Les nouvelles agilités de la fonction de vérification de la conformité dans le secteur de l’assurance

Dans le cadre du scandale Volkswagen, le FBI dans sa démarche de recherche de coupables a arrêté Oliver Schmidt, le « head of compliance » suspecté d’avoir dissimulé des informations à charge pour le constructeur voire même d’avoir falsifié certains documents [1] . Cette mise en cause n’est pas isolée : en 2015 déjà, six responsables de la compliance des secteurs industriels et bancaires ont été inquiétés par le DOJ [2] et en janvier 2017, celui de la Deutsche Bank a dû présenter sa démission. Il a expliqué qu’il n’était pas en mesure de remplir ses fonctions, la banque ne lui ayant confié la responsabilité que de 400 collaborateurs, alors qu’il estimait en avoir besoin de 600.

Cette nouvelle fonction de directeur de la conformité ou de la compliance se trouve particulièrement exposée et impose à celui ou celle qui l’exerce de développer de nouvelles agilités, sous forme d’un certain nombre de savoir-faire, une attitude générale, une manière de faire vivre sa fonction. Ces nouvelles agilités font naître de nouveaux profils, de nouvelles façons de manager, d'alerter et de conseiller les conseils d'administration, d'anticiper les risques de sanctions des superviseurs et les risques d'atteintes à la réputation. Elles impliquent de nouvelles façons de travailler transversalement en interne et en externe avec les parties prenantes, de nouvelles obligations d'anticiper en coopérant avec les différentes directions – marketing, juridique, création de produits, gestion de crise, RH, communication, etc. –, et surtout font naître de nouvelles responsabilités.

La présente analyse se propose d’appréhender les agilités à mettre en œuvre dans le cadre de la fonction de vérification de la conformité [3] créée dans le secteur de l’assurance par la directive Solvabilité 2 [4] (cf. Jean-Michel Silva do Carmo [5] : « L’exigence réglementaire d’organiser la conformité de toutes les activités de l’entreprise a suivi les efforts déployés par celles-ci – pas seulement d’assurance – pour mettre en place des mesures propres à maîtriser la conformité, en réaction à la production massive de réglementations ») et de dégager les agilités particulières attendues dans le cadre de l’exercice de cette mission.

La fonction de vérification de la conformité a pour mission principale de veiller au respect de la réglementation relative aux activités d’assurance. Son responsable élabore obligatoirement une politique conformité et un plan de conformité. Il doit également jouer un rôle de conseil auprès des dirigeants et des administrateurs quant au risque de non-conformité résultant d’éventuels changements de l’environnement juridique, en s’assurant que les impacts qui en découlent sont clairement identifiés. La conformité se trouve donc désormais placée au cœur du dispositif décisionnel en permettant aux décideurs de connaître le niveau d’application effective des règles dans leur entreprise. Comme le souligne Hugues Bouthinon-Dumas [6] , « la tendance actuelle de la régulation financière [est] à s’appuyer de plus en plus sur des sanctions dissuasives et sur la conformité car ce sont deux techniques qui contribuent à assurer l’application effective des règles ».

Enfin, la nomination comme le renouvellement du responsable fonction clé conformité doivent ainsi être notifiés à l’Autorité de contrôle et de résolution, qui peut s’y opposer si elle constate que les conditions attendues ne sont pas respectées [7] . Dans cette perspective, l’Autorité de contrôle prudentiel et de résolution (ACPR) a publié, le 2 novembre 2016, une notice sur la désignation des « dirigeants effectifs » et des « responsables des fonctions clés » dans le régime de « Solvabilité 2 », qui développe les concepts d’honorabilité et de compétence applicables aux responsables de fonctions clés, introduits par la directive Solvabilité 2.

I. Les agilités et l’exigence de compétence

L’article 273 paragraphe 1 du règlement délégué UE 2015/35 du 10 octobre 2014 dispose que l’évaluation de la compétence des fonctions clés, comme celle des dirigeants, relève de la responsabilité des sociétés d’assurance elles-mêmes, qui doivent disposer de procédures adéquates, pour remplir cette exigence à tout moment. L’exigence de compétence est en effet permanente, ce qui implique la mise en œuvre d’un dispositif de formation continue prenant en compte les changements impactant l’activité ou l’environnement de l’assureur.

La notice de l’ACPR sur les dirigeants effectifs et les fonctions clés rappelle que l’évaluation de la compétence d’une personne s’appréciera par l’évaluation de ces diplômes et qualifications professionnelles, de ses connaissances et de son expérience pertinente dans le secteur de l’assurance, de la finance, de la comptabilité, de l’actuariat et de la gestion.

