La création d’un référentiel anticorruption à la française

La loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (ci-après la « loi Sapin 2 ») a modifié en profondeur la prévention et la poursuite des faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêts, de détournement de fonds publics et de favoritisme¹. Elle impose notamment aux entreprises et établissements publics à caractère industriel et commercial (ci-après les « EPIC ») les plus importants de mettre en place un programme de prévention et de détection de la corruption décliné en huit mesures principales² : 

• 1° Un code de conduite définissant et illustrant les différents types de comportement à proscrire comme étant susceptibles de caractériser des faits de corruption ou de trafic d’influence³ ;
• 2° Un dispositif d’alerte interne destiné à permettre le recueil des signalements émanant d’employés et relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société ;
• 3° Une cartographie des risques prenant la forme d’une documentation régulièrement actualisée et destinée à identifier, analyser et hiérarchiser les risques d’exposition de la société à des sollicitations externes aux fins de corruption, en fonction notamment des secteurs d’activités et des zones géographiques dans lesquels la société exerce son activité ;
• 4° Des procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques ;
• 5° Des procédures de contrôles comptables, internes ou externes, destinées à s’assurer que les livres, registres et comptes ne sont pas utilisés pour masquer des faits de corruption ou de trafic d’influence⁵ ;
• 6° Un dispositif de formation destiné aux cadres et aux personnels les plus exposés au risque de corruption et au trafic d’influence ;
• 7° Un régime disciplinaire permettant de sanctionner les salariés de la société en cas de violation du code de conduite de la société ;
• 8° Un dispositif de contrôle et d’évaluation interne des mesures mises en œuvre.

Pour la mise en œuvre de ces nouvelles obligations, l’article 3, 2° de la loi Sapin 2 prévoit que l’AFA devait élaborer « des recommandations destinées à aider les personnes morales de droit public et de droit privé à prévenir et à détecter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêt, de détournement de fonds publics et de favoritisme ».

L’AFA a choisi de lancer une consultation publique afin de finaliser ses recommandations qui ont été réunies dans un avis publié au Journal officiel le 22 décembre 2017 (ci-après les « recommandations »). Elle a ainsi intégré dans ses recommandations, inspirées des guidelines publiées par les ministères de la Justice américain⁶ et britannique⁷, les contributions fournies par les entreprises et les fédérations professionnelles qui les représentent, les associations de professionnels, les consultants, les cabinets d’avocats ainsi que les acteurs publics, les universités et les associations engagées dans la lutte anticorruption. L’objectif affiché par l’AFA est d’encourager l’ensemble des acteurs concernés « à faire de la prévention de la corruption une opportunité pour le climat des affaires et pour la vie économique et citoyenne de notre pays »⁸.

Les recommandations apportent des précisions sur l’engagement attendu de la part des instances dirigeantes, le contenu du code de conduite à adopter et la mise en œuvre opérationnelle du dispositif d’alerte anticorruption (I). Sont annexées à ces recommandations des fiches thématiques portant sur la présentation des dispositions relatives aux lanceurs d’alerte, la cartographie des risques, la procédure d’évaluation des tiers, la procédure de contrôle comptable, le dispositif de formation, le dispositif de contrôle et d’évaluation interne ainsi qu’une fiche apportant des précisions à l’attention des acteurs publics (II).

I. L’engagement de l’instance dirigeante, le code de conduite et le dispositif d’alerte

La loi prévoit que les personnes soumises à l’obligation de prévention de la corruption doivent mettre en place les huit mesures détaillées en introduction. Les recommandations publiées ne suivent pas ce plan en huit points mais distinguent entre des thèmes abordés dans le corps du texte et certaines questions évoquées en annexe sous forme de fiches thématiques. Ainsi, le corps même du texte n’évoque que les quatre questions suivantes : le périmètre des recommandations (A), l’engagement attendu de l’instance dirigeante (B), le code de conduite (C) et le dispositif d’alerte interne (D).

A. Le périmètre des recommandations de l’AFA

On relèvera l’ambition de l’AFA qui estime que ses recommandations « sont destinées à l’ensemble des personnes morales de droit privé et de droit public, quels que soient leur taille, leur forme sociale, leur secteur d’activité, leur chiffre d’affaires ou l’importance de leurs effectifs » et ce alors même que l’article 17 de la loi Sapin 2 n’impose la mise en place d’un plan de prévention de la corruption qu’aux sociétés et EPIC employant au moins cinq cent salariés ou appartenant à un groupe dont la société mère a son siège social en France et dont l’effectif comprend au moins cinq cent salariés et dont le chiffre d’affaires ou le chiffre d’affaires consolidé est supérieur à 100 millions d’euros⁹.

Cette ambition doit toutefois être relativisée puisque l’AFA précise que les recommandations sont dépourvues de force obligatoire et ne créent pas d’obligation juridique. L’AFA insiste, en outre, sur le fait que les mesures mises en œuvre, si elles doivent s’appuyer sur les recommandations, sont avant tout spécifiques à chaque organisation et aux risques auxquels elles sont exposées, ce qui justifie d’accorder une attention particulière au travail de cartographie des risques dont la pratique montre déjà qu’il est un exercice exigeant à mener en coordination étroite avec les opérationnels.

B. L’engagement attendu de l’instance dirigeante

Comme les autorités américaines et britanniques, le régulateur français insiste sur la nécessité pour les instances dirigeantes de faire preuve d’un engagement important en matière de prévention contre le risque de corruption. On rappellera à cet égard que la loi fait peser, en premier lieu, la responsabilité pécuniaire liée à l’obligation de déployer un plan de prévention sur les dirigeants personnes physiques¹⁰.

