À la tête de la vigilance chez EDF, François Jambin, ancien avocat pénaliste et codirecteur du DU compliance officer de Paris Assas, fait partie des tout premiers praticiens de cette matière en France. Il nous livre son regard sur l’évolution et les perspectives de la discipline.
François Jambin (EDF) : “Nous avons très vite été confrontés à l’application de lois extraterritoriales”
DÉCIDEURS. En tant que praticien, comment définiriez-vous la compliance ?
François Jambin. Cette discipline arrivée en France de manière relativement récente est d’origine nord-américaine. Dans une logique libérale, les pouvoirs publics américains ont peu à peu fait peser des obligations sur les entreprises afin qu’elles adoptent une organisation respectueuse de la loi et des règlements et évitent des passages à l’acte passibles de poursuites. De manière pragmatique, les régulateurs ont élaboré des guidelines parfois en coproduction avec les entreprises afin de leur indiquer le chemin à suivre pour atteindre cet objectif de conformité. D’abord appliqué aux entreprises américaines dans un contexte purement domestique avant de s’extraterritorialiser, le « wheel of compliance » du FCPA a ensuite inspiré nombre de législations européennes (UKBA, Sapin, etc.).
Certains contempteurs de la compliance considèrent aujourd’hui que les États font peser sur les entreprises la charge normative qu’ils se refusent désormais à assurer dans un contexte d’attrition et d’affaiblissement des États. D’autres y voient l’opportunité d’un « level playing field » européen voire mondial plus respectueux des « buts fondamentaux ». L’avenir nous le dira.
« Les défis sont immenses »
Comment en êtes-vous venus à travailler dans le domaine de la compliance ?
Avocat pénaliste pendant une dizaine d’années, j’ai quitté le barreau pour rejoindre EDF. À l’instar des groupes à dimension internationale, le groupe EDF, en raison de ses multiples activités et de sa dimension, est exposé au risque judiciaire. Cela paraît aujourd’hui assez évident, mais j’ai vite compris que la meilleure façon d’éviter d’éventuelles condamnations aux lourdes conséquences financières et réputationnelles consistait à développer la prévention. En effet, le risque pénal présente un caractère de gravité particulier par rapport aux autres risques juridiques auxquels les sociétés sont exposées : il concerne les personnes physiques et les personnes morales, il peut porter atteinte aux intérêts patrimoniaux, comporter des peines privatives de liberté pour les personnes physiques et des interdictions de soumissionner pour certains marchés s’agissant des personnes morales. Enfin, l’atteinte à la réputation de l’entreprise et de ses dirigeants est d’une autre intensité que dans le cas de simples sanctions administratives ou civiles.
À la demande du PDG de l’époque, j’ai mis en place un programme de sensibilisation au risque pénal. De la compliance avant l’heure, en quelque sorte. Plus tard, EDF ayant une activité en Grande-Bretagne, la perspective des JO de 2012 à Londres, dont nous étions déjà sponsors, nous a conduits à nous assurer que nous étions bien en conformité avec le Bribery Act. Il a fallu ensuite, comme toutes les entreprises françaises, adapter notre organisation aux lois domestiques successives (Sapin 2, devoir de vigilance, RGPD, etc.), via notamment la formation des salariés, une cartographie des risques, le traitement des alertes internes, etc.
De quelles transformations avez-vous été témoins et qui seraient le résultat du développement de la compliance en entreprise ?
Un enseignement désormais ancré dans les mentalités : ne plus avoir une approche silotée par dossier, mais transverse et prospective. Nous avons très vite été confrontés à l’application de lois extraterritoriales. Résultat : il a fallu réfléchir à une organisation pionnière en matière de compliance. Ensuite, avec la loi Sapin 2 et le devoir de vigilance, il est devenu obligatoire de penser cette organisation. Dès 2015, nous avons réfléchi à la mise en place d’une direction nouvelle chargée de la compliance. Avec le train de sanctions internationales en 2014 contre la Russie, consécutif à l’annexion de la Crimée, et la condamnation de la BNP par le DoJ américain en 2014 pour violation d’embargo à des sommes considérables, le contexte géopolitique a fini de convaincre la direction générale de la nécessité de nous doter d’une organisation robuste.
La loi Waserman sur les lanceurs d’alerte suppose-t-elle selon vous un changement de mentalité ? La défiance française envers la délation est-elle un frein à cela ?
J’ai observé une évolution y compris chez les dirigeants. « Lacombe Lucien » n’est jamais loin et nous avons été marqués au fer rouge par la Seconde Guerre mondiale. La méfiance à l’égard de la délation est présente et en même temps, les comportements déviants sont de moins en moins acceptés par le « corps social », car ils portent atteinte à la loyauté et minent la confiance sans laquelle une entreprise ne peut pas fonctionner. L’alerte est donc utile. Mais attention, les lanceurs d’alerte ne sont « ni anges ni démons ». C’est pourquoi il est indispensable de rester objectif et d’adopter une approche pondérée dans la conduite de l’enquête interne, d’où, ici aussi, l’importance de la formation et d’une certaine dose de collégialité.
