Dossier - Les nouvelles tendances conformité : quels impacts pour les acteurs publics et privés ?

L’article 17 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (ci-après « loi Sapin II ») prévoit que l’instance dirigeante est tenue de « […] prendre les mesures destinées à prévenir et à détecter la commission, en France ou à l’étranger, de faits de corruption ou de trafic d’influence »¹. Parmi les mesures visées, plus connues sous la notion de « piliers de la loi Sapin II »², l’engagement de l’instance dirigeante n’apparaît pas, puisqu’il n’est question que de la responsabilité des dirigeants dans la mise en place du programme de conformité. Pourtant, l’Agence française anticorruption (AFA) s’est saisie de la question depuis plusieurs années et a récemment consacré cette notion dans ses dernières recommandations en affirmant l’importance de cet engagement et l’implication des instances dirigeantes dans la mise en place du dispositif anticorruption. Ce faisant, elle sacralise en pilier la nécessité de mettre en place une gouvernance de la fonction conformité au sein d’une entreprise, alors même que ce point n’est pas abordé par la loi Sapin II.

L’engagement de l’instance dirigeante mis en avant par l’AFA

Dès les premières recommandations de l’AFA publiées en décembre 2017 qui énuméraient les huit piliers de la loi Sapin II, un des thèmes portait sur « l’engagement de l’instance dirigeante dans la prévention et la détection de faits de corruption ». L’AFA soulignait en effet que « la mise en œuvre d’une stratégie de gestion des risques et d’un programme de conformité anticorruption s’appuie sur l’engagement des cadres dirigeants d’une organisation, d’y établir une culture d’intégrité, de transparence et de conformité »³.

La mise à jour des recommandations de l’AFA, dont la version définitive a été publiée le 12 janvier 2021, modifie profondément la structure de celles-ci. En effet, au-delà d’une articulation en trois parties, l’AFA énumère les trois piliers indissociables sur lesquels repose selon elle un dispositif anticorruption, à savoir : (i) l’engagement de l’instance dirigeante ; (ii) la cartographie des risques ; et (iii) la gestion des risques. Par ce premier pilier, l’AFA réitère sa volonté d’engager et de responsabiliser l’instance dirigeante.

La notion d’instance dirigeante a ainsi été précisée dans les nouvelles recommandations de l’AFA et vise notamment les présidents, les directeurs généraux, les gérants, les membres du directoire, ainsi que les directeurs généraux d’établissements publics à caractère industriel et commercial. Bien que les membres des conseils d’administration ou autres organes de contrôle ne soient pas listés, l’AFA prend le soin de préciser que ces derniers sont tenus de s’assurer « dans le cadre de leur mission de surveillance des activités de l’entreprise, de l’existence, de la pertinence et de l’efficacité des mesures prises par les dirigeants afin de se conformer à leurs obligations légales »⁴.

La définition de la notion inclut donc toutes les catégories de « dirigeants » et renvoie à la volonté de l’AFA de responsabiliser toutes les entités, et non seulement les entités assujetties à la loi Sapin II. En outre, la mention des membres de conseils d’administration formalise l’obligation pour ceux-ci d’être proactifs dans la démarche de mise en conformité et non de se contenter que d’autres organes internes s’en saisissent. Les stratégies de communication internes n’en ressortent que plus indispensables.

L’AFA insiste sur le fait que l’instance dirigeante ne doit pas seulement mettre en œuvre les mesures et procédures d’un dispositif anticorruption. Elle doit également s’assurer de l’efficacité du dispositif et de son intégration au sein des différentes équipes⁵. L’instance dirigeante participe donc activement à instaurer une culture de la compliance par le biais de communications sur les outils à la disposition des collaborateurs, les valeurs et engagements de l’entreprise, ainsi que sur la mise en place de formations adéquates et spécifiques à chaque cœur de métiers.

L’influence de la culture anglo-saxonne

Tant le Royaume-Uni⁶ que les États-Unis⁷ se sont dotés de lignes directrices portant sur les dispositifs anticorruption que doivent mettre en place les entreprises soumises respectivement au United Kingdom Bribery Act et au Foreign Corrupt Practices Act. Bien que ces guides soient, comme les recommandations de l’AFA, considérés comme de la soft law, il convient de noter que la valeur juridique de la soft law est beaucoup plus forte et reconnue aux États-Unis et au Royaume-Uni puisqu’elle acquiert valeur de « précédent ».

L’engagement de l’instance dirigeante est établi de façon claire dans la culture anglo-saxonne, et ce depuis de nombreuses années. Cette notion est largement établie et ancrée dans les mentalités de l’ensemble des acteurs économiques. L’action de l’instance dirigeante est ainsi scrupuleusement scrutée de la part de l’ensemble des parties prenantes. Une attention particulière est accordée à ce principe lors d’éventuels contrôles de la part des autorités américaine et britannique.

Au sein des lignes directrices du Bribery Act, l’engagement de l’instance dirigeante est le deuxième principe des six devant se retrouver dans les procédures mises en place par les entités pour prévenir et détecter toute forme de corruption. Cette implication impose de diffuser une culture éthique au sein de l’organisation dans laquelle toute forme de corruption est inacceptable⁸. Cette diffusion passe notamment par une communication périodique tant en interne qu’en externe sur les pratiques mises en place au sein de l’entité.

Les lignes directrices américaines, quant à elles, mentionnent expressément l’importance de créer et d’encourager une culture éthique à tous les niveaux de l’entreprise⁹. Les dirigeants doivent ainsi mettre en place des actions concrètes et pérennes diffusées dans toutes les strates de l’entreprise, démontrant leur implication en la matière. Ces actions nécessitent une communication à l’ensemble des parties prenantes et un comportement exemplaire au sein de l’entreprise et à l’extérieur.

Dans les deux cas, une réelle volonté d’impliquer les dirigeants est donc requise afin que ceux-ci fassent adhérer l’ensemble des collaborateurs à une culture d’entreprise éthique. L’impulsion doit venir des dirigeants puisque cela facilite la transmission des valeurs éthiques au sein de l’entreprise et permet d’impliquer plus facilement toutes les parties prenantes en la matière, c’est le fameux dicton « tone at the top ».

Ainsi, c’est probablement sous cette influence que l’AFA souhaite engager davantage les dirigeants de l’entreprise dans la mise en place d’un dispositif anticorruption. Dans ses nouvelles recommandations, l’AFA vise la diffusion d’une culture de la conformité au sein de l’entité, en responsabilisant l’instance dirigeante à mettre en œuvre « une politique de tolérance zéro à l’égard de tout fait de corruption » et à promouvoir et diffuser « la culture de la conformité anticorruption au sein de l’entreprise et vis-à-vis des tiers, en érigeant la prévention et la détection des faits de corruption à un niveau prioritaire »¹⁰.

Toutefois, la prise en compte de cette notion par l’ensemble des acteurs économiques reste parfois insuffisante alors même que cette implication est nécessaire. L’AFA note en effet le manque de sensibilisation au dispositif de prévention par les entreprises dans son diagnostic effectué en 2020 sur les dispositifs anticorruption¹¹.

La nécessité de l’engagement de l’instance dirigeante dans l’efficacité du dispositif anticorruption

L’AFA relève que le pilier de l’engagement de l’instance dirigeante est un élément fondateur de la démarche de prévention et de détection de la corruption. Le rôle primordial de ce pilier est donc mis en exergue et l’implication réelle des dirigeants permettra d’assurer l’efficacité et l’effectivité du dispositif anticorruption.

Il ne suffit pas que les dirigeants requièrent de l’ensemble des collaborateurs d’être proactifs dans la démarche de conformité de l’entreprise, ils doivent eux-mêmes être impliqués. À défaut, les collaborateurs ne s’engageront pas suffisamment sur ces sujets. Les dirigeants sont donc tenus d’adopter un comportement personnel exemplaire, en paroles comme en actes, en matière d’intégrité et de probité. L’AFA insiste sur la nécessité de promouvoir le dispositif par une communication personnelle et régulière¹². Une cohérence est attendue de la part des dirigeants pour dérouler en pratique ce qui est affiché de façon théorique par l’entreprise. À défaut, il pourrait être relevé que l’entité adopte une démarche de conformité uniquement sur la forme, de la même façon qu’il est reproché à certaines entreprises de pratiquer le greenwashing dans le domaine des atteintes à l’environnement.

Si – et uniquement si – cette attitude active est adoptée, le programme de conformité sera parfaitement adapté à l’entreprise puisque l’instance dirigeante est la plus à même de s’assurer de la spécificité d’un tel programme. En effet, le programme de conformité doit être propre aux besoins de l’entreprise, au regard de son organisation, de sa culture, de ses activités et de ses partenaires.

