Une conformité sur-mesure face à une corruption en démesure

Quarante ans après l’adoption du Foreign Corrupt Practices Act (FCPA) aux États-Unis, vingt ans après l’adoption de la Convention
de l’OCDE sur la lutte contre la corruption et six ans après l’adoption du UK Bribery Act (UKBA) britannique, la loi du 9 décembre 2016
dite Sapin 2 oblige nombre d’entreprises françaises (chiffre d’affaires supérieur à 100 millions d’euros et au moins 500 salariés) à devoir
intégrer sérieusement et concrètement une forte démarche anti-corruption face à un risque souvent sous-estimé ou mal appréhendé.

Quarante ans après l’adoption du Foreign Corrupt Practices Act (FCPA) aux États-Unis, vingt ans après l’adoption de la Convention de l’OCDE sur la lutte contre la corruption et six ans après l’adoption du UK Bribery Act (UKBA) britannique, la loi du 9 décembre 2016 dite Sapin 2 oblige nombre d’entreprises françaises (chiffre d’affaires supérieur à 100 millions d’euros et au moins 500 salariés) à devoir intégrer sérieusement et concrètement une forte démarche anti-corruption face à un risque souvent sous-estimé ou mal appréhendé.

 

Par Philippe Bouchez El Ghozi,
avocat associé, Paul Hastings

 

Le ton est donné. L’Agence française anticorruption (AFA), qui dispose du pouvoir de contrôler sur pièces ou sur place les entreprises pour s’assurer de leur respect des obligations de conformité au titre de la lutte contre la corruption, le fait savoir depuis sa récente création: l’AFA n’effectuera pas un contrôle de façade mais vérifiera la réalité effective des actions menées et la volonté de l’entreprise de lutter contre la corruption. Et ses premiers contrôles viennent de débuter.

Les contrôles débutent

Ce faisant, l’AFA entend ainsi jouer un rôle comparable à celui dévolu aux autorités américaines et britanniques qui s’assurent de l’effectivité des programmes de conformité mis en œuvre et développés au sein des entreprises nationales et étrangères relevant de leur contrôle. Que doit dès lors faire l’entreprise soumise à la loi Sapin 2 pour se mettre (désormais très rapidement) en conformité ? Une vision sans doute simpliste consisterait à se borner à établir une démarche d’affichage, non réellement suivie d’effet dans la réalité de la vie de l’entreprise. Or, la finalité du contrôle de l’AFA est de s’assurer que le risque d’exposition ou de transgression au sein de l’entreprise soit le plus faible possible. Ceci implique dès lors un contrôle de la qualité et de l’efficacité du dispositif de prévention. Et, comme la loi Sapin 2 le prévoit, l’AFA rappelle, dans sa charte des droits et devoirs des parties prenantes au contrôle, que l’obligation de vigilance en matière de détection et de prévention des faits de corruption et de trafic d’influence pèse non seulement sur la personne morale mais aussi sur les dirigeants, personnes physiques ou morales, des sociétés concernés; en d’autres termes, ceux-ci sont responsables personnellement - nonobstant toutes délégations de pouvoirs - d’éventuels manquements à cette obligation nouvelle avec les conséquences qui s’y attachent s’agissant des sanctions administratives, voire pénales. Face à ce nouveau risque de contrôles, l’entreprise ne peut se contenter d’amateurisme en ayant recours à des solutions minimalistes. Seule une approche personnalisée, spécifique à son organisation, à son histoire, à ses particularités, permettra à l’entreprise de justifier des choix effectués et des priorités définies dans la construction et le développement de son programme de conformité. Pour ce faire, une étape initiale est primordiale et est appréciée avec rigueur par les autorités de contrôle et d’enquête : la cartographie des risques.

Une « vraie » cartographie des risques : le sur-mesure n’est pas un « luxe »

Trop souvent, celle-ci est encore comprise comme un outil très général ou ressemblant, en partie, aux cartographies existant déjà en matière financière, industrielle ou d’assurances Or, l’objectif de la cartographie des risques exigés par la loi Sapin 2 est tout autre : conçue comme un levier de pilotage des risques de corruption, cette cartographie des risques a pour objectif de se prémunir contre les conséquences juridiques, humaines, économiques, financières et médiatiques pouvant être générés par une vigilance insuffisante ou inadaptée. Outils indispensables de la maîtrise des risques de corruption et des infractions assimilées, cette cartographie doit permettre d’identifier, d’évaluer, de hiérarchiser et de gérer ces risques afin de garantir un programme de conformité pragmatique, efficace et adapté à l’organisation de l’entreprise. Cette cartographie des risques implique également que les dirigeants de l’entreprise soient informés des risques et que les responsables de la conformité disposent de la visibilité nécessaire pour mettre en œuvre des mesures de prévention et de détection adaptées et proportionnées aux enjeux identifiés par cette cartographie.

