Les difficultés techniques les plus prégnantes de la loi Sapin 2 reposent sur la cartographie des risques, sur les contrôles comptables, on l’a vu, mais également sur l’évaluation des tiers.
Ce dernier point, qui a fait se poser nombre de questions aux entreprises, tant sa rédaction amenait plus de questions qu’elle n’en résolvait, quand le 4° du II de l’art 17 de la loi exigeait que soient mises en place: « Des procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques. »
Effectivement, la longueur du texte apparaissait inversement proportionnelle au nombre de questions qu’elle suscitait : des procédures d’évaluation ? des clients – et, ou ou ? – des fournisseurs ? et intermédiaires ? De premier rang ? au regard de la cartographie des risques (de corruption ?). Et on épargnera ici le lecteur des sous, et sous, sous-questions que le texte engendre immanquablement, ainsi que l’énergie qu’il faut immanquablement y consacrer.
Après quelques années de pratique de la loi Sapin 2, et de constats effectués auprès des entreprises assujetties ou de lecture des rapports de l’Agence française anticorruption, l’on sait, à peu près sans se tromper, que
- l’évaluation dont on parle n’est pas relative à la seule solvabilité, au seul respect des normes environnementales, ou au simple respect des obligations fiscales et sociales, mais un peu tout cela à la fois, et sûrement plus encore : réputation, passé judiciaire… Il s’agit d’évaluer, pour faire simple, la probité du tiers avec qui l’on traite. Il ne s’agira donc pas de choisir, entre 2 candidats à l’attribution d’un marché, celui qui a été condamné pour corruption, ou dont on sait qu’il a été condamné pour avoir fait usage et revente de produits frauduleux, par exemple. L’idée consiste donc à se faire une idée des qualités « morales » du tiers avec qui un accord est envisagé. Et de décider en conscience de poursuivre ou non la relation par un accord contractuel.
- les tiers sont « tous les tiers », qu’ils soient clients ou fournisseurs, sans question de seuil financier particulier, comme la notion de « premier rang » aurait pu le laisser supposer. Les tiers intègrent également, pour les besoins de la cause, les entreprises, ni clientes, ni fournisseurs, mais avec qui des liens capitalistiques, ou contractuels sont patents ou envisagés : partenaires de joint-ventures ou cibles d’acquisition par exemple.
- que les fournisseurs incluent tous les tiers que l’entreprise rémunère, et qu’on y intègre, cela va sans dire, les intermédiaires, à considérer comme des fournisseurs particuliers, mais comme des fournisseurs quand même,
- que les procédures d’évaluations ont vocation à être appliquées en 2 temps :
- un temps pour la segmentation des tiers en populations plus ou moins risquées, à l’aune de cartographie des risques de corruption, et une fois cette segmentation effectuée,
- un temps d’application avec les plus grandes rigueur et énergie aux tiers, les plus problématiques, et d’être un peu moins exigeant avec les profils de tiers les plus rassurants. En étant caricatural, on estimera probablement plus risqué un tiers, intermédiaire, partie à une transaction complexe dans un pays à risque, que la souscription à une police d’assurances auprès d’un réseau national contrôlé par une autorité de contrôle prudentiel, dans un pays bien noté par TI. Quoi que, diront certains.
- que la notion d’étude approfondie d’un tiers passe a minima par une solution de screening, OSINT – Open source intelligence – ou non, ainsi que dans les cas les plus sensibles par le recours à un prestataire à même d’effectuer des analyses précises de terrain sur les tiers considérés, et que le minimum minimorum exigible est de s’assurer que le tiers avec qui l’on traite n’est cité dans un train de sanctions internationales, OFAC ou UE par exemple.
Une fois ces quelques règles du jeu posée se pose une sempiternelle question, à laquelle il n’existe, sauf information contraire, pas de réponse univoque.
