La conférence plénière d’ouverture intitulée « Compliance, du concept à la pratique dans un environnement en constante évolution » a permis à trois experts de la matière de s’exprimer sur les problématiques liées à celle-ci. Développant leurs points de vue sur trois thématiques différentes : technologie et gestion des risques, éthique et conformité, et conformité d’ici 2025, ils ont pu dresser un tableau complet des attentes et des dangers qui entourent le processus de la compliance au sein de l’entreprise.
La gestion des données comme atout management.
Là réside son intérêt : déjà pratiquée, elle demeure parfois un concept tant son exécution au sein des entreprises s’avère mal appréhendée. Pourtant, ses bénéfices sont connus et reconnus par les professions qui s’y sont spécialisées : restaurer la confiance des actionnaires, renforcer le leadership et garantir une performance durable.
C’est l’idée qu’a souhaité faire passer Pierre-Yves Lastic, directeur adjoint au service vie privée de Sanofi, qui a expliqué en quoi la compliance est une solution à la gestion des risques. Pour illustrer son propos, il a dégagé deux notions dont l’importance croît : le privacy by design et by default. La première est définie par la Commission nationale pour la protection des données du grand-duché du Luxembourg comme ayant « pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles applications technologiques et commerciales dès leur conception. » La seconde pose comme principe qu’"une organisation (le responsable du traitement) veille à ce que seules les données strictement nécessaires pour chaque objectif spécifique du traitement soient traitées par défaut (sans l’intervention de l’utilisateur)". Elles ont été insérées dans le cadre juridique européen par le règlement sur la protection des données (article 25) en réponse au phénomène du Big Data et pour obliger les organisations qui recueillent ces informations à les protéger.
Pour cela, plusieurs réflexes sont à adopter, rappelés par la Commission Nationale Informatique et Libertés sur son site : tout d’abord, mieux vaut éviter de collecter les données dont on n’a pas besoin. Ensuite, il est conseillé de ne pas les centraliser à un seul endroit accessible à toutes les personnes de l’entreprise, de minimiser l’accès à cette source, grâce à une clé cryptée par exemple, et ainsi réduire les pertes en cas de cyber attaques. Enfin, les liens trop facilement faits entre un ensemble de données et une personne sont à proscrire. Les données ne doivent pas non plus être conservées trop longtemps dans les serveurs.
L’opportunité de la compliance pour l’entreprise.
Le volet éthique de la compliance a ensuite été abordé par Nathalie Riez-Thiollet, directrice du comité Audit d’AB Science. Une association qui tombe sous le sens lorsque l’on regarde les implications de la réputation dans le business des entreprises, à l’heure des réseaux sociaux.
L’irruption de l’intelligence artificielle rend le business encore plus incertain, et en même temps plus intéressant dans ses futures évolutions. Les problématiques de ces nouvelles technologies vont-elles changer la compliance ? C’est l’idée que l’intervenante développe lorsqu’elle explique que la compliance peut se transformer dans l’entreprise, en devenant un ensemble de procédures qui pourraient, à terme, remplacer l’expertise humaine.
Internet et les réseaux sociaux ont également une place toute particulière en tant que contre-pouvoir. Les entreprises ont parfois fort à faire face à leur réputation auprès de l’opinion publique, au travers de ces plateformes. De nouveaux risques qui devront être intégrés au concept de compliance afin de prévenir tout incident. Elle rappelle alors le scandale Cambridge Analytica pour illustrer ces dangers.
Les outils technologiques développés par les regtech (contraction de regulatory technology), entreprises spécialisées dans l’accompagnement des organisations dans la mise en conformité avec la règlementation, changent également la pratique de la compliance. L’automatisation de ces procédés innovants permet d’enlever un poids en leur déléguant les tâches les plus répétitives. De même, la forte demande en expertise qui accompagne la compliance permet à ces entreprises spécialistes de la règlementation de soutenir le marché dans ce domaine.
Le terrain de jeu de la pratique de la compliance s’est étendu au monde entier, ce qui exige d’envisager la règlementation à cette échelle également. Une nouvelle approche qui requière une grande agilité de la part des départements compliance dans leurs actions de prévention.
Entrevoir le futur de la compliance.
Nathalie Riez-Thiollet conclue sa présentation en abordant la récente loi Pacte et son implication dans le futur de la compliance. Un avenir également abordé, plus longuement, par Bob Conlin, président-directeur général de Navex Global.
Selon lui, la nouvelle règlementation française pour les entreprises doit permettre de mettre la gouvernance au premier plan dans la construction d’une vision de la performance pour cette entité économique. Une opportunité pour le département compliance de prendre sa part dans le processus de décision pour l’entreprise en faisant la pédagogie des risques et des atouts de son expertise aux exécutifs. La compliance sera intégrée à l’ensemble des départements au sein de la société, due à la prolifération des logiciels utilisant les données personnelles dans les équipements technologiques.
