Questions relatives à la prévention de la corruption.
Voici près de 9 ans que la loi Sapin 2 a été promulguée. Près de 9 ans que l’Agence française anticorruption diligente ses contrôles dans les secteurs public et privé.
Près de 9 ans que des recommandations, des rapports d’activité, des communiqués, des guides et fiches pratiques ont été produits par l’AFA. Que de nombreux articles et publications, décrets, opinions, humeurs, ont également été publiés.
Et pourtant, nombre de questions sont encore posées aux professionnels de la conformité, par les entreprises assujetties au dispositif ou non.
Certaines de ces questions trouvent des réponses assez claires, d’autres des approximations, ou même plus simplement encore le silence le plus absolu.
Nous avons donc décidé d’en faire une liste sous forme d’abécédaire, que nous complèterons au fur et à mesure que la « science » avancera, et que des réponses apparaîtront, ou que de nouvelles questions nous seront posées.
Rien de très neuf dans cette démarche qui reprendra le concept de « questions le plus souvent posées », ou de FAQ, en bon français. Et l’on parlera bien ici de questions, sans nécessairement y apporter de réponse. Il reste quelques mystères ou énigmes auxquels il ne peut être apporté de réponse en l’état de l’art.
Et il est toujours utile de partager une frustration, on se sent ainsi moins seul !
Ces questions seront regroupées par thématique de la loi Sapin 2 : les huit mesures évidemment, mais également d’autres sujets connexes comme l’engagement de l’instance dirigeante, ou le questionnaire de contrôle, par exemple.
Dispositif de contrôle et d’évaluation
Engagement de l’instance dirigeante
Gouvernance de la fonction conformité
Procédures de contrôles comptables
Procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires
Cartographie des risques
Fréquence de mise à jour de la cartographie
A quelle fréquence la cartographie des risques de corruption et de trafic d’influence doit-elle être mise à jour ?
Si les recommandations de l’AFA précisent bien que la cartographie des risques de corruption doit être mise à jour régulièrement, elles n’indiquent toutefois pas à quelle fréquence. Il y est simplement mentionné que chaque année l’entreprise doit se poser la question de sa mise à jour[1]. Mais les recommandations n’éclairent pas particulièrement sur ce qui pourrait être le fait générateur d’une mise à jour. Ni sur ce qui permettrait de définir la fréquence de mise à jour, ou de connaître les circonstances dans lesquelles l’entreprise devrait à coup sûr mettre à jour cette cartographie.
Le plus souvent, sans en faire une vérité statistique, les entreprises assujetties se sont fixé pour règle de mettre à jour leur cartographie tous les 3 à 5 ans, toutes choses égales par ailleurs, ou en cas de survenance d’évènements majeurs : changement de périmètre, changement de gouvernance ou de mode d’organisation, évènement majeur affectant le Groupe, une alerte entraînant des conséquences significatives pour le Groupe…
La seule règle qu’il faille sans doute retenir, au-delà du seul écoulement du temps, est la survenance de tout fait qui rendrait la lecture de la cartographie en place manifestement obsolète.
Instance dirigeante : rôle
Quel rôle le dirigeant de l’entreprise doit il jouer dans l’élaboration de la cartographie des risques de corruption ?
D’un point de vue purement opérationnel, l’instance dirigeante n’a pas de rôle à jouer, sauf bien sûr à être interviewée es qualités.
Toutefois, et afin de marquer son implication dans le processus de mise en œuvre du dispositif de prévention de la corruption, elle peut agir de façon assez simple. En se faisant, par exemple, l’émetteur du mail d’invitation à participer aux interviews de cartographie des risques de corruption. Ce faisant elle démontre son implication dans le processus, et envoie un message explicite aux participants : c’est bien l’instance dirigeante qui invite à participer à l’exercice. Elément de motivation supplémentaire pour ces derniers.
Ensuite, au-delà de cet aspect, deux missions spécifiques lui incombent :
La prise de connaissance et la validation du contenu de la cartographie : celle-ci est élaborée par la fonction compliance, ou équivalente, mais la validation ultime de son contenu revient à l’instance dirigeante du Groupe.
La formalisation de son accord par l’apposition de sa signature sur la cartographie dont il aura validé le contenu
Nombre de risques
Une entreprise soumise au dispositif Sapin 2 n’aurait-elle pas intérêt à limiter le nombre de risques à identifier dans le cadre d’une cartographie des risques de corruption ?
