Les 10èmes Assises de la FNCDS, sur le thème « Éthique économique et numérique » ont été l’occasion de rappeler que la FNCDS porte la voie des dirigeants salariés, des cadres dirigeants et des cadres supérieurs ; elle constitue un réseau de réseaux illustré par la devise : « savoir réseaux garder », son ambition étant de réunir un maximum de réseaux.
Elle regroupe déjà un certain nombre d’associations, de fédérations et de syndicats dans divers domaines : agricole, bancaire, industriel, etc. C’était aussi l’occasion de rappeler que tous ces secteurs d’activités sont unis par un socle de huit valeurs qui constituent la charte de la FNCDS qui sont : loyauté, courage, exemplarité, engagement professionnel, respect d’autrui, promotion de la qualité de vie au travail, adhésion à des règles de rémunérations lisibles, cohérentes et mesurables et enfin un comportement de citoyen responsable.
Ces valeurs mises au point il y a maintenant plus de 10 ans sont toujours d’actualité. Ce réseau de réseaux est donc un lieu de partage, d’échanges, de réalisation d’actions communes, l’un de ses objectifs majeurs étant de trouver tous les leviers possibles pour accéder à toutes les formes de représentativité des cadres dirigeants et supérieurs.
Parmi les actions récurrentes de la FNCDS, se trouve le baromètre annuel social des cadres dirigeants et supérieurs permettant de mesurer leur moral. Ce baromètre annuel, existant depuis 2010, permet d’avoir maintenant un véritable panel d’évolution. Les résultats sont communiqués chaque année au Ministère du Travail. Le dernier baromètre, portant sur le moral en 2018, indique que les cadres supérieurs et dirigeants ont plaisir à aller travailler et sont plutôt optimistes quant à leur avenir ; les relations sociales sont globalement satisfaisantes notamment grâce à la mise en place du CSE. Par contre le point un peu plus négatif porte sur les relations avec les instances de gouvernance (manque de transparence). En matière d’exercice de la fonction c’est le manque d’autonomie et la surcharge de travail qui demeurent les points négatifs les plus relevés. Les sujets de préoccupation prioritaires restent toujours les mêmes, à savoir les compétences, la rémunération, l’emploi et l’évolution de carrière.
Cette année, c’est l’actualité récente qui a guidé le choix du thème de nos Assises, comme les débats liés à l’extraterritorialité, le Cloud Act, etc. Les cadres dirigeants peuvent tomber dans de nombreux pièges (voir « Le piège américain » de Frédéric Pierucci qui a été la victime collatérale de la guerre économique entre Alstom et General Electric). On peut aussi parler du cas de Lafarge mais aussi de la CNIL qui tente d’infliger des amendes aux entreprises qui ne respectent pas le RGPD. La multiplication d’événements, liant à la fois le politique, l’économique et le juridique étant d’une très grande complexité, la FNCDS a souhaité recourir aux spécialistes de ces domaines pour cette première table ronde : « Éthique et lutte contre la corruption ».
Cette première table ronde, exclusivement féminine, a fait intervenir Claire Andrieux et Stéphanie Dominguez du département de l’appui aux acteurs économiques de l’Agence Française Anticorruption (AFA) ainsi que Sylvie Le Damany et Caroline Diot, avocates au Cabinet Fidal.
Claire Andrieux fait partie de l’AFA depuis un peu plus d’un an. Elle a travaillé pendant 25 ans en entreprises sur le contrôle financier en direction commerciale et en direction générale.
Stéphanie Dominguez a aussi rejoint l’AFA depuis un an et a travaillé auparavant pendant 10 ans en conformité, notamment anticorruption, en cabinet d’avocats à l’étranger et dans l’industrie aéronautique et la défense avant de rejoindre une grande société de consulting pour développer l’offre conformité.
Sylvie Le Damany est avocate associée du cabinet et est en charge du pôle gouvernance, prévention des risques pénaux et éthiques ; elle accompagne depuis 25 ans les grandes, petites et moyennes entreprises, cotées et non cotées dans l’amélioration de leur contrôle interne, de la gestion des risques, et en matière de conformité. Le cabinet accompagne un certain nombre d’entreprises dans la mise en place des programmes Sapin 2.
Caroline Diot est avocate et directeur de mission chez Fidal aux côtés de Sylvie Le Damany. Elle a commencé sa carrière au parquet de Paris et a ensuite travaillé pendant 10 ans dans des cabinets en contentieux et droit pénal des affaires. Elle s’est spécialisée en prévention des risques pénaux et éthiques et est aujourd’hui experte protection des entreprises et en intelligence économique.
Qu’est-ce que la compliance ?
C’est un terme anglo-saxon que l’on peut traduire par conformité.
Comment est-on arrivé à parler de compliance en France ? Au début des années 2000 avec l’affaire Enron, on a commencé à parler de gouvernance, de gestion des risques, de contrôle interne. Et puis, il y a cette loi américaine, Sarban Oxley, que certaines grandes entreprises ont dû mettre en place notamment quand elles étaient cotées aux États-Unis.
