Loi Sapin 2 : obligation de mettre en œuvre un dispositif de lutte contre la corruption

Avec les premiers contrôles réalisés et la décision de la Commission des Sanctions de l’Agence Française Anticorruption (AFA)[i] à l’encontre de la société IMERYS, il nous a semblé intéressant de revenir sur l’article 17 de la loi n° 2016-1691 du 9 décembre 2016, dite loi Sapin II, relatif à la lutte contre la corruption.

L’article 17 de la loi Sapin II introduit l’obligation de mettre en œuvre un dispositif de lutte contre la corruption par les entreprises de plus de 500 salariés et ayant un chiffre d’affaires de plus de 100 M€.

Les huit piliers de cette nouvelle obligation de vigilance sont définis par la mise en place :

1. D’un code de conduite actualisé définissant et illustrant les différents types de comportements à proscrire comme étant susceptibles de caractériser des faits de corruption ou de trafic d’influence.

L’AFA précise que ce code doit formuler « des interdictions » quant aux « manquements à la probité » et qu’il puisse traiter « des cadeaux et invitations, des paiements de facilitations, des conflits d’intérêts, du mécénat, du sponsoring ainsi que, le cas échéant, de la représentation d’intérêts (lobbying) ».

Il doit prévoir « les conséquences disciplinaires » de son non-respect et doit être décliné et diffusé à l’ensemble des entités de l’entreprise, y compris celles implantées à l’étranger.

2. D’un régime disciplinaire, inclus dans le règlement intérieur de l’entreprise, permettant de sanctionner les salariés en cas de violation du code de conduite.

3. D’un dispositif d’alerte interne pour recueillir les signalements relatifs aux conduites ou situations contraires au code de conduite de l’entité.

Ce dispositif ne doit pas être confondu avec celui prévu aux articles 6 à 16, visant à dénoncer « un crime ou un délit » ou, plus généralement, « une menace ou un préjudice graves pour l’intérêt général » et qui doit être mis en place par toutes les entreprises d’au moins 50 salariés.

La coexistence de ces deux dispositifs peut être source de confusion. Par ailleurs, l’article L. 1132-3-3 du code du travail ne protège que les lanceurs d’alerte visés à l’article 6 de la loi Sapin 2 et non ceux de l’article 17.

Pour tenter de remédier à ce point, l’AFA incite les entreprises à mettre en place « un seul et unique dispositif technique de recueil » des signalements induits par les articles 6 à 16 et 17.

4. D’une cartographie des risques, régulièrement actualisée, afin d’identifier, d’analyser et de hiérarchiser les risques de corruption de l’entreprise, en fonction notamment de ses secteurs d’activités et de ses zones géographiques d’intervention. C’est le point pivot du dispositif.

L’AFA attend une analyse objective, structurée, documentée et une maitrise raisonnable de tous les risques identifiés.

5. De procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques de corruption.

Déjà difficile, en l’état, à mettre en œuvre, l’AFA va au-delà des exigences de Sapin II, en recommandant de procéder à cette évaluation et aux vérifications afférentes pour tous « les tiers avec lesquels l’organisation est en relation ou entre en relation », ce qui alourdit considérablement la démarche.

6. De procédures de contrôles comptables, internes ou externes, afin de s’assurer que les livres, registres et comptes ne sont pas utilisés pour masquer des faits de corruption ou de trafic d’influence.

7. D’un dispositif de formation destiné aux cadres et aux personnels les plus exposés.

L’AFA indique que les entreprises doivent s’assurer de la qualité et du suivi de la formation par leurs collaborateurs et recommande de pouvoir élargir la sensibilisation à l’ensemble du personnel de l’entreprise.

Une formation spécifique au recueil des signalements et alertes éthiques est également préconisée.

8. D’un dispositif de contrôle et d’évaluation des mesures mises en œuvre.

Ultime obligation prévue, un tel dispositif doit viser, selon l’AFA, à tester l’efficacité des mesures de prévention mises en œuvre et à identifier et comprendre les manquements afin de définir des mesures correctives.

Quoique ne figurant pas à l’article 17, l’engagement des dirigeants dans la diffusion d’une culture d’intégrité, de transparence et de conformité est considéré par l’AFA comme le socle indispensable à la mise en œuvre d’un programme anticorruption efficace, notamment par l’adoption d’une politique de tolérance zéro face aux risques de corruption.

Pour conclure ce chapitre, l’AFA a précisé que ses recommandations n’avaient pas de valeur obligatoire ou contraignante, mais qu’elles visaient à aider les entreprises dans la mise en œuvre opérationnelle de leur dispositif anticorruption.

Néanmoins, il est très important de noter que le suivi, ou non, des recommandations de l’AFA a une incidence directe sur la charge de la preuve.

En effet, si une entreprise applique les recommandations de l’AFA, ce sera à cette dernière de prouver que le dispositif de l’entreprise n’est pas conforme à la loi Sapin II. A contrario, si l’entité a préféré, comme elle en a le droit, ne pas appliquer les recommandations de l’AFA, ce sera à elle de prouver qu’elle a établi un dispositif conforme.

Cette décision rendue le 7 février 2020 à l’encontre de la société IMERYS est venue réaffirmer le principe que seul le non-respect des dispositions de l’article 17 de la loi Sapin II expose les sociétés et leurs dirigeants à des sanctions.

Ainsi, la Commission des Sanctions n’a retenu aucun grief concernant la cartographie des risques d’IMERYS, permettant ainsi de préciser :

• qu’il appartenait à l’entreprise d’identifier les fonctions, métiers et/ou sites impliqués dans l’identification des risques, et non de consulter la totalité des fonctions et métiers de l’entité ;
• que le fait de ne pas traiter de manière particulière un pays ou un site est admis si cette situation résulte d’un choix formalisé et justifié ;
• qu’une hiérarchisation des risques par ordre de priorité est admissible  ;
• que la Loi ne prévoit aucune exigence concernant l’élaboration d’un plan d’action ou la mise à jour annuelle de la cartographie des risques.

La Commission a par ailleurs prononcé deux injonctions (mais pas de sanction envers IMERYS) concernant la mise en conformité de son code de conduite et le renforcement de ses procédures de contrôles comptables.

Pierre GERMAIN
Partner,
Head of Audit & Compliance Solutions

[i] Créée par la loi Sapin II, l’Agence Française Anticorruption (AFA) est un service à compétence nationale, chargé tant du conseil que du contrôle des entités concernées, ce qui, pour certains, peut représenter une certaine confusion des rôles. Inspirées des meilleurs standards internationaux, l’AFA a publié, le 22 décembre 2017, ses recommandations afin d’aider les entreprises à répondre à leurs obligations en matière d’anticorruption.