De façon assez contre-intuitive, il est vrai, plus une cartographie compte de risques – dans la limite du raisonnable s’entend, plus l’entreprise sera protégée et ses dirigeants avec. En effet, si l’on suit le raisonnement suivant selon lequel, en application de la loi, tout risque doit trouver des mesures de contrôle. Alors, ces mesures de contrôle viendront réduire, ou limiter la fréquence et potentiellement la gravité des risques identifiés. Un homme prévenu en vaut deux, dit l’adage.
Plus sérieusement, plus on identifie de risques, plus on met de mesures en place, moins les risques identifiés ont de chances de surgir.
Raisonnons par l’absurde. Imaginons qu’une entreprise n’identifie qu’un seul risque. Et qu’un fait de corruption surgisse, sans rapport avec le seul risque identifié. Que, par ailleurs, le fait de corruption en question ne soit pas complètement surprenant, ni totalement inattendu.
L’on pourrait alors considérer que l’entreprise a fermé les yeux sur un risque probable, qu’elle n’a pas cherché à circonvenir.
En poussant un peu plus encore le raisonnement, on pourrait même imaginer que le fait de ne pas avoir identifié ce risque latent, devenu patent, confine à une forme d’encouragement de la survenance de ce dernier.
A contrario, le fait de mettre en évidence un spectre de risques plus large permet à la fois de révéler une prise de conscience, même imparfaite, et de caractériser la mise en œuvre de moyens de lutte. Quand bien même seraient-ils imparfaits.
Participants à la cartographie
Quelles sont les personnes devant contribuer à l’exercice de cartographie des risques de corruption ?
En toute rigueur, le panel de personnes devant participer aux entretiens de cartographie des risques de corruption est supposé représenter un échantillon représentatif du Groupe dans lequel la cartographie va être réalisée. Il s’agit ainsi en substance d’interviewer une population représentative du Groupe dans ses dimensions géographiques, organisationnelles, managériales, mais également des entités contrôlées par la Groupe.
En effet, au-delà des collaborateurs d’un Groupe, la chaîne hiérarchique des entités juridiques le composant, au sens de l’art 233-3 du Code de commerce, est un des éléments essentiels de l’appréciation de la validité d’une cartographie des risques de corruption. Et si d’aventure le panel retenu n’intégrait pas les dirigeants des filiales contrôlées l’exercice serait vraisemblablement considéré comme incomplet.
Ainsi en synthèse, le panel retenu doit représenter une population représentative du Groupe. Et l’on pourra dire que ce panel l’est, représentatif, dès lors qu’à son examen il ne semble manifestement qu’aucun « oubli » ne puisse être relevé dans la représentation, nécessairement limitée du Groupe.
Ainsi, si le panel retenu par un groupe omettait de façon manifeste, et évidente, une zone géographique spécifique, un pan d’activité significatif, ou une filiale, il conviendrait sans aucun doute de le compléter.
Quel quantum retenir ?
Quant au quantum du panel, il n’existe pas vraiment de règle. Un nombre de 15 à 20 personnes semble être un minimum. Cent cinquante est un nombre rarement dépassé. Mais rien n’est impossible évidemment.
Le nombre de personnes à interviewer dépend de la complexité du Groupe étudié.
Il ne serait pas impossible, ou irréaliste, qu’un Groupe de 50 000 personnes très peu international, très organisé, très intégré, très hiérarchisé, retienne un panel moins important qu’un autre groupe de taille sensiblement plus petite, mais connaissant une diversité d’activité, des localisations sur l’ensemble du globe et développé par croissance externe.
Questionnaire
Les entretiens de cartographie doivent-ils être guidés par un questionnaire prédéfini ?
Épineuse question. La voie de la facilité pourrait conduire à penser que l’application d’un questionnaire permet de ne rien oublier, et d’adresser toutes les problématiques utiles à l’exercice. Et puis un questionnaire permettrait à n’importe qui de mener ces délicats entretiens.
Certes. Mais certaines limites apparaissent rapidement. Comme pour tout questionnaire, il ferme le débat par son caractère éminemment fini. Et son contenu même, sur le fond, peut passer à côté de certains sujets utiles à l’exercice, et qui se trouveraient in fine, totalement dénués de contenu.
