La fonction de compliance est une fonction clef dans les établissements de crédit et les entreprises d'assurances. Les compliance officers veillent, avec un point de vue indépendant, au respect des règles de droit, à l'intégrité des activités et à la maitrise du risque de compliance. Le 25 avril 2014, deux lois nouvelles ont renforcé cette fonction.
Nouvel encadrement légal
La loi du 25 avril 2014 relative au statut et au contrôle des établissements de crédit (MB 7 mai 2014, ci-après "la Loi bancaire"), consacre légalement la notion de "fonctions de contrôle indépendantes". Dans cette catégorie, se retrouvent les fonctions de conformité ("compliance") au côté des fonctions d'audit interne et de gestion des risques (article 35).
La loi transpose notamment la Directive 2013/36/UE (dite "CRD IV", ci-après "la Directive"), et va au-delà de ce que cette dernière prévoit en étendant les principes que la Directive édicte pour la fonction de gestion des risques seule aux fonctions d'audit interne et de compliance.
Une évolution similaire a été réalisée pour le secteur des assurances, par les articles 9 et suivants de la loi portant des dispositions diverses du 25 avril 2014. Cette loi modifie notamment la loi du 9 juillet 1975 relative au contrôle des entreprises d'assurances (ci-après "la Loi de contrôle"). Outre les trois fonctions rappelées ci-dessus, une quatrième fonction, la fonction actuarielle, fait partie des fonctions de contrôle indépendantes qui doivent être intégrées dans la gouvernance de chaque entreprise d'assurances, conformément à la directive "Solvency II".
Test fit & proper
Les compliance officers doivent dorénavant disposer de l'honorabilité professionnelle nécessaire et de l'expertise adéquate à l'exercice de leur fonction (article 19 de la Loi bancaire et nouvel article 90 de la Loi de contrôle). Les personnes qui, au plus haut niveau, assurent la fonction de conformité, occupent une place clef au sein de l'établissement. L'exposé des motifs de la nouvelle loi bancaire est clair à cet égard :
"Les fonctions visées ci-avant [les fonctions de contrôle indépendantes] sont essentielles à l'exercice effectif et en toute connaissance de cause de la direction de l'établissement de crédit. Par leurs contrôles, leurs appréciations et leurs avis, les responsables de ces fonctions apportent aux dirigeants de l'établissement les instruments nécessaires pour assumer la responsabilité de la direction de celui-ci."
Ces exigences se combinent avec celles de l'article 87bis de la loi du 2 août 2002 qui requiert que les compliance officers possèdent l'honorabilité professionnelle nécessaire ainsi que les connaissances et l'expérience adéquates. Le respect de cette disposition est contrôlé par la FSMA dans le cadre de l'agrément des compliance officers.
Pour rappel, la loi du 30 juillet 2013 (dite "Twin Peaks II") est entrée en vigueur le 30 avril 2014. Avec cette loi, les entreprises d'assurances se voient désormais également régies par les exigences légales issues de la Directive MiFID.
Responsabilité
Le compliance officer se verra reprocher d'être inefficace s'il n'identifie pas à temps une "non-conformité". Il sera également taxé d'inefficacité s'il relève trop souvent des risques de "non-conformité". En outre, il pourra être tenu pénalement responsable s'il ne dénonce pas les infractions qu'il identifie, même si son abstention est vue avec bienveillance par sa hiérarchie. A ce titre, il convient de garder à l'esprit la jurisprudence de la Cour de cassation : "une omission peut entraîner une participation punissable lorsque l'auteur a un devoir positif d'agir et qu'en outre, son abstention constitue un encouragement positif à la perpétration de l'infraction" (Cass. 29 avril 2003).
Par conséquence, le compliance officer veillera à identifier son exposition et, s'il ne dispose pas des moyens suffisants pour assurer le bon exercice de sa fonction, il devra réclamer que l'entreprise y remédie, notamment dans le cadre de ses rapports périodiques à l'organe légal d'administration.
Nomination
La loi renforce le contrôle lors de la nomination du compliance officer. D'une part, toute proposition de nomination et de renouvellement des responsables des fonctions de compliance doit être préalablement notifiée à l'autorité de contrôle (selon le cas, la Banque nationale de Belgique ou la Banque centrale européenne). D'autre part, leur nomination est soumise à l'approbation préalable de cette autorité de contrôle (article 60 de la Loi bancaire et article 90bis de la Loi de contrôle). Comme rappelé ci-dessus, en concertation avec l'autorité de contrôle, la FSMA se prononce sur l'agrément des compliance officers (art. 87bis de la loi du 2 août 2002).
Protection contre la révocation "abusive"
Les compliance officers auront d'ordinaire un statut d'employé. La loi renforce leur stabilité, qui est une juste contrepartie à l'indépendance de jugement qui est requise de leur part.
Lorsque l'entreprise envisage de démettre un compliance officer, elle devra en informer préalablement l'autorité de contrôle. Dans les banques, le compliance officer ne pourra être démis de ses fonctions que par l'organe légal d'administration de l'entreprise (article 61 de la Loi bancaire). Cette protection supplémentaire n'existe pas dans le secteur des assurances.
Dès lors, en contrepartie de leur travail scrupuleux qui suppose notamment une capacité de contrôle indépendant des actions des dirigeants, le compliance officer bénéficie formellement d'une certaine protection contre le risque de révocation "abusive". Cependant, l'autorité de contrôle n'est pas chargée de protéger le compliance officer. Le pouvoir de révocation appartient toujours à l'entreprise et l'autorité de contrôle ne pourra tout au plus qu'émettre un avis, fut-il contraire, qui ne sera pas nécessairement porté à la connaissance de l'intéressé.