La conformité désigne un ensemble de règles, de normes et de réglementations qui visent à garantir que les sociétés respectent les lois et les standards en vigueur dans des domaines aussi variés que la protection des données (compliance RGPD), l’hygiène et la sécurité au travail, la lutte contre le blanchiment d’argent et le financement du terrorisme, la protection de l’environnement, la fiscalité, le droit de la concurrence, le commerce équitable, etc.

L’objectif de la conformité consiste notamment à encourager et à afficher des pratiques industrielles et économiques transparentes, éthiques et légales, tout en protégeant le client et les salariés. Les enjeux sont donc multiples et les démarches de mise en oeuvre de cette conformité parfois complexes.

« D’autant que les réglementations sur le sujet ne cessent d’évoluer, précise Bertrand Laffay, directeur général d’Infolegale. Ces évolutions peuvent être juste des précisions supplémentaires sur des normes existantes, comme cela a par exemple été le cas avec la Loi Sapin 2, les règlementations relatives à la Lutte contre le blanchiment des capitaux et le Financement du terrorisme (LCB-FT), ou plus récemment celles relatives au RGPD ou encore à la RSE (Responsabilité sociale et environnementale) ». En effet, le règlement autour du RGPD tend actuellement à se préciser avec son renforcement au niveau européen.

Harmonisation européenne autour du RGPD

Aujourd’hui, la Commission Européenne propose ainsi une nouvelle législation visant à rationaliser la coopération entre les autorités chargées de la protection des données (APD), lors de l’application du règlement général sur la protection des données dans les situations transfrontalières. Le nouveau règlement prévoit des règles détaillées afin de contribuer au bon fonctionnement des mécanismes de coopération et de contrôle de la cohérence établis par le RGPD, en harmonisant les règles concernant notamment les droits des auteurs de réclamations, les droits des parties faisant l’objet d’une enquête (responsables du traitement et sous-traitants) ou encore en rationalisant la coopération et le règlement des litiges.

« Tout l’enjeu pour les entreprises consiste à respecter simultanément plusieurs réglementations qui parfois peuvent entrer en collision, comme cela peut être le cas entre le RGPD et la LCB-FT, poursuit Bertrand Laffay. À cet effet, il est notamment indispensable que les entreprises déterminent bien les contours de leurs responsabilités sur ces sujets, et travaillent à une bonne identification de leurs parties prenantes en s’appuyant sur des données fiables ».

La « compliance » tend à élargir son champ d’action

Pour rappel, la Lutte contre le blanchiment de capitaux et le Financement du terrorisme (LCB-FT) désigne l’ensemble des lois, textes réglementaires, mesures et outils utilisés dans le but d’identifier et de limiter les techniques et moyens permettant de blanchir de l’argent et de financer des entreprises criminelles.

« À cet effet, il convient essentiellement pour les entreprises concernées qu’elles identifient les comportements susceptibles de s’apparenter à des pratiques de blanchiment ou de financement du terrorisme », précise Bertrand Laffay.

Par extension, la LCB-FT inclut également les thématiques liées à la corruption, aux sanctions internationales, mesures d’embargos et gel des avoirs, et certains enjeux liés à la fraude. À charge ensuite pour ces entreprises d’avertir les autorités compétentes si elles ont détecté de telles infractions.

La Loi Sapin 2 pour sa part demande aux sociétés employant au moins 500 salariés, ou appartenant à un groupe dont la société mère a son siège social en France avec un chiffre d’affaires supérieur à 100 millions d’euros, de prendre les mesures destinées à prévenir et à détecter la commission, en France ou à l’étranger, de faits de corruption ou de trafic d’influence. Ces mesures sont diverses : code de bonne conduite, dispositif d’alerte interne, cartographie des risques, évaluation des clients et fournisseurs, procédures de contrôles comptables, formation du personnel exposé, régime disciplinaire propre à sanctionner les salariés en cas de violation du code de conduite, dispositif de contrôle et d’évaluation interne des mesures mises en oeuvre.

De Sapin 2 à la RSE

Pour s’organiser en interne, les entreprises, en particulier leur département achats, peuvent s’appuyer sur la norme ISO 37001 qui pose un cadre pour déployer en interne un système de management anti-corruption sur le principe de l’amélioration continue, avec certification possible. Cette approche peut également s’inscrire dans le cadre d’une politique qualité (ISO 9001), d’une stratégie achats responsables (ISO 20400), mais aussi d’une démarche RSE plus globale (ISO 26000). D’ailleurs, alors que la loi Sapin 2 introduit la notion de « compliance », qui consiste notamment à agir avec éthique et responsabilité, c’est logiquement que le sujet de l’anti-corruption rejoint de plus en plus les stratégies RSE des entreprises.

D’autant qu’en la matière, la réglementation se durcit également. « La directive européenne Corporate Sustainability Reporting Directive (CSRD), entrée en vigueur au début de cette année pour les entreprises cotées, oblige désormais ces dernières à fournir des reportings extra-financiers qui devront être très détaillés sur les sujets ESG et certifiés par des sociétés habilitées, indique pour sa part Karim Souiah, Product Marketing Manager au sein de la BU Finance de Cegid. Cette obligation sera progressivement étendue aux entreprises réalisant plus de 40 millions d’euros de chiffre d’affaires en 2026, puis aux PME cotées en 2028 ».

En pratique, la directive CSRD introduit des évolutions transformatrices destinées à renforcer la place des enjeux de développement durable dans la stratégie, la gouvernance et la gestion des risques des entreprises, et donc la responsabilité des instances de direction vis-à-vis d’un public très large, aux besoins et attentes très divers. « Pour se mettre en conformité, les entreprises doivent collecter des données disparates, les concaténer selon certains critères, les structurer, puis produire des reportings », ajoute Karim Souiah.

Certaines de ces données sont disponibles dans leur ERP (dans les outils de comptabilité, de gestion des immobilisations ou de gestion des achats…), d’autres peuvent provenir de sources externes. Tout l’enjeu pour les entreprises consiste donc à mettre en oeuvre des solutions qui leur permettront de collecter et de structurer des données dans ou hors de leur ERP, et de les exporter ensuite vers des outils de reportings extra-financiers.