Mettre en place un programme de compliance en entreprise suisse : guide méthodologique

Introduction

La compliance (conformité réglementaire) est devenue un enjeu stratégique pour toute entreprise suisse opérant à l'international. Les scandales financiers, les amendes record et les poursuites pénales des dernières années ont démontré que l'absence d'un programme de compliance robuste expose l'entreprise et ses dirigeants à des risques considérables.

En droit suisse, la responsabilité pénale de l'entreprise (art. 102 CP) peut être engagée lorsqu'un crime ou un délit est commis en son sein et qu'il ne peut être imputé à une personne physique déterminée en raison d'un défaut d'organisation. Un programme de compliance bien conçu constitue la meilleure défense contre cette responsabilité.

Pourquoi un programme de compliance ?

Risques sans programme de compliance

Cadre légal suisse pertinent

Les principales sources d'obligations de compliance en Suisse :

• Art. 102 CP — responsabilité pénale de l'entreprise
• LBA (RS 955.0) — lutte contre le blanchiment d'argent
• Loi sur les embargos (LEmb, RS 946.231) — sanctions internationales
• Loi sur le contrôle des biens (LCB, RS 946.202) — biens à double usage
• Art. 4 LCD — concurrence déloyale (corruption privée depuis 2016)
• LPD (RS 235.1) — protection des données (nLPD depuis 2023)
• Art. 964a-l CO — devoir de diligence et transparence en matière de minerais et travail des enfants

Les 7 piliers d'un programme de compliance

1. Engagement de la direction (Tone from the Top)

Le programme de compliance doit être porté par la direction générale et le conseil d'administration :

• Adoption d'une politique de compliance écrite
• Allocation de ressources suffisantes (budget, personnel)
• Communication régulière sur l'importance de la conformité
• Exemplarité des dirigeants dans le respect des règles
• Intégration de la compliance dans les objectifs stratégiques

Bonne pratique : le conseil d'administration doit traiter la compliance comme un point récurrent de l'ordre du jour (au minimum trimestriel).

2. Analyse des risques (Risk Assessment)

L'analyse des risques est le fondement du programme. Elle doit être :

Méthodologique :

1. Identification des risques (par domaine : AML, corruption, sanctions, données, etc.)
2. Évaluation de la probabilité et de l'impact
3. Cartographie des risques (matrice probabilité/impact)
4. Priorisation des mesures de mitigation

Spécifique à l'entreprise :

• Secteur d'activité (finance, négoce, industrie)
• Zones géographiques d'opération (pays à risque)
• Types de clients et contreparties
• Canaux de distribution
• Taille et complexité de l'organisation

Régulièrement mise à jour : au minimum annuellement et après tout événement significatif (nouvelle activité, nouveau marché, incident).

3. Politiques et procédures écrites

Les règles internes doivent être formalisées dans des documents accessibles à tous les collaborateurs :

Documents essentiels :

• Code de conduite (principes généraux)
• Politique anti-corruption
• Politique AML/KYC (si applicable)
• Politique de sanctions et embargos
• Politique de protection des données
• Politique de gestion des conflits d'intérêts
• Politique cadeaux et invitations
• Procédure d'alerte interne (whistleblowing)

Caractéristiques :

• Rédigées dans les langues de travail de l'entreprise
• Approuvées par la direction
• Datées et versionnées
• Facilement accessibles (intranet, classeur physique)

4. Formation et sensibilisation

La formation est l'outil le plus efficace pour ancrer la culture de compliance :

Programme de formation :

• Formation initiale obligatoire pour tout nouveau collaborateur
• Formations de rappel annuelles (e-learning ou présentiel)
• Formations spécialisées par fonction (ventes, finance, achats)
• Formations ad hoc en cas de changement réglementaire

Méthodes pédagogiques :

• Cas pratiques tirés du secteur d'activité
• Scénarios interactifs (que feriez-vous si...)
• Tests de connaissance avec seuil de réussite
• Documentation de la participation (registre de formation)

5. Contrôles et monitoring

Le programme doit prévoir des mécanismes de détection des violations :

Contrôles de premier niveau :

• Vérifications opérationnelles quotidiennes (4-eyes principle)
• Approbations hiérarchiques pour les opérations à risque
• Screening automatisé (sanctions, PEP)

Contrôles de deuxième niveau :

• Revues périodiques par la fonction compliance
• Tests de conformité sur échantillon
• Analyse des alertes du système de monitoring

Contrôles de troisième niveau :

• Audit interne indépendant
• Audit externe par un cabinet spécialisé
• Contrôle de l'OAR (pour les intermédiaires financiers)

6. Canal d'alerte (Whistleblowing)

Un mécanisme de signalement interne permet de détecter les violations avant qu'elles ne deviennent des crises :

Caractéristiques d'un bon système :

• Accessibilité (hotline, email dédié, plateforme en ligne)
• Confidentialité garantie pour le lanceur d'alerte
• Protection contre les représailles (art. 321a CO, art. 10 LPD)
• Procédure d'investigation documentée
• Feedback au lanceur d'alerte sur les suites données

Cadre légal : la Suisse ne dispose pas encore d'une loi spécifique sur la protection des lanceurs d'alerte (contrairement à la directive UE 2019/1937), mais les obligations de loyauté et de bonne foi s'appliquent.

7. Sanctions internes et amélioration continue

Le programme doit prévoir des conséquences en cas de violation :

Sanctions graduées :

• Avertissement écrit
• Mutation ou rétrogradation
• Résiliation du contrat de travail
• Dénonciation aux autorités si nécessaire

Amélioration continue :

• Analyse des incidents et near-misses
• Benchmarking avec les bonnes pratiques du secteur
• Adaptation aux évolutions réglementaires
• Reporting régulier au conseil d'administration

Le Compliance Officer

Rôle et positionnement

Le Compliance Officer (responsable de la conformité) est la cheville ouvrière du programme :

• Rattachement direct à la direction générale ou au conseil d'administration
• Indépendance fonctionnelle vis-à-vis des lignes opérationnelles
• Accès illimité à l'information et aux personnes
• Budget propre pour les formations et audits externes

Compétences requises

• Formation juridique (droit des affaires, droit pénal économique)
• Connaissance approfondie du secteur d'activité
• Capacité de communication et de pédagogie
• Intégrité et courage (capacité à dire non)

Spécificités sectorielles

Négoce international

Les entreprises de négoce (matières premières, commodities) font face à des risques spécifiques :

• Corruption d'agents publics étrangers (pays producteurs)
• Sanctions et embargos (pétrole, minerais de conflit)
• Blanchiment via les lettres de crédit
• Fraude à l'origine et à la classification tarifaire

Services financiers

Les intermédiaires financiers doivent intégrer :

• Programme AML/KYC complet (voir obligations LBA)
• Gestion des conflits d'intérêts (MiFID II pour les activités cross-border)
• Abus de marché (insider trading, manipulation de cours)
• Protection des données clients (secret bancaire, LPD)

Conclusion

Un programme de compliance n'est pas un luxe réservé aux grandes entreprises : c'est une nécessité pour toute organisation exposée à des risques réglementaires. En Suisse, l'art. 102 CP fait du défaut d'organisation un facteur d'imputation de la responsabilité pénale à l'entreprise.

L'avocat spécialisé en compliance accompagne les entreprises dans la conception, la mise en place et l'audit de leur programme de conformité. Son expertise juridique permet de calibrer le programme aux risques réels de l'entreprise et de garantir sa robustesse face aux contrôles des autorités.