L’AFA souligne l’importance pour les instances dirigeantes de s’engager sur une « politique de tolérance zéro » envers tout comportement contraire à l’éthique en général et à tout risque de corruption en particulier et ce, même si les mesures déployées nécessitent de mobiliser des moyens financiers et sont susceptibles « d’affecter le fonctionnement de l’organisation ». L’AFA recommande que le dispositif de prévention soit approuvé par l’instance dirigeante et que la démarche de prévention – et notamment le code de conduite – soit engagée « depuis le plus haut niveau »¹¹. Elle identifie quatre piliers :

• L’adoption d’une politique de tolérance zéro face au risque de corruption au sein de l’organisation et vis-à-vis des tiers. Cela implique notamment d’allouer à la prévention et la détection des faits des ressources « proportionnées aux enjeux » et de se montrer ferme envers tout cas de corruption. L’AFA recommande de rappeler dans le code de conduite que le « recours à la corruption ne constitue pas une pratique utilisée par l’organisation dans ses affaires » ;
• La prise en compte de l’anticorruption dans les procédures et politiques et notamment à l’occasion des recrutements et des nominations de cadres dirigeants, pour s’assurer de la probité des personnes promues. Pour l’AFA, ceci passe également par la protection des lanceurs d’alerte ;
• La gouvernance du programme de prévention et de détection de la corruption au plus haut niveau de l’organisation et la désignation d’un responsable de la conformité ;
• La mise en œuvre d’une politique de communication interne mais aussi vis-à-vis des partenaires extérieurs.

C. Le contenu du code de conduite anticorruption

Le code de conduite est également abordé dans le corps du texte des recommandations. Contrairement à l’engagement des instances dirigeantes, il fait partie des huit mesures imposées expressément par l’article 17 de la Loi Sapin 2 comme devant être intégrées dans le plan de prévention de la corruption.

L’article 17, II, 1°, prévoit en effet la mise en œuvre d’« un code de conduite définissant et illustrant les différents types de comportements à proscrire comme étant susceptibles de caractériser des faits de corruption ou de trafic d’influence. Ce code de conduite est intégré au règlement intérieur de l’entreprise et fait l’objet, à ce titre, de la procédure de consultation des représentants du personnel prévue à l’article L. 1321-4 du code du travail ».

L’AFA recommande que le code soit introduit par l’instance dirigeante et comporte un rappel des valeurs de l’organisation en matière d’anticorruption¹². Rédigé en langue française¹³, il doit contenir en outre :

• Des dispositions sur les types de comportements à proscrire (accompagnées d’illustrations pertinentes au regard de l’organisation concernée), sachant qu’il peut même renvoyer à des fiches opérationnelles (dites « policies », « procédures » ou encore « processus ») ;
• Des interdictions ;
• Des indications sur le traitement des cadeaux et invitations, les paiements de facilitation, les conflits d’intérêts, le mécénat, le sponsoring et, le cas échéant, la représentation d’intérêts (lobbying) ;
• Une mention sur la politique disciplinaire et le dispositif d’alerte interne.

L’AFA rappelle que le code doit s’appliquer partout où l’entreprise exerce une activité, en France et à l’étranger (« sans préjudice de l’application de références anticorruptions plus exigeantes le cas échéant »). Il constitue l’un des éléments sur lesquels sont formés les collaborateurs de l’entreprise¹⁴. Il peut être commun aux différentes sociétés qui constituent un groupe et sert également d’outil de communication externe dans les relations avec les clients, les partenaires et les fournisseurs. Comme prévu par la loi, il est intégré au règlement intérieur. Dans les sociétés de moins de vingt salariés, il est remis aux membres du personnel ou doit leur être rendu accessible. Il doit enfin être mis à jour régulièrement.

D. Le dispositif d’alerte interne

L’AFA a également formulé des recommandations sur le dispositif d’alerte interne qui doit être mis en œuvre pour permettre le recueil des signalements émanant d’employés et relatifs à l’existence de conduites ou de situations contraires au code de conduite. Cette obligation est prévue par l’article 17 et doit être distinguée de l’obligation, prévue par les articles 6 et suivants, pesant sur toute organisation de plus de cinquante salariés de mettre en place une ligne d’alerte dite « générale » dont le champ d’application est beaucoup plus large¹⁵.

L’AFA recommande que le dispositif d’alerte interne précise les points suivants :

• Le rôle du supérieur hiérarchique, qui doit pouvoir orienter et conseiller ses collaborateurs, sauf dans l’hypothèse où il est l’auteur du comportement incriminé ;
• Le référent fonctionnellement désigné pour recueillir les alertes au sein de l’organisation¹⁶ ;
• Les dispositions prises pour garantir la confidentialité de l’identité de l’auteur du signalement, des faits objets du signalement et des personnes visées par le signalement¹⁷ ;
• Les modalités selon lesquelles l’auteur du signalement fournit, le cas échéant, les informations ou documents à l’appui de son signalement ;
• Les modalités d’échange avec l’auteur du signalement ;
• Les dispositions prises pour informer sans délai l’auteur du signalement de la réception de son alerte et du délai nécessaire à l’examen de sa recevabilité ;
• Les dispositions prises pour informer l’auteur du signalement de la clôture de la procédure et, le cas échéant, les personnes visées par le signalement ;
• Les dispositions prises pour détruire, si aucune suite n’a été donnée, et dans les deux mois suivant la clôture des vérifications, les éléments du dossier permettant d’identifier l’auteur du signalement et les personnes visées par le signalement ;
• Si un traitement automatisé des signalements est mis en place, après autorisation de la CNIL ;
• Le cas échéant, la politique relative au traitement des signalements anonymes¹⁸.

