Introduction.
« Il faut évaluer la conformité non pas comme une dépense, mais comme une économie. Certes, gérer la conformité mobilise des ressources, mais ces coûts sont bien inférieurs à ceux engendrés par une violation des règles », Paul Koziarz [1].
Cette citation offre une perspective éclairante sur l’importance de la compliance dans les sociétés commerciales. Une question essentielle s’impose : la compliance constitue-t-elle une charge ou un investissement ? Elle apparaît clairement comme un investissement stratégique, permettant de prévenir des pertes financières importantes et d’éviter des sanctions sévères en cas de manquement.
Avant d’approfondir cette réflexion, il est indispensable de répondre à une question fondamentale : qu’entend-on par « compliance » ?
Le terme « compliance », d’origine anglo-saxonne, peut être traduit littéralement par « conformité ». Toutefois, cette notion reste ambiguë. Selon un auteur, il s’agit d’une « notion fonctionnelle encore jeune, sujette à des enrichissements » [2]. L’enjeu principal des études portant sur la compliance réside dans la définition même de ce concept, que la doctrine aborde sous différents angles [3].
La traduction « conformité » ne suffit pas à cerner pleinement cette notion, qui demeure complexe et parfois contradictoire. En réalité, la compliance se présente aujourd’hui comme l’internationalisation d’une régulation publique, souvent conçue aux États-Unis, transformant les entreprises en agents d’exécution d’objectifs globaux.
De manière générale, la compliance impose aux entreprises de démontrer leur organisation et leur respect des règles en vigueur vis-à-vis de toutes les parties prenantes : associés, actionnaires, investisseurs et tiers [4].
En particulier, les entreprises, notamment dans les secteurs bancaire et financier [5], doivent prouver que leur structure respecte les normes générales du système auquel elles appartiennent.
En outre, le développement de la compliance a donné naissance à un véritable « droit de la conformité », ou « compliance » selon l’usage désormais répandu. Qu’il s’agisse de protéger l’ordre public général, un ordre public spécial [6], ou encore les droits humains, ce droit délègue aux entreprises des obligations de surveillance et de respect des normes [7].
Une telle délégation nous invite à examiner l’évolution du cadre normatif de la compliance à travers une approche utilitaire. Celle-ci repose sur une tendance internationale adoptée par les entreprises, d’une part, et sur des stratégies réglementaires propres aux autorités nationales, d’autre part.
Ainsi, à la lumière de ces développements, il semble essentiel de poser la problématique suivante : la stratégie réglementaire de la compliance répond-elle davantage à une logique de gestion proactive des risques ou à une volonté accrue de contrôle par les autorités ?
Pour répondre à cette question, nous analyserons d’abord l’évolution de cette stratégie réglementaire (I), avant d’évaluer la finalité qu’elle poursuit (II).
I. L’évolution de la stratégie réglementaire de la Compliance.
« Mieux vaut prévenir que guérir ». Cet adage n’a jamais été aussi fondamental pour les entreprises qu’aujourd’hui. Autrefois, leur performance reposait principalement sur leur capacité à anticiper les besoins des clients et à surpasser la concurrence. Désormais, leur stratégie ne peut plus se limiter aux seuls aspects économiques : elle doit intégrer la prévention des risques comme un volet essentiel [8].
Cette intégration n’a pas émergé spontanément : elle résulte d’une évolution progressive et, souvent, d’une impulsion autoritaire du législateur.
A. La montée en puissance des réglementations « Risk-Based » [9].
Ces dernières années, on observe une tendance croissante à adopter des réglementations basées sur une approche axée sur les risques (« Risk-Based »). Cette méthode, initialement déployée dans les secteurs régulés comme la finance - à travers les normes de Bâle II [10] pour les banques ou la directive Solvabilité II pour les assurances - s’étend désormais à d’autres secteurs.
En France, des lois comme Sapin II [11] (anti-corruption) ou la loi Vigilance (devoir de vigilance des entreprises) illustrent cette approche proactive. Ces réglementations encouragent les entreprises à identifier, évaluer et gérer les risques auxquels elles sont exposées, qu’ils soient financiers, industriels ou stratégiques. Pourtant, cette dynamique reste embryonnaire en Tunisie, où la législation n’incite pas explicitement à l’élaboration de cartographies des risques sectoriels ou systémiques. Seules certaines institutions, telles que les banques et les sociétés de leasing, s’y sont aventurées individuellement [12].
