - le rôle du conseil d'administration - et le partage du travail de contrôle de la conformité entre le Compliance Officer, le directeur juridique et le directeur des risques. Synthèse : Blandine CORDIER-PALASSE 4 Introduction générale et enjeux du débat 5 Introduction par Jean-Luc FOURNIER Vice-Président du Cercle France-Amériques Madame Messieurs, chers amis, Tout d’abord, je vous souhaite une très bonne année 2012 avec santé et de nombreux projets au nom de France Amériques, de l’Association Française des Docteurs en Droit et du Cercle de la Compliance. Nous ouvrons l’année 2012 par une conférence juridique sur la Compliance. Je vais reprendre la définition figurant dans le bulletin qui vous a été remis : « C’est la conformité et l’ensemble des processus qui permettent d’assurer le respect d’une part, des valeurs et d’un esprit éthique insufflées par les dirigeants. Leur non-respect peut entraîner des sanctions judiciaires ou administratives, des pertes financières ou une atteinte à leur image ou à la réputation. » Elle fait partie, en effet, maintenant des préoccupations des dirigeants d’entreprise et des directions juridiques mais en réalité elle s’applique à toute structure, à tout le monde, aussi bien dans le privé que dans le public. Cette Compliance doit être rapprochée de la corruption que nous avons abordée lors d’une conférence le 7 Décembre 2011 ici où nous avons justement aussi traité à cette occasion des problèmes de Compliance et de conformité en entreprise. Grâce à l’AFDD et au Cercle de la Compliance, nous avons réuni ce matin les auteurs d’un ouvrage qui vient d’être publié et édité par les éditions LAMY – qui s’intitule, Risque juridique et conformité – ainsi que les spécialistes suivants : - Madame Catherine DELHAYE, co-fondatrice du Cercle et Deputy General Counsel d’Accenture, et en charge de la direction mondiale de la régulation, de l’éthique et de la Compliance - Monsieur Henry-Benoît LOOSDREGT, consultant éthique des organisations - Monsieur Christophe ROQUILLY, professeur à L’EDHEC Business School et directeur du centre de recherche LegalEdhec - Monsieur Christophe COLLARD, également professeur à l’EDHEC Business School. 6 Après une présentation du Cercle De la Compliance par Monsieur TRICOT, Président du Cercle, puis Monsieur MONTIGNY qui est co-fondateur du Cercle et Président d’Ethic Intelligence, nos quatre auteurs aborderont chacun un thème sous la modération de Madame CORDIER-PALASSE, co-fondatrice et Vice-Présidente du Cercle De la Compliance et fondatrice de Blandine Cordier Conseil Executive Search. Je voulais aussi profiter de cette manifestation pour vous annoncer le colloque annuel de l’Association Française des Docteurs en Droit qui se tiendra le 10 février 2012 à la grande chambre de la Cour de Cassation sur un sujet international : «les principes Unidroit 2010 : une nécessité dans les contrats internationaux». En effet, Monsieur Daniel TRICOT ici présent est à la fois Président de l’Association Française des Docteurs en Droit, Président du Cercle de la Compliance et ancien Président Honoraire de la Chambre Economique et Financière de la Cour de Cassation. Je ne serai pas plus long, mais je voulais vous remercier d’être venus aussi nombreux ce matin et sachez que vous êtes toujours les bienvenus à France Amériques. Nous avons un site internet sur lequel vous trouverez l’ensemble des conférences qui sont faites aussi bien sur le plan juridique mais aussi culturel, économique et politique. 7 La conférence Risques juridiques et Conformité – Manager la Compliance 8 Monsieur Daniel TRICOT Président et co-fondateur du Cercle, Président honoraire de la chambre commerciale, économique et financière de la Cour de Cassation Je voulais d’abord vous remercier d’être là, aussi nombreux et de façon matinale et vous souhaiter une excellente année qui je trouve, commence sous d’excellents auspices parce que vos encouragements nous démontrent que ce qui a été intuitif il y a quelque 12 ou 14 mois, ce travail que nous avons fait, que j’ai rejoint d’ailleurs en cours de route pour faire vivre Le Cercle De la Compliance, porte aujourd’hui ses fruits. Je vais être très bref, car il y a des choses extrêmement importantes à dire après. Il porte ses fruits et vous avez, dans ce focus, l’histoire du Cercle De la Compliance qui fête son premier anniversaire. On sent bien que chez certaines personnes, Blandine CORDIER-PALASSE, Philippe MONTIGNY, Agnès CLOAREC MERENDON et d’autres que je vais citer bien sûr, il y a eu un besoin de parler, de se rencontrer, de faire vivre une notion qui est multi formes. L’objet du Cercle, est de promouvoir, publier, conseiller, former, sensibiliser les acteurs du monde économique, politique et médiatique à la Compliance, à l’éthique des affaires, à la conformité notamment dans le contexte de la responsabilité sociétale et environnementale. Un besoin de faire vivre cela non pas dans une approche un peu juridique que nous connaissons bien de la responsabilité des dirigeants, des acteurs économiques et de la crainte dans l’engagement de la responsabilité mais une approche vécue, une approche directe, une approche dominée, une approche maîtrisée, une approche transversale et une approche concrète. Alors ces membres fondateurs, je les cite avec plaisir : - Blandine CORDIER-PALASSE qui est Vice-Présidente du Cercle, Associée du Cabinet Blandine Cordier Conseil Executive Search, ancien Avocat dans un cabinet Anglo-saxon et Directeur Juridique de groupes de sociétés - Agnès CLOAREC MERENDON, Avocat Associée au Cabinet Latham & Watkins - Catherine DELHAYE, Deputy General Counsel d’Accenture en charge de la Direction Mondiale Regulatory et qui, je peux le dire, va être chargée de la Compliance de VALEO ; nous lui adressons tous nos vœux de succès - Roxana FAMILY, qui est Secrétaire Générale du Cercle et co-fondatrice la Chaire Droit & Ethique des affaires de l’Université de Cergy Pontoise et qui de surcroit est doyen de la Faculté ; - Béatrix LAURENT-MOULIN, Directeur Juridique de Manpower France - Philippe MONTIGNY, Président d’Ethic Intelligence 9 - Jean-Yves TROCHON, Deputy General Counsel du groupe Lafarge - Hugues VALLETTE VIALLARD, Avocat Associé au cabinet Latham & Watkins Voilà les membres fondateurs et j’ai l’impression aujourd’hui que nous ne sommes plus les seuls, bien au contraire, puisque vous venez nous rejoindre ; nous avons, tous ensemble besoin de cette réflexion. Alors, je ne serai pas plus long car l’introduction de Philippe MONTIGNY sur « la Conformité, entre conformisme et modernité » sera la meilleure façon de lancer nos réflexions. Ensuite Christophe ROQUILLY vous présentera les différents ouvrages de la collection Lamy conformité. Et je laisserai la parole à Blandine CORDIER-PALASSE pour animer la table ronde. Avant de passer la parole, j’insiste sur le colloque du l0 Février à la Cour de Cassation sur les principes Unidroit. Je suis aussi membre du Conseil de Direction d’Unidroit. Depuis 1994, 2004 et maintenant la troisième édition 2010 adoptée en 2011, Unidroit a posé des principes de contrats internationaux. C’est la théorie générale des contrats internationaux proposé par Unidroit. Ces principes sont établis en 30 pages en tout et pour tout, repris dans deux livres - en français et en anglais - de 500 pages chacun qui comprennent les principes, des commentaires et des illustrations. Quand on rédige des contrats internationaux ou même des contrats nationaux susceptibles d’avoir des éléments d’extranéité, on devrait se référer à ces principes Unidroit, rédigés par des juristes des plus éminents, de toutes cultures dont les cultures anglosaxonne et continentale. C’est un système mondialement reconnu, il suffit de l’adopter. C’est un outil tellement commode, indiscutable qu’il faut le connaître. Je vous donne rendez-vous à cette conférence grâce à France-Amériques et remercie Jean-Luc FOURNIER. 10 Monsieur Philippe MONTIGNY Co-fondateur du Cercle et Président d’Ethic Intelligence « Conformité : entre conformisme et modernité » Il est effectivement intéressant de commencer à réfléchir sur ce sujet « Conformité : entre conformisme et modernité » à la Maison France-Amériques puisqu’on verra - et je crois que Catherine DELHAYE en parlera, - que même si les définitions sont extrêmement proches, il y a derrière ce terme sans doute des pratiques qui vont différer d’un bord à l’autre de l’Atlantique. Quand on regarde les définitions, on s’aperçoit que les définitions de la Conformité en français ou de la Compliance sont extrêmement proches et que dans les deux cas, il s’agit de faire référence à des règles et de voir comment appliquer et se conformer à ses règles. Par simplicité pour cette introduction, je prendrai l’hypothèse que Compliance et Conformité veulent dire la même chose, même si on verra qu’il y a une dimension culturelle sur laquelle on reviendra. Ces règles auxquelles nous devons nous conformer en tant qu’entreprise, quelles sont-elles ? Je vais reprendre ce sur quoi je m’étais arrêté lors de notre première conférence, il y a à peu près un an, lorsque j’avais distingué trois référents pour l’entreprise. J’avais d’abord distingué : - le référent de la loi, et plus précisément la loi pénale et on verra pourquoi, - les normes professionnelles - le corpus socio-éthique. La loi pénale nous dit ce qu’il ne faut pas faire : il est interdit de… : il est interdit de payer les pots-de-vin, d’avoir des pratiques non-concurrentielles, de commettre des délits d’initié, etc…On est dans une logique d’interdictions. Les normes professionnelles, je dirais que c’est exactement le contraire. On est dans une logique d’obligations : on doit se conformer, on doit respecter un certain nombre de choses. 