Construire la confiance avec indépendance

Au regard des responsabilités qui incombent désormais au responsable fonction clé de la conformité, le savoir être est une agilité à déployer à tout moment. Cette dernière pourra prendre plusieurs formes.

En premier lieu, il doit acquérir une forme d’autorité lui permettant de s’acquitter au mieux des missions confiées, qu’il s’agisse des opérations de fixation des règles comme de contrôle au bénéfice des parties prenantes opérationnelles dans l’entreprise.

Cette agilité se double également d’une capacité à organiser le déploiement de la fonction de vérification de la conformité. L’essence de la fonction repose sur sa capacité à créer du lien, d’une part entre les opérationnels pour identifier les non-conformités potentielles attachées à leur métier, qu’il s’agisse de procédures, de développements informatiques ou encore de dispositifs de contrôles ; d’autre part avec la direction générale pour être en mesure de souligner les non-conformités les plus graves. Un lien de confiance doit ainsi pouvoir être tissé entre le responsable de la conformité et les membres de la direction générale.

La notice de l’ACPR précise à ce titre que « les responsables des fonctions clés doivent pouvoir communiquer avec tous les membres de l’Organisme – ou du Groupe pour les responsables de fonctions clés du Groupe –, accéder à toute l’information nécessaire à l’accomplissement de leur mission et disposer de l’indépendance nécessaire à la production d’un travail de qualité, exempt de conflits d’intérêts ». Le conflit d’intérêts pourrait survenir si la fonction conformité se trouvait aux prises avec des responsabilités opérationnelles dont elle serait par ailleurs chargée de vérifier la conformité. Ce risque existe également dans la mise en œuvre des projets où le rôle de la conformité est d’abord de fixer un cadre, puis de contrôler la bonne mise en œuvre du projet en orientant les solutions, sans pour autant se substituer aux métiers (gestion, marketing, informatique par exemple) et à la direction générale dans les arbitrages à réaliser.

L’ACPR souligne dans le cadre de sa notice que « l’indépendance permet aux fonctions clés de jouer pleinement leur rôle de conseil et d’information du Conseil dans le respect du pouvoir hiérarchique dont disposent le directeur général, le directeur général délégué, les membres du directoire et le dirigeant opérationnel. Pour cela, les responsables de fonctions clés sont positionnés à un niveau hiérarchique leur permettant concrètement et de façon réaliste de remplir leurs missions. »

L’agilité dans la mise en œuvre opérationnelle de solutions

La fonction de vérification de la conformité ne se substitue pas aux directions opérationnelles dans la mise en œuvre de la conformité de leurs dispositifs. En revanche, elle trouve sa justification dans l’accompagnement qu’elle sera en mesure d’apporter pour identifier les périmètres de non-couvertures réglementaires et les solutions à mettre en œuvre pour y remédier. La politique conformité est en ce sens un document précieux dans la mesure où elle décrit les contours de la fonction et les conditions de son exercice. Cette politique permettra par exemple d’identifier et partager les domaines privilégiés de son action : la lutte contre le blanchiment de capitaux et le financement du terrorisme, la lutte contre la fraude et la corruption, la protection des données personnelles, la protection de la clientèle. L’agilité sera celle du compositeur qui doit construire une partition cohérente et efficace, en prenant en compte les spécificités de son entreprise et de son activité.

Pour être parfaitement comprise de ses interlocuteurs, il lui appartient de développer une aisance certaine dans la communication orale comme écrite et un sens relationnel pour la mise en œuvre du travail en transversalité. Il est désormais indispensable d’épurer son discours de toute technicité inutile, afin de le rendre lisible et compréhensible par les décideurs comme les opérationnels. Un risque doit être clairement circonscrit et mesuré. Une non-conformité par exemple identifiée sur un contrat d’assurance n’est pas en soi une information suffisante. Celle-ci pour être comprise et appréciée doit être complétée d’un certain nombre d’informations supplémentaires : le contrat est-il encore commercialisé ? combien de contrats sont concernés ? la non-conformité prive-t-elle le client d’un droit ? existe-t-il une possibilité de class-action ? les autorités de contrôles ont-elles déjà sanctionné ce manquement ? est-il possible d’évaluer le poids financier du risque ?, etc. Il appartient alors à la conformité en fonction de la culture de son entreprise, de la personnalité de ses interlocuteurs, d’être en capacité de fixer le bon contenu du discours, unique façon d’être compris et d’apporter ainsi la preuve de son agilité.

