Le Department of Justice américain (DOJ) a annoncé lundi 1er juin la publication de ses dernières lignes directrices (1) destinées à évaluer les programmes de compliance mis en place par les entreprises. Publiées en 2017 et mises à jour en 2019, ces lignes directrices sont suivies de près par les procureurs américains, mais aussi par les professionnels de la compliance. Cette nouvelle version apporte des précisions utiles sur les attentes du DOJ, dont nous vous proposons le présent résumé.
Par Christian Dargham, associé, et Solène Sfoggia, avocate, Norton Rose Fulbright
Ces lignes directrices permettront notamment aux entreprises soumises à la loi Sapin 2 du 9 décembre 2016 et qui sont susceptibles de devoir justifier de leur conformité auprès du DOJ, de déterminer si elles doivent mettre à jour leur politique de compliance afin d’être également en conformité avec les attentes du régulateur américain. Les recommandations données par le DOJ s’articulent autour de trois questions fondamentales : (i) le programme de compliance est-il bien élaboré ? (ii) Le programme de compliance est-il appliqué sérieusement et de bonne foi ? S’accompagne-t-il des ressources et des moyens nécessaires à son fonctionnement effectif ? (iii) Le programme de compliance fonctionne-t-il en pratique ?
Ressources attribuées à la compliance
Les lignes directrices précisent en premier lieu que le programme de compliance doit bénéficier des ressources adéquates. Les fonctions de compliance doivent, en particulier, avoir les moyens et le positionnement nécessaires à l’accomplissement efficace de leur mission. La mise à jour permet ainsi au DOJ d’insister sur le fait que les entreprises doivent être préparées à justifier leurs choix et décisions dans l’élaboration et l’évolution de leur programme de compliance. Concrètement, les procureurs pourront notamment vérifier que l’entreprise donne aux fonctions de compliance et de contrôle interne un accès suffisant aux informations et données afin de mener efficacement leurs missions de suivi et de contrôle, sans qu’elles ne soient gênées ou limitées. Les procureurs pourront également s’assurer que les entreprises investissent dans la formation et le développement des fonctions de compliance.
Ces ajouts font écho au guide détaillé (2) de l’Agence française anticorruption (AFA) sur la fonction compliance publié en décembre 2019 ainsi qu’aux contrôles de l’AFA à l’occasion desquels ces points font l’objet d’un audit rigoureux. En effet, si la loi Sapin 2 ne mentionne pas l’organisation de la fonction compliance en tant que telle, l’AFA a publié ses attentes détaillées s’agissant de la gouvernance, du profil ou encore de la mission du responsable conformité.
Revue régulière des risques se traduisant par la mise à jour des politiques et procédures
Bien que l’exigence ne soit pas nouvelle, le DOJ souligne à l’occasion de cette mise à jour le caractère évolutif des programmes de conformité, dont l’efficacité ne peut être jugée que sur la durée. Le DOJ précise à ce titre l’importance de ne pas se limiter à une revue ponctuelle du programme mais bien d’en assurer un suivi continu. En particulier, il est intéressant de noter que le DOJ fait désormais référence à la mise en place de process internes permettant à l’entreprise d’intégrer en continu les leçons qu’elle a apprises («lessons learned»), ainsi que celles d’entreprises opérant dans des secteurs d’activité et zones géographiques similaires.
L’efficacité et le sens de ces revues sont également soulignés : le procureur doit s’assurer que les politiques, procédures et contrôles sont mis à jour sur la base de ces analyses régulières. L’entreprise est d’ailleurs incitée à mettre en place un suivi de l’accès aux politiques et procédures afin d’identifier celles qui attirent le plus d’attention auprès des publics concernés.
Ces réflexes doivent être également adoptés au titre de la loi Sapin 2, dont l’article 17 précise que la cartographie des risques doit prendre la forme «d’une documentation régulièrement actualisée». L’AFA ajoute dans ses recommandations (3) que la cartographie des risques doit être évolutive et faire partie d’un processus d’amélioration continue.