Il est alors apparu que les conseils d’administration et les assemblées générales ne jouaient pas leur rôle en matière de gouvernance et que les contre-pouvoirs ne fonctionnaient pas au sein des entreprises pour pouvoir intervenir davantage sur le contrôle interne. Le contrôle interne (Internal Control) est un terme récent qui veut dire « la maîtrise des activités ». C‘est ce qui a amené à travailler sur un référentiel, le COSO 1 (Committee Of Sponsoring Organizations of the Treadway Commission). Ce référentiel en matière de contrôle interne a été largement repris par l’AMF (Autorité des Marchés Financiers) en 2003 avec la loi de sécurité financière qui a obligé les entreprises à rédiger le rapport du président présenté aux actionnaires pour expliquer ce que l’entreprise faisait en matière de contrôle interne, comment elle maîtrisait ses activités et quelles étaient les procédures mises en place. Cela oblige toutes les entreprises à communiquer sur leurs procédures de contrôle interne et leur gestion des risques. En 1994, un groupe de travail a réuni des entreprises, des auditeurs et un certain nombre d’experts pour travailler sur ce référentiel qui est aussi une règlementation internationale.
Il existe trois piliers :
- le respect des lois
- le respect des règlements
- les normes éthiques de l’entreprise.
Ceci amène aux réglementations plus récentes comme la compliance au sens large, le RGPD, la RSE, le devoir de vigilance et la loi Sapin 2 du 9 décembre 2016 qui conduit les entreprises à mettre en place un programme de conformité anticorruption.
Où en est la France par rapport aux autres pays et comment peut-on évaluer le risque de corruption à l’échelle mondiale ?
C’est assez difficile de définir l’éthique, la compliance, car nous sommes dans un monde globalisé mais il y a des différences culturelles. De nos jours, beaucoup d’entreprise françaises décident d’adopter une démarche anglo-saxonne avec la compliance qui est liée aux risques mais cela est compliqué, car les systèmes juridiques sont profondément différents les uns des autres de par l’histoire et la culture de chaque pays. Le système anglo-saxon est fait pour protéger les entreprises et les entrepreneurs de l’intervention de l’État. En France, nous sommes plutôt sur un système avec des règles légales et contrôlées par les juges.
En adoptant une compliance trop anglo-saxonne en France, il existe un risque de ne pas adapter suffisamment bien les choses. Un programme de compliance efficace suppose une grande réflexion stratégique par rapport au business d’une activité dans une entreprise et à la culture de l’entreprise. L’éthique et la morale, c’est faire appliquer des règles établies au sein d’une entreprise, d’une famille ou de sa personnalité. L’éthique dans l’entreprise suppose donc de faire appliquer des règles propres à l’entreprise.
Qu’en est-il de nos grands groupes qui travaillent dans différents pays avec des cultures extrêmement différentes ?
L’O.N.G. Transparency International a publié en 2018 une carte avec un classement. Les meilleurs sont les pays nordiques, la France arrive en 21e position et, notamment grâce aux dispositions anticorruption de la loi Sapin 2, elle est passée devant les États-Unis. L’État français avait été montré du doigt par l’OCDE qui considérait qu’il était un peu en retard ; c’est la raison pour laquelle de nouvelles règles ont été créées, notamment la loi Sapin 2 en 2016 avec application au 1er juin 2017.
Il existe également une carte pour les affaires en France. Cette carte est réalisée avec une méthodologie un peu particulière. Elle est faite par une O.N.G. qui prend le nombre de jugements par région, qui peut n’être pas définitif ; en effet, les jugements de première instance sont pris sans savoir s’il y avait eu un appel ou non ; puis le résultat est ramené au PIB de la région. C’est une méthodologie qui ne permet pas forcément de faire le point d’une année sur l’autre. En revanche, on peut observer quels sont les types d’infraction qui ont été commises et les condamnations par région.
Au-delà de ces constats, une des missions de l’AFA est de mettre au point et de proposer un plan national de lutte contre la corruption ; ce plan est en cours de validation par les cabinets ministériels, et les premières mesures seront présentées dans l’année.
La corruption n’est pas qu’internationale, elle existe en France. Mais dans le top 10 des grandes entreprises condamnées, aux Etats-Unis par exemple, il y a des entreprises françaises. Dans l’affaire Alstom, par exemple, on ne s’est pas rendu compte immédiatement que c’est cette législation anticorruption qui a été utilisée par les Américains, leur administration, leur système judiciaire et leurs entreprises, pour combattre les entreprises françaises et leurs concurrents français et cela a été assez violent tant sur le plan politique qu’économique.
Il existe également une législation anticorruption forte en Chine qui est principalement utilisée pour combattre les opposants au parti communiste chinois (la batailles des tigres). Mais cette législation anticorruption sera aussi utilisée pour combattre leurs concurrents étrangers. C’est pourquoi il faut s’intéresser aussi à la législation anticorruption chinoise et réussir à prévenir ces pratiques face aux Américains et aux Chinois. Ces sujets vont devenir extrêmement importants dans les prochaines années. Aujourd’hui, un cadre de Privinvest est encore incarcéré aux Etats-Unis dans le cadre d’une opération avec un intermédiaire sur des contrats d’armement, comme l’a été le cadre d’Alstom. C’est devenu un véritable risque pour les dirigeants de nos entreprises à l’international.
