Risque de non-conformité : de quoi parle-t-on ?

Le risque de non-conformité concerne toutes les entreprises, de la TPE au grand groupe. Il s’agit d’un des risques les plus menaçant, au cœur de notre guide sur la gestion des risques en entreprise. Il faut dire que ce risque recoupe à la fois le respect de normes sectorielles et de lois à des échelles très variables : locale, nationale, internationale. Ce risque menace à la fois la relation de la société avec ses parties prenantes, sa survie financière et sa réputation. Il existe heureusement des outils pour mieux l’encadrer.

Définition de la non-conformité

Définir la non-conformité implique de savoir ce qu’est la conformité. Il s’agit d’un concept aux réalités diverses. La conformité désigne généralement le fait de respecter des lois. On dit dans ce cas, par exemple, qu’un produit est “conforme” à une législation. La conformité peut cependant également décrire ce qui respecte une demande, et notamment un cahier des charges. Dans tous les cas, le terme “conformité” est la traduction de l’anglais “compliance”.

Qu’est-ce que la non-conformité pour les entreprises ?

La non-conformité, quant à elle, est un concept qui relève à la fois des domaines du juridique et de la qualité. La norme ISO 9001 définit ainsi la non-conformité comme “l’écart partiel ou entier à une exigence”. Les “exigences” en question relèvent de 4 domaines :

• les normes et leurs référentiels ;
• la stratégie de la direction ;
• les exigences formalisées par les parties prenantes ;
• les lois et les règlements nationaux, internationaux et régionaux.

On distingue, dès lors, deux niveaux de gravité dans la « non-conformité ». La non-conformité “mineure” relève d’un écart partiel à une de ces exigences. Les conséquences de cet écart sont négligeables. La “non-conformité majeure”, quant à elle, existe quand :

• une exigence n’est majoritairement pas respectée par l’entreprise ;
• le nombre de non-conformités dans un domaine est trop important ;
• un écart partiel a des conséquences graves pour les parties prenantes, ou pour la société.

Qu’est-ce que la non-conformité bancaire ?

La non-conformité peut aussi désigner un problème spécifique au domaine bancaire. La fonction bancaire décrit effectivement le risque de non-conformité comme un risque de sanction, de perte financière ou d’atteinte à la réputation. Lesdites sanctions peuvent être judiciaires, disciplinaires ou administratives.

Ce risque s’explique par un manque de respect de deux types de règles pour les banques :

• les dispositions législatives ou réglementaires ;
• les usages déontologiques de la profession.

Le risque de non-conformité bancaire implique généralement de développer une fonction de contrôle interne de la conformité. La plupart des banques développent également des actions de sensibilisation du personnel à la “culture de la conformité ». Des formations aux nouvelles réglementations bancaires sont aussi régulièrement mises en place.

Les principaux risques de non-conformité pour les sociétés

Pour toutes les entreprises qui ne relèvent pas du secteur bancaire, le risque de non-conformité consiste à ne pas respecter les législations et les normes métiers. Dans la typologie des risques, il s’inscrit donc dans le volet juridique.

Les législations concernées peuvent être de différents ordres. Il peut s’agir de lois relatives au commerce international, de règlements régionaux, ou de législations nationales.

Le Règlement Général pour la Protection des Données, ou RGPD, est une des législations régionales les plus connues. Elle implique, à l’échelle européenne, de gros risques de non-conformité en matière de protection des données mobilisées par les entreprises.

L’enjeu principal du risque de non-conformité pour les sociétés consiste à dribbler entre les différentes législations et normes. Plus une entreprise s’étend à l’international, plus les lois qu’elle doit respecter sont nombreuses et différentes. Il en découle souvent une surchauffe des directions des affaires juridiques. Celles-ci peinent à conjuguer à la fois les besoins des clients internes, les évolutions incessantes du droit et le croisement des différentes législations nationales, locales, régionales et internationales.

Exemple : les risques de non-conformité au RGPD

Le RGPD trône parmi les règlements qui suscitent le plus de risques de non-conformité chez les entreprises. Ce texte de lois européen sert à régulariser le traitement des données personnelles par les entreprises. Il s’agit, par exemple, de tenir un registre des traitements de données, et de communiquer clairement sur la façon dont la société traite les données.

Quels risques prend une entreprise non-conforme au RGPD ?

Les risques de non-conformité au RGPD relèvent de nombreux domaines :

• réputationnel : l’entreprise s’expose à une sanction de la Commission Nationale de l’Informatique et des Libertés (CNIL), peu souhaitable pour “les affaires” ;
• concurrentiel : les clients vont de plus en plus privilégier les entreprises qui respectent ouvertement les lois, surtout celles qui sont autant médiatisées que le RGPD. Le non-respect du RGPD peut donc entraîner des pertes de marché ;
• amende à hauteur de 4% du chiffre d’affaires, ou de 20 millions d’euros maximum ;
• interdiction administrative de traitements des données, qui implique généralement la suspension des activités ;
• indemnisation des préjudices pour les personnes concernées ;
• dommages et intérêts décidés par les tribunaux civils ;
• amendes pénales dans le cas de manquement au code pénal.

Quelles sont les principales sources de risques dans le cadre du RGPD ?

Une protection des données défaillante relève en fait rarement de la mauvaise volonté des entreprises. Les risques de non-conformité au RGPD trouvent davantage leurs sources dans les égarements stratégiques, logistiques ou même humains :

• mal surveiller les menaces cyber peut nourrir les manquements au RGPD ;
• opter pour des logiciels qui ne protègent pas assez les données, sans cryptage ni règles d’autorisation et d’authentification ;
• choisir des logiciels de partage de documents qui ne protègent pas les différentes versions et donnent lieu à des modifications de données non-désirées, ou à des disparitions de données ;
• mal configurer l’environnement informatique ;
• choisir des solutions Cloud trop peu professionnelles ;
• laisser la place aux vulnérabilités humaines qui exposent l’entreprise, comme le fait de perdre son téléphone professionnel.