Créée par la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (dite « loi Sapin 2 »), la nouvelle Agence française anticorruption a publié, le 22 décembre 2017, ses recommandations sur la mise en œuvre de l’obligation faite à certaines entreprises de mettre en place un programme de conformité anticorruption au Journal officiel.
L’Agence française anticorruption (« AFA ») a choisi d’ouvrir l’élaboration des recommandations qui ont vocation à définir le périmètre des obligations anticorruption mises à la charge des entreprises à une consultation publique. C’est ainsi que l’AFA a publié à partir du 15 octobre 2017 des projets de recommandations et invité toute personne intéressée à adresser à l’AFA des commentaires et propositions dans un délai fixé au 16 décembre 2017.
L’AFA s’est félicitée du nombre significatif de contributions reçues, en l’occurrence 450, de la part de contributeurs variés : entreprises, associations de professionnels, consultants, cabinets d’audit et d’avocats, universités et associations engagées dans la lutte contre la corruption. L’AFA a déclaré avoir analysé ces contributions dans un délai record de quelques jours puisque les recommandations définitives ont été publiées six jours après la clôture de la consultation publique.
Inspirées des meilleurs standards internationaux régissant le domaine de la conformité anticorruption, les recommandations de l’AFA ont vocation à aider les entreprises à satisfaire à leurs obligations prévues à l’article 17 de la loi Sapin 2. En revanche, l’AFA a pris soin de préciser que les recommandations sont dépourvues de force obligatoire et ne créent pas d’obligation juridique pour les entreprises.
L’engagement de l’instance dirigeante dans la prévention et la détection de faits de corruption
Quoique ne figurant pas à l’article 17 de la loi Sapin 2, l’engagement de l’instance dirigeante dans la prévention et la détection de faits de corruption a été érigé par l’AFA comme la première étape en vue de la mise en œuvre d’un programme de conformité efficace. L’AFA s’inspire ici directement du Guidance about procedures which relevant commercial organisations can put into place to prevent persons associated with them from bribing publié par le ministère de la Justice en Grande-Bretagne ainsi que du Ressource Guide to the U.S. Foreign Corrupt Practices Act publié par le Department of Justice américain.
À l’instar de ses homologues anglo-saxons, l’AFA estime qu’il incombe, en premier lieu, aux dirigeants d’entreprises de démontrer une volonté d’établir une culture d’intégrité, de transparence et de conformité au sein de leurs structures. Selon l’AFA, l’engagement de l’instance dirigeante doit prendre les formes suivantes :
- l’adoption d’une politique de tolérance zéro face aux risques de corruption. Une telle politique implique selon l’AFA une allocation des ressources destinées à la prévention et à la détection des faits de corruption proportionnée aux enjeux. Il s’agit également pour les sociétés d’adopter une attitude ferme face aux cas de corruption notamment au moyen d’un régime disciplinaire effectif ;
- la prise en compte de l’anticorruption dans les procédures et politiques à l’instar des procédures en matière de ressources humaines ou encore dans la mise en place d’un dispositif d’alerte ;
- la gouvernance du programme de prévention et de détection de la corruption qui suppose pour l’entreprise de désigner un responsable de la conformité chargé de piloter le déploiement, la mise en œuvre, l’évaluation et l’actualisation du programme de conformité anticorruption ;
- la mise en œuvre d’une politique de communication tant auprès du personnel que des partenaires extérieurs.
Le code de conduite anticorruption
La mise en place d’un code de conduite anticorruption est la première mesure requise par l’article 17 de la loi Sapin 2 lequel précise que ce code doit définir et illustrer « les différents types de comportements à proscrire comme étant susceptibles de caractériser des faits de corruption ou de trafic d’influence ». Le code de conduite doit être intégré au règlement intérieur de l’entreprise et doit faire l’objet, à ce titre, de la procédure de consultation des représentants du personnel. Le code de conduite doit donc être opposable à l’ensemble du personnel.