C’est la raison pour laquelle le législateur français a voulu pousser les entreprises françaises à travailler davantage leur programme, leurs actions, leurs procédures, pour prévenir la corruption et ne pas se faire rattraper par les autorités judiciaires américaines. C’est une guerre économique qui se cache derrière ces lois anticorruptions et c’est pourquoi Bercy a effectué une enquête auprès de 100 entreprises pour savoir où elles en étaient dans la mise en place de leur programme de prévention.
Le risque pénal en France peut aller jusqu’à 10 ans d’emprisonnement selon que la corruption concerne la sphère publique ou privée. Ce sont des peines de prison pour les personnes physiques, même si elles ne se sont pas enrichies personnellement. L’infraction de corruption existe et conduit à des peines d’emprisonnement lourdes, des interdictions d’exercer. Il existe également le principe d’une solidarité financière entre les responsables, les dirigeants et l’entreprise pour les indemnisations.
La réputation des entreprises est également en jeu. Par exemple, les entreprises qui ont été condamnées et qui travaillaient sur les marchés publics ne pourront plus soumissionner sur ces marchés pendant 5 ans et ce, de manière automatique sans qu’aucun juge ne puisse aménager quoi que ce soit.
Que faire face à ces risques ?
L’éthique est un véritable enjeu stratégique pour les entreprises. Aujourd’hui, cela est si vrai que les services de l’Etat et par exemple la DGSI (direction générale de la sécurité intérieure) offrent des services d’appui aux entreprises françaises qui agissent notamment à l’international car il a été constaté qu’il existait de vrais cas de déstabilisation d’entreprises liés à la responsabilité sociétale.
Les entreprises européennes sont face à un « bloc » américain/ chinois ; c’est pourquoi on a également mis en place une législation forte : d’abord, la taxation des GAFAM mais également le RGPD. Il est couteux et difficile à mettre en place pour les entreprises mais il fait partie de cette démarche éthique. Les Américains ont répliqué très vite contre le RGPD en créant le Cloud-Act qui permet aux entreprises américaines détenant des données de les transmettre aux autorités judiciaires sans que la personne concernée par les données n’en soit informée.
C’est pourquoi il faut être vigilant dans la manière dont on construit l’éthique au sein des entreprises et avec qui ; il faut avoir cette vision un peu holistique et stratégique pour savoir où sont hébergées les données, quelle est la législation qui s’applique, à qui on transmet ces données car tout cela aura un impact sur l’anti-corruption très important.
On peut également lutter en participant à la création de modèles économiques différents, par exemple, en utilisant le moteur de recherche QWANT, qui est un moteur de recherche français et dont le modèle économique est de protéger les données, d’analyser les données des utilisateurs de comptes. L’administration française commence à utiliser ce moteur de recherche.
Il existe également un équivalent français à Facebook, le réseau social Whaller (fondateur Thomas Fauré) qui permet de sécuriser les données via des mondes un peu cloisonnés.
Des entreprises innovantes se développent de plus en plus à travers l’éthique ; c’est un véritable sujet de business, de création de valeur, de développement économique. Les entreprises françaises et européennes ont là une véritable possibilité de se démarquer et de lutter contre la concurrence américaine.
La loi Sapin 2
Cette loi, créée en décembre 2016 est très riche et l’un des points principaux concerne la lutte anticorruption. Elle oblige les plus grosses entreprises ou les plus gros groupes (plus de 500 personnes et plus de 100 millions de CA) à mettre en place un dispositif de lutte anticorruption en huit chantiers. La loi a créé également l’AFA, l’agence française anticorruption, agence gouvernementale dépendant à la fois du ministère de la justice et de Bercy. L’AFA a la mission importante d’aider (c’est le premier terme de la loi), toutes les personnes qui seraient confrontées à des faits de corruption, afin de les prévenir et de les détecter.
Ainsi, un premier métier de l’AFA réside dans le contrôle et l’audit externe dans les grosses entreprises pour les aider et vérifier si un dispositif anticorruption existe, s’il est de qualité et efficace. L’AFA a également pour mission de contrôler l’existence des dispositifs de lutte anticorruption dans le secteur public – mairies, collectivités territoriales, administration centrale de Bercy ou autres ministères.
Sa deuxième mission est le conseil auprès des acteurs tant publics que privés pour les aider à comprendre ce qu’est un dispositif de lutte anticorruption et la méthodologie qu’ils peuvent mettre en place sur les différents chantiers avant de les déployer de façon opérationnelle et en s’appuyant éventuellement sur des consultants, des avocats ou des prestataires.
Les huit mesures
1/ La cartographie des risques
- recenser les situations à risques sur les différents processus de l’entreprise
- recenser les mesures qui existent pour remédier à ces situations à risque ou « dispositifs de contrôle existants »
- identifier les risques résiduels sur lesquels il va falloir proposer un plan d’action à la direction de l’entreprise pour améliorer le niveau de maîtrise du risque.
Les grands groupes connaissent mieux cet outil que les petites sociétés, les mairies, les préfectures et autres universités découvrent. Mais la prise de conscience commence à progresser et des actions sont effectuées par chaque structure à son échelle.
2/ Le code d’éthique
C’est un document écrit dans lequel l’instance dirigeante affiche sa volonté d’une tolérance zéro sur la corruption et le communique à ses salariés en expliquant ce qu’est la corruption et que cela concerne tout le monde. Il est illustré par des exemples concrets de situations à risque et explique également les sanctions encourues en cas de non-respect de ce code. Les sociétés intègrent également la morale et l’intégrité parmi leurs valeurs fondamentales.