11 Pour synthétiser, j’en ai distingué trois : - Les obligations de type réglementaires, qui peuvent d’ailleurs être codifiées par la loi avec une obligation d’être rigoureux sur la transcription des écritures comptables. Il va y avoir ensuite des dimensions réglementaires spécifiques par secteur, et si on est dans la banque ou chez L'Oréal, on n’a pas le même contexte réglementaire. - Les règles déontologiques proprement dites : certaines professions vont être très codifiées, comme par exemple l'ordre des médecins, l'ordre des avocats. - Et tout doucement, on s'aperçoit qu'il y a des instances professionnelles non gouvernementales, internationales, comme la Chambre de Commerce Internationale, qui réfléchissent sur de bonnes pratiques, cherchant ce que les entreprises devraient faire globalement pour que cela fonctionne bien. Voilà un ensemble de corpus, de règles auxquelles nous sommes supposés nous conformer. Et enfin il y a le monde, c'est-à-dire des citoyens, des individus, des cultures qui attendent de nos entreprises et de leurs dirigeants des comportements particuliers et là, j'ai distingué trois zones : - La zone que j'appelle OCDE : schématiquement ce sont des démocraties industrielles avec beaucoup de comparaisons ; d'ailleurs on appelle souvent ce club de l'OCDE, «le club des like-minded countries». Là, on est tous d'accord que le respect de la vie privée est important et il ne doit pas y avoir d'ingérence dans la vie privée. La non-discrimination est un facteur extrêmement important et on voit bien que ce n'est pas nécessairement la règle dans tous les pays. - Il y a ensuite ce que j'appelle des règles locales : il est clair que si vous faites des affaires dans un pays de culture musulmane très forte, vous allez avoir sans doute des comportements différents à l'égard de la société, des consommateurs etc… - Et puis il y a ce que j'appelle des règles internationalisées qui sont assez spécifiques de notre fin du XXème, début XXIème siècle. Ce sont des choses qui nous semblent importantes, à nous démocraties industrialisées, et on considère que même si dans certains pays, elles ne sont pas importantes, on va vouloir les respecter. Par exemple, pour le travail des enfants, on considère que nos entreprises ne doivent pas faire travailler des enfants, ici, à Paris. Mais pas non plus aux Philippines où la société locale le tolère plus ou moins. Et donc, on exporte ces règles même si sur place la pensée est différente. Il est intéressant de constater la tendance actuelle : tout doucement, cette attente de l'éthique et de la Compliance passe ensuite vers l'entreprise sous forme de normes professionnelles voire éventuellement du côté pénal. 12 Et inversement, on observe de plus en plus une tentation d'avoir aussi des lois qui vont régir des aspects qui sont plutôt du côté de ce qu'on pensait être de l'éthique. Je vous donne un exemple sur la question de la rémunération des traders. Certaines personnes ont pensé que c'était l’une des causes de la crise financière. Je ne sais pas si c'est vrai ou pas - je laisse la question de côté - mais il y a une attente de l'opinion, donc de la référence « socio-éthique ». On attend donc des banques qu'elles encadrent ce type de rémunération. On est dans le domaine de la référence professionnelle, mais si elles n'encadrent pas, il y a des lois qui vont venir régir cette question, et l’on est dans la « référence pénale ». On voit donc comment des lois vont combler un manque ou répondre à une attente de l'opinion si l'entreprise ne la prend pas en charge. Face à cela, le dirigeant a une responsabilité qui est celle de mettre son entreprise en conformité avec ces trois référents. On est dans une logique : - de conformité pénale avec le domaine judiciaire - de conformité professionnelle avec l'environnement des normes de l'entreprise, - de conformité éthique pour faire face au risque de réputation (publicité et image). Selon moi, c'est l'ensemble de ces trois strates qui forment une politique de conformité. Et on voit bien que cette politique de conformité est exactement un écho de l'attente de l’environnement de l'entreprise. A partir de là, quand on a ces référents, que fait–on ? Pour moi la politique de conformité c'est de définir ce à quoi il faut se conformer, et on va voir que la logique va différer selon les référents. Première logique : la loi interdit. En conséquence, il faut transcrire ces interdictions dans une politique de prévention. La corruption publique est interdite, cela signifie que l’entreprise doit l'affirmer bien sûr, mais doit susciter la vigilance des collaborateurs, établir des programmes de formation, de sensibilisation etc. Quand on est dans la sphère professionnelle, des normes professionnelles, on va traduire ces obligations en procédures d’exécution. Il y aura donc des procédures, par exemple au niveau comptable pour pouvoir retranscrire de façon rigoureuse un certain nombre d'écritures, de telle sorte que les comptes de fin d'année reflètent fidèlement l'activité économique et financière de l'entreprise, et par rapport aux corpus sociaux éthiques. 13 On est dans une logique où l’on va essayer d'adopter des comportements qui sont conformes à ce à quoi nous sommes attendus. Quand j'ai dit cela, vous vous doutez bien qu'on ouvre une espèce de boite de pandore, parce que cette politique de conformité va être particulière à chaque entreprise. Certes, il y a des référents communs à tout le monde, mais prenons quelques exemples. J'ai sélectionné quatre secteurs : - Défense - Délégation de service public - Télécoms - Beauté et luxe. Vendre des missiles quand on est chez MBDA ou vendre des produits de beauté quand on est chez L'Oréal, ce sont effectivement deux univers différents. Ainsi, vous ne serez pas étonnés que les enjeux et les risques de non-conformité soient différents. Quand on est dans le domaine de la défense, les clients sont les gouvernements, des administrations et donc le risque de corruption publique est élevé. Par ailleurs, vous êtes dans une logique de technologies avec une dimension duale et donc vous devez faire extrêmement attention au contrôle à l'exportation. Par contre, les problématiques d'ententes en matière de défense sont rares, il s’agit plutôt des gens qui travaillent à couteaux tirés donc il y a relativement peu de chance qu'il y ait des ententes. Quand on est en délégation de service public, la corruption publique est naturellement un risque évident puisque le premier contact est avec une administration publique. Les risques d'ententes sont aussi un risque évident puisqu’on a une envie de se partager des marchés ; en revanche, le contrôle à l'exportation n'a aucun sens. Quand on est dans les télécoms, les risques d'ententes existent, la corruption publique représente un risque moyen à un risque élevé. Ce dernier est globalement moyen voire faible dans les pays industrialisés et démocratiques mais peut être très élevé dans les pays à faible gouvernance. Dans le secteur beauté et luxe, c’est la santé des consommateurs qui va être au premier plan. Même si les cosmétiques n’ont pas pour but d’être ingérés, il peut y avoir des réactions épidermiques qui sont non négligeables. Le risque de corruption et d'ententes est faible. La corruption est presque inexistante, il n'y a pas d'agent public ; en tout cas, celuici ne va pas acheter un produit de beauté parce qu'il est agent public. Quant aux risques d'ententes, j'ai plutôt l'impression que les entreprises sont sur des logiques de différenciation pour bien montrer qu'elles sont meilleures que leurs concurrents. De même, le 14 risque du contrôle à l'exportation est structurellement inexistant. En ce qui concerne les risques professionnels, on a la même logique, et les choses vont être très différenciées. Dans le secteur beauté et luxe, le risque de corruption et d'ententes est faible. La corruption est presque inexistante, il n'y a pas d'agent public ; en tout cas, celui-ci ne va pas acheter un produit de beauté parce qu'il est agent public. Quant aux risques d'ententes, j'ai plutôt l'impression que les entreprises sont sur des logiques de différenciation pour bien montrer qu'elles sont meilleures que leurs concurrents. De même que le risque du contrôle à l'exportation est structurellement inexistant. Dans le domaine de la défense, les enjeux vont être par exemple perte et vol de données ou les normes de sécurité. Dans le domaine des délégations de service public, la sécurité du consommateur et l'environnement sont des préoccupations majeures qui entraînent la mise en place d'un certain nombre de procédures pour s'assurer que les règles de sécurité et de protection de l’environnement sont respectées. Pour les Télécoms, vous allez avoir d'un côté l'agence de régulation qui va attendre des opérateurs qu'ils se conforment à leurs obligations et à leurs engagements de services, de qualité, de couverture et ainsi de suite. De surcroit, il y a la question des données personnelles, puisque dans les télécoms vous avez des individus sur lesquels vous savez beaucoup de choses, leur vie privée, leur téléphone, leurs courriels, leur sms. Les risques éthiques vont être très différents aussi. Dans le secteur de la défense, on est dans une logique où l'opinion va attendre que nos industries de défense ne vendent pas de l'armement à des pays proliférant et globalement, qu'on ne vende pas d'armement à des pays avec qui l’on ne partage pas les mêmes valeurs démocratiques. Rappelez-vous du commerce d'armes avec la Libye. Pour les métiers de Délégation de service public, il y a toujours un doute sur une entreprise qui fait du profit. Elle fait du profit sur quelque chose qui est essentiel pour l’individu : l’inquiétude, c’est que l’entreprise pourrait avoir tendance à ne fournir de l'eau de moins bonne qualité que ce qu'elle devrait pour gagner plus d'argent ; de surcroit l’individu s’inquiète de savoir si ce qu’on lui facture est correct. Il y a une attente réelle et concrète. Par conséquent, les entreprises agissant dans ce domaine font très attention à la transparence de leurs approches. 15 Dans le domaine de la beauté, le risque éthique peut aussi être élevé. Si une entreprise européenne est accusée de discrimination au sein de son personnel, cela peut entraîner un vrai risque de réputation parmi des clients non européens. La question de l'expérimentation animale est aussi un sujet sur lequel les entreprises du secteur prennent en considération les attentes éthiques de la société. Voilà l'enjeu de nos entreprises. Vous qui êtes Compliance Officer, votre enjeu, c’est de comprendre ce que l’on attend de vous selon votre secteur mais aussi selon la taille de votre entreprise. On organise la Compliance différemment dans une entreprise qui compte 100 000 personnes, 10 000 personnes ou 500 personnes. Il y a un vrai enjeu de particularisme. A partir de là, il n'en reste pas moins que quand l’entreprise s’engage sur une définition de règles, il y a un certain nombre de pièges et de risques : - Le premier risque est celui de la tentation du politiquement correct. Il y a des règles qu'on affiche, qui sont très simples : la corruption c'est mal, l'environnement c'est bien, on est ouvert à la diversité et on s'arrête là. Dans ce cas, il y a un vrai enjeu de crédibilité. Si vous avez juste un effet d'affiche et rien derrière, vous risquez d'avoir un retour de boomerang extrêmement fort. Le meilleur exemple, c'est Siemens, il y a une demi-douzaine d’années avec : une magnifique charte éthique, un code de conduite, le tout en quadrichromie avec de jolies photos, etc. et rien derrière. Scandale ! - Le deuxième risque, c'est la déresponsabilisation. Vous allez mettre en œuvre un ensemble de règles, les gens vont s'y conformer, cela va être un peu pénible. Par la suite, tout doucement ils vont se dire que s'il y a des règles, elles seront nécessairement appliquées. Et peut