Recommandations AFA : loi Sapin II et son dispositif anticorruption

Depuis sa création en 2017, l’AFA (Agence française anticorruption) a consacré grande partie de son activité de conseil à l’élaboration de recommandations et de guides pratiques , qui avec la loi Sapin II (loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique) et ses décrets d’application constituent le référentiel anticorruption français.

—————————-

Ces textes ont permis à la France de rattraper son retard dans la lutte contre la corruption et le trafic d’influence, et de s’aligner sur les meilleurs standards internationaux, en s’inspirant de législations étrangères, notamment de celle américaine.

Les recommandations de l’AFA, actualisées en janvier 2021, s’adressent aux entreprises, de droit privé et droit public, atteignant cumulativement le double critère de 100 millions d’euros de chiffre d’affaires et plus de 500 salariés, ainsi qu’aux filiales, françaises ou étrangères, qui respectent le même double critère.

Pour ces entreprises, l’AFA a donc établi les modalités de mise en œuvre d’un dispositif de conformité anticorruption que chaque organisation – compte tenu de la taille, de la structure de gouvernance, du domaine ou du secteur d’intervention et de la zone géographique – doit déployer, de manière proportionnée et adaptée à son profil de risque.

Le dispositif anticorruption doit être adéquat et doit s’articuler autour de trois piliers indissociables, à savoir : 1. L’engagement de l’instance dirigeante, 2. La cartographie des risques d’atteinte à la probité, 3. Les mesures et procédures à déployer pour maîtriser ces risques (voir le tableau ci-dessous).

Même si les PME ne sont pas directement concernées par la loi Sapin II, l’AFA sollicite ces dernières à mettre en place des mesures anticorruption pour prévenir la commission d’infractions dont les conséquences peuvent être lourdes d’un point de vue pénal pour le dirigeant outre que d’un point de vue financier et réputationnel[1].

Régime des trois piliers indissociables

Les nouvelles recommandations de l’AFA, qui annulent et remplacent celles de 2017, tiennent compte de l’évolution des bonnes pratiques constatées par la même Agence lors de ses contrôles réalisés, dans les trois ans après l’entrée en vigueur de la loi Sapin II, au sein des organisations soumises à son contrôle.

Ces recommandations sont désormais organisées en trois sections :

• Dispositions générales
• Déclinaison des dispositions générales aux entreprises assujetties à l’article 17 de la loi
• Déclinaison des dispositions générales aux acteurs publics assujettis au 3° de l’article 3 de la loi

Contrairement aux recommandations de 2017, le nouveau texte de l’AFA réorganise les huit mesures du programme anticorruption visées par la loi Sapin II autour des trois piliers précédemment évoqués.

Le dispositif de conformité anticorruption de l’AFA concerne uniquement deux des six infractions énumérées à l’article 1 de la loi, à savoir la corruption et le trafic d’influence.

Cependant, il est recommandé de mettre en œuvre un dispositif anticorruption plus large qui englobe aussi les infractions de faux, d’abus de biens sociaux, de recel ou de blanchiment des faits de corruption ou de trafic d’influence.

Premier pilier : Engagement de l’instance dirigeante

L’article 17-I de la loi Sapin II impose à l’instance dirigeante[2] de « prendre les mesures destinées à prévenir et détecter la commission, en France ou à l’étranger, de faits de corruption ou de trafic d’influence selon les modalités prévues » au II de la loi.   

L’engagement de l’instance dirigeante est considéré par l’AFA comme l’élément fondateur de tout dispositif anticorruption. Cet engagement se manifeste par :

• La mise en œuvre d’une politique de tolérance zéro à l’égard de tout fait de corruption
• L’adoption de mesures et procédures spécifiques de contrôle
• La mobilisation de moyens, humains et financiers, proportionnés au profil de risque de l’entreprise.

L’instance dirigeante est sollicitée à participer personnellement à la mise en œuvre de certaines mesures et procédures composant le dispositif anticorruption. Cela est requis à l’occasion de la validation de la cartographie des risques d’atteinte à la probité, de la prise de décision à l’issue de l’évaluation de certains tiers ou lorsqu’il s’agit de déterminer les sanctions à prononcer en cas de violation du Code de conduite ou de faits susceptibles d’être qualifiés d’atteinte à la probité.

