Questions relatives à la prévention de la corruption.
Voici près de 9 ans que la loi Sapin 2 a été promulguée, près de 9 ans que l’Agence française anticorruption diligente ses contrôles dans les secteurs public ou privé.
Près de 9 ans que des recommandations, des rapports d’activité, des communiqués, des guides et fiches pratiques ont été produits par l’AFA. Que de nombreux articles et publications, décrets, opinions, humeurs, ont également été publiés.
Et pourtant nombre de questions sont encore posées aux professionnels de la conformité, par les entreprises assujetties ou non au dispositif, d’ailleurs.
Certaines de ces questions trouvent des réponses assez claires, d’autres des approximations, ou même plus simplement encore le silence le plus absolu.
Nous avons donc décidé d’en faire une liste sous forme d’abécédaire, que nous complèterons au fur et à mesure que la « science » avancera, et que des réponses apparaîtront, ou que de nouvelles questions nous seront posées.
Rien de très neuf dans cette démarche qui reprendra le concept de « questions le plus souvent posées », ou de FAQ, en bon français. Et l’on parlera bien ici de questions, sans nécessairement y apporter de réponse. Il reste quelques mystères, ou énigmes auxquel(le)s il ne peut être apporté de réponse en l’état de l’art actuel.
Et il est toujours utile de partager une frustration, on se sent ainsi moins seul !
Ces questions seront regroupées par thématique phare de la loi Sapin 2 : les 8 mesures évidemment, mais également d’autres sujets connexes et pour autant incontournables comme l’engagement de l’instance dirigeante, le questionnaire de contrôle par exemple.
Il ne s’agit pas ici d’être exhaustif : il s’agit de traiter de questions souvent posées et pour lesquelles il n’existe pas de réponse formelle, normative, mais dont on peut dire qu’il se dégage une forme de pratique généralement admise par les professionnels de la compliance. Ou que malgré une réponse formelle, la question demeure souvent posée.
FAQ délibérément incomplète, nécessairement imparfaite. Peut-être utile.
N’hésitez donc pas à soumettre questions, compléments, propositions. Ou contradiction (mais pas trop) !
G Turford – N Rotinat – F Nogaret
Table des matières
Dispositif de contrôle et d’évaluation
Engagement de l’instance dirigeante
Gouvernance de la fonction conformité
Procédures de contrôles comptables
Procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires
AFA et contrôles AFA
Entités contrôlables
Une entreprise qui ne rentrerait pas dans les critères de l’art. 17 de la loi Sapin 2 pourrait-elle faire l’objet d’un contrôle de l’AFA ?
En l’absence de contrôle d’initiative, un Groupe peut faire l’objet d’une obligation de mise en conformité, dans le cadre d’une convention judiciaire d’intérêt public (CJIP).
Ainsi que le précisent, non seulement l’article 18 de la loi, mais également l’art 41-1-2 du code de procédure pénale, « […] le procureur de la République peut proposer à une personne morale mise en cause pour un ou plusieurs délits prévus aux articles 433-1,433-2,435-3,435-4,435-9,435-10,445-1,445-1-1,445-2 et 445-2-1, à l’avant-dernier alinéa de l’article 434-9 et au deuxième alinéa de l’article 434-9-1 du code pénal et leur blanchiment, pour les délits prévus aux articles 1741 et 1743 du code général des impôts et leur blanchiment, ainsi que pour des infractions connexes, de conclure une convention judiciaire d’intérêt public imposant une ou plusieurs des obligations suivantes : », ou encore la circulaire CRIM/2018-01/G3-31.01.2018 page 18.
Dans le cas d’une mise en cause d’une personne morale pour des faits d’atteinte à la probité, l’entreprise peut se voir contraindre à mettre en place un programme de conformité, sans pour autant entrer dans les critères définis à l’art. 17 de la loi.
Motivation de la mise en œuvre d’un dispositif anticorruption
La mise en conformité aux dispositions de la loi Sapin 2 ne sert-elle qu’à prémunir d’un contrôle de l’Agence ?
Avec un vocabulaire moins choisi, la question pourrait être ainsi formulée : la seule peur du gendarme doit-elle conduire à déployer son dispositif Sapin 2 ?