être même qu'ils vont voir un petit problème. Or, dans la mesure où ils ont coché les bonnes cases, ils vont automatiquement penser : « ils savent ce qu'ils ont fait » et donc ils se cachent derrière les règles. - Le troisième risque, plus grave, que l’on observe maintenant depuis l’existence des programmes de conformité parfois très développés, c'est le mauvais usage de la conformité pour rendre le délit conforme. J'ai vu cela plusieurs fois et c'est dramatique. Je vous donne un exemple : J'ai en tête une entreprise dans laquelle un patron d'une très grande zone se fait prendre parce qu'il a utilisé un agent commercial pour payer un pot-de-vin, plusieurs centaines de milliers de dollars en l'occurrence. Le patron explique 16 avoir suivi toutes les procédures, avoir fait les « due diligence », fait réaliser un rapport par une société spécialisée en investigation, un contrat en bonne et due forme dans lequel la corruption est interdite, des preuves de services, des factures en bonne et due forme dans lesquelles il est indiqué que les honoraires n’ont pas servi à payer un pot-de-vin. Il reconnait l’avoir fait explicitement pour qu'on donne de l'argent à un ministre mais comme il a suivi la totalité de la procédure, il pense qu’il n’a rien fait de mal, qu’il ne court pas de risque et l’entreprise non plus. En conséquence, le troisième risque, c'est le détournement de la conformité. Cela représente un vrai problème. Et pour parer à cela, on s'aperçoit que c'est parce qu'on est dans une logique de conformisme, dont voici une définition que je trouve intéressante : « C’est le fait d'adopter les attitudes d'un groupe dont on subit l'influence ou la pression, où le jugement personnel s'efface devant le système ». L’un des risques de la conformité, c'est précisément le conformisme. Mais alors qu'est-ce qu'une conformité qui serait moderne ? Selon moi, c'est l'incitation à ce que chacun soit responsable des résultats qu’impliquent les règles qu'il doit mettre en œuvre, voire créer, c'est à dire qu'il comprenne que les règles qu'il doit mettre en œuvre ne sont pas des règles qui viennent se superposer au business mais que ce sont les règles du business lui-même. Pour moi, la conformité c'est plus qu'un programme, c'est la conduite des affaires par et pour l'entreprise fondées à partir de la responsabilité et de l'éthique. Cette tension entre une conformité formelle – un peu rigide et fondée sur l’apparence – et une conformité effective – plus de l’ordre de l’éthique appliquée et de l’éthique de responsabilité, qu’évoquait dans son introduction le Président TRICOT – on la retrouve aujourd’hui transcrite dans les actions, sous différentes formes et expressions. Par exemple, vous avez tous entendu parler de ‘‘la lettre de la conformité’’ par rapport à ‘‘l'esprit de la conformité’’. Cependant, à partir d’un article de Yves MEDINA, Dominique LAMOUREUX a distingué deux catégories de conformité selon leur nature et le principe : « principle based Compliance » versus une « value based Compliance». Cette distinction, ainsi établie, permet de faire des collaborateurs : des « entrepreneurs » actifs (acteurs primaires, engagés) en matière de conformité effective des règles et des principes d’action. 17 En effet, ils vont appliquer les règles de la conformité parce qu'ils en ont compris l'esprit et les valeurs et qu’ils ne se contentent pas d’en cocher des cases. Autre exemple : Il y a quelques années, le concept de conformité reposait davantage sur les règles d’une éthique formelle. Désormais, il s’agit de renforcer les principes d’action selon une éthique de la responsabilité quant à la gestion des risques au sein de l’entreprise. Ces problématiques relatives à la conformité sont ainsi entreprises selon des angles de perspectives autres. Ces approches sont propres à notre société contemporaine. C’est là que réside la « modernité », que mentionnait Daniel TRICOT dans sa définition, en matière de conformité. A savoir, il s’agit d’une alliance entre conformité de règles et éthique de comportements. Pour conclure, je vous livre en réflexion cette citation d’Emmanuel LEVINAS que j'aime bien : « L’éthique est une exigence essentielle qui me fait être responsable de la responsabilité d’autrui ». Monsieur Christophe ROQUILLY Directeur du centre de recherche LegalEdhec et Professeur à l’EDHEC Business School Je tiens à remercier Madame CORDIER-PALASSE, ainsi que Le Cercle De la Compliance d'avoir organisé cette table ronde réunissant de nombreux intervenants d’une telle qualité parmi lesquels des directeurs de Compliance, des directeurs juridiques, des avocats. Cette collection, dont le Centre de recherche LegalEdhec a pris la responsabilité scientifique, est en partenariat avec Le Cercle De la Compliance et l'Association Française des Juristes d'Entreprise dont je vois ici certains membres et administrateurs. Les éditions Lamy ont décidé de lancer cette collection il y a maintenant quelque temps. C'était certainement le moment de faire quelque chose parce qu'il existe aujourd’hui une certaine maturité sur le terrain de la pratique et également des réflexions plus académiques. Il y a donc ce premier ouvrage qui est sorti- on va pouvoir en discuter après. A également été publié en décembre 2011 « Autorisation de mise sur le marché des médicaments » Thomas DEVRED avec une approche beaucoup plus sectorielle et spécifique. 18 D’autres ouvrages de la collection Lamy conformité vont être publiés sur les thèmes suivants : - L’anti-trust - La responsabilité et l’information en matière de produits alimentaires ; - Les relations fournisseurs et distributeurs - Les codes et chartes éthiques, dont Virginie LEFEBVRE-DUTILLEUL, avocat associée chez Ernst &Young, société d’avocats a pris la responsabilité - La protection des informations sensibles - L'anti-corruption - La lutte anti-blanchiment Les éditions Lamy ont aussi des ambitions pour la suite (2013). Si dans cette salle il y a des personnes compétentes pour écrire sur certains sujets et qui auraient potentiellement du temps à consacrer avant 2020 (!), pour rester raisonnable avec le planning des éditions Lamy pour cette collection, vous êtes les bienvenus. Nous viendrons vous écouter dans un ou deux ans, dans cette salle ! Merci au Cercle De la Compliance pour cette organisation. Monsieur Daniel TRICOT Président et co-fondateur du Cercle, Président honoraire de la chambre commerciale, économique et financière de la Cour de Cassation Merci. Vous avez entendu cet appel. Maintenant nous lançons la table ronde. Je donne la parole à Blandine CORDIER-PALASSE qui va présenter les auteurs et animer cette table ronde. Vous aurez ensuite le temps de poser toutes vos questions. 19 Débat. La table ronde 20 Blandine CORDIER-PALASSE Vice-présidente et co-fondatrice du Cercle, Associée Blandine Cordier Conseil Executive Search Nous allons présenter les auteurs de cet ouvrage qui ont contribué à la rédaction de « Risque juridique et conformité » et leur donner la parole. Le premier intervenant de cette conférence est Christophe COLLARD, professeur de droit à l’EDHEC Business School et chercheur au centre de recherche LegalEdhec – Performance Juridique et Compétitivité des entreprises. Christophe COLLARD abordera dans un premier temps le fait que la Compliance, tout le monde en parle mais peut on s'entendre sur le sens à donner à ce terme et ses implications ? Il abordera ensuite la défiance culturelle que génère parfois la compliance, qui est un concept venu d’ailleurs. Et enfin les questions de territoires qui peuvent voir le jour dans l’entreprise entre la direction juridique et la direction de la Compliance. Christophe COLLARD Centre de recherche LegalEdhec et Professeur à l’EDHEC Business School A travers sa chronique matinale sur France Inter, Alain REY – l’emblématique patron des dictionnaires Le Robert –, commentait tous les jours un vocable de la langue française en cherchant à explorer le sens ainsi que la portée d’un mot. C’est dans cet esprit que je souhaite que nous découvrions et explorions le terme de « Compliance », qui, à mon avis, est perçu en France avec une certaine défiance par bon nombre de personnes – ou tout du moins, par un certain nombre de juristes. On a en effet le sentiment que la Compliance est atteinte d’une sorte de malformation congénitale acquise au cours de son développement (embryonnaire). Pour être plus précis en ce qui concerne sa genèse : il s’agit d’un concept venu d'ailleurs, un produit d'importation qui s’exprime par un mot étranger. Ce dernier est donc perçu comme étrange. De par son origine angloaméricaine, il générera nécessairement chez certains un engouement immodéré et chez d’autres, une véritable suspicion. Le mot « Compliance » est en effet un anglicisme. Il a donc un statut lexical peu propice à son assimilation en France – de surcroît lorsqu’il s’agit, en fait, d’un « américanisme » ! 21 Qu’on en juge avec cette citation d’un autre auteur, qui a été reprise dans notre ouvrage : « La mode est à un anglicisme ridicule, connu et compris que d’une secte savante : compliance programs (programme de mise en conformité). » Effet de mode, anglicisme ridicule, secte savante… le moins que l’on puisse dire est que pour ceux qui adhèrent à cette approche, la compliance est perçue avec un a priori particulièrement négatif. Traduire « Compliance » par « Conformité » n’aide pas nécessairement à régler ce problème « congénital ». D’abord parce qu’en français le mot « conformité » est chargé d’un sens juridique précis : « qualité de ce qui est conforme ; est conforme ce qui est juridiquement l'exacte application d'une norme de référence ; exemple : conforme aux usages, conforme à la loi ». Dans cette acception, la norme de référence se confond avec la norme publique, les sources du droit au sens constitutionnel du terme. Or, et les précédentes interventions l’ont bien montré, la conformité va bien au-delà de la seule règle de droit, au sens classique du terme. La conformité couvre aussi ce qu’il est convenu d’appeler le (ou la) soft-law, de même que les principes éthiques et les valeurs auxquelles l’entreprise adhère. Ce qui est aussi intéressant quand on s'intéresse aux mots, à leurs sens et à leur portée, c'est qu'on s'aperçoit très vite que s’agissant du terme « Compliance », il y a une vaste palette de nuances qui est assez systématiquement mobilisée ; des nuances qui s'étalent sur un registre bipolaire, avec un curseur qui oscillera entre : - contrainte et adhésion volontaire - imposé et accepté - passif et actif - soumission et acceptation. L'intervention de Philippe MONTIGNY, et surtout son titre : « De la conformité au conformisme », en donnent une illustration parfaite. Le mot « soumission » et le verbe « se soumettre » sont au cœur de ces différentes nuances. La soumission peut s’obtenir par la ruse ou par la force, c’est alors le signe de la défaite ! On entend alors, associés à « Compliance », les termes de « servilité », « conformisme », « obéissance aveugle » ou « passive allégeance », voire « complaisance » ou même « complicité ». L’exploitation de ce registre lexical est d’ailleurs systématique chez ceux qui dénoncent dans la Compliance un produit d’importation symbolique de l’invasion de la « Lex americana », autrement dit, de l’américanisation du droit et de la mondialisation réductrice des différences. 