On se félicite, en outre, que les recommandations indiquent qu’il est possible de mettre en place un seul et unique dispositif technique de recueil des signalements lorsque l’entreprise ou l’organisation concernée est soumise à la fois à l’obligation de mettre en place une ligne d’alerte anticorruption mais aussi une ligne d’alerte générale (telle que prévue par les art. 6 s. de la loi Sapin 2) et une ligne d’alerte dans le cadre du devoir de vigilance (telle que prévue par la loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre). L’AFA précise également que si, dans le cadre de la mise en place d’une seule et unique ligne d’alerte, les organisations ne sont pas en mesure de discriminer les signalements relevant des différents dispositifs, le régime légal des lanceurs d’alerte pourra être étendu à l’ensemble des signalements.

II. Les annexes aux recommandations de l’AFA

Les recommandations publiées au Journal officiel contiennent sept annexes. La première est une présentation synthétique des dispositions relatives aux lanceurs d’alerte prévues par les articles 6 et suivants de la loi Sapin 2 (et ne figurant donc pas dans les mesures obligatoires prévues par l’art. 17 de cette loi) (A). Les cinq suivantes sont relatives aux mesures obligatoires dans le cadre du déploiement des plans de prévention de la corruption et qui n’ont pas été traitées dans le corps du texte des recommandations à savoir :

• La cartographie des risques (B) ;
• Les procédures d’évaluation des tiers (C) ;
• Les procédures de contrôles comptables (D) ;
• Le dispositif de formation aux risques de corruption (E) ;
• Le dispositif de contrôle et d’évaluation interne (F) ; et
• Sont enfin annexées à l’avis des précisions à l’attention des acteurs publics (G).

Le choix de présentation des recommandations peut laisser perplexe. En effet, il est fait une distinction entre certaines obligations prévues au rang des plans de prévention et de détection de la corruption qui sont abordées dans le corps même du texte (le code de conduite, la ligne d’alerte) et les autres (mentionnées ci-avant) qui figurent en annexe. Cela signifierait-il que l’AFA a entendu hiérarchiser ces obligations entre celles qui seraient considérées comme « principales » et d’autres plus « secondaires » ? On peut le penser, mais cela irait à l’encontre de la teneur même des recommandations qui laissent penser que la cartographie est l’élément fondateur et primordial de tout plan de prévention.

Autre élément surprenant, alors que l’article 17, II, prévoit huit mesures à adopter dans le cadre du plan de prévention et de détection de la corruption, les recommandations n’en abordent que sept. En effet, la disposition prévue à l’article 17, II, 7° imposant « un régime disciplinaire permettant de sanctionner les salariés de la société en cas de violation du code de conduite de la société » n’est détaillée ni dans le corps du texte des recommandations ni dans les annexes¹⁹.

A. Les dispositions relatives aux lanceurs d’alerte

L’AFA a choisi d’annexer à son avis un rappel synthétique des obligations prévues en matière de ligne d’alerte générale par les articles 6 et suivants de la loi Sapin 2. On rappellera que cette ligne d’alerte n’entre pas dans le champ des obligations légalement contrôlées par l’AFA dont le périmètre se limite aux obligations de l’article 17 et donc à la ligne d’alerte spéciale qui doit permettre de signaler les non-conformités au code de conduite.

Ce rappel s’explique probablement par la possibilité, mentionnée par l’AFA, de mettre en place un dispositif unique de signalement. Sur les contours et le fonctionnement du dispositif, il est rappelé que le lanceur d’alerte est nécessairement une personne physique, de bonne foi, désintéressée et qui a personnellement connaissance des faits qu’elle signale. L’avis rappelle le fonctionnement du signalement en trois étapes : nonobstant la mise en place d’un dispositif de signalement, toute personne peut porter les faits à la connaissance de son supérieur hiérarchique, direct ou indirect, ou d’un référent désigné par l’employeur²⁰. À défaut de diligence par le destinataire de l’alerte dans un délai raisonnable, le lanceur d’alerte peut, dans un second temps, s’adresser à l’autorité judiciaire, à l’autorité administrative ou aux ordres professionnels. S’il n’y a pas de traitement dans un délai de trois mois, le signalement pourra être rendu public. En cas de danger grave ou imminent ou en présence d’un risque de dommage irréversible, le signalement peut être adressé directement à l’autorité judiciaire, à l’autorité administrative ou aux ordres professionnels. Il peut également être rendu public.

S’agissant des alertes de l’article 17, les recommandations ajoutent à la loi en soulignant qu’elles pourront être « adressées directement à l’AFA » qui « communiquera le cas échéant ces derniers faits au procureur de la République ».

Le lanceur d’alerte est pénalement irresponsable dès lors que les critères fixés par la loi Sapin 2 sont remplis et que la divulgation de l’information « est nécessaire et proportionnée à la sauvegarde des intérêts en cause ». En outre, il ne peut être licencié, sanctionné ou discriminé d’aucune manière pour avoir signalé des faits dans le respect de la procédure de signalement des alertes.

