Une révolution discrète a eu lieu. Certains juristes identifient sa source à la fin des années 1970 aux Etats-Unis, avec une accélération de tendance depuis plus de trente ans, particulièrement visible et ressentie en Europe. Il suffit d’évoquer quelques grappes de lettres pour mieux saisir de quoi il s’agit : CSRD, CSDDD, RGPD, eIDAS, NIS, AMLD, MiCAR, DSA, DMA, AI Act… L’impulsion de l’Union européenne est ici particulièrement saisissante. Et il n’apparaît guère exagéré de parler dans les amphithéâtres des facultés de droit depuis les années 2010 d’un droit communautaire résolument construit dans ce « compliance spirit », où le cadre normatif des organisations publiques et privées repose moins sur la sanction ponctuelle que sur la supervision continue et la responsabilisation organisationnelle. C’est désormais très clair : les textes relatifs aux données personnelles, à la cybersécurité, à l’intelligence artificielle, à la finance, à l’ESG ou encore au devoir de vigilance imposent surtout aux entreprises et acteurs publics des mécanismes permanents de gouvernance, de reporting, de contrôle interne et de gestion des risques.
Par-delà la méthode compréhensible pour harmoniser les législations nationales du vieux continent et le « Brussels Effect » relativement porteur (tant bon nombre d’entreprises non européennes appliquent en effet des normes européennes pour mieux accéder au marché européen), l’Autorité de la Concurrence française éclaire davantage sur le sens de cette évolution a priori inarrêtable : « la mise en place d’une politique de conformité permet à l’entreprise une meilleure gestion des risques et lui évite de s’exposer à des risques financiers et réputationnels ». C’est pourquoi l’institution de la Rue de l’Echelle préconise à la fois la diffusion interne d’une culture orientée vers le respect des règles (formation, sensibilisation des dirigeants et de l’ensemble du personnel) ; et des mécanismes internes d’alerte, de conseil, d’audit et de responsabilisation indispensables pour créer les bons réflexes au sein des entreprises (détection et traitement des cas d’infractions possibles).
Il est d’autant plus intéressant de lire au-delà de ces recommandations l’observation régulièrement partagée que de plus en plus d’entreprises semblent apprécier valoriser leur démarche globale de conformité avec la recherche d’une cohérence éthique, tant vis-à-vis de leurs salariés que de leurs clients. Au point que « la conformité peut même devenir un argument de compétitivité ou de différenciation ». C’est là que l’interrogation légitime osera être formulée : pourquoi vouloir se distinguer sur des obligations que tout le monde doit respecter ?
Pour y répondre, il est déjà déterminant de comprendre à quel point la dynamique des conformités s’inscrit pleinement dans le champ de l’intelligence économique. Les dispositifs contemporains de conformité génèrent en effet une production informationnelle considérable portant sur les flux financiers, les chaînes d’approvisionnement, les relations contractuelles, les structures de gouvernance, les dépendances technologiques, les expositions réglementaires ainsi que les vulnérabilités opérationnelles et cybernétiques des acteurs économiques. À travers les mécanismes de cartographie des risques, de due diligence, de contrôle interne, de vigilance fournisseurs, de traçabilité documentaire et de reporting extra-financier, les organisations développent une capacité d’observation systémique de leur environnement économique et normatif. En pratique, les données issues des processus permettent non seulement d’identifier les risques de non-conformité, mais également de révéler les rapports de dépendance économique, les concentrations de pouvoir au sein des chaînes de valeur, les fragilités d’approvisionnement, les risques réputationnels et les zones de vulnérabilité géopolitique. C’est en ce sens que la compliance cesse après seulement quelques étapes d’apparaître en simple technique juridique de prévention des sanctions pour devenir un instrument d’anticipation stratégique et de maîtrise informationnelle.
Mais il s’agit également de mesurer combien toute mise en conformité n’est jamais figée, aboutie, complète et absolue. La compliance, c’est en permanence ! C’est d’ailleurs pourquoi la formation continue du personnel et des agents y joue un rôle central, pour transmettre cet esprit attendu par les autorités régulatrices : de vigilance, d’anticipation des risques et d’adhésion aux exigences. Mais les professionnels de la formation le savent parfaitement : la réelle difficulté pour la constitution des contenus pédagogiques consacrés aux conformités est de mettre en mouvement, souvent face à des spécialistes ou techniciens, un système global mêlant droit, gestion, contrôle, information stratégique et transformation durable des comportements collectifs. La réalité, c’est que toute conformité appelle à désiloter, et toutes les structures sont loin d’avoir les mêmes réflexes en la matière… Force est de constater que, texte après texte, cette invitation à la transversalité est de moins en moins sous-entendue !