3/ Les procédures d’évaluation de l’intégrité des tiers
L’entreprise doit recenser les tiers avec qui elle travaille (clients, fournisseurs de premier rang et sous-traitants) et s’assurer de leur intégrité et de leur conformité. C’est un travail énorme mais essentiel pour se protéger, évaluer les risques et mettre en place des procédures internes anticorruption notamment lorsque l’entreprise travaille avec des pays étrangers.
Il est à remarquer que certaines ETI, qui sont souvent des entreprises familiales, préfèrent se développer plus lentement et ne pas travailler avec des tiers « à risques ». Pour elles, la véritable protection du patrimoine passe avant tout.
4/ Le dispositif d’alerte interne
C’est un dispositif qui permet aux salariés, à toute personne de l’entreprise de remonter des situations, des comportements contraires au code de conduite anticorruption et il existe une loi de protection du lanceur d’alerte.
Ce n’est pas un système de délation mais un outil complémentaire venant des États-Unis, pour la protection des salariés et de l’entreprise, qui permet parfois de mettre en avant des problèmes au sein de la société qui n’ont pas pu être remontés par le système normal.
Cette démarche doit être bien expliquée car c’est un changement important dans la culture de l’entreprise.
5/ Les plans de formation
Il faut former les salariés, c’est la loi, afin qu’ils comprennent bien en quoi la corruption est risquée pour les gens, pour l’entreprise et expliquer aux populations les plus sensibles comment se comporter s’il se passe quelque chose, et éventuellement utiliser le dispositif d’alerte et ainsi contribuer à la protection générale de l’entreprise. Cela concerne également les invitations ou les cadeaux, quelles sont leurs limites et quel comportement adopter.
Dans un prochain guide de l’AFA, il y aura un chapitre sur le sujet du sponsoring et du mécénat.
6/ Les contrôles comptables
Une autre mesure du dispositif est de contrôler les comptes et les flux comptables, sans oublier le bilan, avec un œil anticorruption, ce qui n’est pas tout à fait la même chose que de seulement regarder si les comptes sont justes. Ce sont des audits spécifiques qui vont au-delà des contrôles classiques et qui donnent la possibilité de détecter d’éventuelles situations à risques.
7/ Le régime disciplinaire
Le régime disciplinaire n’est pas forcément différent de celui que possède l’entreprise. Il faut qu’il y ait forcément un lien entre le code de conduite, les différentes situations et le régime disciplinaire qui est souvent déjà intégré au règlement intérieur.
8/ Les procédures de contrôle interne
Il y a un dispositif de contrôle de l’entreprise qui doit interroger sur la façon qu’elle a de contrôler que ces différentes mesures sont mises en œuvre et sont efficaces.
Aucun dispositif de lutte anticorruption ne peut assurer que l’entreprise sera protégée à 100 % des cas de corruption ; mais en revanche, il va la protéger sur la majorité des cas de corruptions et en cas de corruption avérée. En cas de problème, il est pris en compte, par les juridictions françaises comme internationales, le fait qu’il existe un dispositif de prévention et s’il est réellement efficace.
L’AFA dans sa mission de conseil répond à toutes les entreprises quelle que soit leur taille. Le législateur n’a pas imposé un format particulier aux plus petites structures car c’est par diffusion via les grosses structures que les petites entreprises vont peu à peu être amenées à mettre en place le dispositif et à se protéger, les grosses entreprises étant censées demander à tous leurs fournisseurs et tous leurs clients s’ils ont un dispositif de lutte anticorruption et s’il comporte bien toutes les mesures classiques de protection en s’assurant de leur intégrité. C’est de cette façon-là que la totalité de l’économie française devrait pouvoir progresser dans la lutte contre la corruption et contre la captation de renseignements économiques.
On regarde également comment l’Etat va pouvoir intégrer les différentes mesures du dispositif anticorruption pour choisir ses fournisseurs dans le cadre de la demande publique.
Le dispositif de prévention de la corruption est une marque de sérieux par rapport à des investisseurs ou des actionnaires, notamment anglo-saxons ou américains, lorsqu’ils commencent à être intéressés par le développement d’une société française. Cela fait totalement partie du business et peut faire capoter une acquisition.
L’AFA a publié des recommandations sur les différents chantiers du dispositif anticorruption, ainsi que des supports pédagogiques complémentaires : ce sont des clés qui permettent le développement d’un programme de conformité et sont la base de la prévention.
Un guide sur la fonction conformité en entreprise est en préparation (publié depuis les assises). Les certifications d’un point de vue bancaire existent, mais dans l’industrie la conformité est moins reconnue comme une vraie fonction. Il faut pourtant qu’elle soit bien rattachée, bien positionnée, définie et bien comprise par les salariés.
Le responsable conformité est aussi un gardien au même titre que le directeur juridique, le directeur financier de la société, c’est aussi un gardien du dirigeant.
L’AFA publiera également dans les mois à venir un guide sur la politique cadeaux et invitations ; c’est un vrai sujet, car à l’international ou en France, on aime bien les restaurants, les invitations. Car si ces sujets-là paraissent peut-être anodins, ils peuvent être à la source d’une possible situation de corruption. Il faut cependant garder du bon sens, de la mesure et ne pas s’interdire tout évènement tant qu’il reste dans un cadre de business, un cadre commercial, l’idée étant la transparence, le partage.