B. La cartographie des risques

Les recommandations apportent également des éclairages nécessaires sur la façon de réaliser la cartographie des risques prévue par l’article 17, II, 3°, de la loi Sapin 2²¹. Ces précisions étaient très attendues alors que l’obligation de prévention est officiellement entrée en vigueur le 1^er juin 2017 et que les mentions figurant dans le texte de loi étaient sibyllines sur cette mesure. Cela était d’autant plus préjudiciable que le directeur de l’AFA avait signé dès le 10 octobre 2017 les premières lettres de mission désignant les entreprises faisant l’objet d’un contrôle du respect de la mise en œuvre de leur programme anticorruption.

La méthode adoptée est assez classique en matière de prévention des risques. En substance, l’AFA préconise la mise en place d’une démarche en six étapes, à savoir :

• Clarifier les rôles et les responsabilités de chacun dans l’élaboration, la mise en œuvre et la mise à jour de la cartographie (instance dirigeante, responsable de la conformité, responsables des processus managériaux, responsable des risques, personnel…) ;
• Identifier les risques inhérents aux activités de l’organisation ;
• Évaluer le niveau de vulnérabilité de l’organisation en cause pour chaque risque (il s’agit ici d’identifier les risques « bruts », c’est-à-dire les risques considérés en amont des moyens de prévention qui dépendent notamment des pays et secteurs concernés, de la nature des contrats, de la qualité du contrôle interne…) ;
• Évaluer l’adéquation et l’efficacité des moyens visant à maîtriser ces risques (afin de définir les risques dits « nets » ou « résiduels », il s’agit donc de réévaluer les risques bruts en prenant en considération les moyens de prévention mis en œuvre) ;
• Hiérarchiser et traiter les risques « nets » ou « résiduels » (afin de déterminer les risques pour lesquels le niveau de contrôle est suffisant et ceux pour lesquels l’instance dirigeante souhaite renforcer le contrôle, éléments sur la base desquels un plan d’action devra être élaboré) ;
• Formaliser la cartographie des risques et la tenir à jour.

C. La procédure d’évaluation des tiers

L’article 17, II, 4° impose de mettre en place « des procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie ». L’AFA apporte des précisions sur les mesures à mettre en œuvre au titre de cette obligation.

Cette obligation repose sur l’idée que si l’organisation n’est pas suffisamment vigilante sur l’intégrité des tiers avec lesquels elle est en relation, elle peut se trouver impliquée plus ou moins directement dans des affaires de corruption. Il est donc nécessaire de mettre en place des évaluations ou due diligences qui se traduisent par la collecte d’informations et de documents sur les tiers avant que la relation ne soit formellement engagée. Ces informations et documents doivent ensuite être mis à jour périodiquement ou ponctuellement en cas d’événement ayant une influence sur le niveau de risque (fusions-acquisitions, changement de direction…).

L’AFA recommande d’effectuer des vérifications sur un périmètre plus large que ce qui est prévu par la loi (V. art. 17 visant les « clients, fournisseurs de premier rang et intermédiaires »). Elle vise dans ses recommandations « les tiers avec lesquels l’organisation est en relation ou entre en relation, en priorité (…) ceux identifiés dans la cartographie des risques comme présentant un risque de corruption (…). La démarche d’évaluation implique de cartographier l’ensemble des tiers – discriminés selon leur nature, leur statut, leur taille – afin d’identifier ceux auxquels des procédures d’évaluation devront être appliquées et adaptées en fonction du niveau de risque ».

La nature des informations et documents doit être déterminée par l’organisation. Il est nécessaire de s’informer à tout le moins sur :

• L’identité du tiers ;
• Son actionnariat ;
• Le risque pays ;
• Le secteur d’activité ;
• L’expertise réelle du tiers et la cohérence de sa rémunération avec son expertise et les prestations réalisées ;
• Son intégrité et sa réputation ;
• La mise en place par ce tiers de son propre dispositif de conformité ;
• L’interaction éventuelle du tiers avec des agents publics ou des personnes politiquement exposées ;
• L’aspect financier en jeu (l’établissement d’une relation financière de longue durée ou à forte valeur peut constituer un facteur de risque) ;
• Les modalités de rémunération du tiers (l’AFA souligne que le versement de commissions liées à l’obtention de contrats constitue un facteur de risque) ;
• La localisation du compte bancaire et le caractère habituel (ou non) des modalités de paiement demandées (les paiements en espèce, les paiements transfrontaliers et les paiements demandés sur factures non détaillées constituant des facteurs de risque).

L’AFA souligne que le comportement du tiers et son degré de coopération est également pris en compte dans l’évaluation du risque ainsi que la nature de la relation et rappelle que « certaines relations comportent un risque aigu de corruption comme, par exemple, le cas d’un tiers ayant pour mission d’assister l’organisation dans l’obtention de contrats : d’une part, l’organisation peut inciter le tiers à se livrer à des pratiques non conformes de façon à contourner son programme de conformité anticorruption ; d’autre part, le tiers peut se livrer à de telles pratiques de sa propre initiative, sans que l’organisation n’en soit informée ».

À titre indicatif, les évaluations peuvent inclure :

• La collecte d’informations au moyen de la consultation de listes internes à l’organisation ;
• La collecte d’informations en sources ouvertes, de documents publics ou à disposition du public (ex. : articles de presse, états financiers, décisions de justice lorsqu’elles sont publiées…) ;
• La vérification de la présence du tiers ou de ses bénéficiaires effectifs, de ses dirigeants ou de ses administrateurs, sur les listes des personnes physiques et morales sanctionnées²² ;
• La vérification de la présence éventuelle de personnes politiquement exposées au sein du tiers ou de ses bénéficiaires effectifs, de ses dirigeants ou de ses administrateurs ;
• La collecte d’informations dans des bases de données payantes ;
• La collecte d’informations et de documents auprès du tiers, au moyen par exemple d’un questionnaire, d’un entretien, d’un audit, d’un processus interne d’agrément ou de certification.