Pour ce faire, il est indispensable que les dirigeants mettent en œuvre les moyens humains et financiers nécessaires pour rendre le dispositif de conformité robuste et efficace. Ces moyens doivent être proportionnés aux besoins de chaque entité. En effet, les mesures et procédures mises en place doivent être déclinées en fonction du profil de risques de l’entité et de ses activités. L’AFA prend soin de lister les moyens devant être mis en œuvre, tels qu’une équipe chargée de la conformité anticorruption : le recours éventuel à des conseils ou prestataires externes ; la mise en place d’outils comme des outils d’évaluation de l’intégrité des tiers ou propres aux alertes internes ; la gestion de la formation anticorruption, ou encore des rapports et des évaluations périodiques du dispositif¹³.

Sans ces moyens et sans un suivi méthodique du dispositif de conformité, celui-ci ne pourra pas fonctionner efficacement et contiendra des lacunes susceptibles d’être soulevées lors d’un contrôle de la part de l’AFA. Les interactions entre les différents acteurs en charge du dispositif de conformité sont indispensables et ne sont efficaces que si les moyens mis en place sont suffisants. Il y a une réelle complémentarité d’action entre l’instance dirigeante et les moyens mis en œuvre puisque les deux ne vont pas l’un sans l’autre : sans moyen, le dispositif ne sera pas mis en place ou sera inefficace et sans implication de la part des dirigeants, la démarche de conformité ne pourra jamais être aboutie.

La gouvernance, tant dans son organisation que dans ses actions, est le point d’ancrage de tout dispositif anticorruption. Elle permet de donner le ton à la démarche de conformité adaptée et diffusée par l’entreprise à l’ensemble des collaborateurs et de ses parties prenantes. L’engagement de l’instance dirigeante se retrouve ainsi à tous les stades de l’élaboration du dispositif. À titre d’exemple, l’AFA recommande que les dirigeants valident la cartographie des risques avant sa mise en œuvre et lors de chacune de ses mises à jour. Cette validation atteste la nécessité des échanges entre la direction et les différentes équipes.

L’atout de l’engagement de l’instance dirigeante

Si la mise en place d’une démarche de conformité peut parfois être perçue comme un poids pour les entreprises, et notamment au regard de l’aspect financier, il convient d’affirmer qu’un programme de conformité efficace et effectif est en réalité une véritable force et un atout concurrentiel.

En effet, l’aspect réputationnel est scruté de près par les parties prenantes. Sans démarche de conformité, ou en présence d’une démarche lacunaire, l’entité concernée peut être davantage exposée aux risques de corruption et n’est pas en mesure de prévenir et de traiter ces risques de manière efficace. Partant, l’entité est susceptible de se trouver au cœur d’un scandale de corruption, verra sa réputation mise à mal et perdra la confiance de l’ensemble de ses parties prenantes, de ses collaborateurs à ses investisseurs, sans oublier ses fournisseurs ou ses clients.

Par ailleurs, d’un point de vue concurrentiel, l’engagement de l’instance dirigeante dans une démarche éthique devient progressivement un réel élément de compétitivité. En effet, d’une part, dans le cadre des évaluations des tiers réalisées par les entreprises, ces dernières s’assurent que ceux-ci sont dotés d’un dispositif anticorruption. Cette pratique est susceptible de se retrouver dans le cadre d’une acquisition où l’entreprise va analyser le dispositif de l’entreprise cible. Une entité dotée d’un dispositif de conformité robuste sera privilégiée puisque cela permet de mener des relations commerciales en toute confiance et transparence. D’autre part, les investisseurs démontrent de façon croissante leur volonté de prendre en compte des standards extrafinanciers dans leurs programmes d’investissement, dont la démarche éthique de l’entreprise. En effet, comme mentionné supra, une telle entreprise apparaît plus robuste puisqu’elle a la capacité de prévenir et de traiter plus efficacement les risques susceptibles de se présenter à elle. Les investisseurs sont donc davantage en confiance et se tournent plus facilement vers ces entités.

En définitive, la précision autour de l’engagement de l’instance dirigeante dans les nouvelles recommandations de l’AFA atteste de sa volonté de responsabiliser davantage les dirigeants dans la mise en œuvre du dispositif anticorruption et, de façon plus générale, dans la démarche de conformité de l’entreprise. Cet élément montre la nécessité pour l’instance dirigeante de se saisir de façon précise et sérieuse de cette problématique, sans se contenter de nommer des opérationnels dédiés à la mise en place d’un programme de conformité.

Emmanuel Daoud,
Avocat au barreau de Paris, associé du cabinet VIGO, membre du réseau international d’avocats GESICA

Laurie Barbezat,
Avocate au barreau de Paris, collaboratrice du cabinet VIGO, membre du réseau international d’avocats GESICA

Marie Perrault,
Avocate aux barreaux de Paris, New York, Angleterre et Pays de Galle, collaboratrice du cabinet VIGO, membre du réseau international d’avocats GESICA

La cartographie des risques est un outil bien connu des entreprises¹⁴ assujetties aux obligations légales posées respectivement par les articles 17 de la loi dite « Sapin II » ou de l’article 1^er de la loi dite « Vigilance ». Ces lois imposent en effet une obligation de disposer d’une cartographie effective, analysée et hiérarchisée.

Cet outil ayant démontré son efficacité, il est également utilisé par de nombreux acteurs économiques pour identifier l’ensemble des risques auxquels ils sont exposés.

Déjà qualifié de « pierre angulaire » par le passé, le rôle de la cartographie des risques est sorti renforcé des dernières recommandations de l’agence française anticorruption (AFA), celles-ci l’ayant adoubé comme un des trois piliers indissociables sur lesquels repose l’ensemble du dispositif anticorruption.

La cartographie des risques doit pourtant être considérée de manière plus large : en sus d’être un outil de structuration de la démarche de conformité, elle est également un moyen de développer une capacité institutionnelle à la résilience, en ce qu’elle opère en tant que socle de la stratégie de gestion des risques.

Elle permet en effet d’engager une réflexion afin de créer les « conditions d’une meilleure maîtrise des risques [et est] mise en œuvre dans l’objectif de se prémunir contre les conséquences réputationnelles, juridiques, humaines, économiques et financières que pourrait générer leur réalisation »¹⁵.

Il s’agit donc, pour les personnes morales assujetties à une obligation légale, mais également pour les personnes morales créant de gré une cartographie des risques, de maîtriser l’exercice et sa méthodologie afférente afin de disposer d’une cartographie des risques dynamique et évolutive à même de prendre en compte les risques émergents et nouveaux, et ce de manière holistique.

En effet, la cristallisation d’une cartographie des risques suppose un mécanisme de suivi, c’est-à-dire une mesure des performances accomplies dans le cadre de la prévention des risques identifiés et un mécanisme d’actualisation, c’est-à-dire une réévaluation des risques identifiés et des éventuels ajouts de nouveaux risques.

Parmi les nouveaux risques, sans bien entendu prétendre à l’exhaustivité, doivent être présentés, en tant que ramifications du risque épidémique, le risque écologique, le risque informatique, le risque lié à la gestion des ressources humaines et le risque de corruption liés aux produits sanitaires.

La crise sanitaire : l’émergence de la notion juridique de stabilité et le besoin de nouvelles méthodes

Le droit de la compliance peut être considéré comme un droit internalisant une démarche de prévention ancrée dans le long terme et se traduisant par des actions concrètes afin d’éviter les conséquences négatives de divers désastres (monétaire, écologique ou sanitaire) ou d’actions humaines préjudiciables. C’est un droit dont le but est de garantir la stabilité à travers et malgré la survenance de crises.

C’est au regard de cet objectif de garantie de la stabilité que doivent être comprises l’intégration du risque épidémique dans les cartographies des risques et la nécessité d’adopter les méthodologies nécessaires à la cristallisation de cartographies agiles et dynamiques.

En effet, les risques émergents et nouveaux se caractérisent par une forte incertitude¹⁶ : leurs mutations sont susceptibles de créer des discontinuités et le manque d’observation historique du fait de leur nature ne facilite pas la prise en compte de ces risques sur l’activité de l’entreprise.

Au regard de cette évolution de la nature des risques, devenus immatériels et systémiques, il est donc essentiel pour les entreprises de s’interroger sur la façon dont elles pensent et structurent les risques.

À ce sujet, les méthodes du management du risque peuvent se révéler précieuses¹⁷. L’intégration dans la cartographie des risques des facteurs humains et culturels, ainsi que l’intégration des risques liés aux nouvelles attentes des parties prenantes (organisation du travail, communication, gouvernance), aux changements climatiques ou encore aux réseaux sociaux est un excellent outil de réflexion.

De la même façon, la méthodologie choisie par l’entreprise peut s’inspirer de l’approche dite mixte (bottom-up et top-down) afin d’assurer une identification des risques efficace malgré l’éloignement physique des collaborateurs. Les entreprises peuvent ici avoir recours à différentes méthodes de consultation, telles que des questionnaires, des quizz et tout autre support, afin de récolter au mieux le retour des opérationnels et couvrir l’ensemble des risques.

