Conformité et Due Diligence – Risques, Évolutions et Bonnes Pratiques. Entretien avec Éric Alexandre
Entretien publié le 26 juin 2023
Centre Algérien de Diplomatie Economique : Bonjour Éric Alexandre, pourriez-vous vous présenter auprès de nos lecteurs?
.
Éric Alexandre : Juriste de formation, j’ai obtenu deux Master 2, le premier en Relations internationales puis un second en Intelligence économique. Après mes études, j’ai eu deux expériences en IE au sein de Dassault Aviation puis du groupe BNP Paribas. J’ai par la suite intégré l’ADIT en 2010, un cabinet français leader dans le secteur où je me suis spécialisé dans le domaine de la Compliance et la Due diligence. Depuis 2018, je suis consultant indépendant et formateur sur ces questions.
.
CADE : Pourriez-vous préciser votre définition spécifique de la compliance et celle de la due diligence?
.
Éric Alexandre : Ces termes anglo-saxons montrent l’origine de cette matière qui provient des Etats-Unis. Si je devais traduire en français, la Compliance deviendrait alors la Conformité qui consiste en un corps de règles (nationales ou internationales) que les entreprises doivent respecter dans le cadre de leurs activités. Les premières règlementations spécifiques remontent aux années 1970 aux Etats-Unis avec le FCPA sur la lutte contre la corruption d’agents publics étrangers. Suite à ce premier pas, de nombreuses autres règlementations ont été adoptées, en particulier la Convention OCDE, le UK Bribery Act ou encore la Loi Sapin II.
La Due diligence quant à elle désigne le processus de vérification du respect de ces normes. Mais plus largement, la Due permet de s’assurer, au regard d’un projet spécifique de notre client, des capacités opérationnelles d’un possible partenaire, notamment sur ses activités, ses réseaux, sa réputation, ses finances. On parle également de rapport d’honorabilité qui consiste en une investigation recoupant différentes sources (ouvertes et informelles) afin de produire une grille de risques et établir des recommandations. L’objectif final est d’accompagner nos clients dans la sécurisation de leurs relations commerciales à l’étranger.
.
CADE : Quels sont les principaux risques de non-conformité auxquels les entreprises sont confrontées dans le cadre de leurs opérations et comment la due diligence peut-elle aider à les atténuer?
.
Éric Alexandre : Les risques sont aujourd’hui multiples pour les entreprises actives à l’international. Le premier est celui de poursuites envers l’entreprise et ses dirigeants, et d’amende en cas de non-respect des règlementations. En particulier, les sanctions pécuniaires imposées par les autorités américaines au titre du FCPA ou d’autres lois spécifiques peuvent se chiffrer en centaines de millions voire en milliards de dollars.
Il existe également un risque réputationnel pour les entreprises coupables, avec un impact non négligeable sur leur image et difficilement quantifiable.
Ensuite nous pouvons évoquer deux risques spécifiques : celui de placement sous monitoring et celui d’exclusion. Le premier consiste en la nomination, par les autorités judicaires, notamment américaines, d’un « monitor » à savoir une personne extérieure à l’entreprise et qui va vérifier la mise en place d’un programme anti-corruption suite à une condamnation. Ce moniteur dispose de pouvoirs très étendus, avec un risque de fuite d’informations sensibles car cette personne ne répond qu’à une puissance publique étrangère. La seconde est l’interdiction de participer à des contrats ou appels d’offres nationaux ou internationaux, par exemple ceux financés par la Banque Mondiale, pendant une période donnée, avec un impact direct sur les activités opérationnelles et les finances de l’entreprise sanctionnée.
.
CADE : Comment les lois et réglementations sur la conformité ont-elles évolué ces dernières années et quel impact ont-elles eu sur les pratiques de due diligence des entreprises?
.
Éric Alexandre : La Compliance visait à l’origine à vérifier le respect des activités d’une entreprise au regard des réglementations anti-corruption. Nos clients agissent dans des secteurs sensibles et des pays particulièrement exposés à ce risque, ce qui nécessite un accompagnement spécifique.
