Ethique et en Conformité en France : 10 tendances pour 2022

Trois principales évolutions devraient se confirmer dans les domaines éthique et conformité en France en 2022 :

1°) la poursuite de la montée en compétence des entreprises françaises sur ces sujets, sur l’impulsion d'un législateur et de régulateurs hyperactifs,

2°) la prédominance du risque humain (vigilance, alertes), et

3°) les enjeux liés à la transformation digitale et à la gestion des données.

En voici une rapide synthèse, déclinée en dix #BigIdeas2022

L’humain, priorité de la compliance 2022  Les crises successives générées par la Covid ont provoqué une augmentation significative des cas d’absentéisme, de souffrance au travail et plus généralement de démotivation des collaborateurs (#BigIdea2022).

Prévenir les risques d'atteinte aux droits humains, à la santé et à la sécurité des êtres humains est l’un des objectifs de la loi 2017-399 sur le devoir de vigilance. Depuis cinq ans, les entreprises assujetties ont essentiellement focalisé leurs efforts de vigilance sur les maillons de leurs chaînes de valeur, principalement dans les pays en voie de développement.

La situation actuelle requiert un redoublement de vigilance en 2022. En effet, la société civile est dans l’attente d’engagements et de preuves d'actions concrètes des entreprises dans ce domaine. Les ONG Sherpa et Terre Solidaire révélaient ainsi le 7 juillet 2021 leur troisième « radar du devoir de vigilance », épinglant 44 entreprises n’ayant toujours pas publié de plan de vigilance.

Le sujet restera d’actualité en 2022 : la France, qui vient de prendre la Présidence du Conseil de l’Union européenne, entend faire progresser au cours de son mandat l’émergence d’une règlementation européenne sur le devoir de vigilance

https://www.europarl.europa.eu/doceo/document/TA-9-2021-0073_FR.html

Dans ce nouveau contexte, les entreprises françaises auront une longueur d'avance sur leurs concurrentes dans ce domaine. => Les entreprises françaises vont donc devoir réviser une nouvelle fois cette année leur plan de vigilance, à l’aune des effets directs et indirects de la crise sanitaire mondiale actuelle (ajout de nouveaux risques, de nouvelles pathologies, maladies mentales, etc.), et se préparer à devoir rendre public les mesures prises et les progrès accomplis.

La France, « Madame Plus » de la réglementation conformité ? L’année 2021 marque le 5ème anniversaire de la loi Sapin 2, et le dépôt d’un nouveau projet de loi anticorruption. La lutte contre la corruption continue de se perfectionner au niveau législatif en France, quand ce n’est pas doctrinal (recommandations AFA). Pour autant, ces changements fréquents perturbent la lisibilité de la conformité et plus généralement la stabilité et la prévisibilité juridique dont ont besoin les entreprises. La question des moyens dont dispose le Parquet National Financier reste quant à elle ouverte. C’est pourtant là que la France est la plus attendue (Rapport OCDE de décembre 2021, cf. post de #RoxanaFamily).

Bref, une tendance législative à la française que nous suivrons en 2022, au même titre que…le projet politique « Simple » de Gaspard Koening qui a pour ambition de diviser par 100 le nombre de lois en France ! Voici une démarche vertueuse, et inspirante - même si elle n'est pas des plus simples à mettre en oeuvre en matière de conformité.

=> Pour mieux appréhender cette évolution législative sur la durée, les acteurs peuvent mener une réflexion régulière sur les moyens permettant de simplifier et affiner leur dispositif de conformité. Car rendre la conformité plus simple, c'est augmenter ses chances d'être comprise, accessible, partagée, et respectée.

L'année 2022 : renouveau de la compliance antitrust ?  Le 11 octobre 2021, l’Autorité de la Concurrence française (ADLC) a publié pour avis un projet de [Document Cadre sur les Programmes de Conformité](https://www.autoritedelaconcurrence.fr/sites/default/files/conformite_nouveau doc_cadre_0.pdf). Au cours des dernières années, l’ADLC a multiplié les supports pédagogiques sur ses avis et décisions, et plus généralement les règles de concurrence. Mais un cadrage méthodologique reste encore à mener pour aider les acteurs privés et publics notamment à mieux cartographier leurs risques antitrust, mener des formations appropriées, et mettre en place des contrôles adéquats. Gageons que le nouveau président de l'ADLC, Benoît Coeuré, place ce sujet parmi les priorités de son mandat. La conformité antitrust représente en effet un fort enjeu pour les acteurs de notre économie, mais aujourd'hui largement sous-investi, malgré la multiplication des sanctions ([1,8 milliards d’euros de sanctions prononcées par l’ADLC en 2020](https://www.autoritedelaconcurrence.fr/fr/article/lautorite-rend-public-son-rapport-annuel#:~:text=Avec près de 1%2C8,euros à l'économie française)). D'autant que, depuis la loi du 24 décembre 2020, le Parquet National Financier a vu sa compétence étendue à l’antitrust (ententes, abus de position dominante lien).