Les approches qualitatives, par scénario ou dite « par dire d’expert », peuvent également se révéler pertinentes pour les entreprises. L’approche qualitative permet en effet à l’entreprise de définir son échelle de risques par rapport à ses priorités, tandis que l’approche par scénario, bien connu des entreprises, permet d’évaluer l’impact par rapport une corrélation de risques dont le cumul et le renforcement peut être critique. L’approche dite « par dire d’expert » est quant à elle parfaitement adaptée aux risques évolutifs, tels que le risque climatique, et suppose donc un travail de veille de la part de l’entreprise ou de ses conseils.

Première ramification : la multiplicité des crises écologiques, et le renforcement du risque épidémique

S’agissant de la crise sanitaire, la Banque de France indique ainsi que la covid-19 a « agi comme une prise de conscience brutale de la vulnérabilité de chaque secteur de l’économie mondiale à des chaînes de valeur globales »¹⁸.

En indiquant que la crise actuelle est notamment due à la destruction des habitats naturels, la Banque de France souligne tant la prévisibilité de l’occurrence de futures crises sanitaires que l’imprévisibilité de l’impact de telles crises.

Il s’agira donc pour les entreprises d’intégrer les risques épidémiques dans leurs cartographies tout en y incluant le renforcement mutuel entre les risques climatique et épidémique.

S’agissant du risque épidémique, une attention particulière doit être portée aux risques de corruption.

En effet, les investissements dans l’urgence sont, par nature, source de risques. L’OCDE a ainsi alerté sur le risque croissant de corruption pendant la crise sanitaire s’agissant des commandes de produits sanitaires, voire d’escroquerie sur des médicaments.

Il s’agira donc pour l’entreprise de porter une attention particulière au respect des règles posées par loi Sapin II, afférentes au conflit d’intérêts, aux appels d’offres ou encore à l’évaluation des tiers.

Deuxième ramification : l’intensification du risque cyber

Le risque informatique est défini par l’Autorité de contrôle prudentiel et de résolution (ACPR) comme le « risque de perte résultant d’une inadéquation ou d’une défaillance des processus d’organisation, de fonctionnement, ou de sécurité du système d’information, entendu comme l’ensemble des équipements systèmes et réseaux, des logiciels et des données, ainsi que des moyens humains contribuant au traitement de l’information de l’institution »¹⁹.

L’intensification des cyberattaques, constatée à la suite et pendant la crise sanitaire²⁰, s’explique notamment par l’augmentation de la vulnérabilité des outils utilisés, un mauvais usage ou mauvais contrôle des données ainsi que par la multiplication des formes de cyberattaques²¹.

À cela s’ajoute bien entendu le renforcement mutuel entre la crise sanitaire et le risque informatique. En effet, les connexions à distance via des équipements personnels (parfois non sécurisés), la surcharge des systèmes d’information des entreprises, les restrictions budgétaires ou encore le manque d’organisation face à des situations urgentes ont contribué à l’accroissement du risque informatique pendant la crise sanitaire²².

Il n’est pas inutile de préciser qu’une cyberattaque peut engager la responsabilité des dirigeants²³ de l’entreprise autrice de la cartographie des risques. Or ces risques peuvent causer des dégâts conséquents à l’entreprise, voir la mettre en difficulté²⁴.

Par ailleurs, la cartographie des risques est souvent exigée par les assureurs des risques cyber : celle-ci permet d’identifier tant les risques encourus par l’entreprise que ses points faibles en matière de cybersécurité²⁵.

La cartographie des risques permet ainsi de penser une stratégie globale d’intégration du risque informatique, tant en son évaluation qu’en sa relation avec d’autres risques, tels que le risque épidémique. Elle doit comprendre la mise en place de procédures visant à la prévention, la détection et la réponse à apporter en cas d’atteintes intentionnelles à la sécurité du système d’information de l’entreprise « susceptible d’affecter la confidentialité, l’intégrité, la disponibilité ou la traçabilité des systèmes et des données »²⁶. Outil dynamique, elle doit ainsi identifier les procédures en place permettant de limiter les impacts des cyberattaques, telles que l’activation d’une cellule de crise effective et efficace.

Aux fins de disposer d’un processus continuellement amélioré, la cartographie doit notamment servir, au regard du renforcement mutuel entre les risques épidémique et informatique, à identifier les besoins de formation du personnel (qui est un vecteur de risque conséquent) et formaliser les processus manquants.

Troisième ramification : le risque lié à la gestion des ressources humaines

Pour rappel, l’employeur a, à l’égard de ses salariés ou agents, une obligation de protection de la santé et la sécurité au travail. L’article L. 4121-1 du code du travail énonce en effet que « l’employeur prend les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs ».

Dans le cadre de la crise sanitaire, le ministère du Travail a rappelé que l’employeur pouvait être « forcé à prendre des dispositions contraignantes pour assurer la protection de la santé du personnel après évaluation du risque de contagion dans l’entreprise »²⁷.

Or le document unique d’évaluation des risques (DUER) doit précisément mentionner les risques liés à l’épidémie de covid-19, pour la sécurité et la santé des travailleurs, compte tenu de la nature des activités de la société.

Dans le cadre de l’actualisation²⁸ du DUER, l’entreprise doit donc évaluer et analyser les risques psychosociaux liés à la réorganisation des conditions et des postes de travail²⁹, ainsi qu’identifier les mesures appropriées de prévention de ces risques.

Si la mise en place du télétravail peut être considérée comme un aménagement du poste de travail rendu nécessaire pour permettre la continuité de l’activité de l’entreprise et garantir la protection des salariés, notamment en cas de menace d’épidémie³⁰, il n’en reste pas moins que l’évaluation des risques afférents à la réorganisation des conditions et des postes de travail doit être établie de manière collaborative avec les personnes concernées.

À ce sujet, la cour d’appel de Versailles a rappelé que si « la réglementation n’impose pas de méthode particulière pour procéder à l’évaluation des risques professionnels, la méthode retenue doit permettre d’appréhender la réalité des conditions d’exposition des salariés aux dangers »³¹.

Ici encore, l’entreprise pourra avoir recours à des outils tels que des questionnaires ou autre support écrit ou oral (ligne d’écoute dédiée) afin de documenter la démarche et rester en lien constant avec les opérationnels malgré les différents contextes de travail.

Une attention particulière doit également être portée aux droits des collaborateurs (et donc au risque de défaut de conformité) s’agissant des traitements de leurs données personnelles dans un cadre de crise sanitaire.

En effet, les traitements ayant pour finalité la gestion des signalements en matière sociale et sanitaire ou des alertes professionnelles font partie des traitements considérés comme susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées³² et pour lesquelles une analyse d’impact (AIPD) est requise.

Dans ces conditions, tant le DUER que l’AIPD sont des outils permettant d’évaluer, d’analyser et de mitiger les éventuels risques posés aux droits et libertés des personnes physiques.

Ici aussi, la cartographie des risques devra prendre en compte le renforcement mutuel³³ entre les différents risques, tels que le lien entre les risques liés aux nouvelles modalités de travail (le télétravail par exemple) et le risque cyber ou le risque lié à un éventuel non-respect des règles relatives à la protection des données personnelles.

Conclusion : une méthodologie agile pour une cartographie évolutive

Dès lors que la cartographie des risques doit intégrer « l’impact potentiel des risques (gravité), leur probabilité d’occurrence (fréquence), les éléments susceptibles de les accroître (facteurs aggravants) ainsi que les réponses apportées dans le cadre du dispositif de maîtrise des risques »³⁴, les entreprises doivent prendre en compte le renforcement mutuel des risques exposés ci-avant afin d’affiner le caractère agile de leur cartographie.

Une difficulté à la création (ou l’actualisation) d’une telle cartographie repose dans la méthodologie de celle-ci. En effet, pour identifier les nouveaux risques et appréhender leurs ramifications, il faut se donner les moyens de l’écoute, et ce malgré la crise sanitaire, tant en termes de disponibilité que d’organisation.

Si les entreprises adoptant la méthodologie de la cartographie des risques mise en avant par l’AFA disposent d’une présomption simple de conformité s’agissant des risques de corruption, il ne faut pas oublier qu’une telle méthodologie est reproductible pour d’autres risques et peut aussi être alliée à d’autres méthodes pour identifier les risques émergents.

En tout état de cause, il est essentiel d’adapter sa méthodologie, et ne pas se fonder uniquement sur une approche quantitative reposant sur des statistiques historiques, dont le postulat est justement la stabilité, notion qui, aujourd’hui, en ces temps de crises, fait précisément défaut.

Imane Bello,
Avocate au barreau de Paris, collaboratrice au cabinet Vigo, chargée d’enseignement à Sciences Po Paris en éthique numérique

Emmanuel Daoud

et Marie Perrault

La loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite loi Sapin II, est venue poser les premiers pas d’une protection effective et générale du lanceur d’alerte, entendu comme « une personne physique qui révèle ou signale, de manière désintéressée et de bonne foi, un crime ou un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général, dont elle a eu personnellement connaissance ».

Jusqu’alors, seules les dispositions du code du travail prévoyaient une protection, restreinte, de la personne qui aurait relaté ou témoigné, « de bonne foi, de faits constitutifs d’un délit ou d’un crime dont il aurait eu connaissance dans l’exercice de ses fonctions »³⁵. Sur la base de ces dispositions, la Cour de cassation limitait la protection à l’auteur d’un signalement portant, nécessairement, sur des faits susceptibles de caractériser un crime ou un délit – ce qu’elle a encore fait récemment³⁶.