Enfin, le fait d’être en présence de questions fermées, ou aisément contournables, limitent aussi l’utilisation d’une telle solution. Sans parler, comme cela a pu être vu, des réponses quasi monosyllabiques, oui ou non, dont on ne peut pas dire qu’elles éludent le questionnaire, sans pour autant donner d’éclairage particulièrement intéressant.
L’absence totale de support à un entretien, ou guidé par l’amusante question « Alors, à votre avis, comment pourrait-on commettre des actes de corruption ici ? Et avec qui ? » n’est probablement pas la meilleure solution non plus. L’on est sûr, ou à peu près, de s’entendre dire « Je ne vois pas » ou de se voir proposer un ou plusieurs scénarios plus que théoriques. La cartographie des risques de corruption n’est pas un exercice créatif ou de divination.
La meilleure solution semble être entre les deux précédentes solutions : un simple guide, ignoré de la personne interviewée, qui permet de balayer une somme de thématiques particulières, de processus spécifiques et qui permet d’adapter le discours et sa profondeur à la qualité de la personne rencontrée, seuls moyens de rendre l’exercice utile et efficace. La contrainte de cette dernière solution est qu’elle exige une certaine expérience, et une connaissance assez précise des phénomènes de corruption.
Code de conduite
Autonomie du code de conduite
Le code de conduite anticorruption est-il un concept autonome, ou peut-il se fondre dans un document plus général (charte éthique, Code de conduite plus général) ?
En première intention, l’on pourrait dire que le code de conduite anticorruption ne se confond pas avec une charte éthique, une profession de foi, une déclaration d’intention, ou une liste de « valeurs » comme on aime parfois à s’en prévaloir.
Le code de conduite anticorruption est un document qui doit répondre à certaines exigences formelles : un lien avec la cartographie des risques de corruption, une préface par l’instance dirigeante, une validation par cette dernière, pour n’en citer que les principales caractéristiques.
Rien n’interdit donc qu’une charte éthique intègre les caractéristiques attendues d’un code de conduite anticorruption, et ne porte pas le nom de ” code de conduite”, mais le seul fait d’afficher une charte, une politique qui n’intégrerait pas les caractéristiques attendues d’un code, ne pourrait être considéré comme LE code de conduite attendu par la loi et l’AFA.
Procédures annexes
Des procédures annexes au code de conduite, dédiées à certaines thématiques développées dans celui-ci – telles que les cadeaux et invitations, la représentation d’intérêts ou encore le mécénat et sponsoring – doivent-elles être formalisées ?
Rien ne l’impose formellement, mais il est évident que ces guides, ces procédures, ces règles de fonctionnement interne s’avèrent nécessaires, sans pour autant devoir être fondus dans le code de conduite lui-même : les 2 documents n’ont pas exactement la même nature ni la même fonction.
Le code illustre des situations à risque, au sens de la cartographie des risques de corruption, les guides ou procédures règlent la vie courante de l’entreprise avant de limiter le risque de survenance de ces risques.
Ces procédures peuvent constituer des annexes au code de conduite. Elles ont une valeur normative pour les salariés et restent très opérationnelles. Elles s’imposent à tous mais n’ont pas vocation à être validées par les IRP dans le cadre d’une info-consultation.
Dispositif d’alerte interne
Accessibilité du dispositif d’alerte
Le dispositif d’alerte interne doit-il être ouvert aux tiers, clients, fournisseurs et grand public ?
Même si la loi ne dit rien sur ce dernier point concernant le grand public, l’AFA recommande[1] de l’ouvrir aux extérieurs à l’entreprise comme les fournisseurs, par exemple. De fait, à la date de rédaction de ces lignes, l’ensemble des Groupes du CAC 40 met en ligne un accès à leur dispositif de lancement d’alerte. Ce dernier élément n’en fait pas une règle, mais donne une tendance sur les pratiques actuelles. Pratique suivie par des entreprises de taille plus modeste.
Formation
Faut-il former les personnes ou services habilités à recueillir et traiter les signalements ?
Question souvent posée pour laquelle il est assez difficile de répondre de notre point de vue.
S’il est des sujets pour lesquels une formation pourrait être dispensée, elle concernerait sans nul doute 2 aspects : la notion de confidentialité d’une part, et les questions juridiques relatives à ce qu’il est possible de faire ou non, d’autre part.
Histoire de ne pas passer à côté de la révélation d’un crime à la justice.