22 Par exemple, extrait d’un article publié dans Les Echos par un ancien Président du Tribunal de commerce de Paris : « La norme de la compliance submerge aussi bien le droit que la régulation. C’est un mot qui commence comme une complication et qui finit comme allégeance. Nos importateurs, traducteurs, l’ont bien compris. Ils l’ont rebaptisé « conformité ». Un mot que tous les bons dictionnaires définissent comme une soumission à un ordre supérieur. » Notons que dans des domaines totalement différents de celui de l’entreprise, le terme « Compliance » est aussi utilisé et suscite les mêmes débats. C’est ainsi le cas de la médecine et de la pratique pharmaceutique où « compliance » et « observance », (dans sa traduction en français), désignent le suivi par un patient du traitement thérapeutique qui lui est prescrit. Il est intéressant de relever que les mêmes questions sémantiques se trouvent posées par les spécialistes, pour lesquels ces termes impliquent des principes à connotation moralisatrice telles que la soumission ou l'obéissance. L’approche en termes d’adhésion thérapeutique est proposée comme étant préférable. En effet, dans ce cas plutôt d’une adhésion faisant suite à une approbation réfléchie du patient qui procède et se déroule sur un temps plus long, plus adapté au cours du long processus de traitement thérapeutique. Ainsi compris, l’accord, l’assentiment font désormais corps avec le traitement et constituent des parties intégrantes de ce dernier. Soumission ou adhésion, on retrouve encore la même question. Mais la soumission n’est pas nécessairement le signe d’une défaite, elle peut aussi résulter d’un acte volontaire ou de la combinaison complexe de multiples facteurs. Un auteur (François EWALD) utilise à titre d’illustration une référence intéressante, celui du religieux où le terme «observance» (synonyme de Compliance) est utilisé pour désigner le respect de la règle par les moines : il désigne la pratique habituelle d'une règle de même que la soumission à une loi. La notion d’observance de la règle (ou la règle de l'observance) conjugue aussi bien la règle elle-même que sa pratique au quotidien. Cette approche très intéressante. Si on la transpose à l’entreprise et au thème de la compliance, cela renvoie à trois dimensions qui émergent de cet examen sémantique. Compliance et conformité renvoient : - A la norme (ou à un ensemble de normes), - Au respect de la norme, - Ainsi qu’à la mise en œuvre concrète des normes et du respect des normes au sein de l’organisation. Pour finir, nous allons développer ces trois registres qui permettront de circonscrire plus précisément la notion de Compliance. 23 La norme (ou l’ensemble des normes et des valeurs) La notion de norme renvoie à une réalité des plus vastes ! A l’évidence, elle dépasse le strict champ du droit. Si certains auteurs considèrent que la Compliance renvoie uniquement à la soumission à la loi, une telle vision est en effet trop réductrice. L'entreprise est aussi concernée par des systèmes de normes et de valeurs autres que ceux institués par le législateur. Ces normes auxquelles l’entreprise se soumettra sont d’origine externe ou interne, ce sont des règles publiques, semi-publiques ou purement privées, hard-law autant que soft-law. Au-delà de la norme, ce sont les valeurs que peut porter l'entreprise et auxquelles elle va se référer qui seront également concernées par la Compliance. Le respect de la norme Deuxièmement, c’est le respect de la norme qui s’impose comme une dimension fondamentale de la Compliance. Que l’on parle de soumission, d’acquiescement, d’observance, d’adhésion volontaire ou de concordance, le fait est que la conformité n’est pas nécessairement synonyme d’application contrainte de la norme, encore moins de soumission mécanique à celle-ci. Elle peut se fonder sur un ensemble d'attitudes établies, une certaine forme de conviction que le respect de la norme (et des valeurs auxquelles elles se réfèrent) est en soi souhaitable dans la mesure où la conformité correspond aussi à une attitude, une sorte de posture institutionnelle, un objectif que l’entreprise s’impose à elle-même. Le télos de la Compliance va au-delà du simple respect de la loi et des règlements d’origine étatique. Cette dimension éthique très particulière de la démarche est importante à souligner. La mise en place effective des normes et du respect de ces normes au sein de l’entreprise Enfin, au-delà de la question de la place du droit dans l’entreprise, le thème de la compliance renvoie à une troisième dimension dont l'aspect organisationnel me semble essentiel : c’est la question de la mise en place des normes dans l’entreprise. «To comply », traduit littéralement, signifie se conformer. Ces verbes sont du registre de l’action et de l’organisation. Ils conduisent à la mise en œuvre effective et permanente de la norme au sein de l’entreprise. Il s’agit ainsi, d’obtenir de manière optimale que les comportements observés dans l’entreprise tendent au maximum vers l’exigence de la norme éthique (de conviction) ainsi qu’aux normes nécessaires et utiles (éthique de responsabilité) à l’entreprise. Il 24 s’agit de parvenir à rendre effectif un modèle d’organisation fluide en symbiose avec l’intransigeance des normes éthiques, créées par et pour un fonctionnement optimal au sein d’une entreprise. En ce sens, je pense que la Compliance est une fonction double : dans son principe, elle est structurante et dans sa nature, elle est organisationnelle. La norme, spécialement la norme règlementaire, est en effet rarement « prête à l'emploi », elle nécessite un relais, un passeur, une fonction d’intermédiation. C'est à mon avis, le rôle de la fonction de Compliance que d'être ce relai entre le régulateur et l'entreprise, entre la norme et son application concrète et effective au sein de l’organisation. Application concrète et effective de la norme : on est ici dans le registre du modus operandi, une dimension qui renvoie à l'expérience pratique, que nos co-auteurs vont évoquer maintenant. Blandine CORDIER-PALASSE Vice-présidente et co-fondatrice du Cercle Associée Blandine Cordier Conseil Executive Search Merci beaucoup Christophe. Je vais maintenant passer la parole à Catherine DELHAYE, Co-fondatrice du Cercle et directeur juridique adjoint d'Accenture et en charge de la Compliance monde. Il faut souligner que le fait qu'un français ou une française soit en charge de la Compliance monde d'un groupe américain est un symbole fort. Le nouveau challenge que Catherine va affronter très bientôt en prenant en charge la Compliance pour VALEO est aussi un choc des cultures à souligner et un challenge certainement très intéressant à relever. Catherine va justement évoquer la différence d'approche entre l'éthique à la française et l'éthique à l'américaine qui ne se conçoit pas sans un dispositif extrêmement lourd de principes éthiques, de valeurs mais aussi de contrôles et de sanctions à mettre en place et à vraiment exécuter et donc des moyens très lourds. 25 Catherine DELHAYE Co-fondatrice du Cercle et Deputy General Counsel d’Accenture en charge de la Direction mondiale Regulatory, Ethics and Compliance Il y a très longtemps que j’ai quitté la faculté et mes livres de droit. Je suis dans le monde dur, américain, du «grand capital», qui met en place et en valeur la Compliance décriée par tous nos auteurs. C’est pourquoi je souhaite vous donner vraiment la vision pratique et « business » de la chose. En effet, en tant que Compliance Officer depuis un certain temps et désormais en charge de la Compliance mondiale depuis un an, selon moi, la Compliance est d’abord un dispositif : - Un dispositif au service des valeurs ; - Un dispositif constitué d’un ensemble de programmes, de mesures et de projets qui vont permettre l’effectivité des valeurs, en transformant les intentions en actes concrets à chaque instant et dans les situations réelles rencontrées au sein de l’entreprise. Dans une entreprise comme Accenture, la Compliance constitue littéralement un outil du management du risque. En effet, le Risk Management Framework est une démarche qui permet à une entreprise – après qu’elle a identifié les risques principaux susceptibles d’affecter son développement et ses opérations tout en ciblant des risques précis, les plus importants –, de contrôler ces risques et de s’assurer qu’ils sont, si ce n’est évités, en tout cas à peu près managés. La Compliance offre la méthode et la discipline contribuant à la maîtrise du risque. A ce titre et aussi curieux que cela puisse paraître, la Compliance est également, en tout cas très clairement à mes yeux, un facteur de développement durable. La pérennité de l’entreprise passe par : - sa sécurité opérationnelle et la poursuite, dans la continuité, de ses opérations - sa sécurité financière également. A cet égard, il existe des dizaines d’exemples de sanctions ayant affecté de grandes entreprises, qu’il s’agisse de sanctions en matière de corruption ou de concurrence/antitrust etc. La Compliance peut bien être tout ce qui a été développé précédemment. Elle peut être décriée, contestée. Mais, elle peut aussi être perçue et utilisée comme un outil au service de la pérennité de l’entreprise. Ainsi et très concrètement dans une grande entreprise – Accenture compte 250 000 employés et opère dans plus de 100 pays dont les plus exotiques et les moins régulés. 