L’Agence Française Anticorruption (l’« AFA ») a publié le 12 janvier 2021 dernier ses nouvelles recommandations (« les Recommandations »), qui annulent et remplacent les anciennes recommandations publiées en décembre 2017.

Pour ses nouvelles Recommandations, l’AFA a privilégié une articulation plus claire, fondée sur trois piliers : (I.) l’engagement de l’instance dirigeante, (II.) la connaissance des risques d’atteinte à la probité à travers l’élaboration d’une cartographie de risques et (III.) la gestion des risques à travers la mise en œuvre de procédure tendant à leur prévention.

L’approche méthodologique est la même que celle déployée pour ses anciennes recommandations : elle vise à fournir un référentiel unique aux entreprises, publiques ou privése, assujetties à l’obligation de mettre en place le dispositif anticorruption issu de la loi dite Sapin II (loi n°2016-1691 du 9 décembre 2016).

L’AFA préconise que le recours à cette méthodologie, qui demeure non obligatoire, devra être proportionnel aux risques encourus par l’entreprise et pourra donc être adapté en fonction de sa structure, son activité, sa taille, ou de son implantation géographique.

Les entreprises ont un intérêt accru à suivre cette méthodologie car, désormais, si elles se conforment aux Recommandations, elles bénéficieront d’une présomption simple de conformité au dispositif anticorruption Sapin II lors d’un contrôle AFA.

L’AFA précise que ces Recommandations seront prises en compte dans le cadre de ses contrôles six mois après leur entrée en vigueur. Les entreprises disposent donc jusqu’au 12 juillet 2021 pour mettre à jour leurs dispositifs anticorruption.

***

I. Premier pilier : l’engagement de l’instance dirigeante 

Considéré comme l’élément fondateur de tout dispositif anticorruption, l’AFA insiste, comme dans ses précédentes recommandations, sur la nécessité de l’engagement de l’instance dirigeante dans le déploiement et le contrôle du dispositif anticorruption ainsi que dans la mise à disposition des moyens humains et financiers nécessaires.

Lorsque l’entreprise est dotée d’un conseil d’administration ou d’un autre organe de surveillance – qui ne rentre pas dans la définition d’organe de direction – l’AFA préconise désormais que le dispositif anticorruption et ses actualisations leur soient périodiquement présentés.

L’AFA précise en outre que l’instance dirigeante reste personnellement responsable du déploiement et de l’application du dispositif anticorruption, quand bien même elle déléguerait sa mise en œuvre opérationnelle à un responsable de la conformité anticorruption (para. §22).

Les nouvelles Recommandations s’attardent sur les conditions et les modalités de désignation du responsable conformité, qui doit être investi de tous moyens lui permettant de réaliser ses missions et de rendre compte à l’instance dirigeante de son activité. Dans le cas d’un groupe de sociétés par exemple, l’AFA préconise de « nommer un responsable conformité au niveau central et des référents par filiale, par pays ou par unité opérationnelle » (para. §105).

II. Deuxième pilier : la connaissance des risques d’atteinte à la probité à travers l’élaboration d’une cartographie de risques.

En faisant une lecture combinée des différentes dispositions de l’article 17 de la loi Sapin II, l’AFA étend le champ d’application de la cartographie des risques au risque de trafic d’influence, alors que seul le risque de corruption était auparavant visé (para. §117).

Les Recommandations déclinent les 6 étapes à suivre afin de mettre en place une cartographie des risques complète, évolutive et documentée, qui devra ensuite être validée par l’instance dirigeante.

L’AFA incite les entreprises à détecter et analyser les risques dits « bruts », considérés en amont par opposition aux risques dits « nets », qui eux prennent en considération les moyens de maîtrise mis en œuvre.

Une fois établie, la cartographie des risques doit être accompagnée d’une annexe récapitulative de la méthodologie suivie et doit être régulièrement mise à jour.

L’AFA préconise la conservation d’éléments permettant d’apprécier la mise en œuvre effective de la cartographie, et notamment les échanges avec le personnel, la méthode de calcul des risques et les différentes versions des cartographies (para. §154).

III. Troisième pilier : la gestion des risques à travers la mise en œuvre de procédure tendant à leur prévention.

Le troisième pilier des Recommandations recense les modalités à mettre en œuvre pour l’ensemble des procédures prévues à l’article 17 de la loi Sapin II, à savoir le code de conduite, le dispositif de formation, les procédures d’évaluation des tiers, le dispositif d’alerte interne, le dispositif de contrôle et d’audit interne et la gestion des insuffisances constatées.

Pour l’essentiel, ces modalités demeurent les mêmes que celles détaillées dans les précédentes recommandations à l’exception de quelques nouveautés que nous présentons brièvement ci-dessous.

Evaluation des tiers : une plus grande marge d’appréciation laissée aux entreprises

L’AFA préconise de procéder à l’évaluation d’autres tiers – outre les clients et fournisseurs de premier rang et intermédiaires – et notamment les bénéficiaires d’actions de mécénat ou de sponsoring ainsi que des cibles d’acquisition (para. §203).

Une marge d’appréciation est laissée à l’entreprise dans l’évaluation de ces tiers. En fonction des résultats de la cartographie des risques, elle peut décider de ne pas procéder à l’évaluation de tiers jugés pas ou peu risqués (para. §207).

Le dossier d’évaluation des tiers ainsi que l’historique des modifications devront être conservés pendant 5 ans après la cessation de la relation d’affaires (para. §250).

Formation : une invitation à la sensibilisation de tous les salariés

A côté du dispositif de formation obligatoire – qui s’adresse prioritairement aux cadres et aux personnels les plus exposés – l’AFA préconise également la mise en place d’un programme de sensibilisation étendu à l’ensemble des personnels (para. §184).

Dispositif d’alerte : un nouveau formalisme à suivre pour la phase d’enquête interne

Les Recommandations AFA précisent le contenu du dispositif d’alerte, qui doit indiquer les modalités d’accès au dispositif et d’échange d’informations avec l’auteur de l’alerte. 

L’AFA préconise l’établissement d’une procédure formalisée, qui comporterait la mise en place d’un comité désigné pour le traitement des alertes ainsi qu’une phase d’enquête interne à la suite d’une alerte aboutissant à la rédaction d’un rapport d’enquête communiqué à l’instance dirigeante (para. § 257 et 280).

En conclusion, les Recommandations introduisent des nouveautés dans le déploiement des programmes anticorruption. Elles peuvent s’avérer difficiles à mettre en place pour certaines entreprises, car cela demandera une vraie restructuration interne de leurs services de compliance, de comptabilité, de gestion opérationnelle, et de RH.

Néanmoins, le profit qui peut être tiré de la mise en conformité du dispositif anticorruption à ces nouvelles Recommandations n’est pas négligeable, car cela permettra de bénéficier d’une présomption simple de conformité à la loi.

8 février 2021  | Eleonora Perrotta