Mais en général les fonctions compliance sont assez (très) armées, et en matière de confidentialité, et en matière juridique. Donc une formation pourrait leur être utile, mais pas forcément nécessaire.
Pour les autres aspects, tact, humanité, bon sens, nécessairement liés au traitement de l’alerte, ils sont absolument nécessaires, mais sont liés à la personnalité de chacun plus qu’à une quelconque formation.
Ce point peut d’ailleurs faire le lien avec la notion d’enquête interne, à propos de laquelle il n’existe pas de règle quant à son déclenchement : c’est une affaire d’appréciation, en matière de gravité et de complexité, qui doit s’apprécier de façon réfléchie, censée, et non en la seule application d’une règle ou d’une formation quelconque.
Mise en œuvre du dispositif d’alerte
Comment le dispositif d’alerte doit-il être mis en place, peut-il être externalisé ?
La question de l’externalisation du dispositif d’alerte interne est un débat ancien qui a trouvé une réponse assez unanimement partagée : garder en interne son dispositif de lancement d’alerte, c’est héberger son contenu sur les infrastructures internes de l’entreprise.
C’est donc laisser la possibilité aux administrateurs réseau, au personnel d’une DSI, à des consultants externes, bref à un nombre de personnes à la fois important, et parfois indéterminable, et c’est bien le problème, qui ont potentiellement accès des informations, potentiellement très confidentielles, sur un réseau donné pour des questions techniquement et informatiquement légitimes.
Au regard de la protection des données en général et de celle relative au lanceur d’alerte, c’est une autre question…
Dès lors les entreprises se sont assez naturellement tournées vers des prestataires dont le métier est pleinement orienté vers le lancement d’alerte, et dont la sécurité des données est une seconde nature. Le tout à des tarifs très abordables, en valeur absolue.
Les avantages sont nombreux : contrôle précis des personnes qui ont accès au système d’alerte, sécurité IT renforcée sans possibilité pour le prestataire d’accéder aux données sans l’entreprise utilisatrice, sans immixtion possible d’autres collaborateurs du Groupe que ceux qui auront été désignés. Et surtout, en cas de violation de données – data breach, l’exonération technique de responsabilité du Groupe qui utilise ces services.
Cette externalisation concerne la mécanique de transmission de l’information, c’est-à-dire tout ce qui concerne la cinématique des informations liées à l’alerte.
Le traitement « humain » des alertes reste dans l’immense majorité des cas dévolu à des fonctions internes à l’entreprise.
Pluralité du nombre de systèmes de lancement d’alerte
Un Groupe peut-il disposer de différents systèmes de lancement d’alerte, par exemple soit par thématique RH / Corruption / Fraude… soit par zone géographique ?
Rien ne l’interdit, mais la tendance, et on le comprend sans peine, est à la centralisation des dispositifs de lancement d’alerte.
Rien ne s’oppose juridiquement à ce qu’un groupe possède plusieurs dispositifs, mais entre de simples aspects opérationnels tout à fait pratiques et la rédaction du décret d’application de la loi Waserman, tout pousse les entreprises à n’utiliser qu’un système unique, quitte à déterminer des récipiendaires des signalements en différents points du Groupe.
Dispositif de contrôle et d’évaluation
Dispositif de formation
Panel de participants aux formations anticorruption
Comment établir le panel de personnes devant participer aux sessions de formation anticorruption ?
Question d’importance, pour laquelle il est toujours, encore une fois difficile de répondre.
Les formations en matière de prévention de la corruption doivent en principe suivre 2 voies distinctes : une formation pour l’ensemble des salariés, le plus souvent dispensée par e-learning, pour laquelle la question de la population cible ne se pose pas : il s’agit, en principe, de la totalité de l’effectif de l’entreprise. Pour ces formations pour aussi difficiles qu’elles puissent être à mettre en œuvre, la sélection du panel à même de les suivre est simple : tout le monde. Et l’on dira ici qu’il s’agit plus de sensibilisation que de formation.
Pour les formations à destination des personnels les plus exposés comme l’indiquent les recommandations au point 187 page 27, la question est beaucoup plus délicate. Qui sont ces personnels les plus exposés ? Il s’agit des collaborateurs de l’entreprise qui ont, pour simplifier à l’extrême, la main sur les finances de l’entreprise et qui pourraient de leur propre chef engager des fonds de l’entreprise à laquelle ils appartiennent, pour entrer le cas échéant dans un schéma de corruption ou assimilé.