La loi Sapin II a ainsi reconnu la possibilité pour toute personne physique de signaler désormais, en tant que lanceur d’alerte, non seulement un crime ou un délit, mais également toute menace ou tout préjudice grave pour l’intérêt général.

La jurisprudence, sur la base de l’article 6 précité, a ainsi pu reconnaître par exemple, après avoir rappelé que la bonne foi est toujours présumée, que devait être protégée par le statut de lanceur d’alerte la salariée qui, au moment de l’alerte, disposait « d’éléments concrets de nature à lui faire craindre légitimement une violation grave de la loi ou du règlement au détriment [de sa société] »³⁷.

Il n’en reste pas moins que le champ d’application du statut de lanceur d’alerte tel que prévu par la loi Sapin II, novateur à de nombreux égards, a été décrié par son caractère lui-même trop restreint : applicable exclusivement aux personnes physiques, à l’issue d’un processus de signalement gradué rendant quasi indispensable le signalement en interne au préalable. Sans parler des questionnements que sa mise en œuvre a pu faire naître, notamment au sein des organisations et entreprises à dimensions internationales.

Dans pareil contexte, la directrice 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 sur la protection des personnes qui signalent des violations du droit de l’Union vient offrir la possibilité d’entériner, par le biais de sa transposition, une mutation de la protection – effective – du lanceur d’alerte.

Cette mutation de la protection du lanceur d’alerte doit avoir pour corollaire, dans un contexte où les recommandations se multiplient en faveur d’une formalisation et d’un encadrement des procédures d’enquête interne, une amélioration des garanties pour les droits des personnes physiques dans le cadre de l’enquête interne, mise en œuvre pour traiter le signalement, et une meilleure protection pour l’entreprise elle-même.

La nécessaire adaptation du droit pour une meilleure protection du lanceur d’alerte

Face à la multiplication croissante des obligations en matière de recueil des signalements, plusieurs autorités, telles que la CNIL et, très récemment, l’Agence française anticorruption (AFA), ont apporté des précisions visant à aider entreprises et organisations à mettre en place leur procédure de recueil des signalements. Ainsi, afin de garantir le traitement conforme au règlement général sur la protection des données (RGPD) des données à caractère personnel dans le cadre du traitement des signalements, la CNIL a publié un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles³⁸. Elle y donne, notamment, plusieurs indications relatives aux délais applicables et aux informations à transmettre aux différentes personnes concernées³⁹.

Un processus d’harmonisation de la protection des lanceurs d’alerte a parallèlement été lancé au niveau européen. Les États membres de l’Union européenne ont désormais jusqu’au 17 décembre 2021 pour transposer la directive sur la protection des personnes qui signalent des violations du droit de l’Union, adoptée le 23 octobre 2019 en vue notamment de favoriser la mise « en place de canaux de signalement efficaces, confidentiels et sécurisés et […] garantissant aux lanceurs d’alerte une protection efficace contre les représailles »⁴⁰. Elle a ainsi pour objet d’établir « des normes minimales communes assurant un niveau élevé de protection des personnes signalant des violations du droit de l’Union »⁴¹.

Dans le cadre de sa transposition et pour pallier les lacunes et faiblesses de la protection du lanceur d’alerte telle que prévue par la loi Sapin II, plusieurs appels sont recensés en vue d’une extension de cette protection et des personnes concernées par celle-ci⁴². Ainsi, le Défenseur des droits, dans un communiqué du 4 juin 2020, puis la Commission nationale consultative des droits de l’homme (CNCDH), dans un avis du 24 septembre 2020 publié au Journal officiel le 4 octobre 2020, appellent-ils à une « transposition ambitieuse de la directive »⁴³.

En particulier et à titre d’exemple :

• ouvrir le statut de lanceur d’alerte également aux personnes morales, telles que les organisations syndicales et les associations, et clarifier leur rôle en la matière⁴⁴ ;
   
• étendre le champ d’application des mesures de protection aux « facilitateurs », aux tiers en lien avec les auteurs de signalement qui risquent de faire l’objet de représailles, et aux entités juridiques appartenant aux auteurs de signalement, lesquels pourraient comprendre les organisations syndicales⁴⁵ (art. 4, § 4) ;
   
• alléger l’obligation de signalement interne actuellement prévue par l’article 8 de la loi Sapin II, lorsqu’il n’est pas possible de remédier efficacement à la violation en interne ou que l’auteur de signalement estime qu’il y a des risques de représailles⁴⁶ (art. 7) ;
   
• accorder une assistance psychologique et/ou financière aux lanceurs d’alerte⁴⁷ ;
   
• désigner une autorité externe, indépendante, compétente pour prendre en charge le traitement des signalements et tenir informé le lanceur d’alerte des suites qui y ont été apportées (art. 11 et 20) ;
   
• adapter les sanctions applicables aux personnes morales qui auraient manqué à l’obligation du maintien de la confidentialité (art 23) ;
   
• prévoir un mécanisme de certification visant à assurer aux lanceurs d’alerte qu’ils bénéficient effectivement de la protection du lanceur d’alerte (art. 20)⁴⁸.

Tous ces éléments méritent un débat, en particulier la question hautement polémique de la rémunération des lanceurs d’alerte. Au regard de son utilisation extensive outre-Atlantique, sa transposition en droit français pose un certain nombre de questions tant juridiques qu’éthiques. Notons quand même à cet égard qu’un statut d’aviseur fiscal, rémunéré, créé initialement à titre expérimental en 2017, a été pérennisé en 2018 de sorte qu’actuellement, le gouvernement peut d’ores et déjà autoriser l’administration fiscale à indemniser toute personne étrangère aux administrations publiques, dès lors que cette personne lui a fourni des renseignements ayant amené à la découverte d’un manquement à certaines règles fiscales⁴⁹.

Dans tous les cas, la transposition de la directive a ainsi vocation à modifier la loi Sapin II et à redéfinir les lignes d’un statut du lanceur d’alerte étendu et d’une protection plus effective⁵⁰.

En particulier, les contours du deuxième pilier de l’article 17 de la loi Sapin II, à savoir la mise en place d’un mécanisme d’alerte, seront susceptibles d’être modifiés et davantage précisés, témoignant de l’influence du droit communautaire sur les dispositifs de mise de conformité. Ce mécanisme d’alerte étant un pilier du dispositif anticorruption, l’AFA pourrait ainsi être amenée à se prononcer en la matière. Dans ses recommandations publiées le 12 janvier 2021, elle a d’ailleurs rappelé l’importance de formaliser la procédure d’alerte et chacune de ses étapes⁵¹.

Une harmonisation sur l’ensemble de ces sujets est donc portée de façon progressive par l’Union européenne.

Le corollaire, une nécessaire amélioration des droits des salariés et de la protection des entreprises dans le cadre de l’enquête interne ?

Pour autant, s’agissant des modalités de traitement des signalements, les indications apportées par le législateur et les différentes autorités indépendantes sont faibles, sinon nulles. La pratique, croissante, de l’enquête interne en particulier, brille par l’actuel vide juridique qui la caractérise. Si la jurisprudence a apporté quelques indications bienvenues pour l’encadrer⁵², cet encadrement reste partiel et lacunaire.

Depuis quelque temps, les enquêtes internes font l’objet de nombreux débats et plusieurs textes relatifs à ce thème ont été publiés. On pense notamment au vade-mecum de l’avocat chargé d’une enquête interne rédigé par le barreau de Paris, qui a été complété en juin dernier, par un guide du CNB portant sur la déontologie de l’avocat enquêteur interne⁵³.

Eu égard à la place que prennent les enquêtes internes au sein des entreprises et en l’absence d’arsenal législatif en la matière, l’AFA a commencé à se saisir du sujet, dans ses dernières recommandations. Ainsi, elle rappelle le caractère essentiel de formaliser la procédure d’alerte interne, mais également « de définir et formaliser la procédure d’enquête interne préalablement à son lancement, tout en étant vigilant tant sur le choix des acteurs de l’enquête que sur son déroulé » (via la rédaction d’une politique ou d’une procédure interne). L’AFA recommande ainsi d’établir une procédure prévoyant les critères nécessaires au déclenchement d’une enquête et les modalités de réalisation de l’enquête⁵⁴.

La mise en place d’une méthode d’enquête formelle s’appuie ainsi sur un registre des enquêtes centralisé et conforme au RGPD ainsi que sur les analyses d’impact (AIPD) effectuées afin de protéger au mieux l’entreprise d’un point de vue contentieux mais également réputationnel.

Pour mémoire, cette procédure se doit d’identifier les actions à mettre en œuvre au cours des trois grandes étapes d’une enquête : la réception de l’alerte, la gestion de l’enquête et la gestion du rapport et des enjeux.