L’AFA souligne – et les praticiens ne s’en étonneront pas – la nécessité de vérifier que le recours au tiers est justifié et que sa prestation répond à un besoin avéré. Les raisons qui conduisent à retenir ce tiers plutôt qu’un autre devront également être examinées. Doit ainsi constituer une alerte le fait que ce tiers soit recommandé ou imposé par le client.

L’AFA recommande de considérer l’opportunité d’entrer ou de maintenir la relation avec le tiers au regard du niveau de risque considéré soulignant que « l’identification de facteurs de risques n’interdit pas la relation, mais doit conduire l’organisation à prendre les mesures appropriées de prévention et de détection de la corruption ». Afin de limiter le risque, des mesures peuvent être envisagées : informer le tiers de l’existence du programme de prévention, former et sensibiliser le tiers au risque de corruption, exiger un engagement écrit de lutte anticorruption²³ ou encore exiger du tiers qu’il vérifie l’intégrité de ses sous-traitants.

L’AFA indique que l’intégralité du dossier d’évaluation du tiers ainsi que l’historique des modifications sont à conserver cinq ans après la cessation de la relation d’affaires. On peut s’étonner de ce délai puisque désormais le délai de prescription des délits a été porté à six ans (ou dans la limite de 12 ans pour les infractions occultes ou dissimulées pour lesquelles un décalage du point de départ du délai de prescription est autorisé).

D. Les procédures de contrôles comptables

L’article 17, II, 5°, impose de mettre en place des « procédures de contrôles comptables, internes ou externes, destinées à s’assurer que les livres, registres et comptes ne sont pas utilisés pour masquer des faits de corruption ou de trafic d’influence. Ces contrôles peuvent être réalisés soit par les services de contrôle comptable et financier propres à la société, soit en ayant recours à un auditeur externe à l’occasion de l’accomplissement des audits de certification de comptes prévus à l’article L. 823-9 du code de commerce ».

L’AFA souligne que cette obligation n’implique pas de créer une procédure comptable complémentaire mais recommande la mise en place – quelle que soit l’option choisie – de contrôles dits « de premier niveau », « de deuxième niveau » et de « troisième niveau ». Le contrôle de premier niveau s’effectue à l’occasion de la saisie et de la validation des écritures comptables (il est recommandé de s’assurer que les écritures à risque sont examinées et validées par un collaborateur indépendant de celui qui a effectué la saisie). Il s’agit de s’assurer que les écritures sont convenablement justifiées et documentées. Le contrôle de deuxième niveau (par sondage) est réalisé par des personnes indépendantes de celles ayant réalisé le contrôle de premier niveau. Il est réparti tout au long de l’année et permet de s’assurer de la qualité du système comptable. Enfin, l’AFA recommande que l’efficacité des procédures comptables soit évaluée régulièrement dans le cadre d’un contrôle de troisième niveau (également appelé « audit interne »). Ces audits ciblés et planifiés doivent couvrir l’ensemble des dispositifs comptables afin de s’assurer que les procédures de contrôles comptables sont conformes aux exigences de l’organisation. Ils visent notamment à apprécier la pertinence de la gouvernance et des ressources allouées aux procédures de contrôles comptables, de la méthode d’élaboration et de l’application des contrôles de premier et deuxième niveau et de la prise en compte, dans les contrôles comptables, du risque de corruption.

L’AFA rappelle également les garanties que doit apporter le système comptable (donner la possibilité de distinguer les écritures manuelles et les écritures générées automatiquement, identifier le service et le collaborateur ayant passé et validé l’écriture, permettre la conservation des écritures extournées, tenir des journaux permettant de recenser les écritures comptabilisées, disposer de systèmes bloquants, par exemple en cas de déséquilibre des écritures ou de tentative de suppression). Naturellement, l’AFA préconise de cibler les opérations identifiées comme à risque (et notamment les dons, legs ou sponsoring, le mécénat, les honoraires et commissions, les frais de représentation et de marketing, les cadeaux et invitations, les comptes d’attentes, les opérations exceptionnelles, les opérations liées au recours à des intermédiaires ou consultants, les flux vers des comptes à risques, etc.).

E. Le dispositif de formation

L’article 17, II, 6°, impose de déployer « un dispositif de formation destiné aux cadres et aux personnels les plus exposés aux risques de corruption et de trafic d’influence ».

Une fois encore, les recommandations de l’AFA dépassent ce qui a été strictement prévu par la loi Sapin 2. En effet, au-delà de la formation des cadres et personnels les plus exposés (en particulier les commerciaux et acheteurs en relation avec les tiers exposés), il est recommandé « d’organiser une sensibilisation de l’ensemble des personnels ». Le contenu des formations varie naturellement en fonction du public et des risques. Les personnels les plus exposés doivent s’approprier le dispositif anticorruption de l’organisation et être en mesure de contribuer à prévenir et détecter les faits de corruption. En substance, les formations devront porter sur l’engagement des instances dirigeantes et le code de conduite, la corruption en général, ses enjeux et ses formes, les obligations juridiques applicables et les sanctions prévues, le dispositif anticorruption et les comportements à adopter. Des formations thématiques pourront également être déployées par exemple sur la commande publique et le recueil des signalements.