Et là nécessairement, l’idée est simple à exprimer. Délicate à mettre en œuvre comme souvent.
Une solution pourrait consister à recenser, en première intention, des catégories de personnels particulières : les mandataires sociaux, les responsables de fonctions centrales opérationnelles ou fonctionnelles, les responsables de zones géographiques ou opérationnelles (patrons de région, patrons de BU). Bref tous ceux qui incarnent la direction de l’entreprise de façon institutionnelle.
Une fois ce panel établi, qui peut déjà être conséquent, il peut être utile de le compléter par la population de l’entreprise qui dispose de la capacité d’engager le Groupe ou l’un de ses filiales contractuellement, ou financièrement. Ce qui revient théoriquement à recenser les mandataires sociaux ce qui à ce stade est normalement déjà fait, mais également, toute la population disposant d’une délégation de pouvoir leur conférant cette capacité.
Une fois cette deuxième étape opérée, il convient d’observer le panel ainsi déterminé, et de se poser la question de savoir, si celui-ci couvre globalement la population la plus « décisionnaire ». Si tel est le cas, la population éligible aux formations pour les personnels les plus exposés est atteinte. Dans le cas contraire, il est nécessaire de compléter la liste ainsi établie des personnels qui auraient échappé au ciblage.
Sensibilisation et formation
Une simple sensibilisation suffit-elle pour répondre à l’obligation du 6e de l’article 17 de la loi SAPIN II / AFA ?
La différence entre sensibilisation et formation, en tout cas dans le domaine de la prévention de la corruption est relativement simple à établir : la sensibilisation est un message générique que l’on reçoit de façon presque passive, sans que l’attention de celui qui la reçoit ne soit particulièrement mobilisée. Il en est ainsi par exemple des campagnes de publicité anti ceci ou pro cela. La seule chose dont on soit sûr c’est que celui à qui est destinée la sensibilisation l’aura « vue ».
Pour ce qui est des formations, on retiendra de manière générale qu’elle suppose une mobilisation importante de la part de celui qui la reçoit. Mobilisation dans le temps, mobilisation par la concentration qu’elle nécessite. Le contenu d’une formation se doit d’être technique, assez dense sur le fond, et donner lieu à évaluation de celui qui la reçoit[2].
Et l’AFA confirme ce balancement entre sensibilisation et formation, en abordant le 6°du II de l’art 17 de la loi, par la distinction entre « sensibilisation » de tous les personnels, et « Formation obligatoire destinée aux cadres et aux personnels les plus exposés ».
Pour répondre à la question posée, une sensibilisation à la prévention de la corruption ne suffirait pas à remplir l’objectif assigné par l’AFA, pour ce qui concerne les cadres et personnels les plus exposés.
Engagement de l’instance dirigeante
Rôle de l’instance dirigeante dans l’élaboration de la cartographie des risques de corruption
Le dirigeant d’un Groupe soumis aux dispositions de la loi Sapin 2 doit-il être signataire de la cartographie des risques et du code de conduite anticorruption ?
Les recommandations[3]de l’AFA sont assez claires, et ses rapports de contrôle plus encore : l’instance dirigeante d’un Groupe soumis au dispositif Sapin 2 se doit, sinon littéralement de « signer » ces deux documents, d’en valider le contenu, de le préfacer, de formaliser l’approbation du dispositif, valider et assurer le portage du code… Pour les seules recommandations. Quant aux rapports de contrôle ils sont, pour ceux que nous avons pu consulter, très explicites eux aussi sur le sujet.
Gouvernance de la fonction conformité
Qualité de la fonction compliance
Est-il nécessaire de disposer d’une fonction dédiée, pour assurer la mise en œuvre, le déploiement, le suivi et l’actualisation du programme de conformité anticorruption ?
Il n’existe pas de règle en la matière, pas plus qu’il n’existe d’interdictions.
Certains Groupes ont pu confier cette noble mission à des fonctions externalisées, avocats ou non, sans que cela ne pose le moindre problème, ni opérationnel, ni légal.
Force est néanmoins de reconnaître en 2026 que les fonctions compliance sont très largement internalisées, et le plus souvent bien armées en termes d’effectif.
