Transformation numérique des entreprises : la compliance comme opportunité de succès
30/09/2020 - 5 min. de lecture
Cercle K2 neither approves or disapproves of the opinions expressed in the articles. Their authors are exclusively responsible for their content.
Judith Beckhard Cardoso est Privacy Counsel, DPO, Secrétaire Générale de l’ACFE France & Membre de l’IAPP.
---
"La justice c’est comme la Sainte Vierge, si on ne la voit pas de temps en temps, le doute s’installe". Ce que Michel Audiard faisait dire à Jean Gabin dans Le Pasha peut tout à fait s’appliquer à la Compliance.
La Compliance a cependant ceci de différent de la loi que, si la violation de la loi entraîne une sanction par la justice, la non-compliance à un règlement peut ne pas être sanctionnée si une explication valide est donnée au régulateur ("Comply or Explain" anglo-saxon). Et c’est justement parce que la notion de Compliance nous vient des anglo-saxons que nous utilisons ce terme de préférence à celui de Conformité.
La Compliance a longtemps été confinée au juridique. La matière devient désormais peu à peu autonome au sein des directions juridiques. Or, la Compliance est un enjeu Business et non seulement juridique, ce qui est cependant encore loin de la réalité pratique dans les pays de civil law.
La crise sanitaire et économique générée par la pandémie de Covid-19 a accéléré la transformation numérique des entreprises : internalisation du e-commerce dans le luxe, télétravail généralisé dans le tertiaire et leur revers : augmentation de la fraude en ligne et cybercriminalité.
Or, le numérique est non seulement un enjeu économique et opérationnel mais également un fort enjeu de lutte contre la fraude mais également de Compliance : conformité aux réglementations anti-concurrence, aux directives sur le numérique, au règlement général sur la protection des données (RGPD), et leurs pendants en droit local. Il est également un fort enjeu pour les ressources humaines, financier et informatique. Il est enfin un enjeu d’image très fort.
C’est dans ce contexte que la transformation numérique des entreprises peut être une opportunité de développement de la Compliance sur le terrain opérationnel. Apprendre au business qu’une stratégie de compliance à long terme peut se vendre, "se marketer", auprès des clients, des partenaires et des collaborateurs.
Une opportunité sous condition organisationnelle
Depuis longtemps, les experts anti-fraude dont l’ACFE, ont fait la promotion d’un management collaboratif et non plus en matrices. La communication d’informations entre les différents services doit certes se faire de haut en bas.
La compliance d’un point de vue opérationnel, part d’un constat simple : si les règles ne sont pas appliquées par la direction, elles ne le seront pas par les collaborateurs, partenaires ou cocontractants de l’entreprise. Si elles ne font l’objet que de directives écrites de la direction, sans implication locale et opérationnelle, elles resteront lettre morte.
Les expressions anglo-saxonnes de "Tone at the Top" et "Paper versus Reality résument ce concept.
Aujourd’hui, la mise en œuvre opérationnelle de ce principe se heurte pourtant à une difficulté majeure : l’organisation des entreprises.
Intelligence artificielle, réalité augmentée, blockchain et autres facteurs de la transformation numérique (préférons le terme numérique à sa mauvaise traduction du terme anglais "digital") sont à la mode.
Ils parlent pourtant peu aux opérationnels hors des domaines du marketing ou de l’informatique. La multiplication de termes et d’acronymes anglo-saxons participe également de l’approfondissement de ce fossé.
Le développement de réseaux neuronaux : élément de solution
Envisager l’entreprise non plus comme une organisation pyramidale ou matricielle qui placerait le ton au sommet, mais comme un réseau social et corporate, business et support, dirigeants et collaborateurs qui s’articulerait comme une toile dont les centres demeureraient constamment liés entre eux par l’échange d’informations.
De même que l’araignée sait qu’une goutte est tombée sur sa toile à plusieurs mètres de l’endroit où elle se trouve, le dirigeant appelé à assumer la responsabilité des décisions prises dans son domaine demeure ainsi informé en temps réel de tout ce qui se passe au sein de son cercle de collègues, de collaborateurs, de partenaires.
Et l’on voit dès lors comment lier le respect des normes légales en droit du travail et la conformité aux réglementations, comment faire travailler en collaboration les RH, les informaticiens, les opérationnels, non pas en nommant un "business partner" dépassé et peu formé à plusieurs disciplines mais en formant un réseau entre les divers départements afin que chacun devienne un partenaire des autres, par la formation de chacun par l’autre, par la communication des difficultés rencontrées par chacun, en y incluant les contraintes financières et compliance.
Bien entendu, Rome ne s’est pas faite en un jour et la précipitation dans laquelle certaines transformations ont dû être réalisées pour des raisons de compliance aux lois sur la protection des données depuis 2018 ou de crise sanitaire depuis 2020, démontre clairement les avantages et les écueils auxquels se heurte cette demande organisationnelle qu’il convient donc d’anticiper.
L’exemple du DPO
Un exemple topique et sur lequel nous disposons d’un peu de recul désormais est celui de la mise en œuvre des dispositions du RGPD : le Data Protection Officer (DPO) ou Délégué à la Protection des Données en français est souvent un juriste. Il travaille au sein de la direction juridique, parfois réglementaire ou compliance lorsqu’elle existe et parfois audit ou informatique.
Or, son rôle ne se limite pas à rédiger des politiques de conformité au règlement ou à revoir des contrats informatiques. Le DPO travaille en collaboration avec les ressources humaines pour les données relevant des collaborateurs, avec la sécurité pour les consultants, avec l’informatique et le marketing pour les données clients et partenaires.
Il est également formateur et animateur de réseau au sein des différents services afin de former les opérationnels aux contraintes réglementaires, pédagogue des politiques de conformité auprès des autres juristes, notamment locaux.
Il est enfin auditeur du respect de cette conformité et interlocuteur des autorités règlementaires, notamment en cas de contrôle.
Le choix d’une organisation est déterminant
L’organisation en réseau neuronal permet une efficacité durable et certaine, active en permanence, permettant un développement de l’employabilité des collaborateurs davantage impliqués, et une limitation des risques de fraude, blanchiment, corruption ou de cyber-criminalité.
Elle demande des collaborateurs plus seniors et motivés par cette dimension de réseau interne et externe auprès des partenaires, pédagogues et meneurs de projets, techniciens ou opérationnels au principal. Ils doivent avoir à cœur de développer leurs connaissances dans les autres domaines relevant des services avec lesquels ils travaillent.
Elle demande enfin une organisation permettant non seulement la transmission d’informations de haut en bas mais également d’est en ouest et de bas en haut. Les réseaux politiques internes doivent être remplacés par des réseaux d’intelligence économique pour servir les intérêts de l’organisation et non de chaque service.
La gageure et le travail sont immenses. Les enjeux financiers en cas de non-compliance sont à la hauteur de ce défi : les sanctions sont réelles et en constante augmentation, tant en nombres qu’en montants.
Ce n’est qu’à ce prix que la compliance sera réellement effective.
30/09/2020