Comment en effet définir ce qui doit être mis en œuvre – les procédures à respecter par les collaborateurs de l’entreprise – si cette dernière n’a pas identifié les risques précis auxquels elle s’expose à travers ses métiers, ses clients, ses fournisseurs, ses intermédiaires ou ses implantations géographiques, notamment? Comment justifier de la pertinence des choix de formation et de l’efficacité des procédures mises en œuvre si la récurrence, la gravité ou l’impact des risques n’ont pas été suffisamment et précisément pris en compte? Comment empêcher un collaborateur de se considérer comme un lanceur d’alerte si celui-ci ne dispose pas d’une formation, d’une procédure ou d’une hiérarchie, aptes à répondre à ses interrogations et se considère alors comme isolé, ouvrant ainsi le risque conséquent – mais prévu et autorisé par la loi Sapin 2 – à une divulgation par lui de ces faits auprès de tiers à l’entreprise? Le temps est en effet aux « leaks », avec des conséquences incontrôlables si ces risques ne sont pas, au préalable, contrôlés.

Une cartographie des risques adaptée sur-mesure à l’entreprise doit donc: - être exhaustive et précise, ce qui implique de faire participer tant les dirigeants que les équipes opérationnelles à son élaboration, dans tous les secteurs de l’entreprise; - formalisée et accessible, ce qui implique une documentation écrite, structurée, synthétique et comprenant des informations quantifiées, par métiers, par activités et par processus; - être évolutive, ce qui implique – pour s’assurer de la pérennité et de l’efficacité du programme de conformité – une réévaluation régulière des risques en fonction des évolutions de l’entreprise mais aussi des retours d’expérience.

Un code de conduite pour éviter l’« accident »

Dans ce souci d’efficacité et de construction d’un programme de conformité sur-mesure, une attention particulière doit être apportée au code de conduite, lui aussi souvent négligé quand il se borne à reprendre des généralités ou des engagements que l’entreprise diffuse auprès de tiers via son site Internet, sans se rendre compte que les engagements ainsi affichés - s’ils ne reposent pas, dans le même temps, sur des mesures concrètes mises en œuvre au sein de l’entreprise - risquent de se retourner contre elle en cas de contrôles, voire par le biais d’un lanceur d’alerte. Au-delà des obligations prescrites par la loi sur son contenu, un code de conduite sur-mesure devra donc décrire les situations et comportements à proscrire en s’adaptant à la réalité de l’entreprise, à l’aide d’exemples pertinents. En définitive, face à un risque de corruption et d’infractions assimilées souvent mal appré- hendé, l’exigence française de vigilance et de conformité implique pour les entreprises une véritable auto-analyse sur-mesure. Laquelle, seule, permettra alors d’apprécier, par les mesures concrètes mises en œuvre à partir de cette démarche, la bonne foi et la volonté de l’entreprise de respecter ces obligations nouvelles qui s’imposent à elle et d’éviter ainsi les conséquences de sanctions administratives, pénales et réputationnelles. 

 

LES POINTS CLÉS

  • La conception et l’amélioration d’un programme de conformité nécessite une adaptation sur-mesure aux besoins et à la réalité de l’entreprise qui implique l’expertise du praticien pour contrôler l’adéquation du programme aux exigences attendues des autorités administratives et judiciaires ;
  • La cartographie des risques nécessite une attention toute particulière tant celle-ci doit permettre de justifier des choix retenus au titre du programme de conformité ;
  • L’insuffisance d’un programme de conformité réellement adapté aux spécificités de l’entreprise fait peser un risque fort de sanctions sur la personne morale comme sur ses dirigeants, personnes physiques ou morales.

 

 

SUR L’AUTEUR

Philippe Bouchez El Ghozi est avocat associé du cabinet Paul Hastings. Responsable du département contentieux des affaires – droit pénal de l’entreprise et de ses dirigeants –, il a développé une activité et une expérience de haut niveau en matière commerciale et dans le domaine du droit pénal des affaires concernant des dossiers complexes nécessitant à la fois une très bonne connaissance technique conjuguée à une maîtrise du contexte économique, social et financier. Il bénéficie, à ce titre, d’une pratique courante des juridictions commerciales et pénales et est réputé pour sa gestion efficace des procédures précontentieuses et des mesures de prévention des risques, disposant d’une expertise de pointe reconnue en la matière.

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message

Ce site utilise des cookies. En continuant la navigation, vous acceptez nos conditions d'utilisation des cookies.
Plus d'informations

J'accepte