L’éthique est une exigence pour les dirigeants et les entreprises, en France et à l’étranger
L’éthique et la compliance : des boucliers anti-crise - rencontre avec Gilles Sabart, avocat au Barreau de Lyon, Dr en droit de la régulation, Président de la Commission Compliance.
La compliance est l’ensemble des mesures et procédures mises en place par une organisation pour se conformer à la loi, aux règlements et aux normes éthiques. Lyon compte 63 avocats spécialisés en compliance et en éthique, contre moins d’une dizaine à Paris. Une différence qui s’explique par une approche plus globale de la compliance à Lyon, qui s’intéresse à l’éthique au travail, aux affaires et à la planète.
L‘éthique et la compliance sont des enjeux majeurs pour la gestion de crise. Gilles Sabart, 55 ans, avocat et président des la Commission Compliance au Barreau de Lyon, explique que les entreprises qui mettent en place des programmes d’éthique et de compliance sont mieux préparées à mieux gérer les crises.
En quoi consiste risques et crises éthiques et de compliance ?
Mon activité est très simple, c’est de la compliance et de l’éthique. Donc, je m’occupe de tout ce que l’on appelle le risk management dans la compliance et l’éthique.
Tout dirigeant, toute entreprise, doit être éthique. Elle ne peut pas se permettre de ne pas être éthique.
Et il faut apporter la preuve de cette authenticité et de cette éthique. Donc elle doit mettre en place des politiques, des procédures, du reporting, pour prouver qu’elle est éthique. Elle est éthique dans le domaine du travail : est-ce qu’elle a un plan de lutte contre le harcèlement, contre la discrimination ? Est-ce qu’elle a un plan au niveau du business ? Un plan contre la corruption, contre la concurrence déloyale ou les atteintes à la concurrence ? Et est-ce qu’elle a un plan pour lutter contre le réchauffement climatique ?
Il s’agit d’exigences actuellement françaises et internationales.
J’aide les entreprises à mieux manager ces risques, que ce soit dans les programmes ou que ce soit pour de la remédiation de situations sensibles, ce que l’on appelle la gestion de crises.
Quand il y a une crise, forcément cette crise est liée à une cause qui peut être éthique. Quelqu’un a été discriminé dans votre entreprise ; quelqu’un a subi du harcèlement sexuel (le mouvement Me too) ; quelqu’un a utilisé de la corruption sur un marché, ce qu’elle n’a pas le droit de faire, et heureusement ; quelqu’un qui utilise des ententes entre concurrents pour éviter qu’un autre concurrent puisse entrer sur le marché : tous ces sujets font partie de mon travail.
Compliance et éthique, peux-tu donner quelques exemples ?
Je vais prendre des exemples très célèbres : ce que l’on appelle l’affaire ALSTOM ou l’affaire Watergate. Elles ont abouti, notamment dans l’affaire ALSTOM, à une condamnation de la société ALSTOM de plus de 800 millions d’euros. Un de ses dirigeants a fait 36 mois de prison. ALSTOM a été rachetée par une entreprise américaine, General Electric, parce qu’elle était en situation de faiblesse.
Tout cela parce qu’Alstom avait commis des actes de corruption en Asie. Les Américains se sont intéressés à cette question en disant qu’ils n’avaient pas le droit de commettre des actes de corruption sur un marché international, de corrompre des fonctionnaires.
C’est un exemple très concret dans lequel l’entreprise doit apporter la preuve qu’elle ne l’a pas fait.
Or, elle n’avait aucune preuve pour dire qu’elle s’était engagée pour que ces actes ne soient pas commis. Elle a été condamnée à 800 millions d’euros, quelqu’un a fait 36 mois de prison et l’entreprise a été rachetée.
Donc c’est un exemple international, très connu, qui est établi. Mais il peut y avoir d’autres exemples comme celui du Rana Plaza, où il y a eu plus de 1500 morts au Bangladesh, et on a constaté à l’intérieur qu’il s’agissait de sous-traitants de t-shirts de marques françaises.
Ça a créé un scandale international et la France a dit : ça, c’est terminé, au titre du devoir de vigilance, il faut faire attention à ne pas utiliser des sous-traitants qui vivent dans des conditions pareilles, qui sont mal payés et dont les conditions de sécurité ne sont pas remplies.