La CNIL et l’AFA travaillent également ensemble sur un guide sur la conformité anticorruption et la protection des données personnelles avec le RGPD. Ce guide traitera les différences concernant deux sujets, les dispositifs d’alerte et l’évaluation de l’intégrité d’un tiers, parce qu’il y a des frottements entre les deux législations qui ne sont pas faciles à arbitrer.
Comment le manager opérationnel fait-il pour faire face à tout cela ?
Il y a deux réponses à cette question, la première c’est d’abord le comportement du manager opérationnel par rapport à ces sujets et puis ensuite il y a sa manière de soutenir cette démarche en aidant à former son équipe ce qui est très important.
Question de la salle : suite à l’actualité, avec des affaires comme celle de Carlos Ghosn, de Huawei, ou l’affaire Cahuzac, est-ce que nos hommes politiques et nos leaders ont une démarche éthique exemplaire ? Quelle indépendance pour les autorités de régulation, quel poids, quelles fonctions, quels rôles pour les Chief compliance officer et est-ce que l’Europe face à des enjeux économique n’a pas tendance à assouplir ses règles ?
La moralisation de la vie politique est en cours, mais chacun est responsable de ce qu’il fait. Comme évoqué auparavant, la loi a prévu, aussi bien dans le public que dans le privé, des dispositifs qui doivent être mis en place et chacun doit s’y conformer. Le secteur public peut être contrôlé par l’AFA. Néanmoins, le magistrat qui est à la tête de l’AFA est un magistrat indépendant qui choisit en toute indépendance qui il contrôle.
Quant au rôle du Chief compliance officer c’est un rôle très difficile parce qu’il n’est pas plus haut que le PDG, il a une indépendance limitée, il fait partie des effectifs de la société. Aucune décision ne doit être prise seul dans une enquête et l’entreprise peut s’entourer de conseils.
Sur ces sujets-là, un réel changement est en train de s’opérer dans les mentalités mais cela va nécessiter du temps et demander beaucoup de sensibilité car il peut y avoir des conséquences pour beaucoup de personnes ; cela peut provoquer des drames et beaucoup de conséquences négatives pour les sociétés. C’est pour cela que nous éditons ces guides.
Certaines affaires de corruption sont des outils de guerre économique entre des pays pour des enjeux technologiques importants. C’est là que la réputation et l’exemplarité de la direction sont extrêmement importantes en termes de diffusion vis-à-vis des collaborateurs et des salariés ; cela permet d’apaiser le dialogue social et de pouvoir réagir aussi en termes de communication.
Question de la salle : que doit-on faire lorsqu’on est lanceur d’alerte pour se protéger ?
Lancer une alerte n’est pas neutre aussi bien au niveau professionnel que familial. Il faut bien penser et évaluer les conséquences même s’il existe une protection légale. On peut se faire conseiller sur la pertinence de l’alerte et pour savoir si on est protégé.
Question de la salle : Y a-t-il un a statut particulier pour le Compliance Officer qui semble parfois au-dessus du dirigeant de l’entreprise, comment est-il protégé et sinon qu’est-il prévu ?
C’est le même sujet que pour les directeurs de l’audit, comment arrive-t-on à faire son travail tout en gardant une certaine indépendance et tout en étant payé par la société avec des bonus qui vont avec etc. ?
Le Compliance Officer n’est qu’une personne dans la matrice de responsabilité des gardiens de la société, il ne décide jamais seul. Ça se joue avec la direction, le responsable juridique, les responsables des ressources humaines et sur des gros dossiers, il est conseillé de prendre des prestataires externes.
A noter, dans l’article 17, ce n’est pas l’entreprise qui est en charge de mettre en place le dispositif de lutte anticorruption, ce sont les présidents, les directeurs généraux et les gérants de sociétés.
Question de la salle : lorsque l’on voit ce que la loi Sapin 2 exige en termes de mise en place dans les entreprises notamment dans les PME, est-ce que l’on n’est pas en train de mettre en place des dispositifs qui visent à « laver plus blanc que blanc » et qui sont encore très couteux ?
Non car par expérience sur les programmes de conformité mis en place dans des entreprises, il s’avère que tous les outils existent déjà. Quand il existe déjà en RH un catalogue de formation, rajouter une formation anticorruption n’est vraiment pas très lourd. Quand il existe déjà un code d’éthique, rajouter un article sur la prévention de la corruption, ce n’est pas difficile. On peut mettre en place des mesures simples et peu onéreuses, des recherches sur Google par rapport à certains pays et des petits outils de veille assez simples et gratuits. La compliance doit être faite avec notre culture et il faut peut-être mieux mettre en place un programme efficace mais plus simple, même dans une grande entreprise, et qui soit bien appliqué. La compliance est une démarche pragmatique et efficiente ; il faut réussir à faire de cette législation contraignante quelque chose qui va servir véritablement le business, un argument commercial, le faire proprement de manière véritablement bien réfléchie et stratégique.
