Le 12 janvier 2021 a été publié au Journal officiel de la République française l’« Avis relatif aux recommandations de l’Agence française anticorruption destinées à aider les personnes morales de droit public et de droit privé à prévenir et à détecter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêts, de détournement de fonds publics et de favoritisme » (« Recommandations ») suite à une consultation publique menée en fin d’année 2020 par l’Agence française anticorruption (AFA). Ces Recommandations viennent se substituer à une première version datée du 22 décembre 2017 et tiennent compte de plus de trois années de pratiques, de contrôles et de jurisprudences de l’agence. Elles seront appliquées à compter du 13 juillet 2021 lors des contrôles menés par l’AFA.
Cette publication intervient quelques mois seulement après celle des résultats du diagnostic national sur les dispositifs anticorruption dans les entreprises qui avaient suscité certains questionnements. Ainsi, à titre d’exemples, alors que les participants au diagnostic avaient déclaré être près de 70 % à s’être dotés d’un dispositif anticorruption (« Dispositif »), ceux-ci s’avéraient en réalité largement perfectibles (47 % d’entre eux n’étaient pas dotés d’une cartographie des risques et 61 % ne disposaient pas de procédures d’évaluation des tiers), bien qu’étant perçus comme suffisamment mis à jour par les personnes concernées (83 % des personnes interrogées déclaraient la mise à jour de leur Dispositif « satisfaisante »). Ces constats semblent, en partie, être en ligne avec les résultats des contrôles menés ces dernières années par l’AFA, qui ont, à plusieurs reprises, été relativement critiques vis-à-vis de cartographies des risques anticorruption ou de la teneur des engagements réels d’instances dirigeantes.
Portée et champ d’application
Tout d’abord, l’AFA rappelle que les Recommandations constituent avec la loi dite « Sapin 2 » (« Loi »)
Ensuite, les Recommandations, tout comme leur précédente mouture, ne créent pas d’obligation juridique pour ceux à qui elles s’adressent, les organisations visées étant libres d’adopter d’autres méthodes en vue d’élaborer leur Dispositif (i. e. ensemble de « mesures prises et procédures mises en place par une organisation pour connaître, prévenir, détecter et sanctionner tout ou partie des faits [d’atteinte à la probité] »). Ainsi, si une entreprise décide de se conformer aux Recommandations, elle bénéficiera d’une présomption simple de conformité
Enfin, comme dans leur précédente version, le champ d’application des Recommandations demeure particulièrement large puisqu’il vise « toutes les personnes morales de droit privé ou de droit public, de droit français ou de droit étranger, qui déploient leurs activités en France comme à l’étranger, quels que soient leur taille, leur forme sociale ou leur statut juridique, leur secteur ou domaine d’activité, leur budget ou leur chiffre d’affaires ou l’importance de leurs effectifs ». Il s’étend donc bien au-delà des entreprises assujetties aux obligations de l’article 17 de la Loi
L’objectif semble plutôt ici d’inciter les entreprises situées en dessous des seuils prévus par la Loi à suivre la méthode de l’AFA en vue de concevoir leurs Dispositifs, tout en tenant compte du principe de proportionnalité et de leur profil de risque. Cette invitation survient dans un contexte où de plus en plus d’entreprises décident de se soumettre volontairement aux exigences prévues par la Loi, et ce, pour des motifs variés, tels que les suivants : faire valoir ces éléments lors de la réponse à un appel d’offres ou une mise en concurrence, se prémunir de faits susceptibles de tomber sous le coup d’une répression pénale, anticiper une éventuelle évolution législative future (notons qu’une section entière du diagnostic national précité a été dédiée aux PME et petites ETI n’atteignant pas les seuils de l’article 17 de la Loi).
En outre, comme dans le cadre de la première version des Recommandations, l’AFA invite à ce que les signalements qui portent sur des atteintes à la probité et qui témoignent d’une défaillance d’un Dispositif lui soient directement communiqués (§ 255).
