Laurine Tavitian : Quel est l’impact des nouvelles obligations en matière de compliance sur le rôle de conseil de l’avocat ?

Kami Haeri : La loi Sapin 2 entraîne une redéfinition complète du rôle de l’avocat qui en plus d’assurer la défense de l’entreprise, va la conseiller en amont sur d’éventuelles dérives.

L’article 17 établit l’obligation pour les grandes entreprises de mettre en place un programme de détection et l’avocat va avoir à cœur de procéder régulièrement à une revue, un audit, à l’établissement de process spécifiques au sein des entreprises, à leur fiabilité et sincérité. Il est certain que cela va, par capillarité, influencer les sous-traitants et plus petites entreprises qui évoluent dans les mêmes écosystèmes et qui n’étaient pas a priori concernées par cette loi et cela va entrainer une diffusion de la culture de la compliance en France chez l’ensemble des entreprises.

Par ailleurs, cette loi est une vraie révolution pour l’avocat car elle modifie son rapport au régulateur. Une fois que l’agence française anti-corruption (AFA) aura interrogé l’entreprise, il assistera cette dernière dans le cadre de sa réponse au questionnaire compliance de l’AFA. Cela accentue le rôle de l’avocat comme un interlocuteur des régulateurs car il va rentrer dans une phase de dialogue et de coopération, au premier chef avec l’AFA sur la mise en place du process de conformité ou encore le Parquet et/ou le juge d’instruction en cas de poursuites parallèles.

Il y a un glissement, avec une forte connotation anglo-saxonne, d’un avocat qui était exclusivement un défenseur opposant une résistance à l’enquête vers un avocat qui associera à ce savoir-faire celui de conseil en matière de process de conformité et qui sera un interlocuteur habituel dans la relation entre l’entreprise et les régulateurs. C’est un changement de culture très intéressant auxquels les avocats sont invités.

Les recommandations de l’AFA sont-elles selon vous trop contraignantes ou difficiles à appliquer ?

Elles sont nouvelles et de ce fait elles peuvent être effrayantes pour les entreprises qui n’avaient rien mis en place. Et la situation des entreprises est extrêmement variable sur ce point. Il y a celles aux activités internationales, tournées vers le monde anglo-saxon et qui avaient déjà mis en place des procédures pour être en conformité avec la réglementation britannique ou américaine, qui avaient établi des règles internes contraignantes, ou qui obéissaient aux recommandations et à la soft law produite par des organisations non gouvernementales. Et il y a celles qui ne sont que partiellement conformes aux obligations issues de Sapin 2. Celles-ci ont dû effectivement s’adapter rapidement. Ensuite, dans beaucoup des entreprises malheureusement la position du chief compliance officer (CCO) est insuffisamment valorisée. C’est une fonction peu dotée sur le plan budgétaire et peu écoutée mais la loi sapin 2 oblige à redéfinir son rôle et à lui donner une véritable identité, un véritable pouvoir et un budget adéquat.

En ce qui concerne l’approche de ces régulateurs, je pense qu’il s’agit pour l’AFA et les régulateurs de faire preuve de pédagogie en expliquant ce qu’ils attendent des entreprises et qu’au final cette mise en place va se faire de manière itérative. Chaque entreprise doit avant tout faire un travail de cartographie et bâtir un programme compliance qui ne seront pas les mêmes suivant le degré de réglementation de son secteur d’activité et l’exposition à la corruption des marchés sur lesquels elle travaille.

Je fais confiance aux régulateurs pour ne pas attendre la même chose de toutes les entreprises et ne pas imposer une approche monolithique. Il faut une adéquation. En revanche, il doit y avoir un effort marqué par le management des entreprises de s’emparer de ces sujets, d’en faire une priorité et de transmettre le message avec des relais comme la direction du risque, de la conformité ou la direction juridique… Il faut aussi une régularité dans la mise à jour du programme en fonction de l’évolution de son business model et de son déploiement mondial. Et j’espère qu’en cas d’incident, si l’entreprise a mis en place un processus sincère, elle pourra s’extraire de sa responsabilité.