26 Dans ces pays, les risques de corruption sont bien sûr très importants, on doit gérer toutes les problématiques d’export control, de détournement de données etc. La Compliance s’entend d’un cadre prédéfini, extrêmement détaillé, précis, qui accompagne de manière très suivie les opérationnels, de façon à leur expliquer l’importance dans l’application rigoureuse des principes éthiques. L’enjeu de ces principes appliqués est tel qu’ils incarnent les grandes valeurs d’Accenture. En d’autres termes, quelle est la signification et la portée d’une très belle déclaration du type « nous protégeons la valeur de nos clients et nous ne portons pas atteinte à leurs assets, à leurs biens » concrètement au quotidien ? Dans la pratique, que signifie concrètement « protéger les intérêts des clients », lorsque vous êtes en mission durant trois ans sur le site d’un client, au cœur de son entreprise, de son industrie, de la recherche et développement : respecter les règles de sécurité (niveau de sécurité accordé à chaque employé), discuter avec les collaborateurs du centre de recherche ? Comment, concrètement, peut-on en tant que Compliance Officer assurer la sécurité des données confidentielles ? Dans la pratique, quel est le dispositif contractuel à suivre ? Quels sont les processus à mettre en place afin que les données confidentielles auxquelles vous accédez soient sécurisées ? Il est à noter qu’un collaborateur a une mission d’une durée variable de un à trois mois chez les clients. Par conséquent, comment s’assurer que ce dernier a saisi : - D’une part, quelles sont les règles à mettre en pratique afin de protéger et de sécuriser les biens (matériels et immatériels) du client ? - Et d’autre part, qu’il comprenne l’importance de la mise en œuvre à son échelle et de manière continue (soit dans toutes les situations courantes rencontrées sur le terrain) de ces règles, afin de toujours préserver au maximum les biens du client ? En premier lieu, c’est cet ensemble d’outils que les collaborateurs se doivent de non seulement entendre, comprendre, adhérer et absorber mais aussi les mettre en œuvre, les appliquer et les respecter dans leurs principes. Ces outils permettent de passer d’une très belle intention à sa réalisation effective. Par conséquent, ces derniers doivent permettre d’assurer et de veiller à la pérennité de l’entreprise de par l’intransigeance quant 27 aux principes jusqu’à leur application rigoureuse. Il s’agit ainsi de passer d’une éthique déclarative (formelle) à une éthique pratique, effective et concrète dans la réalité pratique sans dévier des lois et des valeurs. En d’autres termes, pour passer du « Quoi » (les valeurs, les principes) au « Comment », la Compliance est le seul vecteur (d’application) possible et disponible qui peut permettre un tel passage des principes éthiques de par nature formels à des principes d’éthique appliquée, effective. D’ailleurs, le motto d’Accenture est : « Compliance is in our DNA ». Tout du moins, selon moi, la Compliance c’est un dispositif qui relève et se traduit par une véritable volonté de l’entreprise de mettre en œuvre ces grands principes. Ces derniers vont ainsi lui permettre d’investir, de prendre des risques, et donc d’avoir une certaine audace entrepreneuriale. En effet, refuser des marchés juteux, à portée de main en évitant de donner 10 000, 15 000, 20 000 euros en commissions occultes, cela exige une certaine rigueur et intransigeance éthique qui peut éventuellement ne pas permettre de réaliser ses objectifs en tant que commercial, abandonner des marchés dans les pays émergents tandis que la stratégie de l’entreprise se profile et se joue dans les pays émergents. C’est aussi refuser de payer pour implanter une usine ici ou là. Pour toutes ces raisons, à mon sens, cela exige une authentique audace et des moyens conséquents investis dans le management. La Compliance est donc la matérialisation de ces intentions afin que le code d’éthique ne demeure pas seulement de nature formelle, une très belle série de vœux pieux ou de belles paroles. Il faut que ces principes d’Ethique deviennent, par nature, concrets et soient appliqués en tout temps et tout lieu, afin d’incarner les valeurs transcendantales de l’entreprise. La Compliance, c’est aussi selon moi, ce qui fait que cette volonté, ces principes vont constituer et s’intégrer dans l’ADN de l’entreprise. En effet, il faudrait que les principes de la Compliance s’intègrent comme étant des bases constitutives de l’ADN des acteurs. Il faut que ces principes deviennent des réflexes, un principe d’action. C’est la raison pour laquelle tous les acteurs doivent être suffisamment sensibilisés, informés et dotés des outils nécessaire de process afin qu’ils puissent transposer ces principes éthiques formels énoncés en tant qu’idéaux en principes : - D’éthique de conviction, - D’éthique de responsabilité - Et enfin, d’éthique appliquée. Partons du postulat selon lequel les gens ne sont pas mal intentionnés et n’agissent pas volontairement à mauvais escient, de 28 manière consciente. Peut-être qu’ils n’ont absolument pas conscience et ne se rendent pas compte qu’en donnant 500 euros à un douanier pour faire passer un camion, ou pour faire avancer l’obtention d’un visa ou encore d’un permis de construire, ils sont peut-être en train de violer une loi. Il faut alors les aider à le comprendre. Dans ce cas, peut-être s’agit-il d’une mauvaise compréhension de l’importance de ces principes juridiques quant à leurs enjeux et conséquences ? C’est le rôle de la Compliance et des Compliance Officer. Que doit-on faire, si l’on part de ce postulat : les individus ne sont pas nécessairement mal intentionnés et au contraire dans la plupart des cas d’ailleurs lorsqu’ils violent une règle, ils supposent qu’ils agissent dans l’intérêt même de l’entreprise, dans le but de faire du chiffre d’affaires et de répondre à leur cahier des charges et stratégies ? La formation et la sensibilisation en conformité sont essentielles et constituent les premières solutions. La Compliance, c’est l’ensemble du dispositif de transformer une intention managériale en un véritable essai sur le terrain. D’un vrai positionnement de l’entreprise et de la direction qui donnent le « la » («tone from the top»), on transcrit, on traduit et on rend ces principes opérationnels sur le terrain. Cela passe par ce qui était auparavant établi comme « règles » ou «policies», qui définissent et indiquent très clairement : ce que l’on fait et ce que l’on ne fait pas ; ce que l’entreprise s’oblige à ne pas faire, s’interdit de faire ou au contraire ce qu’elle s’engage à faire. En second lieu, la Compliance passe par des politiques de sensibilisation et de formation. Il faut garder à l’esprit que l’on ne peut pas considérer pour acquis que par la simple lecture d’un code de déontologie (éthique professionnelle). Les acteurs vont intentionnellement et véritablement saisir leur signification et portée dans la pratique. Ce n’est nullement le cas. A l’instar de la musique ou d’une chanson (en anglais), on peut en comprendre l’idée générale. En revanche, si l’on ne comprend pas la langue (l’anglais), il est impossible de comprendre les paroles ; si l’on n’est pas doté d’une ouïe absolue ou si l’on ne connaît pas son arpège et ses gammes, on ne peut être capable d’en reconstituer les notes et de les traduire dans la pratique avec un instrument de musique. Ainsi, à l’instar d’une musique, en Compliance les acteurs peuvent ne pas en saisir la véritable signification (des paroles, de sa composition, de son histoire etc.) C’est pour cela qu’il faut mettre en place : des opérations de sensibilisation, des mémos, des messages, de l’information, des formations et plus précisément une formation continue, bien encadrée et spécifique pour chaque acteur et secteur défini. En effet, on ne forme pas de la même manière les commerciaux sur le terrain et les administratifs qui sont au siège – lesquels ne 29 rencontrent jamais un client, ni un agent, ni un douanier, ni un opérationnel ou fonctionnaire qui vous demande quelque chose pour faire avancer l’obtention d’une licence ou la signature d’un contrat en sus d’une formation e, d’une sensibilisation ou des contrôles d’audit. De plus, il faut mettre en œuvre d’autres outils auparavant. Il existe des situations dans lesquels par exemple, des commerciaux ne comprennent pas1 qu’ils ne doivent pas inviter (en particulier à des évènements fastueux) leurs clients, ne pas leur faire des cadeaux. Manifestement, certains comprennent désormais que l’invitation à des rallyes, des courses automobiles, des jeux olympiques à 10 000 euros la place, sont peut-être un peu excessifs. Et encore, ce n’est pas toujours le cas. Cependant, s’il n’existe aucun cadre précis, aucune indication ou instruction, les acteurs n’y arriveront pas. En outre, il faut définir des processus : un individu peut exercer un jugement à peu près correctement ; cependant, il n’est pas inutile qu’un autre acteur soit présent afin de vérifier que tout a été respecté dans la forme et dans le principe. Au sujet des agents et des collaborateurs, justement, leur sélection est un exercice extrêmement difficile lorsqu’il s’agit de faire une enquête de moralité. Il faut réussir à faire le tri parmi les informations données : les renseignements fournis par une tierce personne sont-ils corrects et fiables ? Quels sont leurs liens familiaux avec d’autres dirigeants ou responsables (par exemple, s’assurer qu’un agent n’est pas un cousin proche d’un roi) ? Tout cela exige des process ainsi que des regards croisés sur les choses, qui ne se mettent pas en place tout seul et de manière intuitive. La Compliance exige donc des démarches organisées, méthodiques et très coûteuses. Ce sont les raisons pour lesquelles il faut un investissement conséquent de la part des entreprises. De plus, il faut nommer des personnes en charge et des gens qui sont responsables, au sens de responsables de faire mais aussi responsables de payer le prix d’une erreur, payer le prix d’une tolérance, assumer les conséquences. Si tout cela n’est pas en place, cela ne sert à rien. En somme, la Compliance c’est peut-être de la conformité réglementaire (des règles). C’est avant tout, à mon sens, tout un 1 Quelques exemples : Aller déjeuner dans un restaurant, est-ce vraiment risqué ou pas ? A quel prix, à partir de quel montant (50, 100 euros) est- ce illégal ? Quelle est la norme ? Je suis actuellement en train d’établir par pays un cadre qui indique que dans tel pays un cadeau acceptable c’est 3 ou 20 euros ; un déjeuner acceptable c’est McDo ou un autre restaurant. On essaie de donner un cadre (juridique) structuré et bien délimité parce que les gens ne comprennent pas, ne savent pas ce que ça veut dire…un cadeau. C’est un livre ou c’est un café ? 