Contenu et impact des nouvelles recommandations de l’AFA
En ce qui concerne le contenu des Recommandations, celui-ci s’avère nettement plus ambitieux et détaillé que celui de la version de 2017 (sur un plan purement quantitatif, le nouveau document comprend 87 pages contre 36 auparavant).
Les Recommandations sont désormais structurées autour de trois parties distinctes :
– une première exposant des dispositions générales, applicable à tous les acteurs ;
– une deuxième déclinant ces dispositions pour les entreprises entrant dans le périmètre de l’article 17 de la Loi ;
– et une troisième dédiée aux acteurs publics visés à l’article 3, 3° de la Loi.
Les Recommandations précisent qu’un Dispositif doit reposer sur trois piliers indissociables : l’engagement de l’instance dirigeante, la cartographie des risques d’atteintes à la probité et la gestion des risques d’atteintes à la probité.
Ce dernier pilier regroupe, à lui seul, sept mesures classées selon leurs finalités en trois catégories :
– les mesures reposant sur la prévention à travers le code de conduite, la formation et l’évaluation des tiers ;
– les mesures traitant de la détection avec le dispositif d’alerte interne et les différents contrôles (contrôles comptables et contrôles internes de 1er, 2e et 3e niveaux) ;
– les mesures abordant la remédiation aux anomalies et aux manquements détectés au moyen de la définition de mesures correctives et l’application d’un régime disciplinaire.
Pas de bouleversement dans l’approche de l’AFA…
De manière générale, les Recommandations ne bouleversent pas, de façon radicale, l’approche jusqu’ici adoptée par l’AFA. Ainsi, de nombreuses dispositions qui figuraient dans la première version du document ont simplement été réordonnancées. Certains assouplissements ont tout de même été introduits, comme par exemple le fait qu’il soit simplement conseillé de tenir compte de spécificités juridiques locales dans les codes de conduite déclinés au sein des entités étrangères d’un groupe et qui peut se traduire par l’application de normes anticorruption différentes (§160), ou encore, la possibilité de ne pas réaliser d’évaluation (ou une évaluation simplifiée) des groupes de tiers jugés pas ou peu risqués par l’entreprise assujettie (§48 et 207).
Toutefois, cette réorganisation s’éloigne davantage de l’approche du législateur qui mentionne uniquement huit mesures et procédures au sein de l’article 17 de la Loi (l’engagement des instances dirigeantes n’est pas distingué, en tant que tel, bien que celui-ci correspond à l’esprit de la Loi et figurait déjà dans la première version des Recommandations) et ne les hiérarchise pas (au sein des Recommandations, l’engagement de l’instance dirigeante constitue un « élément fondateur » du Dispositif et la cartographie des risques est la « pierre angulaire » du Dispositif sur le fondement de laquelle doivent être définies les autres mesures de prévention et de détection).
…mais des mises à jour sont nécessaires dans les dispositifs anticorruption
Par ailleurs, une lecture attentive des Recommandations souligne qu’au-delà des nombreuses précisions apportées par l’AFA (dont une partie résulte d’une consolidation d’éléments qui figuraient au sein de publications de l’AFA, telles que le guide pratique relatif à la fonction conformité anticorruption dans l’entreprise), les Recommandations s’avèrent plus abouties et apportent plusieurs évolutions notables qui requièrent que les entreprises entrant dans le périmètre de l’article 17 de la Loi (et ayant décidé de se conformer auxdites Recommandations) assurent une revue de leurs Dispositifs. Ces entreprises ne disposent pas, toutefois, de larges marges de manœuvre en vue de tenir compte de leurs spécificités (les processus décrits demeurent assez stricts et doivent facilement faire l’objet d’un audit).