=> Cette évolution doit encourager les acteurs publics et privés français à créer ou renforcer en 2022 leur dispositif de conformité antitrust, en cohérence avec leur organisation de conformité globale.

L'ascension de la Norme ISO 37001, référentiel mondial anticorruption  Le 21 juin 2021 la Région Ile de France a obtenu une certification anticorruption ISO 37001 complétant la liste croissante des acteurs publics et privés déjà certifiés à cette norme (Engie, Thales, Alstom, Crédit Agricole, Naval Groupe, Egis etc.). A la différence de Sapin II, la norme ISO 37001 est un référentiel anticorruption reconnu mondialement, plébiscité par les banques, assurances, investisseurs et agences de notation, et désormais par les clients publics. La certification ISO 37001 représente un avantage compétitif pour les entreprises qui en disposent ; elle sera demain un pré-requis pour accéder aux appels d’offres. L’Agence Française Anticorruption ne s’y est pas trompée, en faisant converger ses nouvelles recommandations de janvier 2021 avec les exigences de la norme ISO 37001 (sections concernant l’instance dirigeante, les processus clés, le contrôle et l’évaluation des dispositifs).

De fait, les acteurs français conformes à Sapin 2 ont atteint aujourd’hui un niveau de conformité proche de la certification ISO 37001. Ils peuvent dès lors, à moindres efforts, valoriser les investissements réalisés dans la conformité à Sapin 2 pour une certification reconnue dans le monde. Le processus de certification présente aussi l'avantage de fédérer les équipes autour d’un projet de conformité positif, couronné par un label. => Cette évolution peut encourager les acteurs français en 2022 à faire analyser l’écart entre leur programme anticorruption et les exigences de la norme ISO 37001 (« gap analysis »), et mesurer l'opportunité d'obtenir cette certification.

Vers une nouvelle conformité de la protection des données personnelles Le 15 février 2021, la CNIL lançait son premier « bac à sable » de conformité. Son principe consiste pour la CNIL à apporter son appui juridique et technique renforcé à certains projets sélectionnés, afin de co-construire avec leur(s) porteur(s) un « privacy by design ». Cette approche innovante de la CNIL présente l’avantage d’un renforcement mutuel des compétences entre régulateur et acteurs du marché, et ouvre la voie à une nouvelle génération de régulation ex-ante que l’on retrouve dans le projet de règlement de la CE sur l’intelligence artificielle (cf. ci-dessous).

Pour sa première expérimentation, la CNIL a retenu 12 projets dans le secteur de la santé numérique. Son retour d’expérience sera une source intéressante d'enseignements. => Les porteurs de projets innovants peuvent utilement analyser l'opportunité de candidater à la prochaine sélection « bac à sable » 2022 de la CNIL (identification de projets, constitution du dossier). A la clé, ce sont des gains de compétence en conformité, et en renforcement de la confiance des parties prenantes (investisseurs, clients, partenaires d’affaires). Le risque conformité de protection des données personnelles n’est pas à sous-estimer, comme en témoignent la multiplication et les montants des sanctions et astreintes prononcées par la CNIL et ses homologues européens en 2021.

L'avancée européenne sur l'Ethique de l'Intelligence Artificielle  La Commission européenne (CE) a publié le 21 avril 2021 un projet de règlement sur l’intelligence artificielle (IA). La Commission propose dans ce projet un nouvel ordonnancement juridique européen composé d'une part de la Charte des droits fondamentaux de l’UE (droit à la dignité humaine, au respect de la vie privée et à la protection des données à caractère personnel, à la non-discrimination et à l’égalité entre les femmes et les hommes) et d'autre part de règlements spécifiques comme l'IA destinés à prévenir les violations possibles de ces droits. Ce projet inaugure ainsi une forme inédite de réglementation) combinant droit, normes, éthique et compliance.

=> Pour anticiper cette évolution, et éviter de reproduire l'expérience de conformité RGPD de dernière minute, les acteurs intervenant dans la gestion des données (entreprises de services numériques, administrations, banques, assurances, télécoms, énergie, secteur médical, etc.) peuvent dès à présent commencer à cartographier sur la base du projet de règlement les risques éthiques posés par ces dispositifs de gestion des données, et commencer à identifier les mesures de prévention et de contrôle à mettre en place.