A l’issue du processus d’identification et d’évaluation des risques, l’instance dirigeante doit établir un plan d‘action et vérifier, au moyen d’indicateurs et de rapports de contrôle et d’audit, que le dispositif anticorruption est organisé, efficace et à jour.

C’est toujours à elle que revient la tâche de désigner le responsable de la conformité, de formaliser par une lettre de mission les objectifs et les missions confiées à ce dernier, et d’adresser une communication de la nomination à l’ensemble du personnel de l’entreprise.

Cette communication est importante puisqu’elle permet de montrer que l’instance dirigeante soutient la mise en œuvre d’un dispositif anticorruption. Elle offre aussi l’occasion d’expliquer à tous les collaborateurs de l’entreprise pourquoi la mise en œuvre de mesures et procédures spécifiques de contrôle est ainsi nécessaire, et en quoi elles protègent l’entreprise.

Dans le cas d’entreprises structurées autour d’une entité centrale de type maison-mère et filiales, l’AFA recommande de désigner un responsable de la conformité au niveau central et des référentes, par exemple, par pays, par filiale ou par unité opérationnelle.

Le responsable de la conformité peut inciter la mise en œuvre du dispositif anticorruption au sein des filiales du groupe et les assister dans cet exercice, au moyen notamment de méthodologies et de politiques communes, qui doivent être, le cas échéant, adaptées aux exigences locales.

Pour exercer au mieux ses missions, le responsable de la conformité doit être indépendant vis-à-vis des dirigeants et des autres fonctions de l’entreprise, posséder des compétences et connaissances solides dans le domaine de l’anticorruption, avoir accès à toute information utile à l’exercice de sa mission, avoir un lien direct et régulier avec l’instance dirigeante ainsi qu’un accès facilité au conseil d’administration.

Deuxième pilier : La cartographie des risques

L’art. 17-II-3 de la loi Sapin II impose aux entreprises assujetties de mettre en œuvre une cartographie des risques « prenant la forme d’une documentation régulièrement actualisée et destinée à identifier, analyser et hiérarchiser les risques d’exposition de la société à des sollicitations externes aux fins de corruption, en fonction notamment des secteurs d’activités et des zones géographiques dans lesquels la société exerce son activité ».

La cartographie des risques est sans doute la pierre angulaire du dispositif anticorruption de la loi Sapin II. C’est sur la base de cet outil de pilotage que les instances dirigeantes définissent la stratégie et les mesures, proportionnées et adaptées, à mettre en œuvre pour se prémunir contre les conséquences réputationnelles, juridiques, humaines, économiques et financières, qui peuvent découler d’une mauvaise gestion des risques de corruption.

Naturellement, l’établissement de la cartographie des risques suppose que les rôles et les responsabilités au sein de l’entreprise ont été bien définis et que les différents niveaux hiérarchiques impliqués dans l’élaboration de ce document aient une connaissance étendue de l’organisation, des activités et des processus managériaux et opérationnels de l’entreprise.

Chaque organisation établit sa propre cartographie des risques qui doit être formalisée, c’est-à-dire qu’elle doit prendre la forme d’une documentation écrite et structurée, qui décrit en détail la méthodologie retenue (notamment : approche par métier, par processus, par zone géographique, par entité) et les mesures prises pour maîtriser les risques.

Elle doit être régulièrement améliorée et mise à jour notamment à l’occasion d’opérations significatives (à savoir : les opérations de fusion et acquisition, de cession d’actifs ou d’association d’un nouveau partenaire stratégique) capables de déterminer des changements importants au sein de l’entreprise.

L’AFA a donc identifié les 6 étapes suivantes qui doivent être respectées lors de l’élaboration et de la mise en œuvre de la cartographie des risques :

1. Rôles et responsabilités des parties prenantes à la cartographie des risques

La ségrégation des rôles et des responsabilités est un prérequis indispensable. Ainsi, l’instance dirigeante promut la cartographie des risques, désigne le responsable de la conformité – qui doit être doté des moyens, humains et financiers, nécessaires pour mener à bien sa mission – et approuve la stratégie de gestion des risques et sa mise en œuvre.