Cependant, il est essentiel de souligner que réduire la compliance à un simple respect des lois serait la priver de sa véritable fonction : une gestion ex ante des risques globaux et une contribution proactive à des objectifs mondiaux, comme la lutte contre le terrorisme ou la protection des droits humains. Cette délégation de responsabilités aux entreprises, en tant qu’agents de régulation, reflète leur position de puissance économique [13].
B. De la gestion des risques à la conformité numérique.
En Tunisie, bien que la loi organique n° 2004-63 ait marqué une avancée dans la protection des données personnelles, le cadre législatif et réglementaire demeure insuffisant, en particulier dans le domaine des affaires. Deux décennies après sa promulgation, l’exploitation commerciale des données a explosé, dominée par des oligopoles générant des profits considérables. Une mission de contrôle efficace, confiée à l’Instance Nationale de la Protection des Données Personnelles (INPDP), est cruciale, mais son efficacité reste discutable.
À l’échelle européenne, le Règlement Général sur la Protection des Données (RGPD) [14] a renforcé les obligations en matière de traitement des données personnelles [15], introduisant des outils comme la tenue d’un registre des traitements ou la nomination d’un délégué à la protection des données (DPO) tout en renforçant le consentement des personnes concernées [16].
Toutefois, le RGPD ne couvre pas pleinement les risques émergents liés aux nouvelles technologies de l’information et de la communication (TIC), notamment dans le secteur financier.
Pour combler ces lacunes, le règlement DORA [17] (Réglementation sur la Résilience Opérationnelle et Numérique), applicable à partir du 17 janvier 2025 [18], établit un cadre ad hoc visant à identifier, prévenir, gérer et réduire les risques liés aux TIC [19], particulièrement dans les relations contractuelles entre prestataires tiers et institutions financières. DORA impose des clauses spécifiques dans ces contrats, telles que la description des services, la localisation des données, et les mesures de résiliation en cas de risques avérés.
En somme, l’évolution des réglementations montre une transition des secteurs régulés vers des lois de portée générale, engageant les entreprises dans une gestion proactive des risques. Toutefois, en Tunisie, l’effort législatif reste timide, nécessitant une impulsion majeure pour aligner le pays sur les standards internationaux.
II. La téléologie de la stratégie réglementaire de la Compliance.
Abstraitement, la conformité ou compliance, vise à défendre des valeurs fondamentales tout en encourageant des comportements vertueux dans le respect des règles établies. Elle constitue également un outil essentiel pour une gestion optimisée des risques financiers et réputationnels. Ces objectifs ne rejoignent-ils pas, dans une certaine mesure, les attentes du législateur en matière de droit économique ? Cette observation nous invite à interroger la finalité de cette stratégie, car, à l’instar des liens de causalité en droit, rien n’y est laissé au hasard.
A. La tendance réglementaire de la cartographie des risques.
La réalisation d’une cartographie des risques [20] est souvent une exigence directe des différentes législations, ce qui pourrait laisser penser que sa production constitue une finalité en soi. Toutefois, ce n’est pas le cas. Ces lois partagent l’objectif commun de mettre en place des dispositifs pour prévenir un ou plusieurs risques (comme le risque de corruption et de trafic d’influence pour la loi dite "Sapin 2" en France et la loi organique n° 2015-26 du 7 août 2015 en Tunisie [21], ou encore les risques sociaux, sociétaux, environnementaux, sanitaires et de sécurité pour la loi dite "Vigilance") [22]. La cartographie des risques est certes une exigence clé pour améliorer la structure sociétaire nationale, mais elle a surtout pour vocation d’aider les organes de direction de l’entreprise à déterminer, en fonction de son niveau d’exposition, l’intensité des mesures de contrôle nécessaires et, par conséquent, les dispositifs de surveillance des risques à mettre en place.
Ainsi, la cartographie est le moyen privilégié pour donner du sens à ces systèmes de prévention : ils ne sont pas mis en œuvre "pour le régulateur", mais pour maîtriser un risque. Elle contribue donc à la prise de conscience des risques et permet d’établir une vision partagée au sein de l’entreprise, en dépassant les visions individuelles (influencées par les valeurs et les convictions de chacun) afin de hiérarchiser les sujets à traiter au niveau de l’entreprise, grâce à une véritable stratégie de gestion des risques.