Maintenant, c’est cela qui change dans ces crises. Qu’est-ce que l’on demande aux entreprises ? De faire des programmes de prévention, de précaution, de façon à ce que risque ne se réalise pas. Parce que votre risque, même économique, c’est que l’entreprise disparaisse. Si vous êtes pris dans un scandale, comme on l’a vu avec Alstom, votre entreprise disparaît.
Si vous avez mis en place des programmes de prévention, vous avez géré votre risque. Vous prouvez et vous donnez la garantie à vos actionnaires et à vos parties prenantes que vous êtes quelqu’un d’honnête qui respecte les règles du jeu, donc vous pouvez vous projeter sur du moyen et long terme, et là vous avez gagné.
Est-ce que l’éthique et la compliance s’appliquent aussi aux Startups & PME ?
Et donc une PME peut tout à fait être concernée, parce qu’un grand groupe peut lui demander quels sont ses engagements en interne pour respecter les règles du jeu.
Où est-ce que j’interviens ?
Je vais aider la PME, l’ETI ou le grand groupe ou la collectivité locale, à mettre en place ces outils de prévention du risque.
Ce sont des outils à la fois juridiques, des outils de relations publiques, parce qu’il faut communiquer avec les parties prenantes et vous avez des risques vis-à-vis de la presse. Ainsi que des outils de formation et de culture générale.
Tous ces outils doivent être mis à disposition de l’entreprise de façon à créer une culture de l’entreprise. Les autorités de régulation, qu’elles soient américaines, françaises ou peu importe, elles vont vérifier si vous avez ce type de programme. Si vous n’avez pas ces programmes, vos sanctions en tant que dirigeant seront beaucoup plus élevées. C’est une sorte de « permis à points ».
Vous devez apporter cette preuve et mon métier c’est d’apporter cette preuve, de vous aider, d’aider les entreprises à gérer ce risque, qui est réglementaire, mais qui est aussi un risque de réputation.
C’est cette gestion du mélange entre ces deux risques que je vais aider l’entreprise à mettre en place dans son activité.
Quelles sont les difficultés liées à ce changement ?
L’une des difficultés, c’est que c’est un grand changement. Parce qu’il faut aborder la notion de risque dans sa transversalité. La notion de risque en silo ne fonctionne pas. On ne peut pas séparer le risque réglementaire du risque de réputation. Donc souvent ce qu’il se passe, c’est que ce risque est confié à un avocat en concurrence par exemple et de l’autre côté il est confié à une agence de communication en réputation. Les deux ont du mal à se parler.
Or, ce risque a une double facette. Il y a une partie réglementation et il y a une partie communication. Même dans la réglementation, quand vous avez un problème de concurrence, par exemple avec une fédération professionnelle qui se serait mal comportée vis-à-vis d’une personne publique, vous avez du droit de la concurrence, mais vous avez du droit dit « Sapin II » de la corruption, du droit du lobbying.
Il y a plein de droits qui rentrent en jeu. Vous avez du droit qui peut être considéré aussi comme de la concurrence déloyale. En fait, il faut être un généraliste, de tous les droits sur ce risque majeur lié à l’éthique des affaires, et en même temps il faut regarder l’impact sur la réputation vis-à-vis des parties prenantes.
En interne, avec les salariés, mais aussi la presse, vos partenaires, vos fournisseurs.
Parce qu’il se passe actuellement en plus, c’est que l’on va avoir une démarche écosystémique. Toute entreprise doit vérifier son fournisseur. Elle doit vérifier la réputation de son fournisseur. Elle doit vérifier la réputation de son client, de façon à travailler dans les règles du jeu.
Qui sont tes cibles ?
Au niveau économique, j’ai accompagné des secteurs vraiment très différents, comme l’agroalimentaire, des associations parfois religieuses, des groupes industriels de distribution. C’est très variable, parce que dès qu’un problème éthique se présente, peu importe l’industrie et l’activité, cela reste un problème de comportement humain et les choses ne sont pas forcément noires et blanches, il y a beaucoup de gris dans l’éthique. Parce que à un moment donné, la situation, les faits ne sont pas forcément évidents. Il faut trouver la vérité et la réalité.
Donc au niveau économique, je vais m’occuper aussi bien d’une PME, d’une ETI au niveau local, que d’un groupe international, parce que son sujet a des répercussions nationales, voire internationales. C’est donc très variable suivant les personnes. Cela fait à peu près une vingtaine d’années que je fais cela au niveau de la gestion de crise. Dans toute crise, la difficulté de la crise, c’est qu’on est un peu aveugle. Quel est l’impact d’une crise ? Est-ce que c’est une vraie crise ou non ? En général, on sait qu’il s’agit d’une crise quand il y a un article de presse. Mais sinon, le potentiel de la crise, on ne le connaît pas.
