Si les deux démarches Compliance et RSE relèvent du droit souple, elles tendent cependant ensemble, vers une évolution similaire, celle du droit dur, et des normes contraignantes.

Consacrée internationalement par la norme ISO 26.000 adoptée en 2010, la RSE a été initialement définie comme constituant « un concept dans lequel les entreprises intègrent les préoccupations sociales, environnementales et économiques dans leurs activités et dans leurs interactions avec les parties prenantes sur une base volontaire. »

La Commission européenne a ensuite revu sa définition pour résumer la RSE à la responsabilité des entreprises vis-à-vis des effets qu’elles exercent sur la société.

La démarche RSE va donc au-delà de la contrainte légale. Elle s’intéresse plus largement à l’impact de l’activité de l’entreprise sur son environnement économique, social, écologique.

La notion de compliance, elle, avait pour origine la volonté de « se mettre en conformité » se soumettre aux lois et aux règlements, au sens constitutionnel du terme.

A priori, donc, les deux notions n’ont rien à voir, ne portent pas sur les mêmes domaines, ni ne recouvrent les mêmes significations.

Et pourtant, l’évolution de ces deux domaines, tend à converger de manière évidente.

La Compliance renvoie à l’obligation de respecter les normes professionnelles et déontologiques, les codes de bonne conduite, les règles spécifiques applicables à une activité.
La Compliance va donc dépasser le champ de la norme juridique, pour englober une série de normes qui s’imposent à l’entreprise.

La Compliance renvoie également à la capacité que possède une entreprise à mettre en place des processus qui visent à assurer une bonne gouvernance.

Dans ce sens, la RSE peut parfaitement nourrir les programmes de compliance, et notamment les codes d’éthique qui en font partie.

Pour comparer les valeurs de la RSE et de la compliance, peuvent être repris les 6 éléments que la norme ISO 26.000 consacre à la gouvernance, mais également, les droits de l’homme, les relations et conditions de travail, et la loyauté des pratiques.

Or si les deux démarches Compliance et RSE relèvent du droit souple, elles tendent cependant ensemble, vers une évolution similaire, celle du droit dur, et des normes contraignantes.
On est en train de passer d’une démarche volontaire, à une obligation normative, source de responsabilité dans les deux domaines.

En matière de compliance, on sait que la loi Sapin 2 du 9 décembre 2016 a prévu des dispositifs importants de renforcement de la lutte contre la corruption et a introduit une obligation générale de prévention de la corruption pensant sur les entreprises employant au moins 500 salariés et dont le chiffre d’affaires, ou le chiffre d’affaires consolidé est supérieur à 100 millions d’euros.

Ces entreprises doivent prendre des mesures destinées à prévenir et à détecter la commission, en France ou à l’étranger, de faits de corruption ou de trafic d’influence selon les modalités mentionnées à l’article 17 II de la Loi.

Ces mesures sont énumérées limitativement à l’article 17 de la loi qui exigent que ces entreprises mettent en œuvre :
 Un Code de Conduite définissant et illustrant les différents types de comportement à proscrire, comme étant susceptibles de caractériser des faits de corruption ou de trafic d’influence. Ce code de conduite est intégré au règlement intérieur de l’entreprise, et fait l’objet de la procédure de consultation des représentants du personnel ;
 Un dispositif d’alerte interne, destiné à permettre le recueil des signalements émanant d’employés et relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société ;
 Une Cartographie des risques, prenant forme d’une documentation régulièrement actualisée et destinée à identifier et hiérarchiser les risques de corruption ;
 Des procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques ;
 Des procédures de contrôle comptables, internes, ou externes, destinées à s’assurer que les livres, registres, et comptes, ne sont pas utilisés pour masquer des faits de corruption ;
 Un dispositif de formation destinés aux cadres et aux personnels les plus exposés aux risques de corruption et trafic d’influence ;
 Un régime disciplinaire permettant de sanctionner les salariés de la société en cas de violation du code de conduite ;
 Un dispositif de contrôle et d’évaluation interne des mesures mises en œuvre.

La Nouvelle Agence Française Anticorruption est chargée de contrôler le respect des mesures et procédures prévues ci-dessus.

En cas de non respect de cette obligation par les entreprises, l’Agence Française Anticorruption peut prononcer une injonction de mise en conformité, et une sanction pécuniaire ne pouvant dépasser 200.000 euros pour les personnes physiques, et 1 million d’euros pour les personnes morales. En outre, les manquements aux obligations sont de nature à engager la responsabilité des sociétés et celle de leurs dirigeants.

En matière de RSE, cette évolution vers une normativité de plus en plus contraignante est également significative, notamment avec la proposition de loi sur le devoir de vigilance, qui fait entrer la RSE dans le champ de la responsabilité juridique.

Sont concernées, là aussi, des entreprises d’une certaine taille, c’est-à-dire celles dont l’effectif atteint 5.000 salariés, lorsque leur siège est en France, et 10.000 salariés lorsque leur siège est fixé à l’étranger.

Le projet de loi prévoit que les sociétés concernées sont tenues d’établir un plan de vigilance à la fois matériellement et formellement.

Ce plan doit contenir des mesures propres à identifier les risques que fait encourir son activité celle de ses filiales, ou de ses partenaires.

Le plan doit donc comporter des mesures de vigilance raisonnables propres à identifier et prévenir la réalisation :
 De risques d’atteinte aux droits de l’homme et aux libertés fondamentales,
 De dommages corporels ou environnementaux graves,
 De risques sanitaires,
 De comportements de corruption active ou passive.

Les mesures mises en place doivent englober la société mère, mais aussi les sociétés qu’elle contrôle directement ou indirectement au sens de l’article L 233-16 II du Code de commerce, ainsi que les sous traitants et fournisseurs avec lesquels elle entretient une relation commerciale établie.

Le plan devra comporter une cartographie des risques pays par pays, la contractualisation des obligations de RSE, la procédure d’alerte, des audits sociaux à tous les niveaux de la chaîne de valeur, etc.

Ce plan devra être publié et inclus dans le rapport annuel de la société.

Les entreprises qui ne respecteront pas ces obligations pourront être sanctionnées sur deux fondements :

• Le non établissement du plan de vigilance pourra faire l’objet d’une décision de justice condamnant la société à s’exécuter, et d’une amende civile pouvant atteindre 10 millions d’euros,
• En cas de dommage survenu dans l’entreprise, lié à un manquement aux obligations précitées, la responsabilité civile de l’entreprise pourra être engagée sur le fondement de l’article 1382 du Code civil.

On le voit, les deux notions Compliance et RSE, à l’origine totalement différentes et ne s’inscrivant pas dans les mêmes domaines, se rejoignent finalement, tant dans leurs objectifs, que dans les moyens aujourd’hui mis en œuvre pour les atteindre , l’idée générale étant qu’il faut traduire les engagements en actes, et que ces actes, maintenant, sont exigés par la loi sous peine de sanctions.

Nathalie Cazeau Cazeau et Associés [->Nathalie.cazeau@ncazeau.com]