Les formations peuvent être dispensées en interne ou par un organisme extérieur, en présentiel (pour les personnels les plus exposés) et/ou en ligne. Elles doivent s’appuyer sur des cas pratiques et peuvent comporter des témoignages de collaborateurs de l’entreprise.

L’AFA souligne que l’accomplissement des formations peut être pris en compte dans l’évaluation des collaborateurs et recommande de mettre en place un contrôle pour assurer le suivi.

F. Le dispositif de contrôle et d’évaluation interne

La dernière obligation figurant au rang des mesures du plan de prévention et de détection de la corruption est la mise en place d’« un dispositif de contrôle et d’évaluation interne des mesures mises en œuvre » (art. 17, II 8°, de la loi Sapin 2).

Les contrôles et évaluations internes doivent permettre de vérifier que le dispositif mis en place est opérationnel et adapté au risque de corruption et d’identifier les points d’amélioration. Une fois encore, l’AFA préconise la mise en place de mesures de contrôle de trois niveaux. Le premier niveau vise à s’assurer que les tâches et missions au sein de l’organisation sont effectuées conformément aux procédures édictées. Ce contrôle peut être effectué par les équipes opérationnelles ou support ou encore par la hiérarchie.

Les contrôles de deuxième niveau visent à s’assurer de la bonne exécution des contrôles de premier niveau et du bon fonctionnement du dispositif de prévention et de détection de la corruption dans son ensemble. L’AFA recommande que ce plan de contrôle couvre « l’ensemble du dispositif » (définissant le périmètre du contrôle, ses responsables, ses méthodes, sa fréquence et la communication des résultats et des mesures correctrices potentielles). Il doit être relevé que l’AFA insiste sur le fait que ces contrôles doivent être documentés et qu’elle « pourra demander la production de la documentation conservée » dans le cadre de ses prérogatives de contrôle.

Enfin, il est également recommandé de mettre en place des contrôles de « troisième niveau » ou « audits internes ». Dans ce cadre sera appréciée la pertinence :

• De la gouvernance et des ressources allouées au dispositif de prévention et de détection de la corruption ;
• De la méthode d’élaboration de la cartographie des risques de corruption et du code de conduite, ainsi que de leur application ;
• Des règles ayant prévalu dans la définition du dispositif d’évaluation des tiers, ainsi que de leur application ;
• De l’architecture du dispositif d’alerte interne ainsi que de son fonctionnement concret.

L’AFA estime que si, dans le cadre de ces audits des « mécanismes d’exposition à la corruption ou de faits de corruption consommés » sont révélés, l’instance dirigeante devra diligenter une enquête interne et que, dans l’hypothèse où les faits seraient avérés, « l’instance dirigeante devrait en informer les autorités compétentes, en cohérence avec ses engagements ». On peut voir dans cette recommandation le signe que les autorités françaises, comme les régulateurs américain ou britannique, entendent inciter les entreprises françaises à s’auto-dénoncer dans l’hypothèse où des faits de corruption seraient découverts.

Cela fait notamment écho aux termes de la convention judiciaire d’intérêt public conclue par le Parquet national financier avec la société HSBC Private Bank le 30 octobre 2017. La convention judiciaire d’intérêt public publiée sur le site de l’AFA précise, s’agissant des modalités de calcul de la sanction pécuniaire mise à la charge d’HSBC Private Bank, que celle-ci doit atteindre le montant maximum prévu par la loi, notamment parce que la société « n’a pas révélé les faits aux autorités judiciaires ». On rappellera que si cela constitue désormais un argument de négociation avec le parquet, il n’existe pas, en droit français, d’obligation de s’auto-dénoncer ni de révéler des délits financiers dont on a connaissance²⁴. Pas plus qu’il n’existe malheureusement de mécanisme légal qui imposerait aux autorités de poursuites et/ou de jugement de tenir compte formellement de la coopération du mis en cause pour réduire sa peine ou l’absoudre.

Ainsi, dans l’hypothèse où une entreprise ferait au 15 janvier l’objet d’un contrôle de l’AFA qui conclurait à la validité et l’efficacité de son plan de prévention, rien n’empêcherait le parquet de poursuivre, le 15 juin, la personne morale, après la découverte de faits de corruption commis par un de ses salariés. Et la personne morale pourrait très bien être condamnée pour des faits de corruption commis « pour son compte » par ce salarié²⁵. Ainsi, si le législateur français s’est largement inspiré des pratiques américaines et britanniques en matière de lutte anticorruption, il n’a pas adopté le mécanisme d’exonération prévu par le droit britannique lorsque l’entreprise mise en cause a déployé des « mesures adéquates » pour prévenir les faits de corruption²⁶.

G. Précisions à l’attention des acteurs publics

Enfin, la dernière annexe des recommandations est destinée aux acteurs publics : État, collectivités et leurs groupements, établissements publics (à l’exception des EPIC les plus importants qui sont soumis à l’obligation de prévention prévue par l’art. 17 de la loi Sapin 2), groupements d’intérêt public, sociétés publiques ou d’économie mixte ou associations investies d’une mission de service public.