Et puis sur les programmes, cela fait 4 ans, depuis que les nouvelles lois comme Sapin II, la vigilance, tout ce qui est lié aussi à l’éthique du travail, sont apparus sur les programmes de prévention, que j’apporte mon savoir sur les programmes de prévention pour les entreprises.
Combien d’entreprises as-tu déjà accompagné ?
Pour le nombre d’entreprises accompagnées, en 20 ans, c’est une centaine d’entreprises que j’ai accompagnées sur ces sujets-là, que ce soit en gestion de crise ou en programme de prévention. De toute façon la crise ne peut pas aller sans la prévention. Quand on va dans une démarche de la gestion de crise, la première question que va poser la partie prenante, c’est comment faire en sorte que cela ne se reproduise pas. Pour faire en sorte que cela ne se reproduise pas, il faut mettre en place des programmes de prévention.C’est la même chose, avec deux facettes différentes.
Et le deuxième point, c’est qu’un programme de prévention, un auditeur peut le faire mais il y a une différence importante, c’est que, dans un programme de prévention, il y a la notion de risque. Il faut connaître le risque. Le risque est protéiforme, il a plusieurs formes. Il est à la fois réglementaire, il est à la fois lié à la réputation, il est social, il est environnemental, il est concurrentiel. Il va toucher l’individu en interne, qui a eu l’accord ou non de son patron. Il va toucher un fournisseur. Il est protéiforme. Dans ce qui est important, c’est de bien connaître le risque dans son intimité et tous les outils à mettre en place, qui vont faire en sorte de limiter l’impact du risque.
À quel moment apportes-tu ton expertise en éthique et en compliance ?
La question est de savoir à quel moment je vais intervenir vis-à-vis de ces questions. J’interviens à deux niveaux.
D’abord le premier niveau, le principal, c’est lorsqu’il y a une crise. Là l’entreprise se demande d’un seul coup si elle a ou non un programme de prévention, si elle a des outils qui prouvent que tout a été mis en place pour que le risque ne se produise pas. Ça c’est très important parce que s’il y a une crise, l’entreprise doit démontrer qu’elle maîtrise la situation, qu’elle avait mis des outils en place pour que le risque ne se produise pas et que ce qu’il s’est passé c’est quelque chose qui n’a pas été prévu. Ce que l’on appelle lecygne noir, quelque chose qui n’a pas été prévu, qui a notamment été théorisé par Taleb.
C’est la première chose. L’entreprise s’aperçoit alors qu’il n’y a pas grand monde qui sait traiter cette crise et analyser si au niveau réglementaire, tout est correct ou non.Donc les entreprises vont me solliciter d’abord au moment de la crise.
Puis ils vont me solliciter à un autre niveau, pour démontrer à leurs investisseurs, démontrer aux gens qui vont acheter l’entreprise, que des programmes de prévention, de qualité de l’éthique ont été mis en place. Ils vont m’embaucher et je vais les aider, en tant que risque manager, en tant qu’ancien « data scientist », car mon premier métier était dans l’actuariat. Je vais les aider à monter et à mettre en place ces programmes. Mais dans ces programmes, vous devez faire du droit, vous devez faire des ressources humaines, car il faut de la culture, vous devez mettre en place de la formation, vous devez faire de la communication. Il y a un ensemble de compétences que vous devez acquérir pour aider à mettre en place ces programmes.
Beaucoup d’entreprises essaient de mettre en place des programmes, comme dans les banques. Sauf que les banques, ce sont les entreprises les plus condamnées au monde sur la compliance et l’éthique.
Pourquoi ?
Parce que souvent elles fonctionnent en silo et elles ont du mal à créer cette transversalité. Le risque est transversal. C’est vraiment le parallèle entre le risque et les programmes de qualité qui va constituer une force.
On fait appel à moi pour deux choses : gérer la crise, à ce moment-là, à l’instant T, de façon à bien maîtriser les sujets et à bien se mettre en ordre de bataille sur ce point.
Et la deuxième chose, c’est sur les programmes de prévention, de compliance, qui vont faire en sorte d’éviter la prochaine crise pour l’entreprise, car elle aura déjà mis en place des programmes de prévention ou elle aura les outils pour gérer la crise.