Les fonctions compliance sont le plus souvent très occupées. Comme tout le monde dira-t-on, mais à cette différence près que la compliance étant un métier assez nouveau, le nombre et la densité des tâches confiées à ces fonctions vont plutôt croissant.
Ce qui implique que de façon assez mécanique, même si la charge de travail suffisait à nourrir un plein temps, cette charge tend à augmenter naturellement de façon très significative.
La règle de base étant probablement que compte tenu du caractère assez récent de la compliance, le traitement d’une question en amène immanquablement 10 autres
Procédures de contrôles comptables
Fonction audit ou contrôle interne et contrôles comptables
L’entreprise possède une direction de l’audit interne, est-ce que cela suffit pour remplir l’obligation de l’article 17 relative aux contrôles comptables ?
La réponse est formellement non. À moins que cette direction ait mis en œuvre un dispositif de contrôle permettant de démontrer que chaque risque de la cartographie des risques est encadré par des contrôles, spécifiquement anticorruption ou non, mais qui permettent de réduire la portée des risques.
Quantum des contrôles anticorruption
Est-ce qu’un contrôle par risque suffit à remplir les obligations prévues par l’art. 17 ?
La réponse est simple : c’est possible, mais ça n’est pas certain. Et en faire une règle générale à chacun des risques d’une cartographie des risques, est à notre sens plutôt audacieux. Litote.
Procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires
Acteurs publics
La mesure d’évaluation des tiers concerne-t-elle tous les tiers avec qui l’entreprise est susceptible d’entrer en relation, acteurs publics compris ?
Le principe de l’évaluation des tiers repose sur le principe que l’entreprise doive choisir le tiers qui présente le plus de garanties en matière d’éthique. Ce qui implique, que l’entreprise soit en position de choisir.
Mais que faire si l’entreprise n’a pas le choix, s’il s’agit d’une administration centrale, d’un ministère, d’une entreprise publique en situation de monopole ?
Rien. Si une telle évaluation est faite, quel que soit son résultat, l’entreprise sera contrainte de toutes façons d’entrer en relation avec. Alors à quoi bon ? Sans parler du fait que certaines administrations, ou acteurs publics, pourraient trouver assez peu à leur goût qu’on leur demande des comptes en matière d’éthique. Certains ont essayé..
En guise de conclusion, il ne paraît pertinent de procéder à de telles évaluations, si l’entreprise n’a pas d’autre choix que celui – public – qui s’offre à elle. Dans le cas contraire, l’acteur public pourra être évalué comme le serait n’importe quel acteur privé.
Critère financier
Le critère financier est-il pertinent pour déterminer le niveau de risque d’un tiers ?
Probablement la question la plus posée dans les questions sur l’évaluation des tiers, et probablement à propos de l’application de la loi Sapin 2.
D’un point de vue théorique, il convient de rappeler que la loi Sapin 2 introduit une notion morale, qui ne s’évalue par définition pas à l’aune de critères financiers. Qui vole un œuf vole un bœuf, en guise de vade mecum. Deuxièmement, si l’on observe les condamnations en matière pénale, force est de constater qu’elles sont de plus en plus nombreuses et sont assises sur des montants de moins en moins importants. Le risque judiciaire est donc bien présent.
Troisième point à prendre en compte, l’avis de l’opinion publique. En matière de tolérance à des seuils financiers, les auditeurs externes fixent des seuils, sur lesquels ils ne communiquent pas, mais qui ont un lien direct avec le chiffre d’affaires, ou l’Ebitda de l’entreprise auditée. Pour un peu que ces derniers soient particulièrement élevés, les seuils en deçà desquels les auditeurs jugeront une opération digne d’intérêt peuvent parfois être très élevés. N’oublions pas que les auditeurs financiers ne contrôlent pas tout, question de moyens à mettre en œuvre, et expriment une assurance raisonnable. Revenons à l’opinion publique : si une opération avec un tiers réputée douteuse, en tout cas moralement contestable, pour un montant de 10 000 € : une donation ou une opération de mécénat ayant échappé à tout contrôle. Les auditeurs pourront, de façon tout à fait légitime, dire que ce montant étant en deçà des seuils appliqués par leurs normes professionnelles et qu’ils n’y ont pas prêté attention. Pour l’opinion publique, en revanche, c’est une tout autre question. A l’heure de la transparence à tout prix et tout le temps, il apparaîtrait pour le moins curieux qu’une entreprise accepte de ne pas contrôler ou de ne pas accorder son attention à une « petite » opération de 10 K€.