Actuellement, la compliance semble se limiter à une accumulation de processus et prescriptions techniques, souvent dénuée de définition claire [23].
Sans doute parce que la compliance a été largement axée sur les pratiques et les réglementations, relevant de ce qui est fait ou prescrit à faire ou à ne pas faire, plutôt que d’être une branche du Droit élaborée. Cette conception mécanique de la compliance conduit à proposer que ce soient des machines et non des êtres humains qui établissent les outils, notamment la cartographie des risques. Les compas et les cartes d’état-major sont désormais obsolètes, laissant place aux bases de données et aux connexions automatiques pour que des voyants d’alerte se déclenchent.
Comme mentionné précédemment, la nécessité d’une adoption juridique franche de la compliance en Tunisie est inévitable, malgré les problèmes futurs relatifs aux incertitudes sur la qualification de ses mécanismes, qui subsistent également dans le droit français. L’absence de définition juridique de la cartographie des risques semble refléter non seulement les difficultés à définir le Droit de la compliance, mais également l’absence générale du Droit dans l’ensemble des mécanismes de compliance. Cela est paradoxal pour un domaine par ailleurs si marqué par des sanctions pénales.
B. De la simple implémentation à la supervision de l’autorité.
En Tunisie, la notion de gestion des risques n’est explicitement reconnue que dans son sens financier. Elle concerne principalement les secteurs bancaires, des assurances, du leasing, du factoring, etc. Cependant, il existe un grand vide dans la réglementation en matière de vigilance, de conformité juridique et de due diligence. Aucune réglementation n’oblige les opérateurs économiques à créer un plan identifiant les risques de conformité liés à leur activité et les mesures préventives à adopter.
Cette absence d’obligation engendre un manque de culture de vigilance, ce qui va, à notre avis, à l’encontre du progrès de l’infrastructure économique.
En France, la loi sur le devoir de vigilance [24] exige que les entreprises élaborent et mettent en œuvre un plan pour identifier et prévenir les risques liés à leurs activités. Elles doivent également publier des rapports annuels sur l’efficacité de ce plan. Des mesures de diligence raisonnable doivent être prises lors de l’établissement du plan, avec la recommandation d’impliquer les parties prenantes dans son élaboration. Les entreprises disposent ainsi d’une large marge de manœuvre quant au contenu et à la gouvernance du plan [25]. Cependant, aucune entité n’est désignée pour surveiller ou auditer le plan, et il n’y a pas de sanction administrative en cas de non-conformité. L’adéquation du plan est principalement une question de contentieux. En cas de non-respect, les parties intéressées peuvent envoyer une mise en demeure formelle, puis demander une intervention judiciaire pour forcer l’entreprise à se conformer, avec possibilité de pénalités. Par ailleurs, les victimes d’un préjudice peuvent demander des dommages et intérêts.
En revanche, la loi allemande sur la diligence raisonnable dans les chaînes d’approvisionnement, promulguée le 16 juillet 2021 [26], détaille les risques de violations des droits humains et les mesures à prendre. Elle intègre des lignes directrices dans la loi et impose une gouvernance de la gestion des risques appuyée par des amendes élevées en cas de violations. L’Office fédéral de l’économie et du contrôle des exportations (BAFA) est chargé de surveiller la conformité des entreprises.
En Tunisie, la loi organique n° 2015-26 du 7 août 2015, relative à la lutte contre le terrorisme et au blanchiment d’argent, et l’Instance nationale de lutte contre la corruption (INLUCC) [27], qui se caractérisent par une tendance politique et sociologique, jouaient un rôle très limité dans la conformité des opérateurs économiques. Ce rôle s’est progressivement éloigné de l’efficience initialement escomptée, limitant l’impact attendu sur la conformité.
À l’inverse, l’Agence française anticorruption AFA) [28], après sept ans d’existence, a su prendre la mesure des enjeux liés à ses missions de soutien et de contrôle. Elle y est parvenue en établissant des points de contrôle, en formulant des recommandations, en publiant des lignes directrices et en recrutant des experts de terrain [29], bien que leur nombre reste insuffisant par rapport aux prévisions initiales [30].
En conclusion, la cartographie des risques ne peut constituer une finalité en soi. Elle doit être intégrée dans une stratégie globale, évaluée en fonction de son efficacité et supervisée par une autorité compétente dotée des expertises nécessaires.