La version définitive des recommandations relatives au code de conduite publiée par l’AFA au Journal officiel le 22 décembre 2017 révèle un certain nombre d’évolutions par rapport au projet initialement mis en ligne le 15 octobre 2017.
Une évolution notable concerne le champ d’application du code de conduite. Si la première version des recommandations indiquait que le code devait être applicable à l’ensemble des collaborateurs de l’organisation, ainsi qu’aux collaborateurs extérieurs et occasionnels, la nouvelle version vise uniquement les collaborateurs de l’organisation. Une telle restriction est à saluer, il était effectivement difficilement envisageable d’appliquer un tel code à des personnes entretenant des liens éloignés.
L’AFA précise que le code de conduite ne doit pas être limité à un recueil de bonnes pratiques mais doit également formuler « des interdictions visant, dans le contexte particulier de l’organisation concernée, les usages constitutifs de manquements à la probité ». Le code de conduite doit, à ce titre, traiter « des cadeaux et invitations, des paiements de facilitations, des conflits d’intérêts, du mécénat, du sponsoring ainsi que, le cas échéant, de la représentation d’intérêts (lobbying) ». Il doit également prévoir « les conséquences disciplinaires sanctionnant les comportements proscrits et, plus généralement, les comportements non-conformes aux engagements et principes de l’organisation en matière de prévention et de détection des faits de corruption ».
Enfin, il est à noter que ce code doit être décliné partout où l’entité concernée exerce une activité y compris à l’étranger, sans préjudice de l’application de références anticorruption plus exigeantes. En ce sens, si le code de conduite doit être rédigé en langue française, l’AFA indique qu’il peut être prévu une traduction en une ou plusieurs langues étrangères afin que le code de conduite soit compris des personnels ressortissants des États étrangers.
Le dispositif d’alerte interne
La seconde mesure exigée par l’article 17 de la loi Sapin 2 est la mise en place d’un dispositif d’alerte.
Les recommandations de l’AFA apportent un certain nombre de clarifications sur l’articulation entre le dispositif d’alerte prévu à l’article 17 de la loi Sapin 2 (dispositif d’alerte faisant partie de la mise en place du programme de conformité) et le dispositif d’alerte légal prévu aux articles 6 à 16 de la même loi (dispositif d’alerte devant être mis en place par toutes les entreprises d’au moins 50 salariés).
La superposition de ces deux types de dispositif d’alerte est une véritable source d’interrogation dans la mesure où leurs champs d’application sont distincts. En effet, le dispositif d’alerte prévu aux articles 6 à 16 de la loi Sapin 2 permet de dénoncer « un crime ou un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général ».
À l’inverse, le dispositif d’alerte qui doit être mis en place dans le cadre d’un programme de conformité consacré à l’article 17 de la loi Sapin 2 ne permet de dénoncer que des « conduites ou […] situations contraires au code de conduite ». Or, une telle différence emporte des conséquences significatives pour la protection des lanceurs d’alerte car le nouvel article L. 1132-3-3 du code du travail ne protège que les alertes visées à l’article 6 de la loi Sapin 2 et non celles visées à l’article 17 de la même loi. En d’autres termes, le lanceur d’alerte n’est pas protégé lorsqu’il dénonce des simples manquements au code de conduite ; il n’est protégé que lorsque ces manquements sont également constitutifs d’« un crime ou un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général ».
