Si l’AFA a été assez discrète ces derniers temps, les entreprises, elles, ne relâchent pas leurs efforts pour se mettre en conformité avec les diverses réglementations anticorruption. Olivier Catherine, secrétaire général de Sonepar depuis mars 2018, revient sur les risques qui peuvent peser sur un programme de conformité trop vertical et observe une tendance française à la concentration des décisions et des responsabilités en matière de compliance sur les directeurs généraux des groupes.
O. Catherine (Sonepar) : "L'essentiel d'un programme de conformité réside dans l'adhésion de tous"
Décideurs. Quel est le principal risque lors de la conception d’un programme de conformité ?
Olivier Catherine. Par définition, le programme de compliance doit être établi à l’échelle du groupe, il doit viser l’intégralité des collaborateurs en France et dans les filiales à l’étranger. Il a une vocation "universelle" et c’est tout l’art de l’exercice que de faire preuve de pédagogie, de cohérence et d’homogénéité, alors même que les réglementations et cultures locales peuvent varier.
Établir un programme de conformité comporte cependant un risque majeur : la tentation d’une approche trop verticale, trop centralisatrice. Par exemple, si le siège d’une entreprise en France impose un programme de conformité à l’ensemble de ses filiales sans prendre en considération les spécificités locales et les contributions des opérationnels, le programme risque d’être trop théorique et mal perçu par les collaborateurs qui se verraient imposer des règles et des process sans avoir été associés à leur processus de création. Cela peut créer un décalage entre la perception par le siège et la réalité sur le terrain. Or l’essentiel d’un programme de conformité réside dans l’adhésion de tous, pour créer une culture de compliance commune, en tenant compte des perceptions différentes du sujet d’une aire géographique à une autre. Il est donc indispensable d’embarquer les collaborateurs dès la conception et la rédaction du code de conduite et des autres volets du dispositif.
On constate une tendance bien française à concentrer les décisions et les responsabilités en matière de compliance sur les dirigeants d’entreprise. Qu’en pensez-vous ?
O. C. Tout faire remonter au chef d’entreprise, qui saurait tout sur tout et trancherait tous les sujets, serait sans conteste un facteur de risque. Mais ce serait surtout irréaliste et irréalisable pour les groupes internationaux. Un dirigeant porte le groupe dans toutes ses facettes, il ne peut pas faire que de la compliance, surtout lorsque les exigences se font de plus en plus fortes sur d’autres chantiers transverses majeurs comme la RSE, la cybersécurité, le digital ou encore le "big data". Ce n’est également pas souhaitable pour la bonne administration d’un programme de conformité. Les opérationnels et les directeurs de filiales locales doivent être responsabilisés selon une double logique de subsidiarité et de proximité. Cela permet de désengorger le siège et l’instance dirigeante et… de ne pas passer à côté des vraies zones de risques !
Il ne faut également pas oublier le risque pénal, français ou étranger, qui pourrait peser sur les dirigeants du groupe si tout était remonté au siège, et donc générer des risques indésirables. L’instance dirigeante a un rôle d’impulsion, elle veille à ce que la compliance soit l’une des priorités du groupe, à ce que les ressources adéquates lui soient allouées. Mais elle n’a pas à se substituer à l’échelon local : Il y a donc une question de confiance, qui n’exclut évidemment pas le contrôle.
"Tout faire remonter au chef d’entreprise, qui saurait tout sur tout et trancherait tous les sujets, serait sans conteste un facteur de risque."
Enfin, les enjeux de compétitivité économique doivent être pris en compte. L’ultracentralisation pourrait être une aubaine pour les États qui utilisent le droit comme arme de guerre économique, avec une portée extraterritoriale, et qui pourraient en profiter pour déstabiliser les groupes français. Il ne faut jamais oublier la dimension sécurité économique nationale quand on parle de compliance.
Comment les directions de la compliance et de l’audit interne interagissent-elles ?
O. C. L’audit interne est l’un des partenaires privilégiés de la fonction juridique et compliance. Il est associé à la conception du programme de conformité ab initio ou lors de sa mise à jour. Chez Sonepar, nous consultons l’équipe d’audit interne sur tous les documents fondamentaux que nous préparons, parmi lesquels le code de conduite, les procédures internes, la cartographie des risques… C’est l’application du peer review : la relecture critique et constructive par nos pairs et parties prenantes principales.
S’agissant du déploiement des dispositifs, nous tenons des réunions trimestrielles avec l’audit interne et le contrôle interne au cours pour faire le point sur les cas éventuels de manquements à l’intégrité, les campagnes de déclarations de contrôle interne, la cartographie des risques ou encore le suivi des plans d’action issus des rapports d’audit interne afférents à la compliance.