À l’attention de ces acteurs publics, l’AFA reprend en substance les recommandations formulées pour les sociétés et établissements soumis à l’obligation de prévention et de détection prévue par l’article 17 de la loi Sapin 2, à savoir :

• L’engagement attendu de l’instance dirigeante dans la mise en œuvre d’un dispositif anticorruption (engagement public sur une politique de tolérance zéro, comportement personnel exemplaire notamment s’agissant des cadeaux et de l’utilisation des moyens du service, valorisation des comportements éthiques, mise en place d’un dispositif anticorruption adapté, vigilance notamment en cas d’allusions et de rumeurs venant de l’extérieur, sanctions disciplinaires le cas échéant) ;
• L’adoption d’un code de conduite précis et adapté aux risques prévoyant des règles opposables dont le non-respect est passible de sanctions disciplinaires (l’AFA recommande notamment de définir le conflit d’intérêts et d’organiser le déport en cas de nécessité, de circonscrire précisément les conditions d’exercice conjoint d’un mandat électif et de fonctions administratives, de régler la question des cadeaux, invitations et gratuités et d’encadrer les activités accessoires) ;
• Cartographier les risques de corruption (c’est-à-dire « toute situation dans laquelle un agent public, un salarié de droit privé, ou un élu est susceptible d’octroyer ou de recevoir un avantage quelconque dans le cadre du service, que ce soit en contrepartie d’une décision ou en cas d’abstention à prendre une décision ») ;
• Mettre en place un dispositif de recueil des alertes (étant rappelé que les art. 6 s. de la loi Sapin 2 sont applicables aux acteurs publics²⁷ et aux associations ; dans les administrations centrales, les services à compétence nationale ou les services déconcentrés relevant de l’administration de l’État, la procédure est créée par arrêté du ou des ministres compétents) ;
• Déployer des procédures d’évaluation des tiers (candidat à l’attribution de marché ou à l’acquisition de bien, organisme sollicitant des subventions, candidat au recrutement, occupant du domaine public) ;
• Instaurer des dispositifs de contrôle (l’AFA souligne à cet égard que les préconisations relatives au contrôle interne s’appliquent en tout point aux acteurs publics en sus des règles particulières de contrôle et d’évaluation interne applicables aux acteurs publics) ;
• Former au risque de corruption les personnes exposées ou moins exposées, celles qui occupent des fonctions d’encadrement, celles qui sont nouvellement recrutées, ainsi que les nouveaux élus et l’ensemble des personnels en relation avec des tiers.

Ainsi, les recommandations de l’AFA sont denses et dépassent largement la simple mise en œuvre de l’obligation de prévention et de détection de la corruption. On ne peut qu’inciter les acteurs publics et privés à s’en inspirer pour le déploiement de leurs programmes, compte tenu du fait que c’est l’AFA elle-même qui procédera aux contrôles et sa commission des sanctions qui jugera les éventuels écarts à l’obligation imposée par l’article 17 de la loi Sapin 2. Dès lors, il est important – comme cela est souligné dans les recommandations – de déployer des ressources « proportionnées aux enjeux ». Les instances dirigeantes seront d’autant plus sensibilisées sur ces questions que le risque pécuniaire pèse aussi bien sur les personnes physiques que sur les structures qu’elles dirigent.

