Nouvelle version des Recommandations de l’AFA. Conformément au premier alinéa du 2° de l’article 3 de la loi n° 2016-1691 du 9 décembre 2016 (ci-après la loi Sapin 2), l’Agence française anticorruption (AFA) « élabore des Recommandations destinées à aider les personnes morales de droit public et de droit privé à prévenir et à détecter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêt, de détournement de fonds publics et de favoritisme ». C’est ainsi que le 12 janvier 2021[1], l’AFA a publié une nouvelle version desdites Recommandations (ci-après les « Recommandations »), après un mois de consultations d’une quarantaine de contributeurs. Ces Recommandations viennent en remplacement de celles publiées en 2017[2].
Le nouveau document est désormais divisé en trois parties, les dispositions générales, la déclinaison de ces dernières aux entreprises assujetties à l’article 17 de la loi Sapin 2 (les banques notamment) et enfin, la déclinaison des dispositions générales aux acteurs publics assujettis au 3° de l’article 3 de la loi Sapin 2.
La première nouveauté de ces Recommandations est de nature formelle. En effet, les précédentes s’articulaient autour des huit mesures énoncées à l’article 17 de la loi Sapin 2, auxquelles les Recommandations de 2017 avaient ajouté l’engagement des instances dirigeantes soit une « vision 8+1 ». Les Recommandations de 2021 s’organisent quant à elle autour de « trois piliers » indissociables, l’engagement des instances dirigeantes, la cartographie des risques et les procédures propres à assurer la maîtrise des risques à travers la mise en œuvre « de mesures et procédures efficaces tendant à leur prévention, à la détection d’éventuels comportements ou situations… ».
I. Remarques générales
1. Une juridicité alambiquée
Référentiel anticorruption français. Les Recommandations précisent (§ 4) que « la loi, ses décrets d’application, les présentes recommandations et les guides publiés sur le site internet de l’AFA constituent le référentiel anticorruption français ». Ainsi, tout commentaire à propos de ces lignes directrices doit avoir ce « préambule » présent à l’esprit, lequel explique le numéro d’équilibrisme auquel se livre l’AFA à l’occasion de ces Recommandations, lesquelles oscillent entre prescriptions et « orientations », autant dire « Moins qu’un ordre, plus qu’un souhait[3] ».
Absence d’effet contraignant. L’AFA souligne ensuite que ses Recommandations lui sont opposables[4] « pour les contrôles ouverts à compter du sixième mois suivant celui de leur entrée en vigueur »[5], soit le 13 juillet 2021, mais qu’elles ne sont pas juridiquement contraignantes[6] pour ceux qui en sont les destinataires. En réalité, il faut sans doute comprendre que le délai de six mois est celui offert aux assujettis pour mettre en œuvre ces Recommandations avant que l’AFA ne s’y réfère à l’occasion de contrôles.
L’affirmation d’une absence d’effet contraignant est dans le droit fil de la décision de la formation répressive de l’AFA du 7 février 2020, « Société Imerys ». À cette occasion, la Commission des sanctions avait été particulièrement claire sur les « sources » dont la violation est susceptible d’entraîner une responsabilité. Le principe énoncé était que seule la violation des prescriptions de la loi peut conduire à une sanction, soit une affirmation stricte du principe de légalité (§ 19 de la décision).
À y bien regarder, la réalité est éloignée de cette pseudo-innocuité juridique. Le respect de ces Recommandations emporte ainsi une présomption simple de conformité[7] pour les entités qui s’y plient, charge à l’AFA de démontrer une « application non effective, incorrecte ou incomplète des recommandations »[8], au travers de choix incapables « […] de satisfaire aux exigences posées par la loi »[9]. Si au contraire une entité assujettie décide de ne pas se plier à ces Recommandations, cette posture créée à son encontre une présomption simple de non-conformité. En effet, ne pas suivre ces Recommandations implique ensuite de « démontrer que les choix qu’elle [ont] faits l[eur] permettent de satisfaire aux exigences posées par la loi » (§ 12). La contestation par l’AFA de ces pratiques alternatives renverse la charge de la preuve, obligeant les entreprises à se justifier. Cette obligation démontre ainsi l’évidente juridicité des Recommandations, bien que le contraire soit affirmé…
Au passage, on soulignera que, les mots ayant un sens, le terme « entrée en vigueur » paraît bien peu adapté à un texte supposé être « juridiquement atone ».
En résumé, se plier aux Recommandations ne met pas à l’abri, mais s’en écarter constitue la promesse d’un délicat exercice de justification. Nous verrons qu’indépendamment du principe d’absence de contrainte ci-dessus évoqué, ces Recommandations cultivent l’ambiguïté sur ce sujet et prennent certaines libertés avec les règles de droit « dur ».
2. Précision du champ d’application et de la valeur juridique des Recommandations
Un document « universel ». La première partie des Recommandations, relative aux dispositions générales, précise que « les recommandations définissent les modalités de mise en œuvre des […] dispositifs anticorruption que peuvent déployer, de manière proportionnée en fonction de leur profil de risque, toutes les personnes morales de droit privé ou de droit public, de droit français ou de droit étranger […], qui déploient leurs activités en France comme à l’étranger, quels que soient leur taille, leur forme sociale ou leur statut juridique, leur secteur ou domaine d’activité, leur budget ou leur chiffre d’affaires ou l’importance de leurs effectifs »[10].