Les recommandations de l’AFA tentent de remédier à ce vide juridique de deux manières :
• tout d’abord, l’AFA restreint volontairement le champ d’application de l’article 17 de la loi Sapin 2 afin de s’assurer qu’il est identique à celui de l’article 6 de la même loi. Les recommandations indiquent, en effet, que le dispositif d’alerte de l’article 17 permet de recueillir les signalements relatifs à « l’existence de conduites ou de situations contraires [au] code [de conduite] et susceptible de constituer des faits de corruption ». L’AFA a donc décidé de restreindre le type de manquements au code de conduite susceptible d’être dénoncé : seuls les manquements constitutifs de corruption pourront être dénoncés. Cela signifie que les situations de conflits d’intérêts ne tomberont plus dans le champ d’application du dispositif d’alerte de l’article 17 contrairement à ce qui avait été initialement proposé par l’AFA dans la première version de ses recommandations ;
• ensuite, l’AFA invite les entreprises à mettre en place « un seul et unique dispositif technique de recueil » des signalements dans le respect à la fois des articles 6 à 16 et de l’article 17 de la loi Sapin 2. L’AFA autorise également les entreprises soumises à la loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordres à utiliser ce dispositif pour répondre aux exigences de cette loi. Selon l’AFA, si les entreprises optent pour un dispositif d’alerte unique et qu’elles ne sont pas en mesure de discriminer les signalements relevant des différents dispositifs d’alertes, « le régime légal des lanceurs d’alerte pourra être étendu à l’ensemble des signalements ». L’AFA tente ainsi d’étendre habilement la protection des lanceurs d’alerte à l’ensemble des signalements quel qu’en soit leur fondement juridique.
Une telle interprétation est néanmoins insatisfaisante dans la mesure où elle n’est pas conforme aux termes de la loi Sapin 2 et qu’elle est dépourvue de force obligatoire.
Dans ses recommandations, l’AFA rappelle, en outre, les étapes de la procédure de signalement des alertes telle que prévue par l’article 8 de la loi Sapin 2. Tout d’abord, toute personne souhaitant signaler des faits mentionnés à l’article 6 de la loi Sapin 2 doit les porter à la connaissance de son supérieur hiérarchique, direct ou indirect, ou d’un référent désigné par l’employeur. Ensuite, si ce signalement ne fait pas l’objet de diligences de la personne destinataire dans un délai raisonnable, le lanceur d’alerte pourra, dans un second temps, s’adresser à l’autorité judiciaire, à l’autorité administrative ou aux ordres professionnels.
Il est à cet égard intéressant de relever que les recommandations de l’AFA indiquent que « les signalements portant sur des manquements à l’article 17 de la loi Sapin 2 pourront être adressés directement à l’AFA » et que « l’AFA communiquera le cas échéant ces faits au procureur de la République compétent en application des prévisions de l’article 40 du code de procédure pénale ». Quoique le recueil et le traitement d’alerte ne figurent pas parmi les attributions confiées à l’AFA par le législateur, l’AFA semble se fonder sur la référence faite « aux autorités administratives » pour élargir le champ de ses missions. Il y a néanmoins lieu d’espérer que l’AFA précise le contour du mécanisme de réception des alertes qu’elle entend mettre en place. Enfin, à défaut de traitement dans un délai de trois mois du signalement par l’un des organismes saisis, le signalement pourra être rendu public.
S’agissant de la procédure du signalement des alertes en cas d’urgence, l’AFA a rappelé qu’« en cas de danger grave et imminent ou en présence d’un risque de dommages irréversibles, le signalement relatif à des faits mentionnés à l’article 6 de la loi du 9 décembre 2016 peut être adressé directement à l’autorité judiciaire, à l’autorité administrative ou aux ordres professionnels. Il peut également être rendu public ». Il est intéressant de noter que la nouvelle version des recommandations ne mentionne plus la possibilité d’adresser le signalement directement aux autorités « lorsque le lanceur d’alerte met en cause la direction et que le destinataire de l’alerte ne dispose a priori pas de l’indépendance nécessaire pour effectuer les vérifications » contrairement au projet initialement publié le 15 octobre 2017. Il est heureux que l’AFA n’ait pas maintenu cette proposition qui était non seulement dépourvue de base légale mais qui risquait également de fragiliser l’obligation faite aux lanceurs d’alerte d’avertir en premier lieu son employeur afin que celui-ci puisse prendre toutes les mesures correctrices nécessaires.
La cartographie des risques
L’élaboration d’une cartographie des risques figure parmi les mesures exigées par l’article 17 de la loi Sapin 2. Selon l’AFA, « dans la mesure où les risques, que la cartographie des risques de corruption conduit à identifier, déterminent le contenu et le niveau de détail du programme de conformité anticorruption, les organisations devraient porter leurs efforts de mise en conformité sur cette cartographie ».