Une compliance de plus en plus digitale L'un des principaux défis des fonctions éthique et conformité dans les prochaines années est de savoir capter et exploiter au mieux les informations pertinentes (reporting, alertes). Les outils digitaux peuvent y aider, et renforcer sur la durée le contrôle du suivi et de l'efficacité des programmes de conformité (évaluation des tiers, cadeaux et invitations, conflits d’intérêts, formations, alertes). En témoigne l'intérêt des associations de praticiens sur le sujet en 2021 (CercleEthiquedesAffaires, AFJE/Cercle Montesquieu). En pratique, mener un projet de digitalisation de la conformité est complexe et chronophage pour les équipes : benchmark des solutions disponibles sur le marché, analyse des compatibilités d’interface avec les systèmes d'information en place, sécurisation de la sensibilité des données (hébergement des données, nationalité du prestataire, autorité ayant compétence pour accéder à ces données), personnalisation de l’outil, formation à l’outil, déploiement, traitement des informations générées par l’outil etc. Sans oublier le risque de rejet de l'outil digital par ses utilisateurs si son interface n'est pas intuitive.

=> La digitalisation de la conformité se poursuivra en 2022 et dans les prochaines années. Au vu de la complexité des projets, il est recommandé de s'appuyer sur une équipe mixte composée d’experts en conformité et en projet de transformation digitale disposant d’une approche à la fois systémique et ergonomique du sujet.

Des boards davantage impliqués dans les sujets d'éthique et de conformité Les régulateurs recommandent un engagement du management exemplaire en matière de conformité, le « tone from the top » (Cf. points 17 et 93 et suivants des recommandations AFA et section 5 de la norme ISO 37001). En pratique, dans la plupart des organisations, le « tone from the top » s’arrête au niveau du comité exécutif. Or les auditeurs de l’AFA (et de l'ISO) s'attachent désormais à interroger les membres du Conseil d’administration sur leur connaissance précise du programme de conformité en place, sur les principaux risques conformité, les sanctions prononcées pour non-respect des règles de conformité etc. Bref, il est exigé aujourd'hui des boards un niveau de connaissances allant bien au-delà d'une présentation annuelle sur le sujet. => Ces contrôles vont se poursuivre en 2022, ce qui doit inciter les acteurs privés et publics à renforcer la formation et l’information des membres de leurs organes de gouvernance sur la conformité (enjeux, organisation, actualité). L’exercice peut également se révéler bénéfique…à l’obtention de nouvelles ressources pour la fonction conformité !

L'importance du risque compliance généré par les petites entités Les entités et/ou partenaires de taille modeste évoluent bien souvent sous les radars des cartographes de compliance, hors des grands processus, dans des zones moins contrôlées, et souvent à risque (corruption, antitrust, droits humains). Parce qu’elles ne disposent pas toujours de moyens suffisants pour sécuriser ces risques, les structures de petite taille sont de véritables « talons d’Achille » des organisations de conformité. Les régulateurs l’ont bien compris (AMF, AFA, CNIL etc.) et n’hésitent pas à cibler ces entités dans le cadre de leurs contrôles.

=> Cette tendance s’intensifiera en 2022 et dans les années à venir. Elle doit inciter les acteurs à renforcer l’efficacité du dispositif d’identification et d’évaluation des petites entités, et définir les solutions de conformité et leur suivi adaptées à leurs tailles et risques. A cet effet, il est possible de s’inspirer des guides pour les PME et ETI publiés par les autorités de régulation, et dont le contenu peut être utilement recyclé pour définir un cadre de compliance a minima pour de plus petites entités. Voir en particulier le guide de la CNIL, le guide de l’ADLC, ou encore le guide de l’AFA publié le 16 décembre 2021.

L'émergence du lanceur d’alerte européen Les Etats Membres avaient jusqu’au 17 décembre 2021 pour transposer la directive 2019/1937 sur la protection des lanceurs d’alertes. Cette évolution consacre la reconnaissance au niveau européen de la culture de l'alerte, qui était jusqu’à présent une spécificité anglo-américaine. Elle est appuyée aujourd’hui par un phénomène de plus grande ampleur marqué par le rejet des pratiques non éthiques par la société civile et l’importance croissante des médias et réseaux sociaux sur ces sujets (cf. les manifestations au Brésil, en Roumanie, et au [Liban](http:// https//fr.wikipedia.org/wiki/Manifestations_de_2019-2021_au_Liban) en 2021).

=> Cette évolution doit encourager les acteurs à mesurer en 2022 la conformité de leurs dispositifs de réception d’alerte - et d’investigations - avec les dernières règlementations nationales européennes transposant la directive.

Et last but not least, mettre en place ou renforcer leur dispositif de traitement des alertes, directement ou par délégation, afin d'anticiper un nombre croissant de signalements dans les prochaines années.

Jean-Baptiste Siproudhis

Partner Finnegan - Ethique, Conformité & Responsabilité d'Entreprise

Tous les jours, GRACES.community sélectionne, gratuitement, pour vous le ou les articles importants pour votre prochaine veille réglementaire.

A propos de GRACES.community : pionner et leader des recrutements en Compliance, Ethiques, Gouvernance, Risques !

Proposer une offre de job : https://graces.community/recruteur/

Consulter les offres qui vous correspondent : https://app.graces.community/register/