La conformité deviendra encore plus importante à partir du 1er janvier 2025, afin de limiter les risques de responsabilité pour l'entreprise et ses dirigeants.

Le concept de « conformité ».

La conformité (aussi appelée « compliance ») signifie littéralement « respect » ou « accomplissement ». Le terme est donc assez explicite : il s'agit de la conformité ou du respect des lois et réglementations applicables. Dans un contexte d'entreprise, cela signifie donc qu'une personne ou une organisation opère conformément aux lois et réglementations en vigueur. En outre, la compliance indique également le respect des règles de conduite internes de l'organisation. Par conséquent, le concept est plus large que le simple respect des lois et réglementations applicables, et indique également le respect des exigences des parties prenantes et des propres règles et codes de conduite de l'organisation.

Bien que la conformité trouve ses origines dans le droit anglo-saxon, elle fait partie intégrante du droit belge depuis quelques décennies. À l'instar du Royaume-Uni et des États-Unis, le domaine de la conformité a pris beaucoup d'importance en Belgique dans les années 1980. La compliance est surtout apparue dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme : en 1989, le Groupe d'action financière (GAFI) a été créé avec pour mission de promouvoir la mise en œuvre effective des mesures de lutte contre le blanchiment de capitaux et le financement du terrorisme. L'objectif était d'empêcher que le système financier ne soit détourné pour acheminer des fonds illicites, ce qui imposait notamment diverses obligations aux institutions financières. Par conséquent, le concept de compliance a d'abord fait son apparition principalement dans le monde bancaire et financier. La loi du 11 janvier 1993 relative à la prévention de l'utilisation des systèmes financiers aux fins du blanchiment de capitaux a introduit pour la première fois l'idée d'une fonction de conformité. Ainsi, les établissements de crédit et les entreprises d'assurances devaient désigner en leur sein une personne chargée de l'application de cette loi. En 1997, la fonction de compliance est réapparue dans la circulaire DI 97/10 de la Commission bancaire, financière et des assurances (CBFA).

Toutefois, ce n'est qu'en 2001 que la CBFA a donné une véritable définition de la conformité : « La conformité est une fonction indépendante au sein de l'organisation qui vise à examiner et à promouvoir le respect, par les institutions, des règles relatives à l'intégrité bancaire. Ces règles comprennent à la fois celles qui découlent des politiques pertinentes de l'établissement et celles qui sont contenues dans le statut bancaire (à savoir la loi bancaire et ses arrêtés et règlements d'exécution), ainsi que dans d'autres dispositions légales et réglementaires applicables au secteur bancaire ».

Aujourd'hui, la conformité ne peut plus être ignoré dans le paysage financier et entrepreneurial. Ainsi, les institutions financières ne sont pas les seules à se soucier de ceci. D'autres entreprises (publiques et privées) s'y intéressent également. C'est aussi l'une des raisons pour lesquelles le terme « conformité » est interprété de manière de plus en plus large : la conformité fait référence non seulement au respect des lois et règlements applicables, mais aussi aux codes de conduite internes. Par conséquent, ce concept imprègne la culture d'entreprise au sens large. Il n'est donc pas surprenant que la conformité joue un rôle très important au sein de l'entreprise, car le fait de ne pas respecter (ou de ne pas respecter correctement) les lois et les règlements comporte plusieurs risques. La conformité et une bonne politique de celle-ci permettent de prévoir ou d'atténuer ces risques (et les dommages qui peuvent en résulter). C’est pourquoi de nombreuses entreprises mettent dorénavant en place un département spécifique axé uniquement sur la conformité. Ce département assiste le conseil d'administration dans le maintien d'une surveillance, d'une supervision et d'un contrôle suffisants pour garantir le respect des lois et réglementations applicables.

À peu près toutes les entreprises, quel que soit le secteur dans lequel elles opèrent, sont confrontées à la conformité dans trois domaines spécifiques : la législation préventive sur le blanchiment d'argent, la réglementation GDPR et la législation sur la dénonciation.

La grande majorité des entreprises sont soumises à une réglementation dans les trois domaines spécifiques mentionnés ci-dessus. En outre, un manque de conformité dans l'un de ces domaines peut poser différents risques pour la responsabilité de l'entreprise elle-même et de ses administrateurs. Les risques encourus par l'entreprise et ses dirigeants varient d'un domaine à l'autre.

Tout d'abord, la loi anti-blanchiment impose un large éventail d'obligations non seulement à l'entité concernée elle-même, mais elle souligne également la responsabilité personnelle des administrateurs dans le respect de ces obligations. En l'absence de supervision et de respect de ces obligations par les administrateurs, leur responsabilité personnelle est également compromise. Outre les sanctions administratives et pénales, la société et ses administrateurs risquent d'être poursuivis en tant que (co-)auteurs ou complices d'un délit de blanchiment de capitaux en vertu de l'article 505 de la loi sur la surveillance financière. En outre, les administrateurs risquent d'être tenus pour pénalement responsables si, p.ex., ils reçoivent des espèces qu'ils savent être d'origine illégale. Outre la responsabilité pénale, les administrateurs peuvent être tenus responsables en vertu de l'article 1382 (ancien) du Code civil et de l'article 6.5 (nouveau) du Code civil en cas de faute de gestion. Cette responsabilité est d'autant plus importante que le nouveau Livre 6 du Code civil, qui entrera en vigueur le 1er janvier 2025, supprime par principe la quasi-immunité des auxiliaires, dont font donc partie les administrateurs.

