La feuille de route 2018 du Compliance Officer


Publié le: 25 juillet 2018 par Dorothée Golliet

Chargé en premier lieu de s’assurer que l’entreprise respecte les règles édictées par les autorités, le Compliance Officer ne manque pas de chantiers à l’heure où de nombreux textes majeurs entrent en vigueur, notamment la loi Sapin 2 et le RGPD.

Dans un environnement international de plus en plus instable juridiquement, le Compliance Officer est un acteur prépondérant de la gestion des risques. En 2018, sur sa liste de priorités, figure la mise en conformité avec plusieurs textes importants, susceptibles d’impacter fortement l’entreprise.

La loi Sapin 2

Adoptée le 8 novembre 2016, la loi Sapin 2 relative à la transparence, la lutte contre la corruption et la modernisation de la vie économique entre progressivement en vigueur depuis le 1er  juin 2017. L’un de ses principaux volets, qui s’applique aux sociétés ou groupes français d’au moins cinq cents salariés et 100 millions d’euros de chiffre d’affaires, est de mettre en place de huit mesures principales afin de prévenir et détecter des faits de corruption ou de trafic d’influence, que ce soit en France ou à l’étranger. Ce sont :

  • un code de conduite,
  • un dispositif d’alerte,
  • une cartographie des risques,
  • procédures d’évaluation des clients, des fournisseurs de premier rang et des intermédiaires,
  • des procédures de contrôle comptable,
  • un dispositif de formation du personnel,
  • un régime disciplinaire,
  • un dispositif de pilotage, de contrôle et d’évaluation interne.

Loi relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre promulguée le 21/02/17, quatre ans après l’accident du Rana Plaza, la loi sur le devoir de vigilance impose aux entreprises de mettre en place un plan de vigilance permettant d’identifier les risques et de prévenir les atteintes graves envers :

  1. les droits humains et les libertés fondamentales,
  2. la santé et la sécurité des personnes,
  3. l’environnement.

Le plan de vigilance vise l’entreprise et ses filiales (sous contrôle), mais aussi ses sous-traitants ou fournisseurs. Il comprend : une cartographie des risques, des processus d’évaluation des partenaires (due diligence), des mesures de réduction des risques, un mécanisme d’alerte, et un dispositif de suivi des mesures.

Dans le cadre de la mise en oeuvre de la loi Sapin et de celle sur le devoir de vigilance, Atos a renforcé son dispositif de prévention sur les pratiques de corruption et d’atteinte aux droits de l’homme en multipliant des partenariats d’intégrité avec ses principaux partenaires économiques prévoyant une coopération accrue en matière de veille, d’alerte et d’investigations internes.

La loi relative au devoir de vigilance

Promulguée le 21 février 2017, soit quatre ans après l’accident du Rana Plaza, la loi sur le devoir de vigilance impose aux entreprises de mettre en place un plan de vigilance permettant d’identifier les risques et de prévenir les atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes, et l’environnement. Le plan de vigilance concerne l’entreprise et ses filiales (sous contrôle), mais aussi ses sous-traitants et ses fournisseurs. Il comprend une cartographie des risques, des processus d’évaluation des partenaires (due diligence), des mesures de réduction des risques, un mécanisme d’alerte, et un dispositif de suivi.

En application des lois Sapin 2 et sur le devoir de vigilance, Atos a renforcé son dispositif de prévention de la corruption et des atteintes aux droits de l’homme en établissant avec ses principaux partenaires des partenariats d’intégrité qui prévoient une coopération accrue en matière de veille, d’alerte et d’investigations internes.

Le RGPD

Le règlement général sur la protection des données personnelles (RGDP ou RGPD en anglais) est entré en vigueur le 25 mai 2018. Indépendamment de la nationalité de l’entreprise, elle s’applique dès lors que celle-ci manipule des données à caractère personnel de citoyens européens, qu’il s’agisse de collaborateurs, de clients ou de partenaires. Ses principaux objectifs sont de garantir le respect du droit à la vie privée, d’encadrer le transfert et l’exploitation des données personnelles, et d’en prévenir la violation.

Le projet de mise en conformité avec le RGPD s’organise en quatre étapes :

  1. La définition du périmètre d’application du texte au sein de l’organisation, l’identification des acteurs clés et un diagnostic des pratiques existantes (collecte, stockage, traitement…)
  2. La réalisation d’une analyse des risques juridiques et d’une analyse de conformité
  3. La définition d’un plan d’action, hiérarchisant et ordonnançant les chantiers à mener.
  4. La mise en oeuvre progressive des divers chantiers et actions à réaliser.

Afin de faciliter la conduite du changement au niveau international, Atos Consulting a développé un module d’e-learning RGPD multi-langues permettant de sensibiliser et former le personnel de l’entreprise.

Bâle 3 et MIF 2

Enfin, dans la banque et l’assurance, le Compliance Officer a d’autres sujets de préoccupation avec l’entrée en vigueur progressive des accords de Bâle 3, qui harmonisent les règles de solvabilité et de contrôle prudentiel au niveau mondial, et de la directive MIF 2, qui encadre les marchés et les services, et renforce notamment la protection des investisseurs.

Dans son action, le Compliance Officer s’appuie largement sur l’IT, si bien qu’apparaît de plus en plus la fonction de Compliance Officer IT. Son rôle est de suivre les contraintes règlementaires pour s’assurer qu’elles sont convenablement implémentées dans les applications. Il coopère également avec le RSSI pour s’assurer du respect des exigences de sécurité, et souvent, avec des spécialistes extérieurs qui l’assistent dans sa mission de cadrage réglementaire : évaluation des risques de non-conformité, gestion des identités et des accès, prise en compte et mise en oeuvre des exigences de sécurité, documentation du parc applicatif…

Partager


Qui est Dorothée Golliet

Manager Atos Consulting


Suivre ou contacter Dorothée