Dès la réception d’une alerte révélant des faits suffisamment importants pour déclencher une enquête interne, il convient d’identifier très rapidement les personnes responsables de la conduite et du suivi de l’enquête, d’établir la nature et le périmètre précis des allégations et de dresser un plan d’action.

Une fois le cadre de l’enquête établi, la priorité doit être la conservation des documents pertinents et l’audition des personnes impliquées. Ces auditions doivent se tenir dans le respect des droits des personnes physiques, et donnent lieu à des comptes rendus d’entretien qui viendront étayer le rapport d’enquête. Le respect du contradictoire et la possibilité de se faire assister par un conseil sont ici primordiaux⁵⁵.

Un rapport formel devra être établi à la suite de l’enquête, destiné à « consigner l’ensemble des faits et preuves recueillies, à charge et à décharge, de nature à établir ou à lever le soupçon, ainsi que la méthode suivie. Le rapport d’enquête interne conclut sur la suite à donner au signalement »⁵⁶. En outre, l’AFA souhaite qu’à l’issue de l’enquête interne, (i) l’instance dirigeante soit informée, (ii) la cartographie des risques soit actualisée et (iii) qu’une sanction disciplinaire soit prononcée en cas de comportement contraire au code de conduite. Le lanceur d’alerte, dans le cadre du suivi du signalement, devra en être informé.

Le dispositif d’alerte lui-même, d’ailleurs, doit, selon l’AFA, préciser les modalités d’accès au dispositif et d’échange d’informations avec l’auteur de l’alerte, notamment en cas d’enquête interne, les informations et documents professionnels transmis par l’auteur de l’alerte et susceptibles d’être exploités⁵⁷. Le lanceur d’alerte, auteur d’un signalement, devrait plus largement être tenu informé, dans un délai raisonnable⁵⁸, des suites données à son signalement, notamment de l’ouverture d’une enquête interne, dans la mesure où cette information ne nuit pas à l’enquête ainsi diligentée ni ne nuit aux droits des personnes concernées⁵⁹.

Cette obligation d’information du lanceur d’alerte doit encourager les entreprises et organismes à garantir que les personnes ou organes chargés d’évaluer et de mener l’enquête sur les faits aient une certaine crédibilité, mais aussi et surtout, selon les termes du Défenseur des droits, « de penser simultanément l’alerte et l’enquête, l’alerte et l’investigation, l’alerte et la capacité d’instruction »⁶⁰.

Afin de garantir l’indépendance et l’efficacité du traitement d’un signalement, la CNCDH recommande que les personnes destinées à recevoir les alertes soient formées spécifiquement sur le sujet, et qu’ils rendent compte de leur travail directement auprès de l’instance dirigeante⁶¹. Cette recommandation, parfaitement transposable en matière d’enquête interne, incite à nouveau à s’interroger sur la nécessité d’adopter des lignes directrices ou législations similaires dans ce domaine.

En l’absence de telles indications, l’entreprise doit aborder les différentes alertes et/ou enquêtes de manière uniforme et, dans la réponse adoptée, dans le respect du principe de proportionnalité, et ce tout au long de l’enquête, avec l’aide d’un conseil si cela apparaît nécessaire.

En tout état de cause, il ressort de l’absence de cadre juridique en matière d’enquête interne, une absence de garanties suffisantes en matière de protection des droits des personnes susceptibles d’être impliquées dans le cadre de cette enquête, tant pour les salariés que pour les lanceurs d’alerte. Les droits du lanceur d’alerte, qui se voient de plus en plus protégés, doivent être corrélés à un accroissement, aussi, de la protection des droits des personnes entendues ou visées par l’enquête interne⁶².

Ce vide juridique pénalise également les personnes morales qui doivent s’inspirer des bonnes pratiques énoncées par la doctrine, sans garantie de protection en cours de contentieux ultérieur. Dès lors, comment définir et former les personnes en charge desdites enquêtes de façon pérenne et uniforme ?

À ce jour, les droits de ces différents acteurs tiennent aux règles, diverses et plurielles, applicables en matière sociale et de protection des données à caractère personnel, principalement.

Marie Perrault

et Marine Doisy,
Avocate au barreau de Paris, collaboratrice du cabinet Vigo, membre du réseau international d’avocats GESICA

En 2019, sur trente-six contrôles d’initiative opérés par l’Agence française anticorruption (AFA), seize portaient sur des acteurs publics⁶³.

En effet, l’article 3 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (ci-après « loi Sapin II ») prévoit que l’AFA « […] contrôle, de sa propre initiative, la qualité et l’efficacité des procédures mises en œuvre au sein des administrations de l’État, des collectivités territoriales, de leurs établissements publics et sociétés d’économie mixte, et des associations et fondations reconnues d’utilité publique pour prévenir et détecter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêt, de détournement de fonds publics et de favoritisme. Elle contrôle également le respect des mesures mentionnées au II de l’article 17 ».

De plus, les recommandations de l’AFA relatives à la mise en place de dispositif de prévention des atteintes à la probité intègrent les acteurs publics dans le champ d’application des dispositions⁶⁴. Les acteurs publics sont donc incités à mettre en place un programme de mise en conformité destiné à prévenir les atteintes à la probité. À cet égard, plusieurs points d’attention peuvent être relevés.

Quelles obligations de mise en conformité pour les acteurs publics ?

Aux termes de l’article 8 de la loi Sapin II, les acteurs publics ont l’obligation de mettre en place un dispositif de recueil des signalements émis par les membres du personnel et les collaborateurs extérieurs et occasionnels.

En effet, l’obligation de mettre en place un dispositif d’alerte s’applique aux personnes morales de droit public d’au moins cinquante salariés, aux administrations de l’État, aux communes de plus de 10 000 habitants ainsi que les établissements publics de coopération intercommunale à fiscalité propre dont elles sont membres, les départements et les régions.

Dans ce cadre, le lanceur d’alerte est celui qui a eu personnellement connaissance des faits reprochés, qui est de bonne foi et désintéressé. Le lanceur d’alerte doit divulguer l’information de manière nécessaire et proportionnée à la sauvegarde des intérêts en cause, ce qui n’apporte, en d’autres termes, de sécurité juridique ni aux lanceurs d’alerte ni aux entités concernées.

Concrètement, le lanceur d’alerte devra suivre une procédure graduée, c’est-à-dire effectuer un premier signalement en interne. À défaut de réaction, il pourra s’adresser à l’autorité judiciaire, administrative ou aux ordres professionnels et en dernier ressort rendre le signalement public. Cette procédure rend cruciale la nécessité de traiter rapidement et efficacement les alertes pour l’entité concernée, afin d’éviter toute divulgation extérieure.

La loi accorde ainsi sa protection au lanceur d’alerte, c’est-à-dire qu’il ne peut être licencié, mis à l’écart, sanctionné, pour avoir effectué un signalement dans le cadre de ce statut.

En outre, toute personne qui fait obstacle, de quelque façon que ce soit, à la transmission d’un signalement est punie d’un an d’emprisonnement et de 15 000 € d’amende (loi Sapin II, art. 13).

S’agissant de la mise en place d’un dispositif plus général de prévention des atteintes à la probité, l’article 3, 3°, de la loi Sapin II ne prévoit pas de seuil d’obligation de mise en conformité pour les acteurs publics, contrairement aux établissements privés. La loi Sapin II ne fait pas non plus référence aux huit piliers pour les acteurs publics. Cette absence de seuils encourage ainsi l’ensemble des organismes publics visés par l’article 3 à envisager un dispositif de prévention et de détection des atteintes à la probité, notamment au regard de l’intérêt grandissant de l’AFA pour les acteurs publics.

L’attention renforcée de l’AFA pour les acteurs publics

Les précédentes recommandations de l’AFA datant de 2017 n’accordaient que six pages aux acteurs publics. Or la version actualisée des recommandations consacre une partie entière à ceux-ci en déclinant les piliers prévus par l’article 17 à destination des acteurs publics.

Cette évolution montre l’intérêt croissant de l’AFA pour les acteurs publics et implique que ces derniers ne peuvent ignorer le sujet, malgré l’absence de seuil et de précision légale quant au dispositif de prévention des atteintes à la probité. Par ailleurs, les nouvelles recommandations intègrent une annexe dressant des exemples de scénarii de risques pour les acteurs publics dans trois processus de gestion publique : le versement de subventions, la gestion des ressources humaines et la commande publique.

Il conviendra ainsi d’être attentifs aux premiers retours sur les futurs contrôles réalisés et d’accompagner les acteurs publics dans l’actualisation de leur démarche de conformité au regard de ces nouvelles recommandations.

En outre, l’AFA confirme l’extension du champ d’application du dispositif de contrôle aux autres types d’atteintes à la probité (favoritisme, concussion, prise illégale d’intérêt, détournement de fonds publics). Cette extension est justifiée par les obligations déontologiques spécifiques et inhérentes à la fonction publique⁶⁵.