La peur est certes un stimulant efficace, mais toute plaisanterie mise à part, nombre d’investisseurs, de profession ou non, nombre d’assureurs, parfois les seuls clients, exigent désormais qu’un Groupe donné soit en conformité avec les dispositions de la loi. Quand bien même le Groupe qui serait cible d’acquisition, assuré ou simple fournisseur ne réunirait pas les critères exigés par la loi.
Dans l’hypothèse d’un Groupe exposé à l’international, et potentiellement aux fourches caudines du FCPA, la mise en œuvre d’un dispositif Sapin 2 est un atout à ne pas négliger.
Nombre d’entreprises assujetties
Quelle est la population d’entreprises assujettie aux dispositions de la loi Sapin 2 ?
Question à laquelle il est très difficile de répondre. Ici encore aucune statistique précise n’existe. Ne serait-ce que pour une raison : certaines filiales contrôlées de grands Groupes dépassent largement le seuil des 100 millions de chiffre d’affaires, et avec celui des 500 salariés, ce qui vient quelque peu perturber la lecture de ces chiffres.
Nombre d’entreprises contrôlées
Connait-on la liste des entreprises ayant fait l’objet d’un contrôle d’initiative de la part de l’AFA ?
La question probablement la plus souvent posée. Non. Cette liste n’est pas publique, hormis pour les rares Groupes étant passés par la commission des sanctions. Des noms circulent, quelques bribes d’information sont connues des praticiens, mais rien d’officiel.
L’Agence publie des statistiques non nominatives dans ses rapports d’activité.
Cartographie des risques
Fréquence de mise à jour de la cartographie
A quelle fréquence la cartographie des risques de corruption et de trafic d’influence doit-elle être mise à jour ?
Si les recommandations de l’AFA précisent bien que la cartographie des risques de corruption doit être mise à jour régulièrement, ces dernières n’indiquant pas à quelle fréquence. Il y est simplement mentionné que chaque année l’entreprise doit se poser la question de sa mise à jour[1]. Mais les recommandations n’éclairent pas particulièrement sur ce qui pourrait être le fait générateur d’une mise à jour, ce qui permettrait non pas de définir la fréquence de mise à jour, mais de connaître les circonstances dans lesquelles l’entreprise devrait à coup sûr mettre à jour cette cartographie.
Le plus souvent, sans en faire une vérité statistique, les entreprises assujetties se sont fixé pour règle de mettre à jour leur cartographie tous les 3 à 5 ans, toutes choses égales par ailleurs, ou en cas de survenance d’évènements majeurs : changement de périmètre – acquisition ou cession, changement de gouvernance ou de mode d’organisation, évènement majeur affectant le Groupe, dont par exemple un alerte entraînant des conséquences significatives pour le Groupe.
La seule règle qu’il faille sans doute retenir, au-delà du seul écoulement du temps, est la survenance de tout fait qui rendrait la lecture de la cartographie en place manifestement obsolète.
Instance dirigeante : rôle
Quel rôle le dirigeant de l’entreprise doit il jouer dans l’élaboration de la cartographie des risques de corruption ?
D’un point de vue purement opérationnel l’instance dirigeante n’a pas de rôle à proprement parler, sauf bien sûr à être interviewée es qualités.
Toutefois, et afin de marquer son implication dans le processus de mise en œuvre du dispositif de prévention de la corruption elle peut agir de façon assez simple en se faisant l’émetteur, par exemple, du mail d’invitation à participer aux interviews de cartographie des risques de corruption. Ce faisant elle démontre son implication dans le processus, et envoie un message clair aux participants : c’est bien l’instance dirigeante qui invite à participer à l’exercice. Elément de motivation supplémentaire pour les participants.
Ensuite, au-delà de cet aspect, 2 missions spécifiques lui incombent :
- La prise de connaissance et la validation du contenu de la cartographie : celle-ci est élaborée par la fonction compliance, ou équivalente, mais la validation ultime de son contenu revient à l’instance dirigeante du Groupe.
- La formalisation de son accord par l’apposition de sa signature sur la cartographie dont il aura validé le contenu
Nombre de risques
Une entreprise soumise au dispositif Sapin 2 n’aurait-elle pas intérêt à limiter le nombre de risques à identifier dans le cadre d’une cartographie des risques de corruption ?