30 ensemble de dispositifs qui traduisent : - Une volonté, - Le parti-pris du management, qui doit tendre à une politique intransigeante et exigeante (de tolérance zéro). Ce qui exige là aussi du courage, par exemple en ne favorisant pas un membre du comité de direction qui aurait commis des exactions pour les seuls motifs de son ancienneté dans l’entreprise et d’un lien d’amitié avec lui. La tolérance zéro en matière de compliance donne le « la », «Tone from the top », d’une entreprise saine et vitale. En guise de synthèse, les notions clés de la compliance appliquée dans les grandes entreprises sont : - «Tone from the top» - Un engagement de l’entreprise et de son leadership - Des policies, des trainings - De la sensibilisation - Des outils - Des process ; - Des contrôles pour s’assurer qu’au fur et à mesure, les personnes qui se sont impliquées n’ont pas oublié, n’ont pas perdu l’objectif et que ces acteurs sont toujours au point - Que les process ne nécessitent pas des ajustements afin de mieux fonctionner dans un pays. En effet, il faut aussi tenir compte des cultures locales lorsque dans pays cela n’est pas illicite, alors on peut faire preuve de flexibilité. L’objectif de la Compliance n’est pas non plus d’instaurer une politique orthodoxe, rigide, complètement immuable et quasiment fascinante, quasiment sectaire. Comme le mentionnait Christophe ROQUILLY, la Compliance doit être appliquée avec un esprit critique, analytique et avec intelligence en prenant en compte les particularités d’une situation ou d’un environnement, mais dans le respect de l’ensemble de l’écosystème qui constitue la Compliance et dans lequel ces principes éthiques sont déployés et appliqués. La Compliance exige une discipline d’acier, qui, comme dans la pratique et l’exercice d’une activité sportive, exige de faire des efforts (parfois surhumains), s’exercer et s’entraîner régulièrement sans oublier de faire des échauffements auparavant. A l’instar de toute discipline sportive, il faut aussi des instances de régulation, de contrôle et de sanctions en cas de manquement au code éthique d’une équipe (car à défaut de ces sanctions, rien n’est possible). Là encore, il est utile de réfléchir à des sanctions graduées – qui respectent le droit du travail, les droits et libertés individuelles (par exemple : les droits de la défense). Il serait envisageable d’appliquer par exemple des sanctions proportionnelles, dans leurs effets et conséquences, aux comportements 31 déviants, nuisibles à l’entreprise, inappropriés au statut d’un acteur ou au code des valeurs souscrites par l’entreprise. Pour conclure, la formule d’Accenture en matière de Compliance – «Compliance in our DNA » – caractérise : - Un état d’esprit - Une démarche - Une culture d’entreprise. La Compliance est la traduction effective et pragmatique des intentions formelles au travers des actes, des politiques ainsi que des outils de façon à ce qu’elles se manifestent concrètement et qu’elles rendent l’entreprise. C’est ainsi, en tant que Compliance Officer en charge de la Compliance monde au sein d’un grand groupe, que je conçois et que je pratique la Compliance. Comme vous le voyez, c’est un peu différent de ce qui a été évoqué mais toutes les approches sont possibles. Celle- là, c’est celle qui est définie et mise en œuvre sur le terrain par Accenture depuis des années. Merci. Blandine CORDIER-PALASSE Vice-présidente et co-fondatrice du Cercle Associée Blandine Cordier Conseil Executive Search Merci beaucoup Catherine pour cette expérience très riche et très concrète qui illustre bien la façon dont la compliance peut se concevoir et se déployer de manière extrêmement forte et exigeante dans une entreprise multinationale et multiculturelle sous influence américaine avec des spécificités locales à prendre en compte. Je vais maintenant passer la parole à Christophe ROQUILLY qui est aussi professeur à l’EDHEC et en charge de tous ces programmes Compliance pour l’EDHEC Business School. Christophe, pouvez-vous aborder le lien fort et indispensable qui existe ou devrait exister entre "management des risques notamment juridiques - et compliance » ? 32 Christophe ROQUILLY Directeur du centre de recherche LegalEdhec et Professeur à l’EDHEC Business School Je voudrais juste faire une petite remarque avant ma rapide intervention. Je parle pour moi mais je pense que mes co-auteurs partagent cet avis. Le gros intérêt de ce travail, en dehors de sa qualité évidente ( !), c’est que nous avons eu des approches et des visions complémentaires. Personnellement, j’ai beaucoup appris au contact de Catherine DELHAYE et d’Henry-Benoît LOOSDREGT. En tant que chercheur, je considère que ma raison d’être est de faire de la recherche appliquée, qui soit nourrie par la pratique, par ce qui existe dans la réalité et dans la vraie vie. On peut voir les choses autrement, et je le respecte absolument. Inversement, et quitte à être un petit peu poil à gratter, je pense que ce que les chercheurs, sur ces sujets là ou sur d’autres, peuvent apporter en retour à des praticiens, c’est parfois de remettre en cause certaines certitudes. Je ne me permettrais pas de dire que mes co-auteurs étaient remplis de certitude mais d’une façon générale, je pense que dans l’entreprise, on doit parfois montrer des certitudes parce que si on envoie un message de crainte, d’hésitation, d’angoisse etc., ce n’est pas forcément bon. Et il est vrai que sur ce sujet-là, il y a beaucoup d’incertitudes. Je ne suis pas du tout un spécialiste de la pratique de la Compliance ou de l’éthique. Ce qui m’intéresse en tant que juriste dans mes travaux, c’est l’interface entre le droit, la stratégie et le management – ce que je pourrais qualifier d’une certaine façon de « zones d’ombres » où l’on ne sait pas nécessairement si on est plutôt dans du business, dans du droit ou dans autre chose. Ma seconde remarque est la suivante. Lorsque j’ai choisi ce thème pour mon intervention, j’ai commencé à réfléchir à la question. D’une façon générale, je n’aime pas relire ce que j’ai écrit parce que je pense souvent que ça aurait pu être mieux. Je préfère qu’on me le dise et si on ne me dit rien je me dis que finalement c’était bien ! Toutefois, j’ai tout de même relu un petit peu ce que nous avons écrit dans notre ouvrage quant à cette interface entre Management des risques et Compliance. Je me suis alors demandé : si c’était très clair, ou alors si l’on avait épuisé le sujet ou non. Et je me suis donc dit que je n’avais pas été très malin de choisir d’intervenir sur un sujet aussi complexe ! Je pense en effet que finalement, à part certaines entreprises dont certains représentants sont dans la salle, on ne sait pas nécessairement où est la différence entre ces deux concepts. Comment faire apparaître cette différence à travers ses subtilités ou plutôt comment articuler les nuances, entre management des risques et Compliance, s’il en existe véritablement ? Le lien peut, alors, sembler évident de prime abord. Mais en réalité, il ne l’est pas tant que ça, ne serait-ce que sur les questions de territoires : quelle fonction dans l’entreprise doit faire quoi ? Comment coordonner ces dimensions multiples, aux niveaux divers et variés et selon les différentes échelles spatiales et temporelles ? 33 Ce que j’ai beaucoup apprécié dans ce qui a été développé auparavant – et ce qui m’a également marqué dans certaines lectures ou dans les discussions avec des acteurs de l’entreprise, qu’ils soient directeurs éthiques, directeurs juridiques ou directeurs de la Compliance – c’est la notion de process qui constitue un axe majeur dans les domaines de la Compliance et du Management des risques. Effectivement, il en faut ! Mais si l’entreprise ne sait pas ou plus ce que sont ses objectifs ou quelles sont ses stratégies afin de parvenir à ces objectifs, alors ces process ne servent à rien – excepté à faire du business, si on vend des process ! On ne peut évidemment pas faire ce reproche à celui qui vend ces process, car après tout il fait ce qu’on lui a demandé. Si je devais - comme on dit en football ou en rugby – partir de loin, et là je vais revenir à ce qui a été précédemment expliqué par Catherine, l’entreprise a une mission. Je suis toujours gêné quand j’entends dire «oui mais bon tu sais, la mission…on s’en fout». Je dois être naïf et pourtant les choses semblent claires, quand on connait les entreprises, dans ce qu’elles proposent (comme produits ou services) et leur stratégie. Par exemple, la mission de Google (son «mission statement»), c’est «organiser l’information du monde, et la rendre universelle et accessible et utile pour tout le monde». Quand on utilise le moteur de recherche Google, on s’y retrouve par rapport à cette mission. Pour Danone, c’est «apporter du bien-être à travers l’alimentaire et à autant de monde que possible». Ensuite, tenant compte de la mission de l’entreprise, on définit sa stratégie, c’est-à-dire ce qu’elle va mettre en œuvre pour remplir cette mission, la réaliser pleinement, conformément à des valeurs. Je voudrais insister sur ce point-là : « conformément à des valeurs ». Ce ne sont pas des valeurs universelles, mais les propres valeurs de l’entreprise. Par exemple, et mes exemples ont vraiment été pris au hasard ! Il n’y a pas de message subliminal. Pour France Telecom, les valeurs sont : l’audace, le dynamisme, la simplicité, la proximité, la transparence, la responsabilité, l’innovation, la confiance. Comme le disait Catherine Delhaye, tout ça peut sonner creux, on peut mettre beaucoup de choses derrière sauf qu’effectivement, si on continue dans cette logique de construction d’un discours d’entreprise, normalement rationnel, il y a donc : une mission, 34 puis une stratégie qui doit être basée sur ces valeurs. Ensuite on déploie cette stratégie à travers des actions, des «opérations» et à travers un certain nombre de décisions. Alors, tenant compte de tout cela, qu’est-ce qui relève de la Compliance ? Qu’est-ce qui relève du management des risques ? Ou plutôt comment devrait être conçu et élaboré le management des risques ? Dans un premier temps, quelle est la définition de la Compliance ? Je qualifierais la Compliance, et là je vais rejoindre mes camarades, comme étant le principe d’action qui permet de s’assurer de la réalisation de la stratégie en conformité avec les valeurs de l’entreprise. Comme le faisait remarquer Philippe Montigny, ce n’est pas du conformisme à partir du moment où l’entreprise a ses propres valeurs, qu’elles ont du sens et qu’elles sont peut-être différentes – en tout cas en partie – des valeurs d’une autre entreprise, concurrente ou dans un autre secteur. J’écoutais avec beaucoup d’attention ce que Philippe MONTIGNY disait sur les approches définies comme « value-based » ou « rule-based ». Il s’avère qu’aujourd’hui, la plupart des travaux de recherche qui ont été faits dans le monde, et en particulier en Amérique du Nord, et qui sont des travaux conséquents, notamment des études longitudinales, prenant pour référence des périodes de plusieurs années avec de gros échantillons d’entreprises, montrent que l’approche « value- based » est beaucoup plus porteuse de succès que l’approche basée sur la norme. Cela ne veut pas dire qu’il ne faut pas avoir du tout d’approche basée sur la norme (surtout lorsqu’il s’agit d’une norme juridique) mais que celle basée sur les valeurs a plus de chance d’aboutir. De façon générale, et cela a été dit aussi avant moi, on peut penser que les valeurs de l’entreprise vont en grande partie recouper des valeurs plus globales, des valeurs sociétales, des normes sociales, voire des normes juridiques, étant donné que la norme juridique c’est avant tout un véhicule des valeurs. Ainsi, la norme juridique est surtout un vecteur de valeurs. Voilà comment on veut vivre en société, voilà quel type d’économie on souhaite ou quel est l’idéal (fin/objectif téléologique) qui est désiré pour les individus. La loi est porteuse de valeurs. Ceci étant dit, et je pense que personne ne peut dire le contraire, ce n’est pas le fruit de mon délire ou de je ne sais quelle mégalomanie de vouloir dire des choses absolument révolutionnaires alors qu’elles ne le sont pas. Or, il est évident qu’il peut y avoir déphasage entre les valeurs de l’entreprise et d’autres valeurs, et en particulier par rapport à la norme juridique (d’une société). 