Du point de vue de l’AFA enfin, la lecture de ses rapports de contrôle semble indiquer que pour l’AFA, la question des seuils financiers n’est pas le principal élément à prendre en compte pour l’évaluation des tiers.
Gestion du stock et du flux
Faut-il réaliser une évaluation de l’intégrité de l’ensemble de ses tiers (clients, fournisseurs) ? Comment gérer le stock et le flux lors de la mise en place du dispositif ?
Grand débat que celui-ci ! Faut-il évaluer tous les tiers avec qui une entreprise est en relation, ou uniquement les nouveaux entrants, sur une période donnée ?
Le point de vue ici exprimé n’engage évidemment que son auteur, toutefois doté de convictions sur la question.
L’évaluation de tiers, consiste à s’assurer que les tiers avec qui l’on traite ne sont pas des personnes physiques ou morales, peu raccord avec l’idée même de prévention de la corruption.
Ce qui signifie qu’avant d’effectuer un choix entre 2 tiers potentiels, l’on choisira le plus vertueux.
Ou que l’on s’interdira de traiter avec le tiers qui présenterait un passif trop lourd en la matière.
Ou que l’on imposera des conditions, ou la souscription à un nombre de principes et de « valeurs » avant d’entrer en relation contractuelle. Très bien.
Ce type de questions doit se poser avant chaque entrée en relations, quelles que soient les contraintes que l’on s’impose. Cela s’appelle le traitement du flux.
Maintenant envisageons le traitement du stock. Ce dernier est constitué des tiers, clients ou fournisseurs, avec qui l’entreprise est déjà en relation. Il va s’agir d’un fournisseur avec qui on a signé un contrat 2 ans auparavant pour une durée de 3 ans, d’un client à qui l’on doit fournir produits ou services pendant encore quelques mois ou années…
La question est donc doit-on faire une évaluation de ces tiers ?
Admettons que telle évaluation soit faite.
Imaginons que cette évaluation soit positive. Parfait, rien ne change.
Imaginons, a contrario, qu’elle fût épouvantable. Que doit faire l’entreprise ? Rompre la relation avec le tiers en question ? Sur quel motif, au sens juridique ? Le contrat ou l’engagement peut-il être dénoncé pour des motifs d’ordre éthique, ou même réglementaire ? Si oui tant mieux le contrat pourra être rompu. Dans la négative, on sera ravi d’avoir mené une analyse, mais elle ne pourra pas être suivie d’effets.
C’est la raison pour laquelle, l’analyse d’un stock n’a qu’un intérêt limité, purement théorique ou formaliste. Mais sans possibilité d’agir, à quoi bon ?
En revanche appliquer une procédure d’évaluation à chaque renouvellement contractuel présente un intérêt certain, et permet de s’éviter un questionnement immanquablement vain. Une analyse du flux, donc.
Identification des tiers à risque
Comment identifier les tiers qui doivent faire l’objet d’une évaluation d’intégrité approfondie ?
Une évaluation d’intégrité approfondie consiste à évaluer un tiers non à l’aune de critères binaires : activité, pays, passif pénal, ou consultation d’opérateurs fournisseurs d’informations, mais à mener une petite enquête, à produire un rapport spécifique sur un tiers donné.
Question infinie. A laquelle par différentes approches on peut apporter une réponse empirique.
La question différemment posée consiste à savoir, dans le cadre d’une procédure d’évaluation des tiers, quand doit-on mener l’évaluation d’un tiers donné.
Chaque entreprise connaît des réalités différentes, et il existe donc autant d’entreprises que d’analyses ou de façons de faire possibles.
Néanmoins, il est possible d’affirmer que le recours à une analyse approfondie doit être conditionné par 2 critères :
- le premier est l’importance particulière du tiers étudié, si le tiers en question est une cible d’acquisition, un client particulièrement important ou un fournisseur stratégique, alors l’intérêt d’effectuer une étude approfondie est manifeste. Si le tiers fournit stylos bille, ou ramettes de papier, l’intérêt devient immédiatement moindre.