Et cette question peut être formulée de la sorte : sachant que la loi Sapin 2 est – relativement récente – doit-on faire œuvre d’évaluation sur les tiers avec qui l’on est déjà en affaires , ou uniquement ceux avec qui l’on projette de contracter ? La question n’est pas une querelle d’experts, ou une pure question rhétorique, mais une question des plus concrètes.
Imaginons un Groupe, B to B, qui revendique, dans ses bases, dans son « stock » donc 5 000 fournisseurs, ou 10 000 clients (ou l’inverse, peu importe), et connaissant des « flux » d’entrée, à savoir de nouveaux clients et de nouveaux fournisseurs de l’ordre de 300 par an.
Ces volumétries peuvent sembler importantes, mais elles sont en deçà de ce qui est constaté dans les entreprises dans lesquelles la loi Sapin 2 trouve généralement à s’appliquer.
La question est alors facile à comprendre : évaluer 5 000 + 10 000 tiers à un instant de raison, ou ne se contenter que d’évaluer annuellement 300 x 2 (clients + fournisseurs) nouveaux tiers, et de laisser les contrats encours s’achever pour évaluer ces tiers à l’occasion de leur renouvellement éventuel ?
Si l’on se place du point de vue d’une entreprise assujettie au dispositif de prévention de la corruption, on voit à peu près quelle solution serait retenue. Et il est probable que cette solution soit celle également retenue par les hérauts de l’instinctif bon sens.
Si l’on se place du côté du plus rigoriste des exégètes de la loi et des recommandations de l’AFA, la solution la plus consommatrice de temps pourrait être envisagée.
Et donc ?
Face à 2 positions antagonistes, l’argument de bon sens se doit d’abord d’être envisagé, en dehors de toute autre considération. 15 000 tiers à analyser, à considérer que les entreprises n’y consacrent qu’une heure en moyenne, ce qui ne semble pas excessif, il faudrait donc 1 875 jours, soit 9 personnes à plein temps pendant un an, ou une personne à plein temps pendant 9 ans.
L’on m’objectera sans doute qu’à l’aide de l’IA ou du big data, ou règlerait la question en quelques heures. Pourquoi pas. Mais j’attends de voir.
Dans l’hypothèse toutefois ou cette démarche empreinte d’exhaustivité serait suivie, et un des aspects les plus intéressants de la question: que faire en cas de résultat « positif », c’est-à-dire amenant une question quant à la probité du tiers?
Que signifierait d’ailleurs de façon systémique avoir des doutes sur la probité d’un tiers ? Une condamnation définitive ? Pour quel type de faits ?
Que faire en cas de collecte d’information négative ?
- Rompre la relation ? Sur quel motif légal ? Sur quelle considération contractuelle ? Quels seraient les effets d’une rupture contractuelle avec un tiers qui se révèlerait être un rouage essentiel au développement ou au maintien de l’activité de l’entreprise ?
- Exiger du tiers de nouveaux engagements ? Des promesses de probité absolue ? Sur quel fondement juridique ? De deux choses l’une, soit il s’agit pour le tiers d’une exigence qu’il compte respecter et qui aura un coût, absent de la négociation contractuelle initiale, et il s’agirait d’un « cadeau » contractuel que peu seraient prêts à accorder. Soit il s’agirait d’un marché de dupes, visant à atteindre la conformité de papier, qui n’est, comme chacun sait, pas une valeur refuge.
- Faire financer d’une manière ou d’une autre le défaut de probité identifié, ce qui reviendrait à poser la même question qu’au point précédent.
Et le facteur temps ?
Imaginons que sur un tiers donné l’on trouve une information négative ancienne, une condamnation définitive, des relations avec un pays sous sanctions, une activité sous sanctions.
A un instant donné ce tiers n’était pas fréquentable.
Mais aujourd’hui, si ce tiers a corrigé ses défauts passés : fin des sanctions, mise en place d’un programme spécifique, changement d’équipe… Ces informations, très positives, seraient nécessairement moins visibles qu’une campagne de presse à charge ou qu’une condamnation, et pour autant elles serviraient la cause de ce tiers, anciennement mis en cause, faute de visibilité suffisante des progrès réalisés.
