La loi Sapin II a introduit un dispositif anticorruption, composé de huit piliers, que les acteurs privés et publics doivent respecter.
Les recommandations de l’Agence française anticorruption (AFA)
La loi Sapin a introduit une obligation générale de vigilance pesant sur les acteurs économiques et les acteurs publics (1). Elle se traduit par huit mesures et procédures à appliquer qui constituent les piliers du dispositif anticorruption.
Plus récemment, l’AFA chargée d’une mission de conseil et de contrôle du dispositif anticorruption (2), a publié ses Recommandations (3). Ces dernières posent trois principes indissociables et fondamentaux à la bonne application du dispositif anticorruption :
- l’engagement de l’instance dirigeante en faveur de la lutte contre les atteintes à la probité ;
- la connaissance des risques d’atteintes à la probité exposant l’entité ;
- la gestion des risques par la mise en place des mesures et des procédures prévues par la loi.
Ils s’analysent à la lumière des Recommandations de l’AFA pour prévenir, détecter et remédier à toutes situations illégales. Faire la cartographie des risques reste néanmoins l’étape fondamentale à la prévention des atteintes à la probité.
La cartographie des risques : point de départ du dispositif anticorruption
Cette approche par les risques constitue le premier pilier du dispositif anticorruption initié par la Loi Sapin II. L’AFA le reprend dans ses Recommandations.
C’est sur le fondement de cette cartographie que les organisations doivent mettre en place les mesures et procédures préventives. Afin d’être efficace, la cartographie doit permettre l’identification, l’évaluation et la hiérarchisation des risques, de manière proportionnelle à la taille de l’organisation.
Ce document doit prendre en compte les secteurs d’activité, les zones géographiques, les secteurs d’activité de l’entreprise afin de permettre la mise en place d’un programme de mise en conformité et de dégager des axes d’amélioration. L’AFA recommande que l’instance dirigeante valide la cartographie avant sa mise en œuvre. En outre, la cartographie nécessite une actualisation régulière.
Les piliers anticorruption préventifs
Les piliers anticorruption qualifiés ici de préventifs sont :
- le code de conduite ;
- le dispositif de formation aux risques d’atteinte à la probité ;
- la procédure d’évaluation des tiers.
Elaborer un code de conduite
Dans un premier temps, les organisations doivent élaborer un code de conduite. Ce texte a pour objet de définir les comportements susceptibles de constituer une atteinte à la probité. Il doit s’intégrer au règlement intérieur de l’organisation, et faire l’objet d’une communication interne à l’ensemble des collaborateurs.
Ce code doit préciser les règles déontologiques applicables aux dirigeants et aux collaborateurs, conformément à la cartographie des risques. Il doit être clair, sans réserve et non équivoque. Pour l’AFA, l’instance dirigeante doit préfacer ce code afin d’attester de l’implication des instances dirigeantes.
En outre, le code n’est pas exclusif de l’émission de documents annexes supplémentaires venant règlementer des situations particulières ; par exemple, concernant les cadeaux d’entreprise ou la gestion des conflits d’intérêt. Ces textes de complément doivent néanmoins former un écosystème cohérent avec le code de conduite.
Mettre en place une formation au dispositif anticorruption
De la même manière, la loi impose la mise en place de formations aux risques d’atteinte à la probité. Pour l’AFA, il s’agit d’une mesure indispensable au respect du dispositif anticorruption. Il a pour objet l’information de l’ensemble des collaborateurs (quelle que soit la hiérarchie) des risques auxquels ils font face. Les cadres et les dirigeants semblent d’avantages exposés à ces risques. Ils doivent donc bénéficier d’une information particulière. Dans ses Recommandations, l’Agence ne considère pas pour autant une information individualisée. Une information générale peut suffire.
Cependant, les collaborateurs les plus exposés doivent, toujours selon l’AFA, faire l’objet d’une formation obligatoire « adaptée à leurs métiers et aux risques auxquels ils peuvent être exposés. ». Ces formations devront s’adosser sur la cartographie des risques réalisée par l’organisation. Les collaborateurs qui bénéficient de la formation doivent comprendre le dispositif anticorruption, détecter les risques, et maîtriser les mesures et procédures adéquates dans différentes situations.
Instaurer des procédures d’évaluation des tiers
Les risques d’atteintes à la probité émanent bien souvent des relations avec les tiers (client, fournisseurs, intermédiaires, prestataires, titulaires de marchés publics etc.). C’est pour cela que l’article 17 de la loi Sapin II impose de mettre en place des procédures d’évaluation des tiers, au regard des constats de la cartographie des risques de l’organisation.
Il s’agit, dans cette procédure, d’analyser les relations entretenues avec les tiers pour en apprécier les risques. Elle a vocation à avoir un spectre large : personnes morales et physiques. Ces procédures doivent permettre à l’organisation d’éviter d’être impliquée, directement ou indirectement, dans des atteintes à la probité. En effet, l’objectif est d’éviter les conséquences dommageables à une telle situation : atteinte à la réputation, répercussion économiques, engagement de la responsabilité de l’organisation ou des dirigeants etc.
