LA COMPLIANCE, QU’EST-CE QUE C’EST ?

Le terme compliance est apparu aux États-Unis pour décrire la pratique de certaines grandes entreprises consistant à s’imposer des comportements plus contraignants d’un point de vue éthique que ce que les normes juridiques prescrivent. Les impératifs de compliance se sont initialement développés au sein d'un secteur d'activité spécifique : la finance, la bourse, la banque. Le verbe to comply, dont est issu le nom compliance, signifie observer, respecter les règles, se conformer au règlement.

Mais, par opposition au droit dur, constitué des sources juridiques traditionnelles comme les lois, décrets, contrats, conventions internationales, etc., la compliance ou conformité en français est un ensemble d’instruments qui ont en commun de ne pas obliger leurs destinataires mais contribuent néanmoins à orienter leurs comportements.

Les instruments de la conformité répondent à trois critères principaux :

• ils ont pour objet de modifier ou d'orienter les comportements de leurs destinataires en suscitant leur adhésion ;
• ils ne créent pas par eux-mêmes de droits ou d'obligations pour leurs destinataires ;
• ils présentent un degré de formalisation et de structuration qui les apparente aux règles de droit.

LA COMPLIANCE S’IMPOSE-T-ELLE AUX PERSONNES PUBLIQUES ?

La conformité s’impose de plus en plus comme une nouvelle forme de régulation des rapports économiques et sociaux, fondée non pas sur la contrainte légitime de la loi mais sur la pratique, les comportements spontanés des opérateurs. Le secteur public est, par nature, rétif à un tel mode de régulation des rapports fondé sur le consentement préalable de ses destinataires, là où les rapports sont habituellement fondés sur l’unilatéralité et la contrainte légale et légitime.

La culture de la compliance s’est d’abord développée dans le secteur privé afin d’en moraliser les pratiques. Puis les mutations de l'environnement dans lequel évoluent les entreprises concernant de plus en plus les collectivités publiques, elle s’est peu à peu imposée au secteur public. Dans un contexte de diffusion au sein de la sphère publique des modes de management développés dans l'entreprise privée, des outils comme le contrôle interne et la cartographie des risques se sont immiscés dans la gestion des services publics locaux.

Longtemps réservée au seul secteur des entreprises, l’obligation de conformité a fait son entrée dans la sphère publique locale principalement sous deux angles :

• celui de la pénalisation de la vie publique et des atteintes à la probité ;
• celui de l’approche préventive de la corruption que promeut la loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et la modernisation de la vie économique (loi Sapin 2).

La loi Sapin 2 exige une approche préventive des risques, en obligeant ses destinataires à se doter d’un programme de compliance. Mais cette loi a surtout innové en étendant son champ au secteur public. La plupart des collectivités publiques sont désormais invitées, sinon contraintes, à adopter une démarche de compliance, au même titre que d’autres réformes telles que le règlement général sur la protection des données (RGPD) du 27 avril 2016 ou la loi relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre du 28 mars 2017.

Si le vice-Président du Conseil d’État a déclaré qu’«Une chose est sûre, la compliance existe. C'est sinon une valeur, du moins une procédure ou une méthode de respect des règles, qui monte en puissance » (Jean-Marc Sauvé, vice-président du Conseil d'Etat, 30 nov. 2016), la fonction compliance reste encore à l'état embryonnaire au sein des collectivités publiques.

Plusieurs causes peuvent expliquer les freins au développement de la compliance dans le secteur public :

• la complexité croissante de la législation et son caractère inflationniste. Les collectivités publiques, qui sont garantes du respect des normes juridiques, en sont également la source (via les délibérations / décisions administratives) et l’autorité de contrôle à travers le contrôle de conformité / légalité qui lui sont associés. Autrement dit, ce cumul des fonctions fait des collectivités publiques des juges et des parties, ce qui est source de confusion. Produire de la norme juridique (fonction juridique) et en garantir l’application (fonction de contrôle) par ses destinataires ne relèvent pas de la même logique que celle de donner l'assurance du respect des normes en interne (fonction compliance) ;
• les écarts de moyens financiers et humains entre les collectivités publiques et les opérateurs privés, qui créent une fracture juridique entre ces deux catégories d’acteurs. Par exemple, les plus petites collectivités peuvent déjà éprouver des difficultés à se mettre à jour en matière de commande publique à la suite des réformes successives, est-il réellement envisageable d'exiger d'elles une parfaite conformité avec le règlement européen (RGPD) et la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles ?
• le terme même de « conformité » est source de confusion, tel qu'il est employé et compris au sein des collectivités, perçu à tort comme synonyme de « légalité »). Or, lorsqu’une collectivité publique, quel que soit son échelon, traite de la conformité de ses actes et délibérations, elle ne fait pas exactement de la compliance.

QUELS SONT LES OUTILS DE LA LUTTE CONTRE LES ATTEINTES A LA PROBITE DANS LE SECTEUR PUBLIC ?