35 Affirmer que, systématiquement, l’entreprise doit aligner ses valeurs avec la norme de droit, c’est d’une part impossible à réaliser et d’autre part, je ne suis pas sûr que cela soit préférable. Cela voudrait dire en effet que nécessairement la règle de droit, partout dans le monde, correspond à des valeurs universelles. Or on sait bien que ce n’est pas vrai. Je me souviens un jour d’une discussion avec quelqu’un, de bien plus compétent et riche en expériences sur cette question que moi, qui m’avait dit : « Pour nous, l’éthique ça commence d’abord par le respect absolu de la loi » Je n’ai toujours pas compris et je ne suis toujours pas d’accord. Et de mon point de vue, et c’est un juriste qui le dit, ce n’est pas souhaitable. Je ne suis pas en train de dire que je suis un libertarien absolu, un anarchiste de droite ou de gauche, un révolutionnaire. Mais on le sait tous, il peut y avoir un décalage entre les valeurs que l’entreprise soutient, sa mission et sa stratégie, et la norme juridique. Je rejoins ainsi Catherine DELHAYE quant à sa conception de la Compliance qui va être, in fine : Quel dispositif met-on en place pour mesurer ce décalage, pour faire des arbitrages et ensuite agir conformément aux valeurs de l’entreprise et au regard de sa stratégie ? Si ces valeurs sont totalement alignées avec des valeurs plus «normatives» c’est génial, si ce n’est pas le cas, alors il y a éventuellement un risque. Dans un second temps, qu’entend-on par risque ? Je ne vais pas revenir sur ce que nous avons écrit dans l’ouvrage. Il existe de nombreuses définitions du risque, vous le savez. Toutefois, il y a une notion-clé : c’est l’incertitude. Avant-hier, j’effectuais la relecture d’un article sur « la gestion du risque opérationnel, la différence entre le management du risque et la Compliance » publié dans un magazine nord-américain par le directeur général d’une société – spécialisée en risk management, avec une forte expérience en propriété immobilière –, qui, était de fait bien plus compétent que moi sur ces questions. La chose qui m’a frappée dans cet article est la suivante : « Quand on regarde les définitions de fonctions des managers des risques, on se rend compte que généralement c’est le fait d’assurer la gestion des process qui permet de satisfaire les exigences règlementaires et législatives». 36 L’auteur ajoute que : « le seul domaine dans lequel le management des risques doit être conforme ou pas à une règle de droit c’est le crime organisé ». Ce n’est pas que la terminologie qui a attiré mon attention. Mais, tout de même. Je continue à citer un extrait pertinent de cet article : « En effet, dans quel autre domaine l’évaluation du risque juridique – savoir si la violation, le non-respect de la loi et le fait d’être en conformité avec des exigences règlementaires –, pourrait être considérée comme un exercice du management des risques ? Aucun. » Je me suis dit que ce monsieur n’était pas juriste, sinon il saurait qu’en matière de risque, si on relie le risque à l’incertitude, il y a beaucoup de domaines - et nombreux sont les juristes ici présents qui le savent – dans lesquels il y a un certain niveau d’incertitude : - soit parce que la norme juridique n’est pas claire, - soit parce que les événements ou les décisions qui sont reliés à cette norme ne sont pas stables, qu’il décisions externes, d’événements divers, de problèmes politiques dans un pays, s’agisse de ou de décisions au sein même de l’entreprise. Dans un troisième temps, si l’on considère que, in fine, la Compliance c’est le fait de mettre en place un dispositif qui va permettre d’atteindre des objectifs stratégiques conformément à la mission de l’entreprise, en respectant ses valeurs, et que le management du risque est le management de l’incertitude, alors où se situe alors le lien entre management du risque et Compliance? La première articulation existante entre management du risque et Compliance se rencontre lorsque l’entreprise peut être confrontée à l’incertitude, quand elle cherche à réaliser sa stratégie tout en respectant ses valeurs, en particulier si celles-ci sont en décalage avec des normes sociales ou juridiques. La seconde articulation entre management du risque et Compliance, s’effectue à partir du moment où l’analyse du risque montre qu’il y a un certain niveau d’incertitude potentiellement destructeur de valeur, qu’elle soit stratégique, financière ou réputationnelle. A ce moment-là, on peut réduire cette incertitude en mettant en place une politique qui va permettre d’avoir des comportements plus conformes aux valeurs, sachant que cette incertitude peut en partie provenir du fait que ces comportements peuvent être en décalage par rapport aux valeurs. 37 Pour conclure, et j’espère ne pas avoir été trop long, de mon point de vue il y a bien deux concepts différents : le management des risques et la Compliance. Toute la difficulté est de trouver la bonne coordination entre ces deux univers, qui sont différents tout en étant reliés. Je ne pense pas qu’il y ait de coordination universelle parce que chaque entreprise a ses propres caractéristiques, son histoire, son secteur, son métier, etc. L’articulation entre ces deux concepts – management du risque et Compliance – conduit l’entreprise à s’interroger sur comment mettre en conformité ses actes et ses projets avec ses valeurs, conformément à une mission qui est portée par une stratégie. En étant plus conforme, l’entreprise peut réduire le risque, la menace, mais aussi augmenter les opportunités. En réduisant le risque de non-conformité, l’entreprise s’engage dans la voie d’une plus grande Compliance. Daniel TRICOT Président et co-fondateur du Cercle, Président honoraire de la chambre commerciale, économique et financière de la Cour de Cassation Je crois que c’est le moment d’exposer sans ambiguïté, à l’instar de ce que j’énonce souvent dans des séminaires sur la responsabilité des dirigeants sociaux, la philosophie de la jurisprudence de la Cour de Cassation et de la Chambre Commerciale en particulier en ce qui concerne la responsabilité (en matière de gestion) du dirigeant de société qui n’a pas obtenu ses résultats et qui a créé ainsi un préjudice pour des tiers. La faute de gestion, ce n’est pas l’erreur commise brutalement – sauf cas d’une particulière gravité. La faute de gestion repose bien davantage sur le fait de ne pas rectifier et de s’entêter à ne pas rectifier une décision antérieure qui se révèle erronée, malheureuse, inopportune, inappropriée. L’erreur, c’est l’entêtement dans l’erreur. Je crois qu’il est important de le souligner. En tout cas, c’est la conception juridique que l’on s’en est fait parce que sinon on est complètement paralysé. Quand on prend une décision on ne sait pas exactement quels vont en être les effets. Ceci étant dit, dès que l’on observe les effets se développer, encore faut-il les corriger ; et ne pas oublier, par de-là même que ne pas prendre de décision, c’est une décision. Et le plus souvent la plus mauvaise des décisions. 38 Blandine CORDIER-PALASSE Vice-présidente et co-fondatrice du Cercle Associée Blandine Cordier Conseil Executive Search En effet, il s’agit de là d’une remarque importante. Nous allons maintenant passer la parole à Henry-Benoît LOOSDREGT, qui a été d’avant-garde sur tous ces sujets de Compliance en la prenant en charge au sein de Suez. Je crois que vous avez beaucoup œuvré sur ces sujets-là à une époque ou ce n’était vraiment pas d’actualité. Vous avez ensuite créé le site « éthique des organisations » et continuez à être très actif dans ces domaines en ayant une expérience, du recul et une vision internationale, très globale et pratique sur ces sujets-là. Donc pourriez vous nous parler du lien entre la Compliance et la Gouvernance dans l’entreprise en abordant le lien qu’il y a entre les Compliance Officer et le rôle du Conseil d’Administration, et le partage du travail de contrôle et de conformité entre le Compliance Officer, le Directeur Juridique, le Directeur des Risques notamment. C’est à vous. Henry-Benoît LOODSREGT Consultant, Ethique des Organisations Je voudrais débuter mon intervention par une constatation. Je vous recommande bien sûr de lire ce livre, car il y a plein de choses tout à fait intéressantes. Il y en a une notamment que l’on doit à nos collègues universitaires, qui est une rapide analyse des risques dans l’entreprise tels qu’ils apparaissent dans les rapports annuels des entreprises. Comme la règlementation le prévoit, ils comportent une rubrique risques juridiques, mais pour bien analyser les risques de l’entreprise, il faut lire tout le rapport annuel. 39 On trouve dans d’autres rubriques des éléments qui sont tout à fait pertinents, voire essentiels, pour évaluer les risques dans l’entreprise. Ceci est à la fois remarquable et anormal, car cela révèle que l’on ne perçoit pas clairement la notion de risques dans l’entreprise. En effet, si cela avait été le cas, on aurait bien sûr une rubrique qui serait essentiellement consacrée à l’évaluation de ces risques dans tous les domaines de l’entreprise. J’ai trouvé ce travail des universitaires tout à fait révélateur d’un manque d’implication des Conseils d’Administration dans les problématiques relatives à la Compliance. Je vais peut-être paraître un peu prétentieux, mais je vais dire que les Conseils d’Administration n’ont pas encore compris l’importance de la Compliance pour la pérennité de leurs entreprises. Pourtant, si on s’en réfère à l’article 225-35 du Code de Commerce c’est bien clair : le Conseil détermine les orientations stratégiques des activités de l’entreprise et veille à leurs mises en œuvre ; il se saisit de toutes les questions concernant la bonne marche de l’entreprise. Autrement dit, le Code oblige le Conseil d’Administration à se plonger dans les problèmes de Compliance et dans les problèmes d’éthique. Il n’y a aucun doute : il appartient au Conseil d’Administration de se préoccuper de ces sujets. En cela, la première chose est de se conformer aux bonnes règles de fonctionnement d’un Conseil d’Administration. Une abondante littérature aborde cette question. Pour s’en rendre compte, je vous convie à aller sur le site web de l’European Corporate Governance Institute (www.ecgi.com) qui publie les recommandations d’une cinquantaine d’organismes qui se préoccupent de ces questions. Toutes leurs recommandations ne sont pas égales, certaines vont très loin dans la composition et l’organisation du travail du Conseil et donc dans l’exigence de performance des Conseils d’administration. Prenons l’exemple de la définition de l’Administrateur Indépendant. Si vous choisissiez d’autres critères que ceux de l’AFEPMEDEF, des grandes entreprises françaises du CAC 40 n’auraient plus aucun Administrateur Indépendant. En effet, la définition de l’Administrateur Indépendant n’est pas la même d’un pays à l’autre. Dans un souci de clarification et d’efficacité, il serait opportun qu’il y ait une réflexion sur ce sujet au sein des Conseils d’Administration. Il est possible de prendre par exemple comme point départ la définition de l’AFEP-MEDEF - pourquoi pas puisqu’on est en France, et d’examiner ensuite si ces critères «sont bien adaptés à l’indépendance de l’Administrateur dans notre Conseil d’Administration». 