L’AFA recommande que la cartographie des risques identifie les risques de corruption en prenant en compte les particularités propres à chaque organisation : secteur d’activité, zones géographiques, parties prenantes, métiers et processus.
D’un point de vue méthodologique, la cartographie des risques doit procéder d’une analyse objective, structurée et documentée des risques de corruption auxquels une organisation est exposée dans le cadre de ses activités. La description doit faire ressortir l’impact des risques (la gravité) et leur probabilité d’occurrence (fréquence), les éléments susceptibles de les accroître (facteurs aggravants) et les réponses apportées ou à apporter, dans le cadre d’un plan d’action.
Après avoir identifié les risques inhérents à ses activités, l’entreprise devra évaluer l’exposition aux risques de corruption, en d’autres termes évaluer le niveau de vulnérabilité en cause pour chaque risque. Cette évaluation devra se fonder sur trois indicateurs : l’analyse des facteurs ou sources de risques, la probabilité d’occurrence, l’appréciation des facteurs jugés aggravants.
Enfin l’entreprise devra évaluer l’adéquation et l’efficacité des moyens visant à maîtriser ces risques avant de hiérarchiser et traiter les risques « nets » ou « résiduels ». Sur la hiérarchisation des risques, il est intéressant de noter l’évolution entre projet initialement publié le 15 octobre 2017 et les recommandations définitives de l’AFA. Dans le projet initial, l’AFA indiquait qu’« il convient de hiérarchiser [les risques] que la direction ne veut pas prendre et ceux auxquels elle assume de s’exposer ». Désormais, les recommandations précisent qu’ « il convient de les hiérarchiser en distinguant les risques pour lesquels le niveau de contrôle interne est considéré comme suffisant pour avoir une assurance raisonnable que le risque est maîtrisé et ceux pour lesquels l’instance dirigeante améliore la maîtrise du risque et renforce le contrôle interne ». Il n’est dès lors plus question pour l’entreprise d’accepter l’exposition à un risque, elle doit s’assurer d’une maîtrise raisonnable du risque. C’est là une différence notable que les entreprises devront intégrer dans le cadre de la mise en œuvre de leur programme de conformité.
Procédures d’évaluation des tiers
La mise en place de procédures d’évaluation des tiers est l’obligation la plus redoutée par les entreprises soumises à la loi Sapin 2. Cette obligation exige des entreprises qu’elles mettent en œuvre des vérifications des tiers pour évaluer « les risques de corruption auxquels s’expose l’organisation qui entre en relation ou poursuit une relation avec ce tiers ». Outre un changement significatif de la façon d’appréhender les relations avec les tiers, cette obligation met à la charge des entreprises une charge de travail considérable.
Il est intéressant de relever que l’AFA a décidé de donner à cette obligation un champ d’application plus étendu que celui initialement prévu par la loi Sapin 2. En effet, l’article 17-II-4 de la loi n° 2016-1691 du 9 décembre 2016 indique que les vérifications devaient être circonscrites « aux clients, aux fournisseurs de premier rang et aux intermédiaires ». L’AFA estime quant à elle que les vérifications doivent être réalisées sur tous « les tiers avec lesquels l’organisation est en relation ou entre en relation, en priorité sur ceux identifiés dans la cartographie des risques comme présentant un risque de corruption ». Il est donc demandé aux entreprises qu’elles cartographient « l’ensemble des tiers – discriminés selon leur nature, leur statut, leur taille – afin d’identifier ceux auxquels des procédures d’évaluation devront être appliquées et adaptées en fonction du niveau de risque ».
