La compliance, c’est la conformité qui est, soit l’état d’être en conformité avec les lignes directrices ou les spécifications établies, soit le processus de le devenir. Les logiciels, par exemple, peuvent être développés conformément aux spécifications créées par un organisme de normalisation, puis déployés par des organisations utilisatrices, ce conformément au contrat de licence d’un fournisseur. La définition de la conformité (compliance) peut également englober les efforts visant à s’assurer que les organisations respectent à la fois les règlements de l’industrie et la législation gouvernementale.
Lire également nos articles sur KYC et KYB et DUE diligence
La compliance est une préoccupation commerciale répandue, en partie en raison d’un nombre toujours croissant de réglementations qui exigent des entreprises qu’elles soient vigilantes pour maintenir une compréhension complète de leurs exigences de conformité réglementaire. Voici quelques-uns des principaux règlements, normes et lois auxquels les organisations pourraient avoir besoin de se conformer :
- Loi Sarbanes-Oxley (SOX) de 2002 : SOX a été promulguée en réponse aux scandales financiers très médiatisés d’Enron et de WorldCom pour protéger les actionnaires et le grand public contre les erreurs comptables et les pratiques frauduleuses dans l’entreprise. Entre autres dispositions, la loi établit des règles sur le stockage et la conservation des documents commerciaux dans les systèmes informatiques.
- Can Spam Act de 2003 : le Can Spam Act oblige les entreprises à étiqueter les courriels commerciaux comme de la publicité, à utiliser des adresses e-mail de retour légitimes, à fournir aux destinataires des options de désinscription et à traiter les demandes de désinscription dans un délais de 10 jours ouvrables.
- Loi de 1996 sur la portabilité et la responsabilité en matière d’assurance maladie(HIPAA) : le titre II de la loi HIPAA comprend une section de simplification administrative qui impose la normalisation des systèmes de dossiers de santé électroniques et comprend des mécanismes de sécurité conçus pour protéger la confidentialité des données et la confidentialité des patients.
- Loi Dodd-Frank : promulguée en 2010, cette loi vise à réduire la dépendance du gouvernement fédéral à l’égard des banques, en les soumettant à des règlements qui imposent la transparence et la responsabilité, afin de protéger les clients.
- Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) : PCI DSS est un ensemble de politiques et de procédures créées en 2004 par Visa, MasterCard, Discover et American Express pour assurer la sécurité des transactions par carte de crédit, de débit et de paiement.
- Loi fédérale sur la gestion de la sécurité de l’information (FISMA) : promulguée en 2002, la FISMA exige que les organismes fédéraux procèdent à des examens annuels des programmes de sécurité de l’information afin de maintenir les risques sur les données, à des niveaux acceptables spécifiés.
Les directives de conformité informatique varient d’un pays à l’autre ; SOX, par exemple, est une loi américaine. Une législation similaire dans d’autres pays comprend le Deutscher Corporate Governance Kodex en Allemagne et le Corporate Law Economic Reform Program Act 2004 en Australie. Par conséquent, les organisations multinationales doivent être conscientes des exigences de conformité réglementaire de chaque pays dans lequel elles opèrent.
Alors que les réglementations et autres directives sont devenues une préoccupation de la direction d’entreprise, les entreprises se tournent de plus en plus fréquemment vers des logiciels de conformité spécialisés et des consultants en conformité informatique. De nombreuses organisations ont même ajouté des emplois de conformité tels qu’un responsable de la conformité (CCO).
Les principales responsabilités d’un chef de la conformité comprennent de s’assurer qu’une organisation est en mesure à la fois de gérer les risques de conformité et de passer un audit de conformité. La nature exacte d’un audit de conformité varie en fonction de facteurs tels que le secteur d’activité de l’organisation, qu’il s’agisse d’une entreprise publique ou privée, et la nature des données qu’elle crée, collecte et stocke.