40 Cette réflexion n’existe pas ou peu. Je pense qu’elle n’existe pas, car s’en référer à l’AFEP-MEDEF est commode et évite de réfléchir. Ce manque de sensibilité des Administrateurs sur ces sujets est très préjudiciable parce que l’exemple vient d’en-haut. Donc quand l’organe de contrôle de l’entreprise, conseil de surveillance ou conseil d’Administration n’est pas vraiment irréprochable de ce point de vue de la «conformité », cela peut alors créer des difficultés dans sa mise en œuvre pratique aux étages inférieurs de la hiérarchie. Cette conformité du fonctionnement du Conseil est un premier point que je voulais souligner et je pense que c’est tout à fait regrettable qu’en France on n’aille pas très loin dans ce domaine ; il faudrait pourtant approfondir ces questions qui permettraient alors au Conseil d’Administration de se consacrer beaucoup plus, et de manière beaucoup plus cohérente, à l’étude des risques de l’entreprise. Lorsque vous faites cette étude de risques, la première constatation que vous pouvez faire, c’est que pour vraiment se protéger et les prévenir du mieux possible, il faut absolument impliquer l’ensemble de l’entreprise, et pas seulement le Directeur Juridique – qui a certes, un rôle important mais il n’y a pas que lui qui a un rôle à jouer. Le défaut que j’ai signalé tout à l’heure, cette mauvaise présentation des risques dans les rapports annuels, témoigne justement de ce manque de réflexion et finalement, entrave le succès de l’entreprise : les risques n’étant pas évalués de manière cartésienne, la réponse n’est pas optimale. Le Directeur Juridique a sa spécialité de juriste, il est donc important de le consulter dès qu’il y a un problème ou pour mettre en place une procédure, pour savoir si celle-ci est bien conforme à la réglementation. Une autre personne joue un rôle important dans l’entreprise de ce point de vue – et dont le poste n’existe d’ailleurs pas toujours partout – c’est le directeur des risques. Le directeur des risques ne se préoccupe pas seulement des risques financiers ou des risques de contentieux, ça va beaucoup plus loin car il est impossible de tout prévoir. C’est ce problème de l’incertitude dont parlait Christophe Roquilly. Certains risques sont invisibles et subitement, ils éclatent et deviennent une réalité. Il y a donc une réflexion approfondie à avoir sur la multitude des risques que peut rencontrer une entreprise. Il est impossible de tous les énumérer, mais il est sûr qu’ils exigent la mise en place d’une politique globale, systémique, qui fait intervenir tout le monde. La politique du système de l’évaluation du risque nécessite une coordination (symbiose) entre les différents acteurs de l’entreprise, en liaison avec le Compliance Officer : opérationnels, fonctionnels, DRH, etc. Les acteurs opérationnels sont concernés par les problèmes de droit du travail ainsi que ceux liés à la protection de l’environnement. Je pense aussi aux risques qui font intervenir les opérateurs fonctionnels, tels que le risque financier notamment. 41 Pour réussir à mettre tout cela en œuvre, il faut aussi faire appel au Directeur de la Compliance, à qui il appartient de regarder si cette approche est rationnelle, logique, si elle est bien mise en place et si le rôle de chacun est bien déterminé. Il y a donc entre le Directeur juridique, le Directeur des risques et le Directeur de la compliance un travail de coordination très important et donc, un lien fort. Je dirais même, que l’un ne peut pas faire son travail sans l’autre. Mais au-delà de ce premier niveau de collaboration, le directeur de la Compliance devra aussi adresser son travail à d’autres, je pense notamment à la DRH, qui aura un rôle à jouer pour toutes les mesures d’application du droit social et des sanctions à prendre en cas de non respect ou contravention. Il faut absolument que le directeur de la Compliance s’attache à mettre en place un travail coordonné entre tous ces responsables de manière à pouvoir mettre en œuvre dans la pratique une politique de la Compliance réelle et concrète. Il y a enfin un lien entre le directeur de la Compliance et celui de l’éthique. Il arrive souvent que la même personne assume les deux rôles, on en parle dans le livre. Il peut bien sûr y avoir des risques de conflits d’intérêts dans ce cas, puisque l’un détermine les choses et l’autre les met en pratique ou vérifie leur mise en pratique. Mais d’une manière générale, ce système est celui que nous recommandons, c’est quand même plus simple et me semble- t-il plus efficace. Nous avons voulu aborder toutes ces réflexions dans ce livre parce qu’il nous paraissait, d’une part, important de parler de manière un peu théorique de la sécurité juridique et de la Compliance, – ce qui était utile pour définir les termes, car il est vrai qu’actuellement on dit encore des choses approximatives sur ce sujet, et j’espère que ce livre permettra de contribuer à fixer un peu les termes ; et d’autre part, il était tout à fait nécessaire d’aborder la pratique. C’est pourquoi nous avons développé deux longs chapitres sur le rôle de chacun dans l’entreprise. Lorsque je parle du rôle de chacun dans l’entreprise, je pense également à l’opérateur qui est sur une machine car lui aussi a des règles à respecter ; et donc, s’il ne les connait pas, il ne faudra pas s’étonner si un jour il y a un problème environnemental. Parce que par exemple, cet opérateur aura ouvert le soir une vanne pour vider une cuve trouvant plus rapide de déverser les résidus dans l’égout municipal, plutôt que de les traiter dans la station d’épuration de l’usine. Il y a des choses comme cela extrêmement basiques, extrêmement élémentaires. Toutefois, on sait très bien que le diable se cache dans les détails, et ce genre de petit détail doit être abordé également par le Directeur de la compliance, avec le même soin et la même application que ces grands problèmes de gouvernance du Conseil d’Administration. 42 Synthèse et conclusion générale de la table ronde. 43 Blandine CORDIER-PALASSE Vice-Présidente et co-fondatrice du Cercle Associée Blandine Cordier Conseil Executive Search Comme nous l’avons entendu tout au long de cette conférence, l’Ethique est subdivisée entre l’éthique de conviction qui repose sur le jugement des valeurs et l’éthique de responsabilité qui s’appuie sur un jugement des faits. La Compliance est l’outil pratique qui permet d’associer et d’articuler les principes de l’éthique formelle et appliquée. Philippe MONTIGNY a montré que cette conformité – située entre conformisme et modernité – s’édifie à partir de trois corpus (pénal, professionnel, socio-éthique), qui vont structurer des schémas organisationnels divers et variés fondés soit sur des valeurs (values based Compliance), soit sur des principes (principles based Compliance). La conformité souscrit à deux types de logiques, une logique d’interdictions (établie par la norme législative) et une logique d’obligations (définie par l’entreprise et la société). Christophe COLLARD a développé les implications et le sens à donner au terme Compliance. Catherine DELHAYE a illustré une application de la Compliance dans une entreprise internationale avec la mise en place de programmes de compliance qui doivent être assortis de contrôles et de sanctions pour être efficaces. Cela implique des moyens réels (à la fois financiers et humains : information, formation continue, sensibilisation de tous les acteurs) et des outils de régulation et de développement durable au service de la performance de l’entreprise. Christophe ROQUILLY a souligné le lien fort entre le management des risques (notamment juridiques) et la Compliance. Benoît LOOSDREGT a montré la nécessaire articulation entre Compliance et gouvernance, et notamment l’implication du Conseil d’administration et du comité de direction. A mon sens, il ressort de ces différentes interventions que : - La Compliance doit être impulsée du haut de la pyramide, « Tone from the top » - L’exemplarité doit venir d’abord du Conseil d’Administration. C’est avant tout un esprit qui doit être insufflé par une volonté déterminée du Conseil. Celui-ci doit définir la stratégie en respectant les valeurs portées par l’entreprise et donner les moyens aux dirigeants – en premier lieu, le comité de direction – de la mettre en œuvre et en déployant des process pour manager le risque. 44 L’entreprise doit donc avant tout définir les valeurs qu’elle porte. La Compliance ne sera pas mise en place de la même façon puisqu’elle dépend de divers paramètres, notamment : - Les problématiques auxquelles sont confrontées l’entreprise - Les enjeux - Les marchés - La culture et l’historique - Et les risques fonctionnels, opérationnels, d’’image et de réputation. Par conséquent, il faut d’abord définir pour chaque entreprise son ADN comme le dit Catherine DELHAYE, afin de déployer un programme de Compliance adapté à cette entreprise ou ce groupe en s’assurant que l’exemplarité, la caution et la légitimité viennent du haut. A partir du moment où le Conseil d’administration et le comité de direction auront vraiment compris les enjeux de la Compliance et accepté, chacun en ce qui le concerne, de jouer son rôle, d’incarner cet esprit et de l’insuffler aux équipes, la Compliance pourra être déployée de façon efficiente au sein de l’entreprise. S’il n’y a pas d’exemplarité effective du haut de la pyramide et de la hiérarchie, cela peut complètement anéantir les process mis en place, quels que soient les moyens humains et financiers investis par l’entreprise pour le déploiement de ces programmes et mettre en péril la valeur et la performance de l’entreprise, voire sa pérennité. 45
