Compliance (conformité)

La compliance (ou conformité en français) désigne l’ensemble des dispositifs internes par lesquels une organisation s’assure du respect des règles légales, réglementaires, déontologiques applicables à son activité. C’est une discipline en plein essor depuis la loi Sapin 2 (2016).

Définition élargie

La compliance couvre :

• Lois et règlements (nationaux et internationaux)
• Normes professionnelles (autorégulation)
• Engagements éthiques propres à l’organisation
• Bonnes pratiques sectorielles

Elle vise à prévenir plutôt qu’à corriger.

Périmètre

Anti-corruption

• Sapin 2 : programme obligatoire pour entreprises > 500 salariés
• FCPA (US) : applicable aux entreprises ayant un lien avec les USA
• UK Bribery Act : applicable aux entreprises ayant un lien avec le UK
• Loi PACTE (2019) : extension à certains acteurs

Sanctions internationales

• Embargos (Russie, Iran, Corée du Nord, etc.)
• OFAC (US Treasury)
• Listes de personnes sanctionnées
• Conformité aux régimes de sanctions UE/ONU

Lutte anti-blanchiment (LCB-FT)

• TRACFIN (Bercy)
• Directive UE blanchiment
• Vigilance KYC (Know Your Customer)

Données personnelles

• RGPD (UE)
• CNIL (France)
• DPO (Délégué à la Protection des Données)

Concurrence

• ADLC : programme de conformité concurrence
• DG COMP UE
• Compliance ententes

Droits humains

• Devoir de vigilance (loi 2017)
• CSDDD (Corporate Sustainability Due Diligence Directive, UE 2024)
• Audits sociaux et environnementaux

Fiscalité

• Compliance fiscale internationale : transfer pricing, BEPS, Pilier 2 OCDE
• DAC6 : déclaration des montages fiscaux transfrontaliers

Métiers

Compliance Officer

Responsable de la conformité. Présent dans toutes les grandes entreprises et institutions financières.

CCO (Chief Compliance Officer)

Direction conformité : pilote la stratégie globale.

DPO (Data Protection Officer)

Spécialisé sur la protection des données personnelles.

Avocats compliance

Cabinets spécialisés (Latham, Clifford Chance, BDGS, Bredin Prat…).

Auditeurs

Audit interne / externe pour vérifier les dispositifs.

Dispositifs internes

Cartographie des risques

Identifier les risques propres à l’organisation.

Code de conduite

Règles applicables à tous les collaborateurs.

Formation

Programmes de sensibilisation et de formation continue.

Procédures

• Whistleblowing (lanceur d’alerte)
• Due diligence tiers (clients, fournisseurs, partenaires)
• Validation des transactions sensibles

Contrôles

• Premier niveau (opérationnels)
• Deuxième niveau (compliance)
• Troisième niveau (audit interne)

Reporting

Rapport annuel au comité d’audit, à la direction, parfois à l’autorité de tutelle.

Régulateurs et sanctions

En France

• AFA (Agence Française Anticorruption) : audite les programmes Sapin 2
• AMF, ACPR : pour les acteurs financiers
• DGCCRF : pour la concurrence et la consommation
• CNIL : pour les données personnelles

En Europe

• Commission européenne : DG COMP, DG FISMA, DG JUST
• EBA, ESMA, EIOPA : régulateurs sectoriels

Tendances

Compliance technologique

Utilisation de l’IA et de la data pour automatiser les contrôles, le reporting, le criblage.

ESG et compliance durable

Critères environnementaux, sociaux, gouvernance intégrés à la compliance.

Coût croissant

Pour les grandes entreprises, les équipes compliance atteignent dizaines à centaines de personnes. Coût significatif mais essentiel.

Pour les acteurs publics

La compliance est un sujet à part entière du lobbying législatif :

• Plaidoyer sur les niveaux d’exigence (proportionnalité, simplification)
• Plaidoyer sur les sanctions (encourager vs effrayer)
• Plaidoyer sur les délais de mise en conformité
• Plaidoyer sur les régulateurs (compétence, moyens)

Pour aller plus loin

• HATVP
• RGPD
• Lanceur d’alerte
• Devoir de vigilance