Mais la matière évolue au gré des nouvelles réglementations et des nouveaux enjeux avec les questions du financement du terrorisme, le respect des données personnelles ou encore des questions sociales et environnementales.
L’objectif est alors d’identifier les nouvelles tendances et à adapter nos offres et nos méthodologies à ces enjeux.
Plus largement, nos clients opèrent dans ces pays avec des contextes politiques, économiques et culturels différents et avec des évolutions parfois radicales. On pourrait citer les changements des régimes de sanctions américaines envers l’Iran entre la période de Barack Obama et le mandat de Donald Trump, ainsi que les sanctions prises contre les entités russes suites à l’invasion de l’Ukraine récemment, ou encore les renversements de Kadhafi en Libye ou de Ben Ali en Tunisie. L’objectif est alors d’accompagner nos clients dans ces périodes de changements en identifiant les impacts sur leurs partenaires à l’étranger.
.
CADE : Quelles sont les étapes clés du processus de due diligence et les bonnes pratiques pour s’assurer d’une approche efficace?
.
Éric Alexandre : Il existe trois étapes clés dans le processus de Due diligence qui pourraient se résumer en : collecter, analyser, retranscrire.
Dans la première étape, il faut collecter toutes les informations, ce qui nécessite des compétences spécifiques, notamment en OSINT : maitriser les recherches en sources ouvertes, connaitre des outils et des bases de données dédiés, savoir faire des recherches dans des langues rares,…
Ensuite il faut avoir la capacité d’analyser ces données en fonction du contexte économique et politique local, du projet du client, du secteur d’activités ou encore des réglementations en place. Cela nécessite une capacité à comprendre des enjeux complexes et avoir une certaine expérience des questions économiques et stratégiques.
Enfin, la dernière étape consiste à expliquer les résultats des investigations et à en tirer une grille de risques et des recommandations. Il faut dans ce cas faire preuve d’un esprit de synthèse et de précision.
.
CADE : Comment les entreprises peuvent-elles s’assurer que leurs fournisseurs et partenaires commerciaux respectent également les normes de conformité requises?
.
Éric Alexandre : Aujourd’hui toute tierce partie de nos clients est potentiellement une cible de rapport de Due diligence. Ainsi nous vérifions les agents et intermédiaires commerciaux, mais également les fournisseurs, partenaires ou distributeurs de nos clients.
Tout process de Compliance débute par la mise en place d’une cartographie des risques. A partir de la liste des tierces parties, nous établissons un classement en fonction des pays d’enregistrement, des montants des contrats, de l’antériorité des relations commerciales,…
Une fois cette cartographie faite, nous modulons le degré d’investigation en fonction de son classement, les tierces parties les plus risquées faisant l’objet de Due diligences plus précises avec des investigations plus étendues.
.
CADE : Comment les technologies émergentes telles que l’intelligence artificielle et la blockchain peuvent-elles être utilisées pour renforcer la conformité et la due diligence?
.
Éric Alexandre : L’IA et la blockchain sont devenues en quelques mois deux termes faisant le buzz. Il est difficile de saisir les impacts des changements de technologies à leurs prémisses.
Concernant l’IA générative de type ChatGPT, on nous dit que cela va révolutionner le monde du travail et détruire un certain nombre d’emplois. On peut légitimement s’interroger sur l’impact de ces IA sur notre matière.
Personnellement, je vois l’IA comme un outil, et comme tout outil, il dispose de limitations.
On pourrait citer quelques exemples : les informations sont-elles sourcées et datées ? est ce que l’algorithme est biaisé ? si j’effectue deux requêtes à un jour d’intervalle, les réponses seront-elles les mêmes ? et plus important encore : qui est responsable en cas de mauvaises recherches ou d’erreur d’analyse ?
Car faire de la Due, c’est comme nous l’avons vu rechercher des informations mais avant tout les analyser en fonction d’une grille de risque. Il faut pouvoir dire à notre client quelles sont les informations trouvées, mais également celles qui sont manquantes, et en quoi cela influe sur nos recommandations finales.