Est-il nécessaire qu’une startup mette en place l’éthique et la compliance dès son lancement ?
La question est intéressante si on doit créer une startup. La grande difficulté d’une startup, c’est qu’il y a beaucoup d’inconnues à gérer. Le droit n’est pas forcément une compétence qui est acquise dans les écoles de commerce. On sait très bien que les startups sont un peu le modèle des écoles de commerce.
Du coup, les personnes avancent sans connaître le droit et cela peut poser à un moment donné de gros problèmes. Je vais prendre un exemple très simple : la RGPD, la protection des données personnelles.
Vous créez votre startup, vous vous dites que ce n’est pas grave, que vous gérerez la RGPD plus tard. Sauf que si vous êtes en infraction avec la loi et que vous recueillez des données personnelles sur des gens et que ces données personnelles sont hyper sensibles et ont un impact très fort, votre business peut disparaître tout de suite.
Donc la startup doit faire tout de suite une étude d’impact de la RGPD, mais aussi sur les autres sujets.
Par exemple, la startup qui pense se mettre « en mode startup » et travailler 23 heures sur 24. Ça ne peut pas fonctionner : pourquoi certains respecteraient le droit, qui consiste à travailler un certain nombre d’heures par jour, et d’autres considéreraient que comme ce sont des startups ils n’ont pas à le faire.
C’est une atteinte à la concurrence, c’est une atteinte à la dignité des personnes, cela veut dire que quelqu’un a un pouvoir tellement fort qu’il exerce de l’emprise sur ses salariés. Ce n’est pas acceptable. La startup n’est plus éthique, elle ne peut pas fonctionner.
Troisième point : qui sont les premiers clients d’une startup ?
Soit en B2C, la startup cherche le maximum de personnes, soit elle cherche un grand groupe. Mais le grand groupe doit vérifier si ses fournisseurs respectent l’éthique, s’ils sont en adéquation. La première chose que le groupe va demander ce sera la politique en matière de RGPD. Si la réponse est qu’il n’y en a pas, le groupe décidera de travailler avec l’entreprise le jour où la politique RGPD sera en place et pas avant.
Donc on observe bien que ces sujets doivent être traités tout de suite dans le cadre d’une étude d’impact. C’est un actif de l’entreprise pour pouvoir aller plus loin. Si elle le traite dans l’urgence en attendant, il est trop tard. L’urgence a un effet de levier de 100. C’est-à-dire que ce que vous traitez en urgence, ce que vous n’avez pas traité avant en anticipation, vous le payez 100 fois. C’est ça la règle. Donc, il faut utiliser ces outils, tout de suite.
Combien d’avocats sont spécialisés dans ce domaine au Barreau de Lyon ?
L’une de nos fiertés avec le Vice-Président et en tant que Président de la Commission Compliance du Barreau de Lyon, c’est que nous sommes 63 avocats à travailler sur ces questions. A Paris, ils sont moins d’une dizaine.
Pourquoi ces différences ?
Lyon a cette tradition des pôles de compétitivité de ces dispositifs fédérateurs. Que ce soit dans le domaine social, dans l’économie, nous savons travailler ensemble. A Lyon, ce que l’on essaie de faire, c’est de combler notre retard sur ces sujets. On a abordé la question de façon globale. A Paris, ils l’ont travaillée davantage sur l’aspect droit pénal. Nous on a travaillé sur l’éthique au travail, sur l’éthique des affaires, l’éthique de la planète. On a intégré les associations, les ONG, les organisations syndicales, l’administration, de façon à ce que l’on puisse travailler ensemble sur ce sujet qui est un sujet d’intérêt général.
L’éthique est un sujet d’intérêt général. On a créé une dynamique à l’intérieur et on a publié le premier livre blanc du Barreau de Lyon sur l’éthique qui est disponible sur le site Internet du Barreau. Le prochain livre blanc que l’on va créer est sur le thème de l’enquête interne et qui sera sorti d’ici la fin de l’année.
Peux-tu décrire ton activité en une phrase ?
Si je dois définir mon activité en une phrase, ce serait : tout ce qui est lié aux risques management en lien avec l’éthique des individus et des entreprises.
Quel est ton parcours ?