2ème table ronde « Pour un traitement éthique des données clients »
Frédérique Bouster, DPO (Data Protection Officer) au Crédit Agricole du Nord Est et François Gonczi, Directeur numérique des activités commerciales d’EDF, travaillant tous deux dans des entreprises possédant un très grand nombre de clients et pour lesquels les données sont essentielles pour gérer les contrats, nous ont expliqué en quoi le RGPD avait impacté leurs entreprises et en quoi il avait transformé la relation client.
Pour Frédérique Bouster, le RGPD n’a pas eu, à date, un impact très important sur la relation client en elle-même pour deux raisons essentielles. Premièrement, contrairement à certains pays européens, on disposait déjà en France, avant le RGPD, d’un dispositif local en termes de réglementation sur la protection des données qui était déjà très avancé avec notamment la loi informatique et libertés, le code des postes et télécommunications, la loi pour une république numérique etc.
Deuxièmement, la caisse régionale du Nord Est, à l’instar de l’ensemble du Groupe Crédit Agricole avait déjà mis en place tout un ensemble de dispositions pour protéger les données clients, bien avant le RGPD. Le Groupe Crédit Agricole avait d’ailleurs publié dès 2016 une charte des données personnelles qui s’articule autour de 5 grands engagements qui rejoignent en tous points les grands principes du RGPD.
En réalité, le RGPD n’a pas changé grand-chose sur le fond, mais plutôt sur la forme et notamment sur le fait que les entreprises doivent être capables de prouver à tout moment tout ce qu’elles font et tout ce qu’elles ont mis en place en termes de protection des données, cela renforce donc leur responsabilisation.
Comment les clients réagissent-ils ?
La relation client n’a pas beaucoup changé car il y avait déjà peu d’interpellations de la part des clients concernant les données personnelles avant le RGPD et il n’y en a pas beaucoup plus depuis sa mise en place.
Pour François Gonczi, les données clients n’étant pas au cœur de la valeur de leur activité mais plutôt un « matériau » pour exercer leur métier, le RGPD a renforcé les processus déjà très largement préexistants, et remis au cœur des échanges entre une entreprise et ses clients certaines notions comme le consentement donné par le client pour utiliser ses données personnelles. Un des actes positifs est donc de mettre à disposition sur le site web un centre de consentement centralisé regroupant de manière simple les accords donnés par le client.
Deuxième point, la possibilité pour l’individu de faire supprimer ses données de manière très simple, téléphone, mail, formulaire, chat etc. dans un parcours suffisamment fluide qui permet au client d’avoir l’assurance qu’on lui réponde dans les délais tout à fait acceptables.
En dernier point, la mécanique d’authentification des clients sur le Web et au téléphone a été renforcée par une double authentification.
Le RGPD a généré une petite augmentation du nombre de questions par rapport aux questions posées habituellement ; il est trop tôt pour savoir si cette augmentation est un effet pérenne ou simplement un effet d’actualité.
Que cela a-t-il changé au niveau de l’entreprise ?
Pour le Crédit Agricole, qui est une banque et un assureur possédant presque toutes les données personnelles de ses clients, le RGPD n’a pas été vécu comme une contrainte mais, au contraire, comme une opportunité de réaffirmer tout ce qui avait déjà été mis en place pour protéger les données des clients.
Cela a néanmoins eu beaucoup d’impact sur le métier car en plus du renforcement et de la mise en place des outils et des procédures, il a fallu avoir la capacité de tracer à tout moment tout ce qui a été mis en place. C’est un des points essentiels du règlement.
Les outils étaient en place mais les procédures ont dû être étoffées, comme par exemple les déclarations à la CNIL qui ont été remplacées par l’obligation d’avoir en interne un registre des traitements permettant à l’entreprise de prouver à tout moment qu’elle maitrise tous ses traitements de données personnelles, qu’elle les analyse de bout en bout.
La relation avec les sous-traitants est également très impactée par le RGPD ; il renforce énormément leur responsabilité mais le responsable de traitement est tenu malgré tout de s’assurer et de prouver que son sous-traitant a mis en place toutes les mesures pour protéger les données personnelles de ses clients. C‘est pourquoi les contrats sont revus de près (ils prévoient notamment la possibilité de mener des audits chez le sous-traitant).
C’est pareil chez EDF qui en plus travaille avec des associations qui suivent les personnes en situation de précarité énergétique. Les relations avec ces associations sont encadrées par une réglementation et des textes de loi très spécifiques. Ces données clients-là étant à caractère très sensible et personnel, c’est un chantier interne assez lourd qu’il a fallu mettre en place.
Données clients et marketing ciblé
Le marketing ciblé est un peu différent. Lorsqu’un client appelle pour acheter de l’électricité, c’est dans l’intérêt légitime de l’entreprise, sans mettre en péril la liberté du client, que de lui proposer une offre qui correspond à ses besoins. Cette mise en balance est bien conforme au RGPD.
La problématique de trouver la frontière entre l’intérêt légitime et l’intérêt du client est la même pour les banques.
La difficulté est que le RGPD donne surtout les grandes lignes et laisse beaucoup de place à l’interprétation. Dans les 39 caisses régionales, entre DPO du Crédit Agricole, pour certains traitements spécifiques, il peut y avoir des visions complètement différentes. C’est la vraie difficulté aujourd’hui mais c’est aussi ce qui fait que le métier de DPO est vraiment très intéressant.