Formation
Les lignes directrices recommandent aux procureurs de vérifier que (i) l’entreprise évalue l’impact des formations sur le comportement des employés ou leurs opérations (ii) les employés ont la possibilité de poser des questions à l’issue des formations, qu’il s’agisse d’e-learnings ou de formations présentielles. C’est une précision que l’on retrouve également dans les recommandations de l’AFA, aux termes desquelles les cadres doivent s’assurer que leurs équipes ont suivi et compris les formations à l’anticorruption. L’agence française recommande plus particulièrement la mise en place d’un contrôle de trois niveaux et d’indicateurs afin d’assurer le suivi du dispositif de formation. Dans ce cadre, évaluer l’impact de la formation sur les comportements, tel que proposé par le DOJ dans cette mise à jour, peut constituer un indicateur pertinent au regard de la loi Sapin 2.
Dispositif d’alerte
Le DOJ précise que la communication du dispositif d’alerte doit être effectuée auprès des tiers, au-delà des employés. En outre, les entreprises ne doivent plus se contenter de tester si les dispositifs d’alerte ont été utilisés ; elles doivent aussi s’assurer que les employés ont connaissance de la ligne d’alerte et ont confiance dans ce dispositif. Les procureurs ont désormais pour instruction d’examiner la façon dont les enquêtes internes et le régime disciplinaire résultant des rapports d’alerte sont suivis par l’équipe compliance pour assurer leur cohérence.
Bien que les recommandations de l’AFA ne le prévoient pas expressément, ces tests et indicateurs suggérés par le DOJ peuvent être utilement mis en place par les entreprises qui ne l’auraient pas encore fait, au titre du dispositif d’évaluation et de contrôle prévu par le huitième pilier de la loi Sapin 2, afin de s’assurer de l’efficacité du dispositif d’alerte.
Gestion des risques liés aux tiers
Les lignes directrices insistent sur l’importance de mener les mesures d’évaluation des risques liés aux tiers tout au long de la relation – sans se limiter à l’entrée en relation. Le DOJ fait également référence aux process mis en place pour s’assurer, outre la due diligence pré-acquisition, de l’intégration de l’entité acquise au programme de compliance et aux contrôles internes existants. Dans le même sens, l’AFA souligne dans ses recommandations l’importance de suivre la relation avec le tiers (renouvellement de l’évaluation à une date déterminée, changement significatif dans la situation du tiers, remontée d’information par les opérationnels…). Ces précisions sont également cohérentes avec les derniers développements de l’AFA, dont le guide dédié aux fusions et acquisitions (4) a été publié en janvier 2020.
Impact des législations étrangères
Enfin, il est intéressant de constater que le DOJ aborde à l’occasion de cette mise à jour le possible impact des législations étrangères sur le plan de compliance. Ainsi, lorsqu’une entreprise a structuré son programme ou pris des décisions sur la base d’exigences issues de législations étrangères, les procureurs doivent demander à l’entreprise comment celle-ci a procédé pour maintenir l’intégrité et l’efficacité de son plan de compliance tout en se conformant à la loi étrangère. Ce cas de figure peut, par exemple, se présenter au regard du Règlement général sur la protection des données (RGPD), pouvant conduire l’entreprise à adapter le traitement des données collectées à l’occasion de missions compliance et d’enquêtes internes.
Au regard de ces nouvelles lignes directrices, une entreprise qui suit déjà les recommandations de l’AFA devrait pouvoir justifier en grande partie de sa conformité auprès du DOJ. Les précisions apportées par le régulateur américain donnent néanmoins des éléments d’appréciation intéressants et concrets pour les organisations ayant mis en place un programme de compliance.
(1). U.S. Department of Justice, Criminal Division, Evaluation of Corporate Compliance Programs, Juin 2020, accessible sur https://www.justice.gov/criminal-fraud/page/file/937501/download.
(2). Agence française anticorruption, Guide pratique – La fonction conformité anticorruption dans l’entreprise, décembre 2019, accessible sur https://www.agence-francaise-anticorruption.gouv.fr/files/files/Guide%20pratique%20conformit%C3%A9%20VF%202019-12-18.pdf
(3). Agence française anticorruption, Recommandations destinées à aider les personnes morales de droit public et de droit privé à prévenir et à détecter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêt, de détournement de fonds publics et de favoritisme, décembre 2017, accessible sur https://www.agence-francaise-anticorruption.gouv.fr/files/2018-10/2017_-Recommandations_AFA.pdf
(4). Agence française anticorruption, Guide pratique – Les vérifications anticorruption dans le cadre des fusions-acquisitions, janvier 2020, accessible sur www.agence-francaise-anticorruption.gouv.fr/files/files/Guide%20pratique%20fusacq.pdf.