Le thème de la compliance renvoie à la mise en œuvre des normes au sein d’une structure : il relève du registre de l'action et de l'organisation par la mise en place effective et permanente de la norme ainsi que des dispositifs destinés à garantir leur respect. Il s'agit d'obtenir que dans le plus grand nombre possible de situations concrètes, les comportements observés soient conformes aux normes qui s'imposent à l'organisation, ainsi qu'aux exigences fondamentales de l'éthique. Concrètement, cela passe par la mise en place d'une fonction spécifique au sein de l’entité qui va se voir confier cette mission.

La mise en œuvre de la compliance au sein d’une collectivité publique se présente comme une tâche de nature essentiellement organisationnelle :

• il s'agit de connaître les règles applicables ;
• d'être informé en temps utile des modifications qui leur sont apportées et de transcrire ces règles dans des procédures internes ;
• d'informer et former les agents sur les règles qui les concernent.

Les exigences de conformité se traduisent par un ensemble de process, programmes, méthodes, outils de veille et de gestion des risques mais aussi de sensibilisation, formation et prévention qui visent à développer une vraie pédagogie de la norme pour influer sur les décisions de l'organisation et le comportement de ses agents.

La compliance remplit également une fonction d'intermédiation. Une norme nécessite souvent un travail d'interprétation et d'adaptation pour la rendre effectivement applicable à l'organisation et répondre aux situations pratiques qu'elle rencontre. La résolution d'un cas de conflit d'intérêts au sein de la collectivité territoriale illustre parfaitement cette nécessité de disposer d'un vade-mecum de la réglementation.

QUEL EST LE RÔLE DE L’AFA ?

L’Agence française anticorruption (AFA) est un service à compétence nationale créé par la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (dite « loi Sapin II »), placé sous l’autorité du ministre de la Justice et du ministre chargé du Budget. Elle a remplacé le Service central de prévention de la corruption (SCPC) à compter de l’entrée en vigueur du décret du 17 mars 2017 portant nomination du directeur de l’AFA.

Sa mission, définie à l’article 1^er de la loi Sapin II, consiste à aider les autorités compétentes et notamment les personnes publiques à prévenir et à détecter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêt, de détournement de fonds publics et de favoritisme.

En sus de cette mission de conseil, l’AFA a également des missions de contrôle de la mise en œuvre et de l’efficacité des dispositifs de conformité anticorruption, notamment par les administrations de l’État et les collectivités territoriales.

L’AFA a élaboré un certain nombre de recommandations publiées au Journal officiel, notamment celles du 12 janvier 2021, entrées en vigueur depuis le 1er juillet 2021, et déclinant pour les acteurs publics les modalités de mise en œuvre d’un dispositif anticorruption (à partir du point 346).

Ces mesures, qui relèvent d’une méthodologie de la gestion des risques, reposent sur trois piliers :

• l’engagement des instances dirigeantes (1)
• la cartographie des risques (2)
• la gestion des risques (3).

1. La responsabilisation de l’instance dirigeante (exécutifs locaux, DGS, responsables centraux d’administration, …) implique la promotion d’une véritable culture de la probité insufflée par le « haut ». Cette subjectivisation de la démarche a pour vocation de faire de la conformité un sujet transversal aux orientations politiques de la collectivité et non un projet parallèle, ce qui supposerait des arbitrages ;

2. L’identification des risques par une cartographie globale. La cartographie des risques repose sur l’élaboration d’un diagnostic objectif, de pistes d’amélioration et d’un processus itératif et formalisé des risques. Il s’agit pour chaque niveau, chaque service, chaque entité autonome de définir son niveau d’exposition aux risques les plus divers : les pressions des promoteurs dans un service de l‘urbanisme, la fréquentation professionnelle de certains acteurs dans un établissement public spécialisé, le risque de conflit d’intérêt dans le cadre de contrats de la commande publique, les démarches auprès de membres de cabinet, etc. Cette cartographie est dynamique : une fois l’identification des risques établie, elle doit être affinée pour mettre en regard l’existence d’outils ou de procédures existantes, de façon à définir un niveau de risque « net », d’où résultera un plan d’action. Par exemple, en matière de conflits d’intérêts, les relations entre collectivités territoriales et organismes satellites peuvent créer une apparence de partialité : les mécanismes de déport ou de déclarations d’intérêts existent et ont été renforcés par la Loi Sapin 2, mais cela ne suffit pas. La conformité vise à identifier que cette zone de relations est potentiellement porteuse de risques : il s’agit ici tout d’auditer l’organisation ;

3. La gestion des risques est l’étape de mise en œuvre des solutions. Les recommandations donnent plusieurs pistes selon la typicité du risque mais méthodologie reste l’essentiel. Il s’agit d’objectiver et d’expliciter les mesures qui seront mises en place. Par exemple, pour les relations avec conseils extérieurs, il n’est pas question de disposer d’une liste ou d’un classement mais d’un outil d’évaluation du risque : ce tiers intervient-il dans un rôle décisionnel (AMO par exemple), a-t-il accès à des informations confidentielles, quels sont les moyens de contrôler son positionnement par rapport à des fournisseurs, comment le faire attester de son indépendance, comment vérifier sa propre conformité ?

Cette gestion des risques se traduira essentiellement par l’édiction d’un code de bonne conduite opposable aux tiers et des actions de formations pour tenir en alerte les agents et élus.