Et qu’en est-il spécifiquement en matière d’anticorruption ?
O. C. Chez Sonepar, les audits spécifiques à Sapin 2 sont réalisés depuis 2019 par l’audit interne, qui utilise comme référentiel les huit piliers de la loi et nos propres règles internes (code de conduite, policies, formations, évaluation des tiers…) pour accomplir ses travaux en France et dans nos filiales à l’étranger. Nous voulons nous assurer que tous les plans d’action sont bien mis en place et identifier d’éventuels axes d’amélioration.
Quid des formations ?
O. C. Nous donnons des formations obligatoires à tout nouvel arrivant, en matière de compliance comme de développement durable ou de cybersécurité. Nous les calibrons en fonction du degré d’exposition au risque du collaborateur concerné. A titre d’exemples, nous avons quatre modules d’e-learning dédiés à l’anticorruption et à la prévention des conflits d’intérêts et un module consacré au droit de la concurrence, destinés aux personnels les plus exposés, ainsi qu’un module concernant la transition écologique diffusé auprès des 44 000 collaborateurs du groupe. Depuis 2020, l’ensemble des salariés de Sonepar signe personnellement le Code de Conduite.
Justement, qu’avez-vous mis en place au sein de Sonepar en matière de développement durable ?
Matt Pothecary. Quand je suis arrivé chez Sonepar en 2019, j’ai tout suite compris qu’il avait une très forte d’attente de nos actionnaires sur le sujet. Nous avons ainsi mis en place trois actions majeures. La première consiste à mesurer notre empreinte carbone : nous avons fait un grand travail dessus avec les experts dans chaque pays et sommes désormais en ligne avec les accords de Paris. Nous avons prévu une baisse importante de notre empreinte carbone d’ici à 2050. Cela fait aujourd’hui partie intégrante de la gouvernance du groupe Sonepar. La seconde action concerne la formation en ligne : nous avons créé l’Académie de transition énergétique au sein du groupe qui explique les enjeux du développement durable tant pour Sonepar que pour la planète et donne des chiffres concrets aux collaborateurs sur les actions du groupe en la matière. Nous déployons cette formation dans 14 langues et avons pour objectif de la dispenser à l’intégralité des salariés du groupe d’ici à 2022. Enfin, nous réfléchissons à comment proposer une "offre verte" à nos clients afin de consommer moins. Cela est assez compliqué mais nous sommes très motivés à la suite des études que nous avons réalisées auprès de nos clients : elles ont révélé une vraie demande pour une telle offre.
O. C. Nous formons nos personnels pour qu’ils puissent conseiller et sensibiliser nos clients sur l’intérêt d’opter pour des produits plus efficaces d’un point de vue énergétique. Nous devons être proactifs sur ce sujet, notamment à l’égard de la frange plus traditionnelle de notre clientèle.
"Il ne faut jamais oublier la dimension sécurité économique nationale quand on parle de compliance"
M. P. Nous avons récemment publié sur notre site internet un premier Rapport sur le développement durable à la suite de demandes exprimées par différentes branches du groupe à travers le monde. Sonepar a également l’ambition de signer le Global Impact des Nations unies avant la fin d’année. La transparence est de plus en plus importante aujourd’hui et c’est un point clé pour Sonepar qui, en tant que leader mondial de la distribution de matériel électrique, peut avoir un impact très important.
Les derniers mois ont été marqués par de très nombreuses cyberattaques. L’assurance cyber est-elle à la hauteur ?
O. C. Quand on parle d’assurance, on pense le plus souvent au volet indemnitaire, beaucoup moins au volet assistance. L’expérience montre pourtant que ce dernier est crucial lorsque survient une cyberattaque. En effet, les assureurs cyber mettent en œuvre un accompagnement immédiat par les meilleurs prestataires de la place : cabinets d’avocats, de gestion et de communication de crise, spécialistes de l’informatique (IT forensic). Ils permettent de comprendre rapidement la situation, de réagir vite et d’éviter autant que possible le paiement des rançons. C’est d’ailleurs un sujet dont on parle de plus en plus aux États-Unis où des textes commencent à encadrer les comportements à adopter face aux ransomwares, notamment via un reporting aux autorités fédérales. L’objectif étant d’éviter de payer des rançons à une organisation terroriste… et donc d’ajouter un problème d’intégrité à une crise de cybersécurité !
Propos Recueillis par Margaux Savarit-Cornali