De façon assez contre intuitive, il est vrai, plus une cartographie compte de risques – dans la limite du raisonnable s’entend, plus l’entreprise sera protégée et ses dirigeants avec. En effet si l’on suit le raisonnement suivant selon lequel, en application de la loi, tout risque doit trouver des mesures de contrôle. Alors, ces mesures de contrôle viendront réduire, ou limiter la fréquence et potentiellement la gravité des risques identifiés. Un homme prévenu en vaut deux, dit l’adage.
Plus sérieusement, plus on identifie de risques, plus on met de mesures en place, moins les risques identifiés ont de chances de surgir.
Raisonnons par l’absurde. Imaginons qu’une entreprise n’identifie qu’un seul risque. Et qu’un fait de corruption surgisse, sans rapport avec le seul risque identifié, et que, par ailleurs, le fait de corruption en question ne soit pas complètement surprenant, ni totalement inattendu.
L’on pourrait alors considérer que l’entreprise a fermé les yeux sur un risque probable, qu’elle n’a pas cherché à circonvenir.
En poussant un peu plus encore le raisonnement, on pourrait même imaginer que le fait de ne pas avoir identifié ce risque latent, devenu patent, confine à une forme d’encouragement de la survenance de ce dernier.
A contrario, le fait de mettre en évidence un spectre de risques plus large permet à la fois de révéler une prise de conscience, même imparfaite, et de caractériser la mise en œuvre de moyens de lutte. Quand bien même seraient-ils imparfaits.
Participants à la cartographie
Quelles sont les personnes devant contribuer à l’exercice de cartographie des risques de corruption ?
En toute rigueur, le panel de personnes devant participer aux entretiens de cartographie des risques de corruption est supposé représenter un échantillon représentatif du Groupe dans lequel la cartographie va être réalisée. Il s’agit ainsi en substance d’interviewer une population représentative du Groupe dans ses dimensions géographiques, organisationnelles, managériales, mais également représentative des entités contrôlées par la Groupe.
En effet, au-delà des collaborateurs d’un Groupe, la chaine hiérarchique des entités juridique le composant, au sens de l’art 233-3 du Code de commerce est un des éléments essentiels de l’appréciation de la validité d’une cartographie des risques de corruption, et si d’aventure le panel retenu n’intégrait pas les dirigeants des filiales contrôlées l’exercice serait considéré comme inachevé.
Ainsi en synthèse, le panel retenu doit représenter une population représentative du Groupe. Et l’on pourra dire que ce panel l’est, représentatif, dès lors qu’à son examen il ne semble manifestement qu’aucun « oubli » de puisse être relevé dans la représentation, nécessairement limitée du Groupe.
Ainsi, si le panel retenu par un groupe omettait de façon manifeste, et évidente, une zone géographique spécifique, un pan d’activité significatif, ou une filiale, il conviendrait sans aucun doute de le compléter.
Quel quantum retenir ?
Quant au quantum du panel, il n’existe pas vraiment de règle. Un nombre de 15 à 20 personnes semble être un minimum. Cent cinquante un nombre qui est rarement dépassé. Mais rien n’est impossible évidemment.
Le nombre de personnes à interviewer dépend de la complexité du Groupe étudié.
Il ne serait pas impossible, ou irréaliste, qu’un Groupe de 50 000 personnes très peu international, très organisé, très intégré, très hiérarchisé, retienne un panel moins important qu’un autre groupe de taille sensiblement plus petite, mais connaissant une diversité d’activité, des localisations sur l’ensemble du globe et développé par croissance externe.
Questionnaire
Les entretiens de cartographie doivent-ils être guidés par un questionnaire prédéfini ?
Epineuse question que celle-ci. La voie de la facilité, ou de la simplicité pourrait conduire à penser que l’application d’un questionnaire permet de ne rien oublier, et d’adresser toutes les problématiques utiles à l’exercice. Et puis un questionnaire permettrait à n’importe qui de mener ces délicats entretiens.
Certes. Mais certaines limites apparaissent rapidement. Comme pour tout questionnaire, il ferme le débat par son caractère éminemment fini. Et son contenu même, sur le fond peut passer à côté de certains sujets utiles à l’exercice, et qui se trouveraient in fine, totalement dénués de contenu.