Mon parcours est assez simple, j’ai plusieurs racines. J’ai des racines savoyardes depuis le 16e siècle jusqu’à l’âge de 15 ans, puis après à Marseille.
A Marseille il s’avère que j’ai fréquenté quelques lycées en peu de temps, dont j’ai été expulsé. Quand j’ai découvert le droit, j’ai vraiment aimé cela et je suis allée jusqu’à faire un doctorat sur le droit de la régulation. Ensuite pendant mon doctorat, je suis parti dans une organisation syndicale, j’étais conseil technique en charge des retraites, dont on a parlé il n’y a pas longtemps avec les débats. En parallèle je travaillais chez France Inter sur les questions européennes. Ensuite je suis parti dans le groupe Saint-Gobain, où je me suis occupé de l’actuariat et de sujets de benefit et de retraite. Après, je suis devenu directeur régional du groupe Saint-Gobain et je me suis occupé de la gestion de crise. Et enfin je me suis occupé du développement commercial de tuyaux en fonte dans des marchés publics. Puis j’ai monté mon cabinet en 2016.
Quel est ton chiffre d’affaires ?
Le but du jeu quand on devient entrepreneur, il est très simple : c’est d’avoir sa liberté. Donc quand on est entrepreneur, au début de son activité, on gagne moins que lorsque l’on est dans un grand groupe ou dans une autre entreprise par rapport à son expertise. Parce que l’on prend des risques, parce que l’on fait des investissements.
Pour moi l’objectif c’est que j’ai créé à la fois mon cabinet d’avocats, mais aussi mon organisme de formation qui est une startup en mode digital. Il y a eu beaucoup d’investissement sur ce sujet et il a fallu « lancer la machine » à l’intérieur, donc j’ai eu une période, comme tout startuper, de lancement d’une entreprise et ma rémunération était moindre par rapport à celle dans un grand groupe. Elle était largement divisée.
Au fur et à mesure, la situation s’améliore, avec une capacité aussi à se faire connaître. En gestion de crise, j’étais connu sur ces sujets.Mais je dois gagner 50 % de moins par rapport à ce que je gagnais avant.
Quels sont tes projets ?
Mes projets à court et moyen terme, et long terme, c’est déjà que je me suis formé à ce que l’on appelle low code et no code, de façon à proposer des programmes de prévention digitaux. La digitalisation des entreprises, c’est une chose qui est très importante. On doit avoir des outils dans l’entreprise pour gérer ces situations.
Par ces outils low code et no code, j’ai commencé à créer et j’ai créé maintenant des outils de gestion de projets et de programmes de prévention, qui permettent de démontrer aux autorités de régulation que les choses sont faites correctement.
C’est un grand projet qui est important pour moi. Le deuxième projet qui arrive, c’est tout ce qui est lié à l’ESG, qui est lié à la compliance aussi. L’ESG s’adresse aux entreprises, les entreprises doivent établir des rapports et donc je réfléchis pour les aider à avoir des outils simples, notamment pour les PME et les ETI, pour remplir ces objectifs ESG.
Une petite anecdote pour la fin ?
Ce qui est important aussi dans notre métier ou ce qui est marrant, ce sont les mensonges des personnes concernées. Par exemple, une petite anecdote très simple : il n’y a pas longtemps une collectivité locale ou une personne publique a été attrapée par la chambre régionale des comptes parce qu’elle avait commis des actes qui n’étaient pas éthiques, c’est-à-dire des ventes d’immeubles sans faire d’appel d’offres, ce qui n’est pas éthique, cela ne correspond pas à la réglementation.
Dans ce cas, on voit des réponses qui sont toujours très drôles. Là la réponse a été que tout a été respecté, tout le monde a été formé sur ce sujet.
C’est ce décalage qui est drôle. Les gens, quand ils commencent à mentir dans ce domaine, ça devient hilarant, ça devient de l’humour anglais. C’est de l’humour décalé. Mais ils parlent de façon très sérieuse, en pensant que tout le monde va les croire.
Dans notre métier, il y a un côté où il faut avoir beaucoup de recul et que les gens fassent attention à voir des propos un tout petit peu crédibles quelques fois. Et ce n’est pas parce que l’on a formé les gens que les actes n’ont pas été commis.
Un conseil aux entreprises ?
Mon conseil aux entreprises sera super simple : si vous ne vous intéressez ni à la compliance ni à l’éthique, elle va vite s’intéresser à vous. Et les conséquences et les effets seront dévastateurs.