Enfin, adoptant pleinement son rôle de pédagogue, l’AFA s’est associée avec le Centre national de la fonction publique territoriale (CNFPT) afin de proposer un séminaire en ligne gratuit relatif à la prévention de la corruption dans la gestion publique locale. Depuis son lancement, l’AFA recense plus de 15 000 participants et note positivement que de nombreux inscrits proviennent de l’étranger⁶⁶.

Un tel succès montre que les sujets relatifs aux atteintes à la probité sont de plus en plus pris au sérieux par un nombre croissant d’acteurs. Par ailleurs, la création d’un tel séminaire affiche également la volonté de l’AFA de montrer aux collectivités territoriales qu’elles sont tout aussi concernées par ces sujets que les acteurs privés, malgré l’absence de seuils, et l’absence de référence aux huit piliers de mise en conformité.

La mise en place d’un programme de conformité adapté à l’entité publique

Les dernières recommandations de l’AFA consacrent une partie entière à l’élaboration et au déploiement du dispositif de prévention des atteintes à la probité au sein des organismes publics. L’AFA dégage ainsi trois piliers généraux de mise en conformité : l’engagement de l’instance dirigeante, la cartographie des risques, ainsi que les mesures et procédures de prévention des risques d’atteinte à la probité.

La mise en place d’un dispositif de conformité conforme aux standards établis par l’AFA doit suivre une méthodologie définie, pouvant être structurée autour des points suivants :

• Sensibiliser l’ensemble des personnels

L’objectif du dispositif de conformité au sein de l’organisme public permet non seulement de prévenir les atteintes à la probité, mais aussi de diffuser une réelle culture de l’éthique au sein de l’entité. Pour ce faire, l’organisme devra veiller à mener plusieurs actions de sensibilisation, prenant appui sur les huit piliers prévus par la loi Sapin II. Il s’agira donc de transmettre des communications à l’attention des personnels, prévoir des formations de prévention des atteintes à la probité ou encore favoriser régulièrement la diffusion du code de conduite et des politiques éthiques.

• Identifier et évaluer les risques spécifiques à l’entité

La cartographie des risques constitue la pierre angulaire du programme de conformité. Cela permet à l’acteur public de visualiser les risques prioritaires auxquels l’entité est soumise, afin de dégager des plans d’actions efficaces ainsi que des mesures correctives. Dans ce cadre, il sera important d’identifier les risques spécifiques à l’organisme public en rencontrant les fonctions internes via des entretiens, ateliers ou questionnaires afin d’évaluer et hiérarchiser les risques d’atteinte à la probité.

La mise en place d’une cartographie pertinente permettra à l’entité d’avoir une vision claire de l’état d’avancement de la mise en conformité, afin de définir avec précision les mesures correctives prioritaires à mettre en place.

• Prendre en compte les alertes transmises via le dispositif d’alerte interne

Comme indiqué supra, les acteurs publics sont tenus, au titre de l’article 8 de la loi Sapin II, de mettre en place un dispositif de recueil des signalements. Un tel dispositif est l’occasion pour l’entité d’identifier plus précisément les risques d’atteinte à la probité auxquels l’organisme est exposé, en analysant les types d’alertes transmises. Ce travail permet en outre d’actualiser en continu la cartographie des risques, afin de mettre en place des mesures correctives afférentes.

• Mutualiser les obligations éthiques

Les organismes publics sont vivement incités à mettre en place un programme de conformité. Or de nombreuses obligations déontologiques sont déjà mises en place au sein des collectivités. Dans un souci d’économie de moyens et d’efficacité, l’entité pourra favoriser la mutualisation des dispositifs. À titre d’exemple, les obligations de déclaration d’intérêts auprès de la Haute Autorité pour la transparence de la vie publique (HATVP) pourront être intégrées dans le périmètre de mise en conformité, afin d’évaluer le risque lié aux conflits d’intérêts, et ainsi prévoir des mesures correctives efficaces.

• Documenter le processus de mise en conformité

D’un point de vue méthodologique, il est important de documenter le processus d’élaboration du dispositif de conformité. En interne, cela permet à l’entité de disposer d’une méthode claire et accessible à l’ensemble des collaborateurs impliqués dans le déploiement du programme de mise en conformité. De plus, la documentation permettra de justifier de l’avancée du processus auprès de l’AFA en cas de contrôle.

En définitive, l’absence de seuils d’obligation de mise en place d’une disposition de prévention des atteintes à la probité est plutôt destinée à encourager tous les organismes publics – et non uniquement ceux atteignant une certaine taille – à adopter un dispositif de prévention et de détection des atteintes à la probité, afin de diffuser une véritable culture de l’éthique au sein de l’organisme public.

Emmanuel Daoud

et Dalia Boudjellal,
Avocate au barreau de Paris, collaboratrice au sein du cabinet VIGO, membre du réseau international d’avocats GESICA

Au regard du développement du droit de la compliance et de son champ d’application à l’ensemble des acteurs économiques, l’heure n’est plus à se demander si la compliance devrait ou non s’appliquer aux PME et ETI, mais bien comment ces entités doivent s’emparer de ce nouveau corpus juridique.

En effet, si cette injonction peut présenter des airs de scénario d’anticipation, elle permettra aux sociétés concernées de répondre à la fois aux préoccupations croissantes de la société civile à l’égard des problématiques liées à l’éthique, à leurs partenaires économiques qui peuvent, eux, être soumis aux seuils prévus par la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (ci-après « loi Sapin II ») et la loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre (ci-après « loi sur le devoir de vigilance »), et même à l’AFA qui manifeste un intérêt croissant vis-à-vis des PME et ETI. Dès lors, il revient désormais à ces acteurs, non encore directement visés par la législation actuelle, de mettre en place de bonnes pratiques de manière efficace en interne et de faire de la compliance un outil concurrentiel.

La compliance investit la sphère des PME et ETI

Les ONG et associations ont traditionnellement occupé le poste de garde-fou des pratiques des grands groupes, ce qui a conduit la sphère médiatique à s’emparer d’affaires peu reluisantes, avant que le législateur ne s’attelle à l’encadrement des pratiques des acteurs économiques, notamment en matière de corruption, puis plus largement en matière de respect des droits de l’homme et de l’environnement.

Ces acteurs majeurs ne sont plus les seuls visés par les associations et la société civiles qui s’intéressent désormais aux pratiques de l’ensemble du tissu économique afin de dénoncer leurs comportements dans l’espoir d’évoluer dans un environnement sain, à la fois dans le monde du travail (mise en lumière du non-respect de l’égalité hommes/femmes, de discriminations, de harcèlement au travail), du secteur économique (dénonciation de faits de corruption, de pratiques anticoncurrentielles, de publicité trompeuse et d’écoblanchiment), et de l’environnement à proprement parler (non-respect des obligations administratives en matière de gestion des déchets, pollution des sols et des rivières).

Cette dynamique s’inscrit dans un mouvement croissant au sein de la population qui entend désormais consommer en pleine conscience et refuser, lorsqu’elle en a les moyens économiques, des pratiques contraires aux valeurs auxquelles elle est sensible et qu’elle entend défendre. En atteste l’émergence croissante des labels visant à informer les consommateurs de ces bonnes pratiques mises en place de manière spontanée à la fois dans le secteur de l’agroalimentaire et du textile.

Dans ce contexte, la mise en place de bonnes pratiques en matière de conformité représente donc des enjeux commerciaux pour les PME et ETI, à la fois vis-à-vis des consommateurs finaux mais également de leurs partenaires commerciaux.

En effet, la loi sur le devoir de vigilance vient imposer aux sociétés dépassant un certain seuil de mettre en place une cartographie des risques et de veiller aux pratiques de leurs sous-traitants et fournisseurs. Trois ans après l’entrée en vigueur de la loi, il ressort des pratiques des sociétés qui y sont assujetties que celles-ci tendent à faire peser directement leurs obligations sur leurs sous-traitants et fournisseurs. Il en résulte que les entreprises, quelle que soit leur taille, qui ne pourraient pas faire état de la mise en œuvre de bonnes pratiques en interne, risquent désormais une mise à l’écart de certains partenariats commerciaux.

Par ailleurs, les PME et ETI sont indirectement concernées par la loi Sapin II via l’évaluation des tiers de certains de leurs clients et partenaires assujettis à l’article 17.

En outre, l’AFA a récemment manifesté le nouvel intérêt qu’elle entend porter aux PME et ETI dans ses nouvelles recommandations publiées le 12 janvier 2021 en précisant que les dispositions générales qu’elles édictent ont vocation à être utilisées par « toutes les personnes morales de droit privé ou de droit public », indépendamment de leurs seuils.

De plus, dans le Diagnostic national sur le dispositif anticorruption dans les entreprises, publié à la fin de l’année 2020, l’AFA souligne que la conformité est un sujet de mieux en mieux traité par les PME et ETI puisque la moitié des entreprises non assujetties à l’article 17 de la loi Sapin II qui ont été interrogées pour les besoins de cette enquête ont indiqué être dotées de dispositifs de prévention anticorruption.

L’AFA met en lumière que les entreprises non assujetties se sont particulièrement bien saisies des outils tels que le code de conduite et la charte déontologique, ainsi que le dispositif d’alerte et de contrôle interne.

