Après plus de 20 ans passés au sein d’Air France, Elisabeth Philippe en devient responsable de la conformité. Forte de son expérience, elle expose à Décideurs les enjeux de compliance auxquels elle est confrontée. De son côté, Mathieu Laubignat, Data Privacy Officer, revient sur la thématique des données à caractère personnel.
E. Philippe et M. Laubignat (Air France) : "Considérer la compliance comme un levier économique stratégique "
Décideurs. Quel est l’enjeu principal de la conformité pour Air France KLM ?
Elisabeth Philippe. L’enjeu majeur est d’écarter toute mise en cause de la responsabilité de nos dirigeants sur des sujets de conformité. Il faut évidemment éviter tout type de sanction, quelle soit administrative, civile ou pénale, que les autorités peuvent nous infliger selon les réglementations et les lois applicables, parmi lesquelles l’Ofac, le FCPA, le UKBA, la loi Sapin 2 ou encore notre code pénal français. Mais il est surtout important de considérer la compliance comme un levier économique stratégique. Par exemple, une action extraterritoriale fondée sur un défaut de conformité peut anéantir une part de marché voire une activité entière. L’enjeu consiste désormais à ce que nos dirigeants prennent conscience que la compliance fait partie intégrante de la stratégie de l’entreprise et est un véritable élément de sa compétitivité.
La compliance est désormais davantage perçue comme un élément de la stratégie des entreprises. Comment le percevez-vous ?
E. P. Au moment où Boeing connaît des déboires techniques, son 737 Max étant cloué au sol, le blog du FCPA, site internet dédié aux faits de corruption, a publié un article évoquant la course technologique entre Boeing et Airbus comme une cause du défaut du constructeur américain. C’est très révélateur comme démarche ! Cela révèle le fait que la corruption est un sujet finalement très économique. La réglementation et le rouage judiciaire américains sont beaucoup plus matures que les autres. Mais la France peut désormais contre-attaquer grâce à la loi Sapin 2 qui est un bel outil. Son article 21 permet à toute entreprise s’adressant au marché français d’être poursuivie en France pour des faits de corruption réalisés partout dans le monde. Le rapport annuel de l’AFA, publié en juin 2019, consacre d’ailleurs un chapitre entier sur une « une approche volontariste de la prévention de la corruption et de la défense des intérêts français ». Il convient donc d’être vigilant pour éviter l’action de nos concurrents et d’associer la compliance à toute décision de stratégie.
« La réglementation et le rouage judiciaire américains sont beaucoup plus matures que les autres »
À quels risques êtes-vous confrontés ?
E. P. Air France appartient au groupe AFKLM et opère à l’international. Son activité l’expose donc à de nombreux risques de compliance. Le premier concerne le respect des règles de concurrence. La vigilance est de mise dans un monde où les alliances se multiplient. Des experts juristes en concurrence participent activement à la mise en place d’un programme de prévention et dispensent des sessions de formation auprès des équipes exposées. Deuxièmement, il est impératif de respecter les sanctions commerciales et de contrôler les exportations. La géopolitique est de plus en plus complexe et notre activité est affectée par les sanctions commerciales et le respect de contraintes d’exportation des équipements fabriqués aux États-Unis et/ou à double usage. Outre l’impact économique que nous subissons lorsqu’un embargo est instauré, nous devons renforcer le contrôle de nos transactions. Les synergies au sein du Groupe AFKLM sont en œuvre pour optimiser ce process.
Comment appréhendez-vous la lutte contre la corruption au sein du groupe ?
E. P. Les lignes directrices du socle réglementaire du FCPA et du UKBA avaient déjà été prises en compte au sein d’Air France lors de l’entrée en vigueur de la loi Sapin 2 en 2017. Cette dernière a cependant permis de sensibiliser nos dirigeants et les différents métiers du groupe par une campagne anti-corruption. Nous formalisons davantage nos process et nous mettons régulièrement à jour le manuel du groupe pour lutter contre les pratiques de corruption. Nous disposons d’une meilleure identification de ce risque au sein de nos activités et renforçons les mesures de lutte contre la corruption.
« Les passagers sont de plus en plus soucieux de garder le contrôle sur leurs données »
Quelle est la place de l’éthique dans votre pratique de la compliance ?
E. P. Elle est essentielle. Au sein d’Air France, l’éthique repose sur un socle important de codes de conduite et sur le règlement intérieur, et elle fait également l’objet d’une charte éthique et sociale. Notre culture d’entreprise s’est formellement imprégnée de ces principes en 2003 lors de la signature par le Groupe AFKLM du Global Compact des Nations unies par notre engagement au respect de ses dix principes, parmi lesquels le respect des droits humains et de l’environnement, ou encore la protection des données personnelles. Ces valeurs d’éthique sont communes à toutes les entités du groupe et ont été adoptées à l’unanimité par les syndicats représentés au sein du comité de groupe européen d’Air France KLM et par la Confédération européenne des syndicats. Ces principes rayonnent également jusqu’à nos parties tierces car Air France sollicite de ses fournisseurs un engagement contractuel sur ces mêmes valeurs d’éthique.
Quel est l’impact du RGPD sur votre entreprise ?
Mathieu Laubignat. Dans le contexte actuel de transformation numérique, l’utilisation des données à caractère personnel est devenue un nouvel actif stratégique majeur pour les compagnies aériennes comme pour l’ensemble des entreprises qui collectent et traitent des données. Les technologies liées à ces nouveaux usages se développent très rapidement, dans le secteur du transport aérien comme dans d’autres secteurs. À l’inverse, les passagers sont de plus en plus soucieux de protéger leur vie privée, de garder le contrôle sur leurs données et d’obtenir des garanties sur les mesures mises en œuvre pour les protéger. L’entrée en vigueur du RGPD en 2018 a renforcé la nécessité de concilier le développement de nouveaux usages ou services et la protection des données à caractère personnel. Pour une entreprise comme Air France, compte tenu de son implantation européenne et de son activité de compagnie aérienne, il s’agit donc d’un enjeu majeur tant au niveau de la conformité et des sanctions introduites par le règlement qu’en matière d’image et de confiance vis-à-vis de l’ensemble des personnes concernées (clients, salariés, tiers ou partenaires). La protection des données implique une responsabilisation de l’entreprise mais aussi de l’ensemble de ses collaborateurs.
Aujourd’hui, la compagnie a mis en place un réseau « Privacy » interne dont les membres doivent veiller à la bonne prise en compte des exigences du règlement pour les nouveaux projets et réaliser le premier niveau de contrôle. C’est une nouvelle façon de travailler que nous impose le RGPD. Il s’agit du concept de privacy by design, ou protection de la vie privée et données dès la conception. Dès lors qu’un projet vise à collecter et traiter des données de clients ou de salariés, pour de nouvelles finalités, les équipes en charge doivent respecter ce processus afin d’assurer et de documenter la conformité. La protection des données peut même devenir à terme un élément de différenciation dans la mesure où les passagers sont de plus en plus demandeurs de garanties et où le règlement prévoit la mise en œuvre de mécanismes de certification.
