Contexte
Plantons le décor. Il était une fois un compliance officer, dans une société spécialisée en cybersécurité. Ce dernier constate lors de revues internes des transactions financières à des tiers excédant les 3 millions d’euros et dont le but serait de faciliter des commandes de clients asiatiques. Un premier signalement est effectué pour ce qui relève de soupçons de corruption. Le comité des risques et le comité exécutif adoptent un plan pour mettre fin à ces pratiques et blacklistent 47 agents tiers.
Pour autant, peu après ce premier incident, le compliance officer réalise que ces pratiques perdurent avec de nouveaux tiers et qu’à fortiori, certains paiements à des tiers placés sur liste noir étaient même validés par la direction.
En réaction à cette situation et à la suite de plusieurs alertes restées lettre morte, le compliance officer décide de démissionner puis de dénoncer les faits au Parquet national financier (PNF). Une enquête préliminaire est alors ouverte pour corruption d’agents privés et publics étrangers. Une perquisition est ensuite déployée dans les locaux de la société ce qui a ensuite poussé la direction à conduire une enquête interne puis à coopérer avec le parquet, ce qui a conduit à l’homologation d’une convention judiciaire d’intérêt public (CJIP).
Ce que dit la loi
La loi Sapin II a introduit la procédure négociée de la de CJIP afin de permettre aux entreprises de régler à l’amiable, des investigations pénales liées à des faits de corruption ou de fraudes. Elle prévoit le règlement d’une amende, le transfert des avoirs saisis par l’Etat et impose la mise en œuvre d’un programme de conformité validé par une autorité de contrôle, ici l’Agence Française Anticorruption (AFA). La finalité est de mener l’entreprise à corriger ses défaillances et prévenir la survenance de futurs manquements. Cette démarche repose sur une coopérative active entre l’entreprise visée par une enquête préliminaire et le parquet, une enquête interne sérieuse et un engagement tangible de l’instance dirigeante pour pouvoir conclure une CJIP. Si en l’espèce, l’enquête interne n’a été déclenchée qu’après la perquisition, la coopération effective et la mise en conformité ont permis de limiter la sanction.
Mon avis d’experte
Cette affaire illustre une difficulté classique rencontrée sur le terrain : le périlleux équilibre du compliance officer entre détection des risques et ignorance délibérée du « tone of the top » face aux faits dénoncés. Son rôle ne peut se limiter à un simple aiguilleur interne. Pour que leur fonction ait un sens, ils doivent pouvoir compter sur un engagement réel de la direction, synonyme de la volonté sincère de respecter la loi et de promouvoir l’éthique dans la culture d’entreprise. Quand ce soutien fait défaut, le compliance officer est face à deux choix paradoxaux. D’un côté, s’il fait profil bas malgré plusieurs alertes sur des pratiques illégales en raison du manque de soutien de la direction, il prend le risque que la fraude s’amplifie et soit découverte, ce qui pourrait être source de lourdes sanctions pour l’entreprise et indirectement pour lui, en raison de sa responsabilité dans sa mise en conformité. De l’autre, s’il décide d’élever la voix pour dénoncer ces faits, il s’expose à un isolement professionnel, un climat social dégradé, voire d’être contraint de démissionner ou de quitter l’entreprise comme dans les faits d’espèces.
Ce dilemme résulte du fait que la législation, notamment la loi Sapin II, fait reposer sur la compliance officer la responsabilité de faire remonter les risques et d’agir pour assurer la conformité de l’entreprise, sans garantir une protection ou un réel pouvoir pour que ses alertes ne puissent être ignorées par l’instance dirigeante. En conséquence, il est souvent confronté à ce choix cornélien entre le silence, qui protège temporairement sa position au sein dans la structure mais compromet l’éthique et la légalité, ou la dénonciation, qui honore son rôle mais compromet sa carrière dans un environnement potentiellement délétère.
Pour les entreprises, mépriser ces signaux ou fonctionner selon un arbitrage risques/avantages au profit d’intérêts économiques à court terme expose à des risques juridiques, financiers, humains et à une forte dégradation de leur réputation auprès du public. Cette CJIP met en lumière les limites des dispositifs de prévention de la corruption à l’épreuve de la réalité de terrain. Sous un angle plus optimiste, elle permet également de réaliser qu’une coopération transparente avec les autorités, même tardivement engagée, demeure la meilleure voie pour se mettre en conformité.
Boîte à outils : instaurer la confiance autour de l’alerte
Les dirigeants qui pensent qu’ignorer une alerte est un choix de gouvernance n’ont aucune idée du coût d’une crise. Pourtant, une alerte écoutée à temps devient un outil de prévention puissant. L’élément central. Voici comment la bâtir et l’entretenir :
Quand une défaillance est identifiée, le premier instinct de la direction peut être de la minimiser, tandis que le compliance officer part du principe que son alerte sera ignorée. Ces deux dynamiques auto-alimentent le même risque : l’instauration d’un climat de défiance. En interne, la démarche doit s’inverser : transformer l’alerte en opportunité de confiance mutuelle.
Répartir des faits et non de leur projection
- Documenter clairement l’alerte, sans suppositions ou jugement de valeur éthique
- Transmettre à la direction une note factuelle, objective et neutre pour neutraliser la perception d’attaque personnelle
Jouer la carte des risques concrets
- Cartographier les risques par impacts concrets (juridique, financiers, réputationnels)
- Mettre en avant que l’alerte ne soit pas une remise en cause des dirigeants ou des personnes impliquées dans les schémas corruptifs, mais un signal sur les vulnérabilités de l’organisation
Instaurer un dialogue apaisé et sécurisé
- Initier un échange restreint et confidentiel avec les dirigeants.
- Se montrer à l’écoute de leurs contraintes et appréhensions (coût, image, pression externe et interne) et pondérer avec les enjeux de conformité associés
Valoriser la démarche
- Souligner qu’une alerte remontée via un canal sécurisé est avant tout la démonstration de la maturité d’une organisation.
- Parler en termes de bénéfices plutôt que de contraintes : éviter le coût d’une crise, renforcer la confiance des parties prenantes et des équipes internes
Anticiper le risque « d’escalade externe »
- Tester la sincérité interne : solliciter un plan d’action clair, daté et porté par un dirigeant identifié. Sans engagement réel, documenter les faits et les risques pour anticiper l’escalade.
- Escalader avec proportionnalité : signaler à une autorité externe prévue par la loi les faits et risques identifiés, non à des fins coercitives, mais comme une protection pour l’entreprise, ses responsables et ses responsabilités de garant de la conformité interne
Gérer les tiers en toute confiance
NAVEX est là pour vous aider à gérer les risques liés aux tierces parties.