Le responsable de la conformité, quant à lui, doit coordonner l’établissement de la cartographie des risques de corruption, en accompagnant l’entreprise dans l’identification, la hiérarchisation, l’évaluation et la mise en œuvre des mesures courantes.

S’agissant d’un processus qui ne peut pas être mené par une seule personne, chaque partie de l’entreprise (les responsable des processus décisionnels, opérationnels et comptables, le responsable en charge de la maîtrise des risques, mais aussi les  personnels de l’entreprise) toute et chacune à leur place doit contribuer à l’élaboration de la cartographie des risques.

2. Identification des risques inhérents aux activités de l’entreprise (recensement des processus et scénarios des risques)

L’identification des risques – qui doit être réalisée au travers l’organisation d’échanges et d’ateliers en utilisant également des questionnaires et avec la contribution du personnel de l’entreprise de tous niveaux hiérarchiques – permet de procéder à un état des lieux, précis et documenté, des risques liés à l’activité de l’entreprise.

De plus, l’identification des scenarios de risques (en procédant par : les pays dans lesquels l’entreprise déploie ses activités, la nature des opérations et des relations commerciales avec les tiers, les moyens de paiement, l’historique des incidents constatés et la durée du cycle de vente) permet de mieux connaître  l’environnement dans lequel l’entreprise exerce ses activités.

3. Evaluation des risques bruts

L’analyse des scenarios de risque permet d’évaluer le niveau de vulnérabilité de l’entreprise et d’identifier les risques bruts auxquels l’entreprise est exposée au moyen de trois indicateurs : l’impact, la fréquence et les facteurs aggravants.

4. Evaluation des risques nets

Cette étape permet d’évaluer l’efficacité des mesures de maîtrise des risques et de déterminer les éventuelles faiblesses ou lacunes, au travers l’identification des risques nets ou résiduels, des contrôles actuels identifiés dans le cadre de l’analyse des scénarios.

5. Hiérarchisation des risques nets ou résiduels et élaboration du Plan d’action

La hiérarchisation des risques permet de distinguer entre les risques pour lesquels le niveau de maîtrise est considéré comme suffisant et les risques que l’instance dirigeante souhaite améliorer le contrôle interne, en définissant le niveau d’acceptabilité auquel elle assume de s’exposer.

Sur la base de ces éléments visualisés graphiquement dans la cartographie des risques, un Plan d’action doit être élaboré afin d’établir la stratégie, les responsabilités des acteurs impliqués, les mesures à mettre en œuvre, les modalités de compte-rendu et de suivi.

6. Formalisation, mise à jour et archivage de la cartographie des risques

La cartographie des risques est donc un document formalisé qui comprend l’ensemble des éléments précités. Elle doit être actualisée et évaluée chaque année, compte tenu de l’évolution de l’activité de l’entreprise, afin d’adapter la méthodologie aux risques auxquels cette dernière est réellement exposée.

Troisième pilier : La gestion des risques

L’AFA regroupe, dans le cadre du troisième pilier du dispositif anticorruption, l’ensemble des autres mesures exigées par la loi Sapin II.

Le volet prévention des risques est dédié aux trois thématiques suivantes : 1. Le Code de conduite, 2. La sensibilisation et la formation, 3. L’évaluation des tiers.

Code de conduite : l’AFA rappelle d’abord que le 1° du II de l’article 17 de la loi dispose que les personnes mentionnées au I mettent en œuvre « un code de conduite définissant et illustrant les différents types de comportements à proscrire comme étant susceptibles de caractériser des faits de corruption ou de trafic d’influence. Ce code de conduite est intégré au règlement intérieur de l’entreprise et fait l’objet, à ce titre, de la procédure de consultation des représentants du personnel prévue à l’article L.1321-4 du code du travail ».

Le Code de conduite est un document qui permet de formaliser l’engagement de l’instance dirigeante en faveur d’une tolérance zéro en matière de corruption, de décrire la politique anticorruption adoptée par l’entreprise, ainsi que les comportements à proscrire au sein de l’entreprise et dans les relations commerciales avec les tiers.

Le Code de conduite doit être élaboré, en préférence, après avoir défini la cartographie des risques. Cela permet d’illustrer le Code de conduite avec des exemples de risques concrets et spécifiques à l’entreprise. Il doit être élaboré conjointement par le responsable de la conformité et les responsables des fonctions plus importantes (ressources humaines, juridique, métiers).