L’agilité dans l’exercice de la synthèse et de la pédagogie vecteurs de confiance

L’importance de l’activité de reporting nécessite des aptitudes à la synthèse et à la pédagogie. En effet, le responsable de la fonction doit être en capacité de traduire de la manière la plus accessible possible les éléments de non-conformité réglementaires, afin de permettre aux organes dirigeants de prendre les décisions adéquates.

Un bon niveau de confiance est donc indispensable entre la fonction conformité et la direction générale ; elle reposera notamment sur la capacité de la société à organiser des points d’échanges réguliers entre les fonctions clés et la direction générale, ainsi qu’entre les fonctions clé et les conseils, via notamment la création de comités spécialisés. Dans sa notice, l’ACPR précise qu’elle s’assurera « que les responsables de fonctions clés, qualifiées de fonctions importantes et critiques, disposent d’un positionnement hiérarchique adapté afin qu’ils puissent les exercer avec objectivité, impartialité et indépendance, au sein de l’Organisme ou du Groupe concerné. Ils doivent notamment avoir accès à toute information qui leur est nécessaire et au Conseil. Le responsable d’une fonction clé doit en effet pouvoir informer, directement et de sa propre initiative le Conseil des problèmes majeurs rencontrés dans le cadre de l’exécution de sa mission. »

L’ACPR semble attacher une extrême importance à l’organisation des fonctions, en considérant notamment que « la meilleure application des dispositions relatives aux responsables des fonctions clefs est qu’il n’y ait pas de niveaux hiérarchiques intermédiaires entre la direction effective et les responsables désignés, pour l’exercice de leurs fonctions, sauf à ce que les organismes concernés puissent prouver que les objectifs décrits dans la présente notice, notamment dans le chapitre I, sont bien atteints au travers de leurs organisations et procédures (notamment absence de conflits d’intérêts, possibilité pour les responsables de fonction clé d’accéder directement au conseil d’administration, disponibilité…). Pour cette même raison, un organisme ne doit en principe pas subordonner un responsable de fonction clé à un autre. En effet, dans ce cas, et sauf à ce que l’organisation et les procédures puissent garantir le contraire, cela revient à résoudre en apparence un problème de cumul – et donc de manque d’indépendance et de potentiel conflit d’intérêts –  en réduisant en réalité l’indépendance du responsable de fonction clé par son positionnement subordonné. ».

Dans le même ordre d’idée, le responsable de la conformité devra être en capacité de développer des dispositifs de formation aux fins de prévenir les risques et être en capacité de traduire les enjeux réglementaires en bonnes pratiques. L’agilité repose donc sur la capacité à concevoir des dispositifs de formation adaptés aux différents métiers. L’objectif n’est pas pour une fonction conformité d’expliquer ce que la loi impose, mais de dégager les bonnes pratiques à mettre en œuvre pour la respecter.

À titre d’exemple, une formation sur la publicité ne devrait pas se contenter de lister les obligations de mettre à disposition du public une publicité claire et non trompeuse, mais elle doit travailler à la construction des bons réflexes – en l’occurrence s’assurer que l’avantage mis en avant n’est pas limité par d’autres dispositions du contrat, rappeler que les unités de compte peuvent aussi varier à la baisse, s’assurer que les restrictions indiquées sur la publicité ne sont pas rédigées en caractères illisibles, etc.

La mise en œuvre du dispositif de lutte contre la corruption imposée par la loi Sapin 2 [8] imposera, en plus du code de lutte contre la corruption, de créer des dispositifs de formation adaptés aux métiers les plus exposés, comme les équipes des achats ou de l’animation commerciale. Son article 17 précise en effet qu’il convient de mettre en œuvre « un dispositif de formation destiné aux cadres et aux personnels les plus exposés aux risques de corruption et de trafic d'influence ». L’enjeu est de transmettre en plus des bonnes pratiques à respecter, un cadre d’éthique des affaires aux collaborateurs formés. Il s’agit de faire prendre conscience que la finalité n’est pas de respecter la réglementation en elle-même, mais en raison des finalités poursuivies – par exemple, une meilleure protection du client ou des enjeux sociétaux en matière de lutte contre le blanchiment de capitaux ou de protection des données personnelles.

C’est à ce titre qu’une fonction conformité sera source de création de richesse pour l’entreprise, en réduisant le risque par un dispositif adapté, inventif et opérationnel.

II. Les agilités attachées à l’exigence d’expérience

L’expérience est un critère plus complexe à appréhender, notamment en assurance où la fonction de vérification de la conformité est récente dans sa forme actuelle.