En d’autres termes, non seulement l’AFA va au-delà de ce qu’exige la loi Sapin 2 mais elle impose, en outre, une méthodologie particulièrement contraignante et onéreuse pour les entreprises. En effet, outre la cartographie de leurs propres risques, celles-ci devront réaliser une cartographie des risques de l’ensemble des tiers avec lesquels elles sont en relation, tâche d’autant plus difficile que les tiers concernés sont potentiellement extrêmement nombreux et qu’il est hardi de cartographier le risque d’une personne extérieure à son entreprise. Puis, dans un second temps, les entreprises devront procéder aux évaluations desdits tiers (collecte d’informations sur la base de données payantes et de questionnaires, vérification de la présence du tiers ou de ses bénéficiaires effectifs, etc.).
Initialement proposée dans son projet de recommandations, cette approche a été maintenue en dépit des nombreuses contributions des acteurs économiques spécialisés dans le domaine.
Les procédures de contrôles comptables, outils de prévention et de détection de la corruption
L’article 17-II-5 de la loi n° 2016-1691 du 9 décembre 2016 exige la mise en place de « procédures de contrôles comptables, internes ou externes, destinées à s’assurer que les livres, registres et comptes ne sont pas utilisés pour masquer des faits de corruption ou de trafic d’influence ».
Les recommandations de l’AFA concernant cette obligation précisent qu’il n’incombe pas aux entreprises de créer une nouvelle procédure comptable complémentaire mais « d’intégrer le fait que le risque de dissimulation de faits de corruption est l’un des risques que font courir l’irrégularité, l’insincérité et l’infidélité des documents comptables ». Il faut donc que les personnes chargées de vérifier les documents comptables aient « conscience de ce risque et de l’enjeu attaché de prévention et de détection des faits de corruption ».
Selon l’AFA, les procédures de contrôles comptables peuvent être mises en œuvre à la fois en interne (généralement par les services comptable et financier de l’entreprise) et en externe (par des organisations mandatées à cette fin). Au niveau interne, l’AFA recommande la mise en place de trois niveaux de contrôle : i) premier contrôle par les personnes en charge de la saisie et de la validation des écritures comptables, ii) second contrôle par sondage par des personnes indépendantes de celles ayant réalisé les contrôles de premier niveau, iii) troisième contrôle par le biais d’audits internes.
Le dispositif de formation aux risques de corruption
Outre la mise en place d’un code de conduite et de procédures spécifiques, la loi Sapin 2 requiert l’instauration d’un dispositif interne de formation. Selon l’AFA, si le dispositif de formation aux risques de formation doit prioritairement s’adresser aux cadres et personnels les plus exposés, il est recommandé d’organiser une sensibilisation de l’ensemble du personnel de l’entreprise. La liste des cadres et des personnels les plus exposés aux risques de corruption devra être établie par le responsable ressources humaines avec l’aide du responsable conformité sur la base de la cartographie des risques préalablement établie.
Les formations dispensées aux personnes exposées devront porter sur les aspects suivants : l’engagement de l’instance dirigeante et le code de conduite, la corruption en général, ses enjeux et ses formes, les obligations juridiques applicables et les sanctions afférentes, le dispositif de conformité anticorruption et le comportement à adopter, le rôle et les responsabilités de chacun face à des faits de corruption. Par ailleurs, une formation spécifique est consacrée au recueil des signalements de conduites contraires au code de conduite et aux alertes éthiques.
Si l’AFA autorise que les formations soient dispensées à la fois en présentiel et/ou en ligne (e-learning), les formations en présentiel doivent être privilégiées pour les cadres et les personnels les plus exposés.
Les entreprises devront enfin s’assurer de la qualité et de l’efficacité du dispositif de formations en vérifiant que les équipes suivent effectivement l’ensemble des formations dispensées.
Dispositif de contrôle et d’évaluation interne
Ultime obligation prévue par la loi Sapin 2, les entreprises doivent mettre en place un dispositif de contrôle et d’évaluation interne du programme de conformité.
Selon l’AFA, un tel dispositif doit viser à tester l’efficacité des mesures de prévention mises en œuvre, identifier et comprendre les manquements dans leur mise en œuvre, définir des mesures correctives et le cas échéant, détecter des faits de corruption.