Il doit être validé, préfacé et signé par l’instance dirigeante de façon à souligner que cette dernière entend favoriser le développement de la culture de la conformité, de l’éthique, de l’intégrité et de la probité au sein de l’entreprise et de son environnement.

Le Code de conduite doit être régulièrement mis à jour, en lien avec l’évaluation de la cartographie des risques, et communiqué à l’ensemble du personnel. Il peut être traduit en une ou plusieurs langues étrangères et doit être imposé aux tiers.

Sensibilisation et formation : le 6° du II de l’article 17 de la loi Sapin II, l’entreprise doit définir et mettre en œuvre « un dispositif de formation destiné aux cadres et aux personnes les plus exposées aux risques de corruption et de trafic d’influence ».

Le dispositif de formation s’adresse prioritairement aux cadres et aux collaborateurs les plus exposé aux risques de corruption, mais des actions de sensibilisation et de formation impliquant d’autres collaborateurs peuvent être organisées au sein de l’entreprise.

Il n’existe pas un dispositif idéal de formation. Son format peut varier en fonction des risques identifiés, des moyens et des ressources que l’entreprise peut y consacrer et du nombre de personnes à former. Il peut s’agir, par exemple de :

• Formations en présentiel via des conférences, cours, ateliers, mise en situation, jeux de rôle, etc.
• E-formation.

Il est important que ces formations s’appuient sur des cas pratiques et que soient assorties de questionnaires ou de tests de vérification des acquis.

Evaluation de l’intégrité des tiers : le 4°du II de l’article 17 de la loi Sapin II dispose que l’entreprise doit mettre en œuvre « des procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques ».

L’entreprise doit connaître les clients, fournisseurs et intermédiaires avec lesquels elle entretient une relation commerciale établie et qui peuvent l’exposer à des risques de corruption. Le dispositif de l’évaluation des tiers permet ainsi à l’entreprise de recenser ses partenaires, de les classer par groupe selon leur profil de risque et d’évaluer les mesures à mettre en œuvre pour sécuriser son environnement.

L’instance dirigeante, en collaboration avec le responsable de la conformité et le personnel en charge des évaluations, doit définir et formaliser la procédure d’évaluation des tiers sur le fondement de la cartographie des risques.

L’AFA encourage les entreprises assujetties à ressembler les informations pertinentes pour évaluer les tiers, à savoir : identité de l’entreprise et de ses actionnaires, d’éventuelles condamnations ou poursuites judiciaires, d’éventuelles interactions avec le secteur public, conflits d’intérêts, forte dépendance économique, faible expertise du prestataire, moyens de paiement inappropriés, implantation à l’étranger ….

Les informations doivent être obtenues dans le respect de la réglementation en vigueur. Elles doivent être analysées et sur la base du niveau de risque identifié, l’entreprise doit décider si :

• Approuver la relation (avec ou sans mesures de vigilance renforcées)
• Mettre un terme à la relation ou de ne pas l’engager
• Reporter la prise de décision

L’évaluation des tiers doit être reconduite de manière périodique car l’environnement de la relation avec le partenaire peut évoluer. Il est utile pour l’entreprise de fixer la fréquence de revue en fonction du profil de risque du partenaire dès l’entrée en relation.

Le volet détection est dédié aux deux thématiques suivantes : 1. L’alerte interne, 2. Le contrôle interne, y compris le contrôle comptable.

Alerte interne : l’AFA rappelle que conformément au 2° du II de l’article 17 de la loi Sapin II, l’entreprise est tenue de mettre en œuvre « un dispositif d’alerte interne destiné à permettre le recueil des signalements émanant d’employés et relatifs à l’existence de conduites ou de situations contraires au code de conduite ».

La mise en œuvre de ce dispositif permet à l’entreprise de recueillir des signalements de comportements contraires au Code de conduite anticorruption, afin d’y mettre fin et de prendre, le cas échéant, les sanctions appropriées.