Ethique clients et business
Le règlement n’apportant pas toutes les réponses, c’est le rôle du DPO d’essayer de répondre à toutes ces questions et de permettre à l’entreprise de continuer à travailler, tout en servant au mieux ses clients et en protégeant leurs données personnelles.
Dans le métier de la banque, typiquement, la maitrise des risques est indispensable, on doit notamment lutter contre la fraude, le blanchiment d’argent et le financement du terrorisme. La maîtrise de ces risques est une responsabilité réglementaire mais aussi une responsabilité vis-à-vis des clients et même des citoyens au sens large (lorsque l’on parle de lutte contre le financement du terrorisme par exemple)
Or pour répondre à l’obligation de maîtrise de ces risques, il y a la nécessité de conserver les données le plus longtemps possible (fraude ou financement du terrorisme) mais en parallèle il y a la nécessité de respecter un droit qui est un droit absolu consacré par le RGPD qui est le droit à l’oubli.
L’éthique des algorithmes
Au-delà du RGPD, qui s’est penché sur les données, un autre domaine prend peu à peu de l’ampleur : celui d’éthique des algorithmes, intimement lié à l’adoption de plus en plus grande d’Intelligence Artificielle. Historiquement, les algorithmes fonctionnaient essentiellement en « cause/conséquence » : on modélisait un comportement en analysant les causes, et en expliquant pourquoi « dans tel et tel cas, voilà ce qu’on observe, et on sait pourquoi ». Evidemment cela se prêtait très bien à une modélisation d’un processus physique, moins à l’analyse d’un comportement humain. Depuis l’arrivée de l’IA, les algorithmes fonctionnent par « similitude » en analysant les réactions données dans des situations comparables, ces situations étant définies par des dizaines de grandeurs mesurées. Cela fonctionne particulièrement bien pour simuler les actions des personnes.
Ces algorithmes posent néanmoins des difficultés : d’une part, ils ne sont pas « explicables » (une cause n’entraine pas une conséquence) et d’autre part, il est difficile de les paramétrer pour éviter les discriminations. Par exemple imaginons qu’on établit un algorithme qui estime la probabilité de remboursement d’un prêt bancaire par un individu donné. On se fondera sur tous les cas historiques de remboursement de prêts par des individus dont on aura conservé des dizaines d’information (nom, sexe, adresse, revenu, objet et montant du prêt, etc…) et l’algorithme essaiera de rapprocher un nouveau cas d’un demandeur de prêt à des cas historiques semblables pour estimer le risque de non-remboursement. Cela peut induire des discriminations, mêmes involontaires : par exemple, si le demandeur habite dans un quartier où le revenu moyen est faible, et que l’algorithme fonde sa décision en partie sur l’adresse, il aura tendance à refuser le prêt au titre que « les personnes habitants dans ce quartier ont des difficultés à rembourser ». C’est relativement facile à corriger en interdisant à l’algorithme de prendre en compte l’adresse postale. D’autres cas sont moins faciles : il est difficile d’exclure le revenu des données à considérer par un algorithme sur les prêts. Or, aujourd’hui les femmes étant moins payées que les hommes, mécaniquement, l’algorithme va avoir tendance à accorder plus facilement un prêt à un homme qu’à une femme. Est-ce acceptable ?
Une partie importante des travaux actuels de l’éthique autour des algorithmes est donc de s’assurer, a minima, que l’algorithme « ne discrimine pas plus que la société ».
Ce sont sur ces paroles que cette deuxième table ronde s’est achevée.
Les Assises de la FNCDS se sont clôturées avec l’intervention de Sophie Brassart.
« – Je suis Sophie Brassart, je suis avocat associé du cabinet Toison et associés, c’est un cabinet pluridisciplinaire en droit des affaires et en droit du travail qui intervient depuis plus de 20 ans maintenant auprès des entreprises et auprès de ses dirigeants, cadres dirigeants et cadres supérieurs.
Le cabinet a acquis une expérience large dans l’accompagnement des cadres dirigeants, avant, pendant, et à la sortie de l’entreprise sur des sujets transverses, que sont le droit social, les problématiques de sécurité sociale, les aspects de droit fiscal. Dans ce cadre, le cabinet a développé un partenariat avec la FNCDS pour assister ses membres. Dans le cadre de ces travaux, le cabinet a été amené à la demande de la FNCDS, à réfléchir à un problème qui est central, celui de la représentativité.
Liliane évoquait en introduction le résultat de l’analyse du Baromètre social qui faisait ressortir des sujets liés aux difficultés du dialogue avec les instances de direction et de transparence, des problématiques de surcharge et des problématiques de rémunération. Autant de sujets qui pour pouvoir être évoqués directement par les cadres dirigeants et les cadres supérieurs des entreprises doivent passer à travers une plus grande représentativité au sein de l’entreprise. Or ce sujet central aujourd’hui de la représentativité est mis en défaut pour la catégorie des cadres supérieurs et cadres dirigeants et en particulier depuis la réforme de 2008 sur la représentativité.