L’AFA peut demander à l’entreprise de produire tout document pour mener son enquête, y compris les documents établis par les avocats, selon son directeur Charles Ducheine. Quid du secret professionnel de l’avocat ?

C’est un vrai sujet. Mais, je ne suis pas aussi catégorique que le directeur de l’AFA sur ce point pour deux raisons.

D’abord l’AFA n’a pas été dotée des mêmes pouvoirs coercitifs que les autres autorités administratives. L’AFA ne peut pas par exemple obtenir une ordonnance du juge des libertés et de la détention pour procéder à une perquisition. Elle est autorisée à solliciter des documents et à aller dans l’entreprise faire des vérifications mais il n’est fait aucune référence au fait que le secret professionnel ne peut lui être opposé dans le texte fondateur. Si l’entreprise estime qu’elle n’a pas à communiquer l’un des documents demandés et que le droit ne permet pas à l’AFA de s’en saisir, elle doit exercer ce droit. Elle peut aussi choisir de communiquer un document couvert par le secret car elle a un droit de disposition à cet égard.

Ensuite, le secret professionnel et la collecte d’informations couvertes par le secret sont mentionnés dans les lignes directrices de l’AFA. Mais elles n’ont pas sur le plan normatif la même valeur que la loi qui l’a créée.

Je suis donc réservé sur cette position exprimée par le directeur de l’AFA qui mérite selon moi d’être clarifié.

Toutes ces nouvelles obligations ne démontrent-elles pas la nécessité pour les entreprises de créer un service consacré à la compliance ?

De manière assez astucieuse, la loi Sapin 2 n’oblige pas l’entreprise à se doter d’un Chief Compliance Officer (CCO). Elle demande l’adoption d’un programme de conformité en 8 points mais elle la laisse libre sur ce point. Evidemment, il faut qu’il y ait une incarnation de ces valeurs et il peut y avoir pléthore de personnes au sein de l’entreprise qui peuvent les porter - directeur de l’audit ou du risque, le directeur juridique, des questions d’éthique, un CCO… En désigner une seule aurait été peut-être un peu trop limitatif et coercitif pour l’entreprise.

Par ailleurs, il ne faut pas oublier que la notion de compliance est très large. Dans une société qui a une activité concurrentielle importante, on pourrait considérer que l’anti-trust fait partie de la compliance et qu’elle en constitue une dimension stratégique. Le même raisonnement peut s’appliquer à la data protection, la vigilance, certains aspects du droit du travail, l’environnement… ? Chaque entreprise doit se demander quel est pour elle le contenu du sujet Compliance, faire un travail d’audit et de cartographie interne et décider de la gouvernance à mettre en place en matière de Compliance. Puis, une fois qu’elle aura choisi la structure qui va véhiculer ce sujet, elle doit s’assurer, avec l’appui d’un management très incarné, de se doter des moyens humains et financiers pour mener à bien cette prérogative et ce contrôle. En résumé, le Chief Compliance Officer n’est pas indispensable sur le plan légal, mais il est en revanche indispensable d’incarner ces sujets.

Mais le sujet de la compliance ne doit-il pas être pensé de façon globale ?

Si bien sûr, la principale préoccupation sur cette problématique est pour moi la dimension globale de la Compliance. Même si Sapin 2 essaie de hisser la France à un niveau de dispositif et de crédibilité sur les questions de conformité sur la scène internationale, il y a une très forte influence de la culture anglo-saxonne et notamment américaine dans ce domaine.

Quand on valide en une procédure de Compliance d’une entreprise française, il faut aussi s’assurer que cette procédure est conforme aux obligations imposées par le Department of Justice, par le Serious Fraud Office (SFO), par le State Department et l’Office of Foreign Assets Control (OFAC) en matière de contrôle des exportations, par exemple. S’il y a bien un domaine dans lequel la globalisation du droit est perceptible c’est le sujet de la conformité internationale. Les entreprises ne s’y trompent pas, elles confient massivement les questions de compliance à des firmes internationales car elles seules ont une expérience aussi ancienne que globale, l’expérience des enquêtes et de la solidité de certaines procédures de contrôle, et la capacité d’harmonisation d’une même procédure applicable sur plusieurs marchés.