Le dispositif d’alerte interne est donc un élément crucial du dispositif de conformité anticorruption puisqu’il est une source d’information pour l’instance dirigeante sur des situations à risque. Il doit être facilement accessible aux salariés et collaborateurs extérieurs de l’entreprise et garantir l’anonymat de ces derniers.

L’AFA renforce notamment les exigences de formalisation de la procédure d’alerte interne, qui doit notamment préciser : les différentes étapes à suivre pour effectuer un signalement, les modalités de traitement des signalements, le droit des personnes concernées (et notamment leur protection) et les mesures de sécurité et de conservation des données à caractère personnel.

Le contrôle interne : l’article 17 de la loi Sapin II impose aux entreprises assujetties de mettre de mettre en place des mesures de contrôle comptables et un dispositif de contrôle et d’évaluation interne des mesures et procédures composant le dispositif anticorruption.

Les entreprises – rappelle l’AFA – sont généralement dotées d’un dispositif de contrôle interne basé sur les trois lignes de défenses et organisé selon le schéma suivant :

• Les contrôles de premier niveau visent à s’assurer que les tâches inhérentes à un processus opérationnel ou support ont été effectuées conformément aux procédures de l’entreprise
• Les contrôles de deuxième niveau visent à s’assurer, selon une fréquence prédéfinie, de la bonne exécution des contrôles de premier niveau
• Les contrôles de troisième niveau réalisés par l’audit interne visent à s’assurer que le dispositif de contrôle est conforme aux exigences de l’entreprise, efficacement mis en œuvre et tenu à jour.

L’AFA insiste sur le fait que les systèmes de contrôle interne doivent être renforcés – de façon à couvrir les situations à risque identifiées par la cartographie des risques de corruption – et adaptés à ces risques.

En ce qui concerne les contrôles comptables, l’AFA rappelle que l’article 17 de la loi Sapin II dispose que ces contrôles ont pour objectif de « s’assurer que les livres, registres et comptes ne sont pas utilisés pour masquer des faits de corruption et de trafic d’influence ».

Les contrôles comptables font partie du contrôle interne. L’AFA invite l’instance dirigeante à s’assurer que son dispositif de contrôle interne a vocation générale et inclut également les contrôles comptables anticorruption.

Elle insiste également sur le fait que l’entreprise doit se doter d’une procédure formalisée qui doit préciser notamment les points suivants :

• L’objet et le périmètre des contrôles
• Les rôles et responsabilités dans la mise en œuvre des contrôles comptables de niveaux 1, 2 et 3
• La définition d’un plan de contrôle qui peut inclure, suivant les niveaux de risque identifiés, des contrôles systématiques et des contrôles fait par rotation, ainsi que leur temporalité
• Les modalités de gestion des anomalies.

En définitive, si correctement appliqués, les contrôles comptables anticorruption permettent de donner une assurance raisonnable que l’entreprise a pris toutes les mesures nécessaires pour gérer les risques mis en évidence par la cartographie des risques de corruption.

gp@giovannellapolidoro.com

—————————————-

[1] v. AFA « Guide pratique anticorruption à destination des PME et des petites ETI »

[2] Constituent l’instance dirigeante, au sens du I de l’article 17 de la loi Sapin II, les personnes suivantes :

• Les présidents, les directeurs généraux et les gérants de sociétés ayant leur siège social en France, employant au moins cinq cents salariés et dont le chiffre d’affaires est supérieur à 100 millions d’euros
• Les présidents, les directeurs généraux et les gérants de sociétés appartenant à un groupe de sociétés dont la société mère a son siège social en France, dont l’effectif comprend au moins cinq cents salariés et dont le chiffre d’affaires consolidé est supérieur à 100 millions d’euros
• Les présidents et directeurs généraux d’établissements publics à caractère industriel et commercial employant au moins cinq cents salariés, ou appartenant à un groupe public dont l’effectif comprend au moins cinq cents salariés, et dont le chiffre d’affaires ou le chiffre d’affaires consolidé est supérieur à 100 millions d’euros
• Les membres du directoire des sociétés anonymes régies par l’article L.225-57 du code de commerce et employant au moins cinq cents salariés, ou appartenant à un groupe de sociétés dont l’effectif comprend au moins cinq cents salariés, et dont le chiffre d’affaires ou le chiffre d’affaires consolidé est supérieur à 100 millions d’euros.