Dès lors, au-delà de la prise en compte des (nombreuses) précisions apportées par l’AFA qui permettront aux acteurs du secteur bancaire et financier d’ajuster leurs Dispositifs et de les articuler avec leurs dispositifs globaux de maîtrise des risques (en particulier, avec leurs dispositifs de lutte contre le blanchiment des capitaux et le financement du terrorisme), une mise à jour sera nécessaire pour intégrer, notamment, les aspects suivants :
– étendre le périmètre de leurs Dispositifs afin d’appréhender les faits susceptibles de constituer les prémices ou la conséquence de risques prévus par la Loi (exemples : infractions de faux, d’abus de biens sociaux, recel, blanchiment des faits d’atteinte à la probité – § 88) ;
– renforcer le rôle des instances dirigeantes (exemple : les instances dirigeantes doivent veiller à ce que des moyens dédiés aux Dispositifs soient alloués et couvrent a minima un certain nombre d’éléments énumérés par l’AFA – § 102) en clarifiant celui des organes non exécutifs exerçant une mission de contrôle ou de surveillance (§ 18 et 95), ainsi que celui des responsables de la conformité (exemple : les responsables de la conformité doivent être associés à la mise en œuvre des projets stratégiques et aux prises de décisions structurantes de l’entreprise, telles que la conclusion de nouveaux contrats, les fusions-acquisitions, la prospection ou la constitution d’un partenariat – § 110);
– revoir leurs cartographies des risques pour tenir compte de la méthodologie détaillée de l’AFA (exemples : éléments détaillés par l’AFA susceptibles d’affecter l’environnement de l’entreprise et d’impacter les scénarios de risques retenus - § 136, modalités de hiérarchisation des risques nets de même niveau afin de prioriser les actions à mettre en œuvre – § 147),
– revoir leurs procédures d’évaluation des tiers pour intégrer l’approche par les risques préconisée par l’AFA (évaluation simplifiée ou pas d’évaluation pour les tiers jugés pas ou peu risqués et évaluation et vigilance approfondie pour les tiers considérés comme plus risqués – § 207);
– renforcer la formalisation de certains processus et la conservation des données associées (exemples : conservation des différentes versions des cartographies des risques, de leur piste d’audit, de la trace des échanges avec les personnels concernés, des procédures d’identification et de classification des risques, des comptes rendus des comités dédiés, etc. – § 155);
– renforcer et étendre le périmètre des contrôles pour intégrer les préconisations de l’AFA (par exemple, tenir compte des éléments sur lesquels doivent a minima porter les trois niveaux de contrôles qui peuvent être déployés recommandés par l’agence – § 326 à 333) en consacrant la contribution du dispositif de contrôle et d’audit interne et des contrôles comptables à la prévention et à la détection des risques de corruption (§ 285 à 316) ;
– unifier, si cela n’est pas déjà le cas, les différents dispositifs d’alerte professionnelle prévus par différents textes en mettant en place un seul dispositif technique – accessible à la fois en interne et en externe – de recueil des signalements qui feront l’objet d’un traitement approprié (§ 253 et suivants) ;
– formaliser de nouveaux documents (exemple : procédure d’enquête interne - § 270) ;
– intégrer, au sein des formations dispensées aux cadres et collaborateurs les plus exposés, des outils permettant un contrôle de connaissances (§ 460) ou encore ajuster le contenu des formations destinées à l’ensemble du personnel ainsi qu’à celui le plus exposé (§ 185, 193 et 194).
Conclusion
À l’heure de l’écriture de ces lignes, il ne reste plus que quelques mois aux acteurs concernés pour mettre à jour leurs Dispositifs s’ils désirent se conformer aux Recommandations.
Ce délai, relativement court, ainsi que le niveau de formalisation attendu par l’AFA pourraient inciter certaines entreprises à s’éloigner de la méthodologie proposée par l’agence. Cette tentation pourrait néanmoins s’avérer risquée et on observera avec attention l’évaluation de la qualité des Dispositifs au sein de la jurisprudence future de la Commission des sanctions de l’AFA. L’expérience acquise par les établissements bancaires et financiers dans le cadre de précédentes démarches de mise en conformité ne pourra que contribuer à faciliter la mise en œuvre de ces nouvelles dispositions.
Par ailleurs, une évolution de la législation française, voire du cadre européen de lutte contre la corruption, dans les prochaines années pourrait également avoir un impact sur la manière dont les acteurs du secteur privé structureront leurs Dispositifs ainsi que sur la diffusion d’une culture renforcée de prévention des atteintes à la probité.