Enfin, le fait d’être en présence de questions potentiellement fermées, ou aisément contournables, litent également l’utilisation d’une telle solution. Sans parler, comme cela a pu être vu, des réponses quasi monosyllabiques, oui ou non par exemple, dont on ne peut pas dire qu’elles éludent le questionnaire, sans pour autant donner d’éclairage particulièrement intéressant.
L’absence totale de support à un entretien, ou guidé par l’amusante question « Alors, à votre avis, comment pourrait-on commettre des actes de corruption ici ? Et avec qui ? » n’est probablement pas la meilleure solution non plus. L’on est sûr, ou à peu près, de s’entendre dire « Je ne vois pas » ou de se voir proposer un ou plusieurs scénarios plus que théoriques. La cartographie des risques de corruption n’est pas un exercice créatif ou de divination.
La meilleure solution semble être entre les 2 précédentes solutions : un simple guide, ignoré de la personne interviewée, qui permet de balayer une somme de thématiques particulières, de processus spécifiques et qui permet d’adapter le discours et sa profondeur à la qualité de la personne rencontrée, seuls moyens de rendre l’exercice utile et efficace. La contrainte de cette dernière solution est qu’elle exige une certaine expérience, et une connaissance assez précise des phénomènes de corruption.
Code de conduite
Autonomie du code de conduite
Le code de conduite anticorruption est-il un concept autonome, ou peut-il se fondre dans un document plus général (charte éthique, Code de conduite plus général) ?
En première intention, l’on pourrait dire que le code de conduite anticorruption ne se confond pas avec une charté éthique, une profession de foi, une déclaration d’intention, ou une liste de « valeurs » comme on aime parfois à s’en prévaloir.
Le code de conduite anticorruption est un document qui doit répondre à certaines exigences formelles : un lien avec la cartographie des risques de corruption, une préface par l’instance dirigeante, une validation par cette dernière, pour n’en citer que les principales caractéristiques.
Donc rien n’interdit qu’une charte éthique intègre les caractéristiques attendues d’un code de conduite anticorruption, et ne porte pas le nom de ” code de conduite”, mais le seul fait d’afficher une charte, une politique qui n’intégrerait pas les caractéristiques attendues d’un code, ne pourrait être considéré comme LE code de conduite attendu par la loi et l’AFA.
Dispositif d’alerte interne
Accessibilité du code de conduite
Le dispositif d’alerte interne doit-il être ouvert aux tiers, clients, fournisseurs et grand public ?
Même si la loi ne dit sur ce dernier point, le grand public, l’AFA recommande[2] de l’ouvrir aux extérieurs à l’entreprise comme les fournisseurs, par exemple. De fait, à la date de rédaction de ces lignes, l’ensemble des Groupes du CAC 40 met en ligne un accès à leur dispositif de lancement d’alerte. Ce dernier élément n’en fait pas une règle, mais donne une tendance sur les pratiques actuelles. Pratique suivie par des entreprises de taille plus modeste.
Pluralité du nombre de systèmes de lancement d’alerte
Un Groupe peut-il disposer de différents systèmes de lancement d’alerte, soit par thématique RH / Corruption / Fraude… soit par zone géographique ?
Rien ne l’interdit, mais la tendance, et on le comprend sans peine est à la centralisation des dispositifs de lancement d’alerte.
Rien ne s’oppose juridiquement à ce qu’un groupe possède plusieurs dispositifs, mais entre de simples aspects opérationnels tout à fait pratiques et la rédaction du décret d’application de la loi Waserman, tout pousse les entreprises à n’utiliser qu’n système unique, quitte à déterminer des récipiendaires des signalements en différents points du Groupe.
Dispositif de contrôle et d’évaluation
Dispositif de formation
Engagement de l’instance dirigeante
Rôle de l’instance dirigeante dans l’élaboration de la cartographie des risques de corruption
Le dirigeant d’un Groupe soumis aux dispositions de la loi Sapin 2 doit-il être signataire de la cartographie des risques et du code de conduite anticorruption ?
Les recommandations[3]de l’AFA sont assez claires, et ses rapports de contrôle plus encore : l’instance dirigeante d’un Groupe soumis au dispositif Sapin 2 se doit, sinon littéralement de « signer » ces deux documents, d’en valider le contenu, de le préfacer, de formaliser l’approbation du dispositif, valider et assurer le portage du code… Pour les seules recommandations. Quant aux rapports de contrôles ils sont, pour ceux que nous avons pu consulter, très explicites eux aussi sur le sujet.