Toutefois, l’AFA identifie comme grande absente de ces pratiques la cartographie des risques, qui n’est mise en place que par 27 % des entreprises entendues et non assujetties. D’autres bonnes pratiques indispensables manquent également cruellement à l’appel : les procédures d’évaluation des tiers et les actions de formation et de prévention.

Malgré ce retard de déploiement au sein des PME et ETI, intrinsèquement lié au fait qu’elles ne soient pas contraintes à de telles obligations, l’AFA a tout de même indiqué qu’elle allait mettre l’accent sur l’accompagnement de ces acteurs.

Le chemin de la mise en conformité est encore long et sinueux pour les PME et ETI, lesquelles ne manquent pas de dénoncer les difficultés auxquelles elles sont confrontées. Pourtant, des solutions existent afin de faciliter la mise en place de ces pratiques aujourd’hui indispensables.

La compliance, un outil concurrentiel pour les PME et ETI ?

Les difficultés rencontrées par les PME et ETI pour mettre en place des mesures de conformité en interne sont inhérentes à leur structuration et à leurs ressources plus réduites que celles des sociétés assujetties à la loi Sapin II ou à la loi sur le devoir de vigilance.

En effet, le manque de moyen humain, méthodologique et financier est habituellement avancé pour expliquer les retards, voire l’impossibilité, de mise en place de bonnes pratiques satisfaisant aux nouvelles obligations du droit de la compliance. Il y a fort à parier que cette difficulté s’est accrue durant la période de crise que nous traversons actuellement.

Il est ainsi régulièrement rappelé que les PME et ETI n’ont pas la possibilité de dédier un poste unique à la mise en conformité. En ce sens, dans son diagnostic publié en 2020 et mentionné ci-avant, l’AFA détaille les postes traditionnellement en charge de la conformité. Il apparaît que le pilotage du dispositif anticorruption est effectué soit par le responsable conformité lorsque ce poste existe (ce semble être le cas dans 34 % des sociétés interrogées), soit par le directeur juridique, le manager des risques, ou encore le directeur de l’audit interne.

Or la compliance est souvent perçue comme imposant un vaste chantier de réorganisation et, plutôt que de s’y attaquer frontalement, il est fréquent que les projets de conformité n’aboutissent pas, les entreprises se développant alors sur un socle instable malgré un premier effort de mise en conformité.

Se pose donc la question de l’intégration des bonnes pratiques au sein de l’entreprise en prenant en compte à la fois les difficultés dénoncées par les PME et ETI et les recommandations de l’AFA.

En effet, il est intéressant de renverser le prisme par lequel les PME et ETI perçoivent la conformité pour mettre en lumière l’atout concurrentiel indéniable qu’une culture de l’éthique représente de nos jours dans le cadre de relations commerciales et de développement économique.

Une vision à court terme de la conformité pêche à deux égards. D’une part, elle ne prend pas en compte la croissance économique rapide des PME et ETI telle qu’elle est très régulièrement vécue par les start-up ces dernières années, et se traduit notamment par un accroissement de la masse salariale et du chiffre d’affaires de ces sociétés de sorte qu’elles peuvent parfois se rapprocher, voire atteindre, les seuils fixés par la législation. D’autre part, l’élargissement constant du champ législatif de la lutte anticorruption au cours de ces dernières années ne permet pas d’écarter la possibilité que les obligations contraignantes actuellement en vigueur soient étendues aux PME et ETI dans un futur proche.

La difficulté actuelle pour les PME et ETI reste d’identifier les outils essentiels à mettre en place parmi les piliers de la loi Sapin II.

Les nouvelles recommandations de l’AFA publiées le 12 janvier 2021 érigent trois piliers sur lesquels repose le programme de conformité, dans lesquels viennent s’imbriquer les huit piliers existants jusqu’alors : l’engagement de l’instance dirigeante, la cartographie des risques et la gestion des risques.

Cette nouvelle organisation permet aux PME et ETI de se focaliser a minima sur la cartographie des risques et l’engagement de l’instance dirigeante et d’opérer un choix dans les mesures de gestion de risque en fonction de la spécificité du cœur de métier.

De plus, compte tenu de ces recommandations et des pratiques existantes, la mise en place de ces trois piliers ne requiert pas nécessairement le déploiement de nouvelles ressources.

Ainsi, concernant l’engagement des instances dirigeantes, une première étape pour l’entreprise concernée pourrait être de mettre en place une stratégie de communication par ses dirigeants sur le thème de la lutte anticorruption en mutualisant les autres communications au sein de l’entreprise afin d’en assurer la diffusion au plus grand nombre sans démultiplier les ressources à leur disposition.

La cartographie et l’évaluation des tiers restent des chantiers importants et coûteux à mettre en œuvre. De plus en plus de modèles adaptés et disponibles en ligne font leur apparition – le site du MEDEF, pour n’en citer qu’un, met à disposition un tel modèle de cartographie – permettant ainsi de répondre à l’injonction de l’AFA relative à la mise en place de cartographies adaptées au secteur d’activité de chaque entreprise.

Enfin, dans une optique concurrentielle, la mise en place d’un code de conduite énumérant les comportements proscrits, les bonnes pratiques et les standards éthiques de la société doit être vue à la fois comme un outil de mise en conformité et une vitrine des valeurs de la société développant ainsi l’attractivité commerciale.

Ainsi, les PME et ETI, bien que non contraintes par les mesures exposées ci-avant, devraient se saisir de l’opportunité qui est la leur de mettre en place ne serait-ce qu’un embryon de compliance et de bonnes pratiques internes facilitant de fait le développement de l’éthique et des bonnes relations commerciales tout au long du cycle de vie de l’entreprise.

Emmanuel Daoud

et Aimée Kleiman,
Avocate aux barreaux de Paris et de New York, collaboratrice au cabinet Vigo, membre du réseau international d’avocats GESICA

1. Loi Sapin II, art. 17, I : « Les présidents, les directeurs généraux et les gérants d’une société employant au moins cinq cents salariés, ou appartenant à un groupe de sociétés dont la société mère a son siège social en France et dont l’effectif comprend au moins cinq cents salariés, et dont le chiffre d’affaires ou le chiffre d’affaires consolidé est supérieur à 100 millions d’euros sont tenus de prendre les mesures destinées à prévenir et à détecter la commission, en France ou à l’étranger, de faits de corruption ou de trafic d’influence selon les modalités prévues au II. […] »

2. Rappelons que les mesures visées en l’espèce sont : un code de conduite, un dispositif d’alerte interne, une cartographie des risques, des procédures d’évaluation des tiers, des procédures de contrôles comptables, internes ou externes, un dispositif de formation, un régime disciplinaire et un dispositif de contrôle et d’évaluation interne (loi Sapin II, art. 17, II).

3. AFA, Recommandations, version déc. 2017, p. 6.

4. AFA, Recommandations destinées à aider les personnes morales de droit public et de droit privé à prévenir et à détecter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêt, de détournement de fonds publics et de favoritisme, 4 déc. 2000 (publ. 12 janv. 2021), § 93 à 95, p. 13 et 14.

5. AFA, Recommandations préc., § 99, p. 14.

6. The Bribery Act 2010 - Guidance about procedures which relevant commercial organisations can put into place to prevent persons associated with them from bribing (section 9 of the Bribery Act 2010) (March 2011).

7. U.S. Department of Justice Criminal Division - Evaluation of Corporate Compliance Programs (updated June 2020).

8. The Bribery Act 2010, préc., p. 23-24.

9. U.S. Department of Justice Criminal Division - Evaluation of Corporate Compliance Programs (updated June 2020), p. 10.

10. Recommandations AFA, version du 4 déc. 2020, § 96, p. 14.

11. AFA, Diagnostic national sur les dispositifs anticorruption dans les entreprises (sept. 2020), p. 13.

12. AFA, Recommandations préc., § 16, p. 4.

13. AFA, Recommandations préc., § 101 et 102, p. 15.

14. S’agissant de la loi Sapin II, les sociétés privées ou groupe de plus de 500 salariés et réalisant plus de 100 millions d’euros de chiffre d’affaires (ou plus précisément leurs dirigeants personnellement) doivent mettre en œuvre un dispositif complet anticorruption : cartographie des risques, code de conduite, formations, procédures d’évaluation des tiers, procédures comptables, etc.

15. Recommandations AFA, déc. 2020, pt 118.

16. Cartographie 2020 des risques émergents pour la profession de l’assurance et de la réassurance, Fédération française de l’assurance.

17. Values & Senses, Cartographie des risques - Post covid-19, 2019.

18. Banque de France, La covid-19 d’abord et le climat après ? pas si simple – liens entre risques sanitaires et environnementaux, 15 avr. 2020.

19. ACPR, Le risque informatique, Document de réflexion, janv. 2019, p. 12.

20. Selon l’enquête Enduring from home : Covid’s 19 Impact on Business Security, 24 % des entreprises interrogées ont indiqué devoir supporter des coûts imprévus pour faire face à des incidents de cybersécurité depuis le début de la pandémie.