- Le second, de moindre importance, mais toujours intéressant, est le niveau de risque manifeste que le tiers renvoie. Ainsi, si une simple requête sur un moteur de recherche fait clignoter en rouge tous les voyants en matière d’éthique, c’est un (petit) signe qu’il ne faut pas négliger. A plus forte raison si le tiers en question présente un intérêt stratégique pour le Groupe.
Obligation de moyens ou de résultat
L’évaluation de l’intégrité des tiers – clients fournisseurs – constitue-t-elle, au titre de la loi Sapin 2, une obligation de moyens ou de résultat quant à la qualité des informations collectées sur les tiers ?
Sur cette question, la réponse est assez simple à formuler : il s’agit d’une obligation de moyens. Quel résultat, d’ailleurs serait-on en droit d’exiger ? Une certitude absolue sur la probité du tiers observé ? Ou au contraire sur sa malhonnêteté ?
Appelons ici ce dont il s’agit. L’évaluation des tiers pour faire simple consiste à s’assurer qu’une entreprise donnée, soumise à Sapin 2, ait la capacité d’évaluer les qualités des tiers, clients ou fournisseurs avec qui elle traite.
Pour ce faire, elle doit collecter de l’information qui lui permette de se forger une opinion.
Or, qui est détenteur d’une information universelle, juste et exhaustive ? Personne ne peut revendiquer tel talent. Et si le marché de l’information relative aux entreprises est constitué de quelques opérateurs spécialisés, il est assez fréquent que d’un opérateur à l’autre, pourtant professionnels de la question, les réponses fournies diffèrent sensiblement.
Faudrait-il donc souscrire à tous les opérateurs, fournisseurs d’information, pour être certain de ne rien omettre ? Bien sûr que non, et quand bien même, rien n’indique que la somme des informations détenues par ces opérateurs soit exhaustive.
L’analyse indique donc que cette obligation ne peut être que de moyens. Ce qui est une bonne nouvelle. Ce qui ne veut pas dire qu’il ne faille rien faire.
Une obligation de moyens ne signifie pas qu’il faille sombrer dans la désinvolture manifeste.
Les entreprises doivent donc établir une démarche structurée, cohérente, et fassent éventuellement appel à un opérateur fournisseur de données.
Mais rien ne les y contraint.
La méthode employée par l’entreprise sera en revanche observée de près en cas de contrôle.
Questionnaire de contrôle
Périmètre du questionnaire de contrôle
Sur quel périmètre d’entreprises doit-on appliquer les dispositions de l’art. 17 de la loi ?
La question se pose souvent pour des groupes répartis sur l’ensemble du globe, ou très éparpillés, suivant une répartition par paliers. Si en 2017, il était tenu pour acquis qu’il devait y avoir autant de questionnaires de contrôle que d’entités juridiques dans un Groupe, ce qui ne constituait pas un motif de satisfaction pour les entreprises contrôlées, la pratique s’est largement améliorée, et l’Agence n’exige, en tout cas pour les entreprises de notre connaissance, qu’un questionnaire pour l’ensemble du Groupe. Un seul en général très long et synthétisant au mieux la situation du Groupe.
Il est à noter que l’alimentation de ce questionnaire doit être particulièrement soignée, et qu’il est particulièrement important d’en soigner le contenu. C’est grâce à lui que l’AFA prendra connaissance du Groupe, et à partir de lui que nombre de questions ou d’approfondissements seront initiés. A ne négliger en aucun cas, donc, et à y consacrer le temps nécessaire, tout le temps nécessaire.
Régime disciplinaire
Fait générateur des sanctions
Le régime disciplinaire prévu par la loi Sapin doit-il être mis en place pour sanctionner des faits de corruption ou une violation de l’une ou de l’autre des dispositions du code de conduite ?
Les deux ! Les recommandations[4] de l’AFA sont pour le moins explicites, les sanctions disciplinaires applicables en cas de transgression du code de conduite anticorruption ont également vocation à s’appliquer en cas de survenance d’un fait de corruption ou assimilé.
[1] Page 34, point 254
[2] Points 42 à 45 des recommandations de l’AFA
[3] Page 7, note 32, note 38 ; page 14, note 98
[4] Page 4, note 16 ; page 6, notes 25 et 27 ; page 11, note 78 ; page 25, note 175 ; page 47, note 240 ; page 56, note 360 ; page 60, note 432 ;aires applicables en cas de transgression du code de conduite anticorruption ont également vocation à s’appliquer en cas de survenance d’un fait de corruption ou assimilé.