Pour gérer cette responsabilité, il est conseillé de définir clairement les responsabilités de chaque administrateur. En outre, les administrateurs peuvent déléguer leur rôle de supervision et limiter leur responsabilité personnelle, dans la mesure où cela est permis. L'expression « dans la mesure où cela est permis » indique que, d'une part, l'administrateur doit respecter les conditions de la délégation (interdiction de la délégation générale ; la délégation doit être réelle, claire et explicite ; le délégataire doit avoir accepté la délégation et être conscient des limites et de l'étendue de sa tâche ; le délégataire dispose de la compétence, de l'autorité et des ressources nécessaires pour mener à bien sa mission et une supervision régulière est nécessaire) et d'autre part, que l’on ne peut pas limiter sa propre responsabilité de manière illimitée, p.ex. pour sa propre faute intentionnelle ou pour la commission personnelle d'un délit.

Optimisez votre gestion des risques liés au blanchiment de capitaux grâce à GoComply Anti-Money Laundering.

En ce qui concerne le règlement GDPR, l'organe directeur est responsable en dernier ressort de l'élaboration, de la mise en œuvre et de l'application d'une politique et d'une procédure de protection des données au sein de l'entreprise. En ce sens, l'organe directeur doit promouvoir une culture de la protection des données et gérer l'entreprise de manière à ce qu'elle respecte toutes les exigences légales prévues par le règlement GDPR. La non-conformité peut concrètement engager la responsabilité pénale, administrative et civile de l'entreprise et de ses dirigeants.
Par exemple, une personne concernée peut intenter une action civile contre l'entreprise et ses dirigeants pour les dommages matériels ou immatériels qu'elle a subis. Toutefois, il est important de noter que la personne concernée doit prouver qu'elle a effectivement subi un dommage, de sorte qu'une simple violation du règlement GDPR ne suffit pas à engager la responsabilité de l'entreprise.
Cependant, l'entreprise et ses dirigeants peuvent se dégager de cette responsabilité en prouvant qu'ils ne sont en rien responsables de l'événement qui a causé le dommage. Là encore, la responsabilité et une politique efficace de protection des données, déjà mentionnée plus haut, jouent un rôle important. Ici, la suppression de la quasi-immunité des auxiliaires aura également un impact significatif dans un avenir proche.

Enfin, le règlement sur la dénonciation rend l'organe directeur responsable en premier lieu de l'élaboration et de la mise en œuvre de procédures efficaces de signalement interne. Celles-ci doivent respecter certaines conditions pour permettre aux personnes qui dénoncent des abus au sein de l'entreprise, en dehors du niveau hiérarchique, d'une manière sûre et accessible. À cet égard, l'organe directeur doit veiller à ce que des lignes directrices claires et des canaux efficaces soient mis en place au sein de l'entreprise. L'organe directeur doit également veiller à ce que les rapports soient traités en temps utile et de manière appropriée, conformément aux dispositions de la loi sur les dénonciateurs. 
Il incombe donc à l'organe directeur et aux administrateurs de veiller à ce que l'entreprise respecte pleinement toutes les obligations (minimales) imposées par la loi sur la dénonciation. Il s'agit notamment d'examiner et de mettre à jour régulièrement les procédures et canaux internes afin de garantir leur conformité avec la loi (et tout amendement ou ajout futur à la loi). 
L'organe directeur a également le devoir de veiller à ce que ses employés soient informés de leurs droits et obligations au titre de la loi sur la dénonciation. 
Le non-respect de la loi sur la dénonciation comporte divers risques pour l'entreprise et ses administrateurs eux-mêmes, ainsi que pour les personnes qui dénoncent des actes répréhensibles.

Ainsi, l'entreprise peut être obligée de verser une indemnité au dénonciateur si elle ignore les obligations prévues par la loi sur les dénonciateurs. Par exemple, le dénonciateur peut demander une indemnisation si l'entreprise exerce des représailles à son encontre en violation de l'article 23 de la loi sur les dénonciateurs. Cela peut se faire à la fois sur la base du droit de la responsabilité contractuelle et du droit de la responsabilité extracontractuelle. À cet égard, les administrateurs de l'entreprise en question sont donc également menacés. Là encore, l'abolition de la quasi-immunité pour les auxiliaires aura un impact majeur.

Le Code pénal social contient des dispositions qui prévoient des sanctions pénales en cas de non-respect des obligations de la loi sur les dénonciateurs. Il peut s'agir, p. ex., de l'absence de mise en place de canaux de signalement internes, de l'absence d'élaboration de procédures pour les signalements internes et de l'absence d'enregistrement des signalements. En d'autres termes, l'entreprise et ses dirigeants peuvent se voir infliger une amende en cas de non-respect des obligations légales.

Ne laissez pas les irrégularités entacher votre réputation ! Gérez proactivement la détection de comportements non éthiques, tout en respectant la législation, grâce à GoComply Whistleblowing.

Stijn De Meulenaer, Managing Partner chez Everest, et Fien Schreurs, avocate associée chez Everest, ont écrit sur la thématique « compliance » dans l’ouvrage « Taken en aansprakelijkheden van de bestuurder ».