Le compliance, ou conformité réglementaire, désigne l'ensemble des processus, politiques et contrôles par lesquels une organisation s'assure que ses activités respectent les lois applicables, les normes sectorielles et ses propres codes de conduite internes. Il ne s'agit pas d'un département qui dit « non », mais d'une fonction de gestion du risque : elle identifie les obligations auxquelles l'entreprise est soumise, évalue la probabilité et l'impact d'une non-conformité, et conçoit les contrôles qui maintiennent ce risque à un niveau acceptable. En Europe, le compliance est passé du statut de bonne pratique volontaire à celui de nécessité juridique, notamment sous l'impulsion du RGPD, de la directive NIS2 et des normes ISO de management de la conformité.
Le cadre réglementaire : la responsabilité de l'entreprise et le programme exonératoire
La plupart des ordres juridiques européens ont progressivement introduit la responsabilité des personnes morales pour des infractions commises en leur nom et pour leur bénéfice. La pièce maîtresse est le programme de compliance : une organisation peut voir sa responsabilité atténuée ou, dans certains systèmes, exclue si elle démontre qu'elle avait mis en place, avant la commission de l'infraction, un modèle d'organisation et de gestion efficace pour la prévenir. Ce programme doit notamment identifier les activités à risque, établir des protocoles de décision, gérer les ressources financières dédiées à la prévention, imposer l'obligation de signaler les risques, prévoir un système disciplinaire et, de façon déterminante, disposer d'un organe de supervision autonome (le compliance officer) doté de pouvoirs propres.
La jurisprudence européenne souligne que le programme ne vaut pas comme simple document : il doit être réel, vivant et supervisé. Un manuel archivé que personne n'applique n'exonère pas ; au contraire, il peut aggraver la position de l'entreprise en démontrant qu'elle connaissait le risque et n'a pas agi. La norme internationale de référence pour structurer cette fonction est la norme ISO 37301 (systèmes de management de la conformité), qui a remplacé l'ISO 19600, complétée par la ISO 37001 spécifique aux systèmes de management anti-corruption. Ces normes sont certifiables et constituent une preuve solide de diligence devant toute autorité de contrôle.
Les piliers du programme : de la cartographie des risques au canal de signalement
Un programme de compliance se construit sur une analyse rigoureuse. Le premier pilier est la cartographie des risques : un inventaire des risques juridiques et de conduite auxquels s'expose l'organisation en raison de son secteur, de sa taille et de sa géographie, évalués selon la probabilité et l'impact. De cette cartographie découlent les contrôles et les politiques : code éthique, politique anti-corruption, politique sur les cadeaux et les invitations, prévention du blanchiment de capitaux le cas échéant, et procédures spécifiques par domaine de risque. Le troisième pilier est la formation et la communication : les politiques ne préviennent que si les employés les connaissent et les comprennent, ce qui exige une formation périodique et documentée.
| Composante | Fonction | Preuve d'efficacité |
|---|---|---|
| Cartographie des risques | Identifier et hiérarchiser les risques juridiques | Document révisé périodiquement |
| Compliance officer / organe de supervision | Superviser le modèle avec autonomie | Ressources, indépendance et rapport à l'organe de gouvernance |
| Politiques et contrôles | Prévenir les comportements à risque | Code éthique signé, contrôles opérationnels |
| Canal de signalement | Détecter les manquements à temps | Canal confidentiel et protection du lanceur d'alerte |
| Formation et enregistrement | Diffuser et attester la connaissance | Présences et évaluations documentées |
| Audit et révision | Vérifier et améliorer le système | Rapports d'audit interne et plans d'action |
Le quatrième pilier, qui a acquis une force juridique propre, est le canal de signalement interne. La directive (UE) 2019/1937 relative à la protection des lanceurs d'alerte, transposée dans les États membres, oblige les entreprises de 50 salariés ou plus à disposer d'un canal interne confidentiel, avec des délais de réponse imposés, des garanties contre les représailles et la désignation d'un responsable du système. Le non-respect de cette obligation est sanctionnable de façon autonome, indépendamment du fond des signalements reçus.
Protection des données : le compliance RGPD
L'un des domaines de conformité avec la plus grande exposition aux sanctions est la protection des données. Le RGPD impose un modèle de responsabilité proactive (accountability) : il ne suffit pas de se conformer, il faut être en mesure de le démontrer. Cela se traduit par des obligations concrètes telles que le registre des activités de traitement, l'analyse d'impact relative à la protection des données (AIPD) pour les traitements à risque élevé, la notification des violations à l'autorité de contrôle dans les 72 heures, et la désignation d'un délégué à la protection des données (DPO) lorsque cela est requis. Les sanctions du RGPD peuvent atteindre 4 % du chiffre d'affaires annuel mondial, ce qui place la confidentialité des données en tête de la cartographie des risques de toute organisation traitant des données personnelles à grande échelle.
Le compliance en matière de protection des données s'intègre au reste du programme : le DPO et le compliance officer partagent la méthodologie de gestion des risques et, souvent, le même canal de signalement pour les incidents. La documentation de la CNIL propose des guides pratiques sur la manière d'articuler ces obligations. Dans les environnements dotés de systèmes d'intelligence artificielle, l'horizon réglementaire inclut également l'AI Act européen, qui ajoute des obligations de gouvernance pour certains usages.