Les différents acteurs se sont-ils emparés du mécanisme ?
Le déploiement de la loi Waserman dans les entreprises et la médiatisation decertains lanceurs d’alerte ont contribué à mieux faire connaître les dispositifs d’alerte. Globalement, dans toutes les sociétés, les alertes sur les risques psychosociaux demeurent majoritaires. Avec l’adoption de la loi sur le devoir de vigilance, on observe aussi une augmentation des alertes provenant de la sous-traitance, notamment sur les conditions de travail dans la chaîne de valeur.
« Le dialogue avec les parties prenantes pourrait gagner en intensité »
Quel est selon vous le sujet prédominant pour les entreprises en matière de compliance en 2024 ?
À l’évidence, la RSE, en particulier la directive sur le devoir de vigilance à transposer dans un délai de deux ans et la directive CRSD sur le reporting extra-financier déjà transposée en droit français. Ces deux sujets sont devant nous et vont créer des questions de responsabilité inédites pour les entreprises dont la solution devra aussi être tranchée par le juge. Pour nous, praticiens, cela suppose de mettre en place de nouvelles normes internes, une organisation qui protège l’entreprise sans la ralentir. L’aspect numérique qui va transformer l’entreprise pose aussi des sujets éthiques majeurs dont les biais algorithmiques ne sont qu’une illustration.
On parle beaucoup du devoir de vigilance. Le risque qu’il représente pour les entreprises est-il réel ?
Cette création française est une réelle avancée à condition que les règles du jeu soient précises et s’appliquent à tous. Nous avons besoin de davantage de sécurité juridique, car cette loi adoptée aux forceps n’a pas été suivie des décrets d’application pourtant annoncés. À cet égard, la directive européenne qui a été publiée cette année apporte un peu plus de précisions. Elle a rapidement été suivie d’une foire aux questions. La création annoncée d’un régulateur va aussi dans le bon sens en contribuant à mieux comprendre les contraintes et les conséquences opérationnelles pour les entreprises.
Les entreprises européennes doivent d’abord être assurées du respect des règles du jeu par leurs concurrents. Bruno Le Maire avait présenté cette directive comme nécessaire afin de créer un level playing field et sortir les entreprises notamment françaises et allemandes soumises à une distorsion de concurrence par leur législation nationale. La Chine et les États-Unis ont bien tenté d’obtenir une exemption pour les entreprises hors Europe. Mais l’Union européenne a considéré que les impacts des activités sont globaux et qu’une directive efficace doit exiger des entreprises internationales le respect de normes ESG ambitieuses pour accéder au marché européen. Tout comme les États-Unis avaient été précurseurs pour élever les normes mondiales en matière de lutte contre la corruption…
Enfin, la vigilance n’est pas uniquement une contrainte, elle crée aussi des opportunités. En renforçant le dialogue avec les parties prenantes, n’est-on pas en train de passer volens nolens d’une économie de stakeholder à une économie de shareholder ?
Comment imaginez-vous le métier dans vingt ans ?
Sans doute, le métier de compliance officer sera-t-il de plus en plus opérationnel. Le compliance officer doit être certes diffuseur de règles et de bonnes pratiques, mais il doit également sortir de son bureau, aller à la rencontre du terrain afin que les règles ne soient pas élaborées en chambre, hors de toute réalité opérationnelle.
« Le champ d’application de la compliance sera ainsi plus étendu avec une dimension extraterritoriale accrue »
La discipline pourrait prendre de plus en plus d’importance au sein des entreprises et être plus transverse. Cette matière fait déjà appel à beaucoup de compétences, ce qui a modifié notre façon de recruter avec des profils multidisciplinaires dans les équipes même s’il reste un fort tropisme juridique. Il est possible que l’on évolue progressivement d’une compliance sectorielle à une compliance holistique avec tous les sujets de risques liés à l’activité. Le champ d’application de la compliance sera ainsi plus étendu avec une dimension extraterritoriale accrue. Enfin, le dialogue avec les parties prenantes pourrait gagner en intensité et contribuer à accompagner la mondialisation, tout au long de la chaîne d’approvisionnement. Les questions seront par conséquent plus nombreuses et plus complexes. Les défis sont immenses. Mais face à cela, la marche à suivre restera inchangée. Pour citer le philosophe Alain : « Le secret de l’action, c’est de s’y mettre. »
Propos recueillis par Mathilde Aymami