La recherche d’une expérience ouverte à dominante juridique

En revanche, il est possible de dégager les périmètres d’expertises utiles à l’exercice de la fonction. Une formation juridique apparaît indispensable, dans la mesure où la « matière première » exploitée est réglementaire. Cela n’est toutefois pas suffisant et il apparaît également indispensable de maîtriser les fondamentaux de la gestion du risque (cartographie, plans de contrôle, actions de maîtrise). Enfin, une culture de l’audit et un bon sens de l’organisation sont des atouts complémentaires utiles.

Dans sa notice, l’ACPR indique que « le profil type attendu est donc celui d’une personne avec des connaissances juridiques avérées dans le secteur assurantiel, dans l’idéal de l’ordre de 10 ans pour les organismes de taille importante et/ou dont l’activité est complexe, avec une connaissance suffisante de la réglementation mais aussi de l’activité de l’organisme ou du groupe (ou d’un organisme ou groupe comparable) pour être à même d’appréhender l’exposition au risque de non-conformité. Si une formation juridique initiale et une expérience juridique significative peuvent généralement permettre de disposer de ces compétences, d’autres types de parcours professionnels le peuvent également : l’expérience acquise dans une fonction de contrôleur interne, d’auditeur, de commissaire aux comptes ou de dirigeant d’organismes d’assurances peut, notamment, se révéler pertinente ». À titre personnel, le fait d’avoir été avocat, puis responsable juridique au sein du Groupe AG2r La Mondiale pendant plusieurs années, m’a permis de cumuler une expertise juridique forte et une très bonne connaissance de l’entreprise.

Le responsable conformité doit donc être en mesure, à partir d’un solide bagage juridique, de se mettre parfois dans l’inconfort en investiguant des domaines complexes qui ne sont pas toujours originairement les siens, comme celui de la finance, de l’actuariat, des statistiques ou de la comptabilité.

L’agilité dans le management et la complémentarité des profils d’une équipe

La force d’une équipe conformité résidera naturellement dans l’implication des collaborateurs, mais également dans la possibilité, pour le responsable de la conformité, de composer une équipe pluridisciplinaire. Il sera en effet extrêmement utile pour le responsable de la conformité de faire fonctionner collégialement des collaborateurs avec des compétences et surtout des pratiques complémentaires d’audit ou de contrôle interne par exemple.

Comme le souligne un spécialiste, « souvent associées à des tâches assez administratives, les carrières dans la conformité n'étaient pas auréolées du prestige lié aux métiers du front-office ou des preneurs de risque. Du coup, les départements responsables des ventes prenaient l'ascendant sur ces départements qui vivaient bien souvent en autarcie. Mais l'accent mis sur le contrôle des risques et la hausse des salaires du secteur attire désormais aussi des gens du front office ».

Cette réévaluation de la fonction a également trouvé une traduction financière dans la réévaluation des salaires en raison de la difficulté à trouver les bons profils. Ainsi, un article des echos.fr [9] précise : « En 2013, un déontologue, ou Compliance Officer, chargé de s'assurer du respect de la réglementation financière et des procédures internes pouvait percevoir de 35 000 à 50 000 euros par an dès sa première année et plus de 80 000 euros au-delà de dix ans d'expérience, indique le cabinet de recrutement Robert Half. Ce même cabinet indique qu'un directeur conformité perçoit plus de 100 000 euros par an avec une variable qui peut être compris entre 20 et 35 % du salaire brut annuel.

Seule ombre au tableau pour les Compliance Officers : les bonus, qui restent bien en dessous de ceux perçus par les traders et autres spécialistes du front. En moyenne, un spécialiste de la conformité a perçu 23 490 euros de rémunération variable en 2013, contre 119 081 euros pour un salarié du front-office, précise un sondage du cabinet Astbury Marsden & Partners, réalisé à Londres ».

Dans son « Étude des rémunérations 2015 », le cabinet Robert Half met le Compliance Officer dans le secteur de la banque en exergue dans sa rubrique « Les Jobs en Or ». L’analyse de Robert Half est la suivante : « Les obligations réglementaires qui se sont considérablement renforcées ainsi que les récents événements au sein de certaines banques ont accentué la demande sur ce type de profils expérimentés pour l’intégralité du secteur financier. »

Le courage : une agilité particulière à mettre en œuvre

Le responsable conformité confirmé et expérimenté devrait être en mesure d’identifier des non-conformités dans son entreprise. À ce titre, il lui appartient, en cas de non-conformité grave, d’alerter la direction générale et les conseils.