Rappelons en effet que l’exercice envisagé consisterait à analyser les caractéristiques de tiers qui seraient en relation avec l’entreprise, mais qui n’auraient fait l’objet d’aucune analyse au moment de leur entrée en relations, et donc que l’exercice consiste en une observation purement rétrospective.
A contrario, imaginons que les analyses ex-post ne révèlent rien, à savoir qu’un tiers donné ne donne aucun résultat négatif. Pas une ombre au tableau. Rien. Parfait donc ? Eh bien peut être moins qu’on ne le penserait. Imaginons que depuis, ce tiers fasse l’objet d’un conflit d’intérêt actuel avec l’entreprise. Le verrait-on en consultant des informations passées relatives à ce tiers ? Nécessairement non. A moins de se poser la question de façon précise, et donc d’augmenter la charge de travail d’autant, en projetant d’anciennes informations dans une perspective actuelle.
Le travail rétrospectif serait-il donc inutile ? Non bien sûr, mais les imprécisions qu’il implique nécessairement rendent l’exercice soumis à trop d’aléas pour qu’on y consacre toute l’énergie décrite.
Rappelons ici qu’une analyse de tiers ne peut être qu’un exercice mécanique. La collecte d’informations, quelle qu’en soit la source, ne suffit pas à conclure. Cette collecte est nécessaire certes, mais pas suffisante. Elle nécessite une mise en perspective, une dose de réflexion humaine (pour l’instant en tout cas), et une capacité à conclure raisonnée.
Dernier argument pour une approche raisonnable de l’évaluation des tiers : la masse.
Poursuivons l’idée d’analyser les qualités de tiers « en stock ».
Une situation de plusieurs milliers de tiers a été ici envisagée, chose tout à fait vraisemblable.
Supposons que toutes les informations relatives à tous ces tiers soient collectées, c’est après tout le but de l’exercice. Faisons le pari, légitime, que de nombreux faux positifs apparaissent, démultipliant ainsi la charge de travail de l’entreprise qui s’est lancée dans ces travaux. Cette dernière se trouve devant une vague dont elle mesure mal l’ampleur, ou dont elle ne voit pas l’issue.
Supposons par ailleurs que parmi les informations collectées se trouve une information particulièrement importante, grave, actuelle, et que, l’entreprise accaparée par le tri des vrais et faux positifs, passe à côté, mais soit en possession de l’information. Oups.
En étant un peu tatillon l’on pourrait a posteriori dire que l’entreprise avait à disposition une information de première importance et qu’elle n’en a rien fait, la rendant coupable, non contente d’être submergée de travail.
Il convient de également de considérer que la loi est arrivée un jour de 2017, et que les obligations qu’elle a créées ne sauraient être rétroactives.
Si l’on n’a jamais reproché aux entreprises de ne pas avoir de cartographie des risques de corruption avant la promulgation de la loi, si l’on a accepté que certaines entreprises réalisent cette même cartographie longtemps après la prise d’effets de la loi, pourquoi exiger de cette même entreprise qu’elle remplisse des obligations relatives à des tiers avec qui elle est en relation depuis fort longtemps, et pour lesquelles elle n’avait pas encore mis en place de procédure spécifique, de la même manière qu’elle n’avait pas réalisé de cartographie des risques de corruption ?
Tout semble converger pour que les évaluations de tiers soient effectuées de façon raisonnable, en prenant en considération avec précision le présent, en se tournant vers l’avenir plutôt que vers le passé.
Et la nature, le temps feront leur office : les anciennes relations contractuelles s’achèveront, ou se verront renouvelées, et alors évaluées à un moment donné. L’entreprise à tout à gagner à se consacrer sérieusement à l’exercice, au fil du temps. A prendre des décisions raisonnées, et non à rentrer dans une démarche d’abattage, imprécise, et potentiellement risquée.
Mais tout ceci reste un point de vue, et l’expression d’une conviction.
Rome ne s’est pas faite en un jour. Et c’est sûrement mieux comme ça.