Audit interne et amélioration continue
Un programme de compliance n'est pas statique. L'audit interne périodique vérifie que les contrôles existent, fonctionnent et sont efficaces, et identifie les écarts avant qu'ils ne se transforment en manquements. Le cycle PDCA (Planifier, Faire, Vérifier, Agir) qui structure les normes ISO de management s'applique ici intégralement : la cartographie des risques est révisée lorsque la réglementation ou l'activité évolue, les contrôles sont ajustés selon les résultats de l'audit, et l'organe de gouvernance reçoit un rapport qui boucle la boucle de responsabilité. L'efficacité du programme se mesure par des indicateurs : signalements reçus et traités dans les délais, formations réalisées, incidents détectés par les contrôles internes plutôt qu'externes, et délai de clôture des plans d'action.
Compliance des tiers : la chaîne d'approvisionnement comme risque propre
L'un des fronts sur lesquels le plus grand nombre d'entreprises trébuchent est le risque qui entre par la porte des fournisseurs, des distributeurs et des partenaires. La responsabilité pénale et réputationnelle ne s'arrête pas aux limites de l'organisation : si un intermédiaire verse un pot-de-vin au nom de l'entreprise, ou si un fournisseur ne respecte pas la réglementation sociale ou environnementale, l'exposition atteint la société mère. C'est pourquoi un programme mature intègre la due diligence des tiers : un processus de connaissance du partenaire (KYC, know your counterparty) proportionnel au risque de chaque relation, qui vérifie sa propriété effective, sa solvabilité, ses antécédents et son propre niveau de conformité avant de contracter.
Cette diligence est graduée selon le risque. Un fournisseur de fournitures de bureau sur le territoire national exige une vérification de base ; un agent commercial opérant dans une juridiction à fort indice de corruption pour obtenir des marchés publics exige une vérification renforcée, des clauses contractuelles anti-corruption et un droit d'audit. La norme ISO 37001 anti-corruption consacre une attention spécifique à ces contrôles sur les partenaires commerciaux, et la directive européenne sur le devoir de vigilance des entreprises en matière de durabilité (CSDDD) étend aux grandes entreprises des obligations de surveillance sur les droits de l'homme et l'environnement tout au long de leur chaîne d'activité.
Le compliance des tiers se connecte à la cartographie des risques et au canal de signalement : les alertes concernant les comportements d'un fournisseur doivent pouvoir être canalisées et gérées de la même manière que les alertes internes. Documenter cette diligence — ce qui a été vérifié, quand et avec quel résultat — constitue, là encore, la preuve qui soutient la position de l'entreprise si un tiers commet une irrégularité malgré les contrôles mis en place. Sans cette traçabilité documentaire, l'organisation s'expose à répondre d'un comportement qu'elle n'a pu ni prévenir ni démontrer avoir tenté de prévenir.
Erreurs fréquentes lors de la mise en œuvre du compliance
- Le programme en carton. Un manuel élaboré et archivé que personne n'applique n'exonère pas de responsabilité ; il peut l'aggraver en prouvant que le risque était connu.
- Compliance officer sans autonomie ni ressources. Si l'organe de supervision dépend de celui qu'il doit surveiller ou manque de moyens, le modèle ne remplit pas sa fonction.
- Canal de signalement sans garanties. Une boîte aux lettres sans confidentialité ni protection contre les représailles dissuade son utilisation et viole la directive sur les lanceurs d'alerte.
- Copier des politiques génériques. Un code éthique téléchargé sur internet, sans cartographie des risques propre, ne reflète pas les activités réelles à risque de l'entreprise.
- Ne pas réviser le modèle. Un programme qui n'est pas mis à jour face aux évolutions réglementaires ou opérationnelles devient obsolète et perd sa valeur exonératoire.
Questions fréquentes
Le compliance est-il obligatoire pour toutes les entreprises ? Le programme de prévention n'est pas formellement obligatoire dans tous les systèmes, mais sans lui l'entreprise perd la possibilité de réduire ou d'exclure sa responsabilité. Le canal de signalement est obligatoire à partir de 50 salariés dans l'Union Européenne, et les obligations du RGPD s'appliquent à quiconque traite des données personnelles.
Quelle est la différence entre compliance et audit ? Le compliance conçoit et fait fonctionner les contrôles qui préviennent les manquements ; l'audit interne vérifie de façon indépendante que ces contrôles existent et fonctionnent. Ce sont des fonctions complémentaires et séparées.
Vaut-il la peine de se certifier selon ISO 37301 ou une norme équivalente ? La certification n'exonère pas automatiquement, mais constitue une preuve solide de diligence devant un juge ou une autorité, en attestant qu'un tiers a vérifié le système conformément à une norme reconnue.
La même personne peut-elle être DPO et compliance officer ? C'est possible dans les petites organisations, mais il convient d'évaluer le conflit d'intérêts et la charge de travail. Les deux fonctions exigent une autonomie et une spécialisation propres.
Conclusion : le compliance se prouve par les faits, non par les manuels
La leçon que la jurisprudence européenne répète depuis plusieurs années est sans équivoque : la valeur d'un programme de compliance ne réside pas dans l'épaisseur de ses manuels, mais dans la preuve qu'il fonctionne. Un modèle efficace se reconnaît parce que la cartographie des risques est à jour, le compliance officer dispose d'une autonomie et de ressources réelles, le canal de signalement est utilisé et protège ceux qui signalent, la formation laisse une trace documentaire et l'audit interne détecte les problèmes avant l'inspecteur. Lorsque tout cela existe et est maintenu vivant, le programme remplit sa double fonction : il prévient réellement les infractions et, le cas échéant, démontre devant un tribunal que l'organisation a agi avec diligence. Le contraire — un dossier impeccable sans pratique derrière — n'exonère pas seulement, il accuse. Chez Summum Consultoría, nous mettons en place des systèmes de compliance conformes aux normes ISO 37301 et ISO 37001, intégrés avec la protection des données et le canal de signalement requis par la directive sur les lanceurs d'alerte, conçus pour résister à l'épreuve qui compte : celle des faits.