Il s’agit donc d’une mission de lanceur d’alerte « professionnalisé ». En revanche, contrairement au dispositif du lanceur d’alerte proposé dans le cadre de la Loi Sapin 2, il n’existe aucune mesure de protection particulière attachée à la fonction de vérification de la conformité. Et il n’est pas encore démontré qu’un Compliance Officer pourra bénéficier de ce régime de protection.

Ainsi le responsable de la conformité, du contrôle interne et des risques d’une grande société de gestion française a récemment saisi les tribunaux pour réclamer des dommages-intérêts à son ancien employeur. Il avait été licencié en novembre 2014, un mois après fait part de ses doutes sur la conformité de commissions versées qu’il considérait comme occultes. Ces dernières font actuellement l'objet d'une enquête de l'Autorité des marchés financiers (AMF). Mais pour la société de gestion, le responsable conformité aurait exercé une sorte de chantage pour obtenir un poste qu'on lui refusait – l'entrée au Comité exécutif [10] .

L’affaire est encore pendante devant les tribunaux mais devrait permettre, à son issue, d’éclairer l’ensemble de la profession sur ce point.

III. Les agilités attachées à l’honorabilité

L'évaluation de l'honorabilité d'une personne, précise l’article 273 du Règlement délégué du 20 octobre 2014, comprend une évaluation de son honnêteté et de sa solidité financière, fondée sur des éléments concrets concernant son caractère, son comportement personnel et sa conduite professionnelle, y compris tout élément de nature pénale, financière ou prudentielle pertinent aux fins de cette évaluation. Sont ainsi prohibées toutes condamnations à des peines pour escroquerie, abus de confiance, recel, blanchiment [11] …

L’honorabilité, comme application du principe d’honnêteté dans l’entreprise

Pour Hamlet [12] , « être honnête, au train où va le monde, c’est être un homme seul au milieu de dix mille ». Les récents scandales éthiques constatés dans le monde politique en France, qu’il s’agisse de cas graves d’évasion fiscale ou d’enjeux de conflits d’intérêts, soulignent l’extrême sensibilité de la société civile à l’exemplarité et l’honorabilité attendus de nos gouvernants. Cette attente forte et citoyenne ne s’arrêtera pas au seuil des entreprises. Cette exigence d’exemplarité apparaît encore plus prégnante pour les fonctions dont la finalité est d’améliorer la conformité à la réglementation des entreprises et de promouvoir des bonnes pratiques d’éthique des affaires.

Dans un article invitant à se poser « les bonnes questions [13] » sur la compétence et l’honorabilité, Vincent Andrieu indique : « La troisième interrogation porte sur l'apport de preuve de l'honorabilité. En effet, à la lecture des textes, l'honorabilité individuelle doit être jugée, mais aussi le comportement personnel et en affaires. La stricte analyse du casier judiciaire semble donc trop restrictive. Ce qui pose des problèmes de mise en œuvre, car la collecte des indicateurs de preuve d'honnêteté et de situation financière est difficile à réaliser. De même, bien souvent, la simple demande de transmission du casier judiciaire d'un administrateur peut se révéler complexe (difficulté souvent rencontrée dans les organismes paritaires pour les administrateurs nommés par les syndicats). » L’honorabilité est la notion la moins explicitée dans les textes, le législateur ayant peut-être considéré qu’elle se suffisait à elle-même et n’avait pas besoin d’être plus fortement explicitée.

IV. Conclusion

L’entreprise est un espace ouvert en perpétuel mouvement. Elle est soumise à des évolutions constantes d’organisation (partenariats, fusions, mobilités de collaborateurs…), des évolutions du business model (choix d’investissement, stratégie de croissance, maîtrise des frais généraux, impact des marchés financiers…) et des enjeux réglementaires qui prennent un poids croissant dans les projets d’entreprises.

La fonction de vérification pour être en mesure de faire face à ces enjeux et bouleversements doit se révéler agile et déployer compétence, expérience et honorabilité. Il s’agit de mettre en œuvre un nouveau véritable savoir être et savoir-faire.

Maîtriser les risques de non-conformité et d’éthique des affaires dans une entreprise nécessite une agilité de tous les instants pour renforcer la confiance de l’ensemble des parties prenantes dans l’entreprise. Qu’ils soient dirigeants, actionnaires, administrateurs, collaborateurs, prestataires, intermédiaires et clients, tous seront rassurés de comprendre que les efforts déployés et les dispositifs mis en œuvre, permettent de sécuriser l’activité de l’entreprise et ainsi de la pérenniser.