21. Cartographie 2020 des risques émergents pour la profession de l’assurance et de la réassurance, préc.

22. O. Haas, H. Minaudier et J. Attali, L’entreprise face au risque informatique, Cah. dr. entr., janv. 2021.

23. Plus précisément, le caractère aisé de réalisation d’une cyberattaque ou encore la réaction (délai, mise en place d’un plan d’action) peuvent engager la responsabilité des dirigeants.

24. Tel peut être le cas du cybersquatting, pratique consistant à « accaparer, en le déposant, un nom de domaine reprenant ou évoquant une marque, un nom commercial, un patronyme ou toute autre dénomination, afin de tirer un profit matériel ou moral de sa notoriété présente ou à venir » (vocabulaire de l’informatique et de l’internet, JO 17 avr. 2008).

25. N. Dreyfus, Assurer le risque cyber : une opportunité pour la défense des marques en ligne ?, CCC mai 2019.

26. O. Haas, H. Minaudier et J. Attali, art. préc.

27. Ministère du Travail, Coronavirus - Covid-19, Questions/Réponses pour les entreprises et les salariés, 19 mars 2020, p. 7.

28. C. trav. art. R. 4121-2.

29. Il s’agit des risques générés directement par l’activité de l’entreprise et l’exposition à la covid-19 ainsi que des risques générés par les nouvelles modalités de travail.

30. C. trav., art. L. 1222-11.

31. Versailles, 24 avr. 2020, n° 20/01193 reprochant à Amazon de ne pas justifier « de sa volonté de procéder à une évaluation des risques de qualité à la hauteur des enjeux d’une pandémie, selon une approche pluridisciplinaire et en concertation étroite avec les salariés, premiers acteurs de leur sécurité sanitaire ».

32. CNIL, délib. n° 2018-327, 11 oct. 2018, portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise.

33. CNIL, Les conseils de la CNIL pour mettre en place le télétravail, 1^er avr. 2020.

34. AFA, Recommandations, déc. 2020, pt 128.

35. C. trav., art. L. 1132-3-3, tel qu’issu de la loi n° 2013-1117 du 6 décembre 2013 relative à la lutte contre la fraude fiscale et la grande délinquance économique et financière.

36. Soc. 4 nov. 2020, n° 18-15.669, Dalloz actualité, 24 nov. 2020, obs. L. de Montvalon ; D. 2020. 2242 ; Légipresse 2020. 654 et les obs. , qui censure l’arrêt d’appel qui ne constate pas que le signalement porte sur de tels faits (en l’espèce, l’alerte portait sur des faits d’atteinte à la liberté d’expression dans le cadre d’échanges avec un syndicat). Pour la protection applicable avant l’entrée en vigueur de la loi du 6 décembre 2013, v. déjà Soc. 30 juin 2016, n° 15-10.557, Dalloz actualité, 8 juill. 2016, obs. M. Peyronnet ; D. 2016. 1740, et les obs. , note J.-P. Marguénaud et J. Mouly ; RDT 2016. 566, obs. P. Adam ; Légipresse 2016. 391 et les obs. ; ibid. 536, comm. W. Bourdon, B. Repolt et Apolline Cagnat .

37. Pau, 28 janv. 2021, n° 19/03322. Sur la bonne foi, v. déjà Soc. 8 juill. 2020, n° 18-13.593, D. 2020. 1468 ; Dr. soc. 2021. 170, étude R. Salomon ; Légipresse 2020. 470 et les obs. ; ibid. 557, étude Apolline Cagnat et A. Lefebvre , qui précise, sous l’empire de la loi de 2013, que la mauvaise foi « ne peut résulter que de la connaissance par le salarié de la fausseté des faits qu’il dénonce et non de la seule circonstance que les faits dénoncés ne sont pas établis ».

38. Délib. n° 2019-139, 18 juill. 2019.

39. E. Daoud et M. Doisy, Comment mettre en place une procédure d’alertes conforme au RGPD ?, 20 déc. 2019.

40 Dir., consid. 3.

41. Dir., art. 1.

42. Pour mémoire, « la présente directive introduit des normes minimales et les États membres devraient pouvoir adopter ou maintenir des dispositions qui sont plus favorables à l’égard de l’auteur du signalement […]. La transposition de la présente directive ne devrait, en aucun cas, constituer un motif pour abaisser le niveau de protection déjà accordé aux auteurs de signalement par le droit national dans les domaines auxquels elle s’applique » (consid. 104).

43. « Le Défenseur des droits appelle à une transposition ambitieuse de la directive sur les lanceurs d’alerte », 4 juin 2020.

44. Recommandation n° 1 de l’avis de la CNCDH du 4 oct. 2020 ; communiqué du Défenseur des droits, 4 juin 2020 ; DDD, Protéger les lanceurs d’alerte : un défi européen, 3 déc. 2019.

45. CNCDH, avis, 4 oct. 2020, recommandation n° 2.

46. CNCDH, avis, 4 oct. 2020, recommandation n° 1.

47. CNCDH, avis, 4 oct. 2020, recommandation n° 6. Le Défenseur des droits préconise à ce sujet d’envisager, au moins, une aide financière destinée à couvrir les préjudices du lanceur d’alerte – mais pas une récompense d’un signalement (DDD, Protéger les lanceurs d’alerte : un défi européen, 3 déc. 2019). Pour une comparaison avec les États-Unis, v. encore l’annonce par la SEC du 23 février 2021 d’octroyer 9,2 millions de dollars à un lanceur d’alerte ayant permis la conclusion d’un DPA avec le Department of Justice américain. La SEC a accordé plus de 750 millions de dollars à 136 personnes depuis 2012.

48. CNCDH, avis, 4 oct. 2020, recommandations n^os 13 et 14.

49. LPF, art. L. 10-0 AC.

50. À l’occasion de son audition par la mission d’évaluation de la loi Sapin II lancée par la commission des lois de l’Assemblée nationale, Transparency International France a encore relevé, notamment, que la transposition de la directive est une occasion d’approfondir la protection des lanceurs d’alerte.

51. AFA, Recommandations destinées à aider les personnes morales de droit public et de droit privé à prévenir et à détecter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêts, de détournement de fonds publics et de favoritisme, 12 janv. 2021, § 256-284.

52. Sur les apports de la jurisprudence en la matière, v. not. E. Daoud, M. Perrault et M. Doisy, Livre blanc « Les enquêtes internes », 12 oct. 2020.

53. CNB, Guide L’avocat français et les enquêtes internes, 12 juin 2020.

54. AFA, Recommandations destinées à aider les personnes morales de droit public et de droit privé à prévenir et à détecter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêts, de détournement de fonds publics et de favoritisme, 12 janv. 2021, § 270 (v. également § 262 à 280 et 522 à 540).

55. Pour davantage de précisions, v. E. Daoud, M. Perrault et M. Doisy, Les enquêtes internes, Livre blanc, 12 oct. 2020 ; D. Hever (groupe de travail), Rapport sur les droits de la défense des personnes physiques dans l’enquête interne, Le Monde du droit, 4 mars 2021.

56. AFA, Recommandations préc., 12 janv. 2021, § 275.

57. Idem, § 266.

58. Trois ou six mois dans les cas complexes, selon la directive (consid. 58 et 67 ; art. 11). La CNIL avait également souligné dans son référentiel (précité) que les décisions relatives aux suites réservées aux alertes professionnelles doivent intervenir dans un délai raisonnable à compter de l’émission de celles-ci.

59. Le considérant 57 de la directive prévoit que, « dans le contexte des signalements internes, il est essentiel de fournir à l’auteur de signalement, dans la mesure de ce qui est juridiquement possible et de la manière la plus complète possible, des informations sur le suivi du signalement afin d’instaurer la confiance dans l’efficacité du système général […]. Un suivi pourrait comprendre, par exemple, […] l’ouverture d’une enquête interne et, éventuellement, les conclusions de ladite enquête et toute mesure prise pour résoudre le problème soulevé, le renvoi à une autorité compétente pour complément d’enquête, dans la mesure où ces informations ne porteraient pas préjudice à l’enquête interne ou à l’enquête ou ne porteraient pas atteinte aux droits de la personne concernée. En tout état de cause, l’auteur de signalement devrait être informé des progrès et des résultats de l’enquête. […] ».

60. DDD, Protéger les lanceurs d’alerte : un défi européen, 3 déc. 2019.

61. CNCDH, avis, 4 oct. 2020, recommandation n° 4.

62. V. D. Hever (groupe de travail), Rapport sur les droits de la défense des personnes physiques dans l’enquête interne, Le Monde du droit, 4 mars 2021.

63. AFA, Rapport annuel d’activité 2019.

64. AFA, Recommandations destinées à aider les personnes morales de droit public et de droit privé à prévenir et à détecter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêt, de détournement de fonds publics et de favoritisme, 12 janv. 2021.

65. AFA, Recommandations préc., III, § 347 à 352.

66. AFA, Nouvelle session du MOOC pour la rentrée, 31 août 2020.