L’AFA recommande de créer des groupes selon les risques, au regard de la cartographie afin d’adapter la force du contrôle, et ainsi analyser des « profils de risques comparables ». En outre, elle considère que les analyses peuvent aller « d’une simple recherche en source ouverte à une enquête approfondie, en passant par l’envoi d’un questionnaire d’évaluation au tiers lui-même. ».
Outre la prévention, les piliers du dispositif anticorruption ont également pour objet de favoriser la détection des risques d’atteintes à la probité.
Détecter les atteintes à la probité
La détection des atteintes à la probité est supportée par trois piliers introduit par la Loi Sapin II :
- le dispositif d’alerte interne ;
- les procédures de contrôles comptables ;
- le contrôle des mesures et des procédures anticorruption.
Mettre en place un dispositif d’alerte
En premier lieu, les organisations doivent mettre en place un dispositif d’alerte interne pour permettre aux collaborateurs de signaler les comportements contraires au code de conduite adopté par l’entreprise. Cela implique d’identifier clairement les personnes référentes. Cette procédure est externalisable dans la mesure ou sa confidentialité est respectée.
Aux termes des Recommandations de l’AFA, le dispositif d’alerte peut aller « de la simple adresse électronique dédiée, au logiciel de gestion voire, pour certaines organisations, à une plateforme éthique spécifique. ». Ce dispositif peut prévoir un signalement auprès de son supérieur ; dans cette hypothèse l’AFA considère que ce dernier doit pouvoir orienter et conseiller en conséquence.
La procédure d’alerte interne doit tenir compte de la nature de l’organisation et permettre un signalement efficace, protégé et de bonne foi. Elle doit être sécurisée et ses droits d’accès limités aux personnes autorisées. Lorsqu’une alerte est anonyme, le dispositif doit permettre une poursuite des échanges avec l’auteur de l’alerte, tout en préservant son droit de garder l’anonymat.
L’AFA recommande l’émission d’un accusé de réception après une alerte, informant son auteur des délais de traitement. En cas de signalement sans suite, l’entité doit prendre des mesures pour supprimer tous les éléments pouvant permettre d’identifier le lanceur d’alerte. Enfin, la règlementation visant à protéger les données à caractère personnel s’applique évidemment.
Instaurer des procédures de contrôles comptables
Les contrôles comptables peuvent être internes (services comptables et financiers) comme externes (commissaires aux comptes, audit etc.). Ces procédures ont pour objet de vérifier que les livres, les registres et les comptes ne dissimulent pas des faits d’atteinte à la probité. La procédure vise en priorité les situations à risques développées dans la cartographie.
Mettre en place un dispositif d’évaluation et de contrôle des mesures instaurées
La loi Sapin II prévoit que les organisations doivent mettre en place un dispositif d’évaluation et de contrôle des mesures mise en œuvre pour le respect du dispositif anticorruption. Ces procédures de contrôle peuvent être internes ou bien externalisées.
Le contrôle est adapté et proportionné aux risques d’atteintes à la probité, au regard notamment de la cartographie des risques. Un recueil de ces contrôles doit être tenu, et leur contenu doit être pris en compte pour dégager et mettre en œuvre des améliorations.
L’AFA recommande un contrôle à trois niveaux :
- 1er niveau : contrôles préventifs avant la mise en œuvre de l’opération opérés par la hiérarchie, les équipes opérationnelles et les supports ;
- 2ème niveau : contrôles de détection sur les opérations en cours ou réalisées, afin de permettre l’efficience des vérifications de premier niveau ;
- 3ème niveau : contrôles périodiques sous la forme d’audits internes pour vérifier la conformité du dispositif, le mettre à jour.
Enfin, après la prévention et la détection, il reste à traiter des remèdes aux risques d’atteinte à la probité.
Remédier aux risques d’atteintes à la probité
Enfin, il reste à apprécier le dernier pilier du dispositif anticorruption : la mise en place d’un régime disciplinaire. Il s’agit de l’hypothèse ou des violations du code de conduite sont constatées ou que des insuffisances sont détectées lors des contrôles.
Cette situation nécessite la prise de mesures correctives au travers de plans d’action récapitulatifs. Ces correctifs seront suivis régulièrement et leurs résultats transmis à l’instance dirigeante.
En cas de violation du code de conduite, la commission disciplinaire peut être saisie. En effet, le Règlement intérieur doit prévoir un régime disciplinaire, les procédures à suivre, ainsi que les sanctions possibles : avertissement, un blâme, une suspension, une rétrogradation, une mutation, ou encore un licenciement, etc. L’instance dirigeante n’a cependant pas l’obligation d’informer le procureur de la République compétent en cas de constatation d’infractions pénales.
L’AFA préconise :
- la mise en place d’un comité indépendant chargé de sanctionner après l’instruction d’une affaire ;
- un recensement des sanctions prononcées.
Virginie Bensoussan Brulé
Barthélémy Busse
Lexing Contentieux numérique
Notes :
(1) Article 17, II, Loi n° 2016-1691 du 9 décembre 2016 sur la transparence et la lutte contre la corruption.
(2) Cf. nos articles, « L’Agence française anticorruption : rôle et missions » paru le 15/02/2021 et « Focus sur les procédures de contrôle de l’AFA » paru le 22/02/2021.
(3) Recommandations de l’Agence française anticorruption, version du 4 décembre 2020.