Il y a aujourd’hui un véritable défaut dans la représentativité lié à un certain nombre de phénomènes dans le cadre juridique et réglementaire et l’expression syndicale au sein des entreprises. Il s’agit des critères autour de l’audience et de l’indépendance qui fondent aujourd’hui la représentativité et qui ont amputé le corps électoral des salariés d’une partie significative de ses électeurs, en particulier une partie significative des cadres dirigeants et cadres supérieurs ; cela a eu pour effet de priver ces derniers de la possibilité d’être aujourd’hui valablement représentés dans l’entreprise.
Nous sommes face à une catégorie qui n’est en réalité ni totalement dirigeante, ni totalement salariée en termes de représentativité. Et pourtant, cette catégorie professionnelle est au cœur du fonctionnement des entreprises. C’est donc dans ce cadre-là et conscients de la nécessité de permettre la participation de cette catégorie professionnelle au dialogue social, que l’on réfléchit, en lien avec la FNCDS, aux possibilités d’améliorer la représentativité des cadres dirigeants et supérieurs. C’est un travail que l’on vient de commencer et un certain nombre de pistes commencent à émerger. Il y a des pistes de nature conventionnelle, qui passent par la possibilité de négociations d’accords dans un cadre législatif qui aujourd’hui est relativement strict et qui entrave les possibilités d’expression. Pour autant cette voie conventionnelle existe déjà dans le cadre d’instances. On va en définir le cadre avec les modalités d’intervention, de mise en place des instances de concertation au niveau de l’entreprise, au niveau de la branche, au niveau interprofessionnels, qui vont permettre l’expression des cadres supérieurs et cadres dirigeants. La possibilité conventionnelle, c’est aussi la possibilité d’obtenir par la voie de la négociation une participation dans le cadre des IRP existantes à travers un quatrième collège, celui des cadres dirigeants et des cadres supérieurs.
Aujourd’hui les instruments législatifs dont nous disposons nous permettent par la voie conventionnelle d’arriver à la mise en place de ce quatrième collège mais c’est contraignant et compliqué puisque ça passe notamment par des questionnements d’accord unanime dans le cadre de la mise en place d’organisation des élections, mais ce sont des pistes qui peuvent être explorées et développées.
On voit bien que cette piste est aujourd’hui limitée et que si on veut promouvoir la représentativité des cadres dirigeants et cadres supérieurs, il faut passer par une évolution législative de l’environnement et de la réglementation législative.
Une des pistes que l’on doit privilégier, c’est celle de l’élargissement de la qualité d’électeur. En effet, aujourd’hui, cette représentativité est entravée et amputée car une partie importante des cadres dirigeants et des cadres supérieurs, parce qu’ils représentent l’employeur, sont privés de la capacité de pouvoir intervenir en tant qu’électeurs ou en tant qu’éligibles dans le cadre de la participation au dialogue social au sein de l’entreprise.
Nous sommes ainsi face à deux principes de valeur constitutionnelle qui s’opposent, d’un côté le principe et le droit pour tout salarié d’avoir la qualité d’électeur pour participer au dialogue social dans l’entreprise et d’un autre côté le principe d’indépendance qui doit prévaloir aux organisations syndicales et par voie de conséquence aux personnes qui participent à ce dialogue social ; or, on considère que les dirigeants et les cadres supérieurs ne sont pas indépendants de l’entreprise, qu’ils portent le discours et la politique de l’entreprise. D’où la réflexion de départ, « ni totalement dirigeants, ni totalement salariés » ; on doit donc réfléchir à la possibilité de revenir sur cette inégalité notamment en élargissant la possibilité pour les cadres dirigeants et les cadres supérieurs, y compris ceux qui sont titulaires d’une délégation de pouvoir, donc qui ont la qualité de délégataire, d’intervenir si ce n’est en tant qu’éligible en tout cas en tant qu’électeur. C’est un travail de réflexion qui doit passer par un lobbying important ; celui-ci doit, pourquoi pas, prendre sa place dans le débat national actuel. Il peut passer également par des voies judiciaires à travers des questionnements sur la constitutionnalité et des questions préjudicielles de constitutionnalité.
La constitutionnalité des dispositions actuelles, sous prétexte d’indépendance et de respect du principe d’indépendance, prive de fait une partie importante et centrale de l’entreprise de la capacité d’exprimer sa voix en tant que salariés et de participer aux instances de dialogue. La piste de réflexion que l’on étudie, que ce soit via le lobbying ou par une action éventuellement judiciaire, repose sur la possibilité de faire évoluer la réglementation en créant, à côté des instances traditionnelles (IRP) que l’on connaît aujourd’hui, un espace de discussion entre les cadres supérieurs et les cadres dirigeants d’une part et la direction d’autre part dans un cadre à définir à travers la voix d’organisations syndicales et sur la base d’une représentativité, également à définir. Ce serait un lieu d’expression sur la vision de l’entreprise des cadres dirigeants et supérieurs légitimée par l’expertise de leurs compétences et de leur fonction avant qu’ils ne soient amenés à porter cette vision. Cette instance devrait aussi être un lieu d’expression de leurs problématiques propres en termes de charge de travail, de rémunération, de management, c’est-à-dire des dialogues d’IRP spécifiquement réservés aux cadres dirigeants et aux cadres supérieurs ; cette modalité leur permettrait de s’exprimer sans se trouver en contradiction comme dans le cadre des IRP « classiques ». Voici les grands thèmes de réflexion sur lesquels nous œuvrons actuellement.»