Gouvernance de la fonction conformité
Qualité de la fonction compliance
Est-il nécessaire de disposer d’une fonction dédiée, pour assurer la mise en œuvre, le déploiement, le suivi et l’actualisation du programme de conformité anticorruption ?
Il n’existe pas de règle en la matière, pas plus qu’il n’existe d’interdictions.
Certains Groupes ont pu confier cette noble mission à des externalisées, avocats ou non, sans que cela ne pose le moindre problème, ni opérationnel, ni légal.
Force est néanmoins de reconnaître en 2026 que les fonctions compliance sont très largement internalisées, et le plus souvent bien armées en termes d’effectif.
Les fonctions compliance sont le plus souvent très occupées. Comme tout le monde dira-t-on, mais à cette différence près que l’a compliance étant un métier assez nouveau, le nombre et la densité des tâches confiées à ces fonctions vont plutôt croissant.
Ce qui implique que de façon assez mécanique, même si la charge de travail suffisait à nourrir un plein temps, cette charge tend à augmenter naturellement de façon très significative.
La règle de base étant probablement que compte tenu du caractère assez récent de la compliance, le traitement d’une question en amène immanquablement 10 autres…
Procédures de contrôles comptables
Fonction audit ou contrôle interne et contrôles comptables
L’entreprise possède une direction de l’audit interne, est ce que cela ça suffit pour remplir l’obligation de l’article 17 relative aux contrôles comptables ?
La réponse est formellement non. A moins que cette direction ait mis en œuvre un dispositif de contrôle permettant de démontrer que chaque risque de la cartographie des risques est encadré par des contrôles, spécifiquement anticorruption ou non, mais qui permettent de réduire la portée des risques.
Quantum des contrôles anticorruption
Est-ce qu’un contrôle par risque suffit à remplir les obligations prévues par l’art. 17. ?
La réponse est simple : c’est possible, mais ça n’est pas certain. Et en faire une règle générale à chacun des risques d’une cartographie des risques, est à notre sens plutôt audacieux. Litote.
Procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires
Questionnaire de contrôle
Périmètre du questionnaire de contrôle
Sur quel périmètre d’entreprises doit on appliquer les dispositions de l’art. 17 de la loi ?
La question se pose souvent pour des groupes répartis sur l’ensemble du globe, ou très éparpillés, suivant une répartition par paliers. Si en 2017, il était tenu pour acquis qu’il devait y avoir autant de questionnaires de contrôles que d’entités juridiques dans un Groupe, ce qui ne constituait pas un motif de satisfaction pour les entreprises contrôlées, la pratique s’est largement améliorée, et l’Agence n’exige, en tout cas pour les entreprises de notre connaissance, qu’n questionnaire pour l’ensemble du Groupe. Un seul en général très long et synthétisant au mieux la situation du Groupe.
Il est à noter que l’alimentation de ce questionnaire doit être particulièrement soignée, et qu’il est particulièrement importer d’en soigner le contenu. C’est grâce à lui que l’AFA prendra connaissance du Groupe, et à partir de lui que nombre de questions ou d’approfondissements seront initiés. A ne négliger en aucun cas, donc, et à y consacrer le temps nécessaire, tout le temps nécessaire.
Régime disciplinaire
Fait générateur des sanctions
Le régime disciplinaire prévu par la loi Sapin doit-il être mis en place pour sanctionner des faits de corruption ou une violation de l’une ou de l’autre des dispositions du code de conduite ?
Les 2 ! Les recommandations[4] de l’AFA sont pour le moins explicites, les sanctions disciplinaires applicables en cas de transgression du code de conduite anticorruption ont également vocation à s’appliquer en cas de survenance d’un fait de corruption ou assimilé.
[1] P22, note 152
[2] Page 34, point 254
[3] Page 7, note 32, note 38 ; page 14, note 98
[4] Page 4, note 16 ; page 6, notes 25 et 27 ; page 11, note 78 ; page 25, note 175 ; page 47, note 240 ; page 56, note 360 ; page 60, note 432 ;