On pourrait imaginer un « ChatGPT Compliance », mais quelle serait la valeur d’un rapport automatique ?
Certains de nos clients ont été, à une époque, séduits par des solutions techniques proposant de faire de la Conformité « automatique ». L’idée est assez simple : un outil vient se brancher sur le CRM du client (une base de données interne regroupant ses tierces parties), puis compare les noms avec des bases automatisées regroupant des listes de sanctions et de Personnes politiquement exposées, des listes de citations médiatiques négatives ou encore de procédures judiciaires. Si un terme ressort, cela génère une alerte qui est alors automatiquement remontée dans le CRM. Le problème est que ces clients se sont retrouvés noyés sous un grand nombre d’alertes. La problématique était alors de déterminer si celles-ci étaient avérées ou si elles portaient sur des homonymes ou constituaient des faux positifs. Au final, ces outils posaient plus de problèmes qu’ils n’en résolvaient car le gain de temps sur le traitement de grands nombres de cibles était perdu, les équipes internes des clients n’étant pas capable de gérer un tel flot de fausses alertes.
L’IA générative risque de poser les mêmes problèmes : l’avantage d’un consultant est d’apporter une méthodologie et l’expertise de l’analyse.
Concernant la blockchain, je ne vois qu’une application à la marge possible, celle de sécuriser nos documents. Quand un rapport est produit en interne, nous savons qui a travaillé sur une cible, et quelles sont les personnes qui ont été impliquées dans sa relecture. Une fois le dossier envoyé de manière sécurisée, nous ne pouvons plus attester de son intégrité après réception par le client. La blockchain permettrait de savoir qui a ouvert ou modifié un document afin que nos études gardent cette traçabilité et ce haut niveau de sécurité.
Cette idée de sécurisation pourrait également s’appliquer aux sources que nous sollicitons : attester de la véracité des documents légaux sur les registres commerciaux, des articles issus de sources de presse,…
.
CADE : Comment les entreprises peuvent-elles gérer les conflits potentiels entre les exigences de conformité et les pressions concurrentielles pour maintenir leur position sur le marché?
.
Éric Alexandre : Il existe deux manières de voir la Compliance : comme un centre de coût ou comme une assurance.
Dans la première approche, la Due diligence et la Compliance sont des obligations imposées par des réglementations qui posent un cadre et des contraintes. Ces dernières peuvent dans certains cas impacter la compétitivité des entreprises. Pendant longtemps, la corruption n’était pas incriminée et tout le monde y avait recours. Aujourd’hui, les choses ont changé mais certains ne jouent toujours pas le jeu, au détriment des « bons élèves ».
Mais on peut également voir la Compliance comme une garantie contre les risques évoqués plus haut.
L’histoire nous a également donné un exemple en France avec l’affaire Alstom qui a été la victime de prédation économique par un acteur américain, General Electric, dans le contexte de poursuites menées par les autorités américaines au motif du FCPA. Le Département de la Justice américain a affaibli le géant français dans le cadre d’une procédure anti-corruption alors que GE proposait de racheter la branche énergie de notre champion national. En définitif, les Américains ont fait d’une pierre deux coups. Cet épisode a été particulièrement marquant et a révélé que la Compliance peut a minima être une mesure de protection : si Alstom avait à l’époque eu un process de conformité solide et que le groupe n’avait pas été impliqué dans le versement de pots-de-vin, les autorités américaines n’auraient eu aucune prise sur nos actifs stratégiques.
Il est indéniable que la Compliance induit une distorsion de la concurrence entre les entreprises en règle et celles d’autres pays qui ont encore recours à ces pratiques. La question est donc plutôt pour moi de deux ordres : avons-nous les moyens et la volonté politique de nous attaquer à des régimes couvrant les activités de corruption de leurs entreprises ou tordant la lutte anti-corruption comme arme de guerre économique ?
Cela nécessiterait une réflexion plus large sur la Compliance non plus sous l’angle défensif, mais sur un aspect offensif.
.
Entretien réalisé par l’équipe du Centre Algérien de Diplomatie Economique.