¹ Ces délits sont désignés ci-après sous le terme générique « corruption ».
² Art. 17, II 1° à 8° de la loi Sapin 2.
³ Ce code de conduite est intégré au règlement intérieur de l’entreprise et fait l’objet, à ce titre, de la procédure de consultation des représentants du personnel prévue à l’article L. 1321-4 du code du travail.
⁴ Ces contrôles peuvent être réalisés soit par les services de contrôle comptable et financier propres à la société, soit en ayant recours à un auditeur externe à l’occasion de l’accomplissement des audits de certification des comptes prévus à l’article L. 823-9 du code de commerce.
⁵ JO n° 0298, « Avis relatif aux recommandations de l’Agence française anticorruption destinées à aider les personnes morales de droit public et de droit privé à prévenir et à détecter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêt, de détournement de fonds publics et de favoritisme », 22 déc. 2017.
⁶ The United States Department of Justice, « A Resource Guide to the U.S. Foreign Corrupt Practices Act », dernière version : 2 nov. 2015.
⁷ The United Kingdom Ministry of Justice, « Guidance about procedures which relevant commercial organisations can put into place to prevent persons associated with them from bribing (section 9 of the Bribery Act 2010) », 30 mars 2011.
⁸ Agence française anticorruption, « Bilan de la consultation relative aux obligations anticorruption : vers un référentiel anticorruption français », 21 décembre 2017.
⁹ On observera que l’AFA indique que ces recommandations « s’adressent également à toutes les entités non dotées de la personnalité morale », et ce alors même que celles-ci échappent légalement à l’obligation de mise en place d’un plan de prévention de la corruption prévue par l’article 17 de la loi Sapin 2.
¹⁰ Art. 17 de la loi Sapin 2 : « Les présidents, les directeurs généraux les gérants des sociétés (…) sont tenus de prendre les mesures destinées à prévenir et détecter, la commission en France ou à l’étranger, des faits de corruption ou de trafic d’influence (…) ».
¹¹ Ce qui fait écho au « tone from the top » promu notamment par le Department of Justice américain (cf. « A Resource Guide to the U.S. Foreign Corrupt Practices Act », p. 57 : « Within a business organization, compliance begins with the board of directors and senior executives setting the proper tone for the rest of the company. Managers and employees take their cues from these corporate leaders. Thus, DOJ and SEC consider the commitment of corporate leaders to a "culture of compliance" and look to see if this high-level commitment is also reinforced and implemented by middle managers and employees at all levels of a business »).
V. égal. le guide publié par le Ministry of Justice britannique, p. 23 (« Guidance about procedures which relevant commercial organisations can put into place to prevent persons associated with them from bribing (section 9 of the Bribery Act 2010) » : « The top-level management of a commercial organisation (be it a board of directors, the owners or any other equivalent body or person) are committed to preventing bribery by persons associated with it. They foster a culture within the organisation in which bribery is never acceptable »).
¹² Le projet de recommandations soumis à la consultation publique au mois d’octobre 2016 indiquait que « le code de conduite s’appuie sur les risques identifiés par la cartographie des risques ». Cette mention ne figure pas dans la version finalisée publiée au Journal officiel.
¹³ Il peut être prévu une traduction en une ou plusieurs langues.
¹⁴ Cette mention ne figurait pas dans le projet de recommandations soumis à la consultation publique, elle a été ajoutée dans la version finalisée publiée au Journal officiel.
¹⁵ Art. 6 de la loi Sapin 2 : « Un lanceur d’alerte est une personne physique qui révèle ou signale, de manière désintéressée et de bonne foi, un crime ou un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général, dont elle a eu personnellement connaissance ».
Art. 8 de la loi Sapin 2 : « III. - Des procédures appropriées de recueil des signalements émis par les membres de leur personnel ou par des collaborateurs extérieurs et occasionnels sont établies par les personnes morales de droit public ou de droit privé d’au moins cinquante salariés, les administrations de l’État, les communes de plus de 10 000 habitants ainsi que les établissements publics de coopération intercommunale à fiscalité propre dont elles sont membres, les départements et les régions, dans des conditions fixées par décret en Conseil d’État ».
¹⁶ Cette fonction peut être extérieure à l’organisation ou être désignée en son sein par l’employeur.
¹⁷ Y compris lorsque des vérifications ou lorsque le traitement du signalement nécessitent la communication avec des tiers. 
¹⁸ À cet égard, l’AFA recommande de préciser les conditions de traitement adaptées à la complexité des vérifications engendrées par l’anonymat. Par ailleurs, il est recommandé, lorsqu’un échange est possible, de dialoguer avec l’auteur d’un signalement anonyme, afin de pouvoir investiguer sur les faits dénoncés.
¹⁹ Figure uniquement dans la partie sur le code de conduite une mention indiquant : « Le code de conduite prévoit les conséquences disciplinaires sanctionnant les comportements proscrits et, plus généralement, les comportements non conformes aux engagements et principes de l’organisation en matière de prévention et de détection des faits de corruption. Lorsque ces conséquences disciplinaires sont prévues par le règlement intérieur, le code de conduite peut renvoyer à celui-ci. »
²⁰ Art. 7 de la loi Sapin 2 portant création de l’article 122-9 du code pénal : « N’est pas pénalement responsable la personne qui porte atteinte à un secret protégé par la loi, dès lors que cette divulgation est nécessaire et proportionnée à la sauvegarde des intérêts en cause, qu’elle intervient dans le respect des procédures de signalement définies par la loi et que la personne répond aux critères du lanceur d’alerte prévus à l’article 6 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique ».
²¹ Qui prévoit l’établissement d’une « cartographie des risques prenant la forme d’une documentation régulièrement actualisée et destinée à identifier, analyser et hiérarchiser les risques d’exposition de la société à des sollicitations externes aux fins de corruption, en fonction notamment des secteurs d’activités et des zones géographiques dans lesquels la société exerce son activité ».
²² Notamment la liste des personnes exclues des marchés publics financés par les banques de développement ainsi que la liste des personnes sous sanctions financières et internationales des ministères économiques et financiers.
23 À cet égard, des clauses anticorruption peuvent être intégrées dans les contrats considérés à risque, ce type de clause permettant de mettre un terme à la relation contractuelle en cas de manquement à la probité.
²⁴ L’obligation de dénonciation concerne des cas très spécifiques et ne trouve pas d’application en matière de droit pénal des affaires (V., C. pén., art. 434-3 relatif à la non-dénonciation de privations, de mauvais traitements ou d’agressions ou atteintes sexuelles infligés à un mineur ou à une personne qui n’est pas en mesure de se protéger).
²⁵ Pour mémoire, l’article 121-2 du code pénal dispose en son premier alinéa que « Les personnes morales, à l’exclusion de l’État, sont responsables pénalement, selon les distinctions des articles 121-4 à 121-7 des infractions commises, pour leur compte, par leurs organes ou représentants ».
²⁶ La mesure phare du UKBA (UK Bribery Act), adopté en 2010, fut l’introduction d’un nouveau délit de défaut de prévention de la corruption visant les personnes morales sanctionnées par une amende illimitée. Ainsi, engage automatiquement sa responsabilité pénale toute personne morale dans le monde ayant une activité, même partielle, au Royaume-Uni, dont l’une des « personnes associées », fournissant des services pour le compte de la personne morale (tels que les employés, les filiales ou les agents commerciaux), est responsable d’actes ou de tentatives de corruption, entrepris dans le but d’obtenir pour la personne morale une affaire ou un avantage, sauf pour la personne morale à démontrer qu’elle avait mis en place des « procédures adéquates », conçues pour prévenir de tels actes. Ces procédures adéquates protègent la personne morale en cas de commission de faits de corruption par ses salariés ou les personnes qui lui sont associées. Le plan de prévention est donc, en droit britannique, une cause d’exonération de la responsabilité pénale, ce qu’il n’est pas formellement en droit français.
²⁷ Personnes morales de droit public autres que l’État, les communes de plus de 10 000 habitants, départements, régions ainsi que les établissements publics en relevant et les établissements publics de coopération intercommunale à fiscalité propre regroupant au moins une commune de 10 000 habitants. Les sociétés d’économie mixte et les société publiques locales sont soumises aux mêmes règles que les autres personnes morales de droit privé.