Le message est clair, ces Recommandations concernent toutes les entités qui sont ainsi « encouragées » à se doter d’un dispositif de prévention de la corruption, indépendamment des seuils fixés par l’article 17 de la loi Sapin 2[11]. Toutefois, afin de prendre en compte les spécificités des entités concernées, l’AFA précises que ses Recommandations doivent être adaptées en fonction du profil de risques et des activités[12].
Une volonté d’extension des infractions concernées. Pour les entreprises assujetties à l’article 17-I de la loi Sapin 2, on notera que l’AFA s’écarte délibérément de la lettre de ce texte[13] qui vise uniquement la prévention et la détection de la corruption et du trafic d’influence. En effet, les Recommandations conseillent d’appréhender d’autres infractions pénales[14] de telle sorte « que le dispositif anticorruption d’une entreprise appréhende plus largement d’autres risques non expressément prévus par le texte, mais qui pourraient constituer les prémices ou la conséquence de ceux prévus par la loi ». Et de mentionner, au paragraphe 88, « en particulier des infractions de faux ou d’abus de biens sociaux qui justifient en particulier les contrôles comptables ou des infractions de recel ou de blanchiment de l’ensemble des faits visés à l’article 1 de la loi ».
Autant dire que la liste de ce paragraphe 88 n’est pas fermée et que les Recommandations entendent appréhender largement les infractions en amont et en aval d’un acte de corruption, sans plus de précision, ce qui augure sans doute de discussions à l’occasion des contrôles qui auront lieu. On soulignera à cet égard que si l’article premier de la loi Sapin 2 vise six infractions[15], l’article 17 de cette même loi est limpide en ce qu’il ne prévoit de cartographie des risques qu’à l’égard d’une seule infraction à savoir les « sollicitations externes aux fins de corruption ».
S’agissant de cette extension du périmètre d’action de l’AFA, cette dernière manifeste ici un pouvoir pararéglementaire dont elle est absolument dépourvue. La position de la Commission des sanctions de l’AFA, aussi bien dans la décision Sonepar du 4 juillet 2019[16], que dans la décision Imerys du 7 février 2020[17], est claire sur ce sujet, seule une violation de la loi peut donner lieu à poursuites. La Commission des sanctions, à l’occasion de cette dernière décision, a cantonné les prérogatives de l’AFA, estimant que l’inexécution d’une injonction ne peut davantage, à elle seule, être source de responsabilité (§ 8).
En ce qui concerne la fonction publique, l’AFA poursuit dans cette logique d’interprétation extensive du champ d’application du dispositif préventif de la corruption. Non seulement elle vise d’autres atteintes à la probité (favoritisme, concussion, prise illégale d’intérêt et détournement de fonds publics), mais elle évoque également les obligations déontologiques spécifiques inhérentes à ce domaine d’activité[18]. Les Recommandations démontrent que deux visions s’affrontent s’agissant des prérogatives de l’AFA, cette dernière cherchant à acquérir un pouvoir réglementaire via des Recommandations qui, selon sa Commission des sanctions, ne peuvent fonder de griefs. Au plan pratique, la question qui se pose est celle de la nécessité pour les entreprises de repenser leur dispositif de prévention de la corruption devant le droit mou de l’AFA.
Indépendamment des questions ci-dessus évoquées, l’AFA organise la lutte contre la corruption en entreprises en trois piliers indissociables et à considérer sur un pied d’égalité.
3. L’exemple américain
Dans les traces du DOJ. D’emblée on notera que cette mise à jour des Recommandations de l’AFA fait suite à la publication, en juin 2020, par le Department of Justice (DOJ) américain d’une nouvelle mouture de son document relatif à l’analyse des Programmes de Prévention de la Corruption et des Programmes de Compliance déployés par les entreprises[19]. Si l’on tient compte de l’extraterritorialité du FCPA (Foreign Corrupt Practices Act), ce document du DOJ fait figure de référence, ses Recommandations « Evaluation of Corporate Compliance Programs » ayant notamment pour destinataires principaux les procureurs américains.
Principes directeurs. Dans ce document, le DOJ met en lumière trois principes directeurs. Tout d’abord, l’importance d’une large diffusion des politiques et procédures au sein des entreprises. Par ailleurs, le DOJ insiste sur l’obligation de doter le programme de conformité des ressources, des compétences et de la capacité de décision suffisantes, cette thématique apparaissant également dans les Recommandations de l’AFA. Enfin, le DOJ met la prévention de la corruption en perspective au travers d’un processus itératif d’amélioration devant se traduite par des partages d’expériences à 360 degrés s’agissant des pratiques et incidents, aussi bien en interne que chez les concurrents ou dans les entreprises d’un même secteur ou bien d’une même aire géographique.
Formations anticorruption. Les Recommandations du DOJ sont particulièrement fournies en matière de formations. Celles-ci apparaissent comme une nécessité et elles ne doivent pas être standardisées, mais tenir compte notamment de l’exposition au risque des destinataires. Lesdites formations doivent ainsi prévoir des parcours allant de la sensibilisation à l’expertise. Par ailleurs, lors de la revue annuelle de conformité, l’entreprise doit se livrer à un examen des risques qui ne sont pas identifiés dans le programme de formation.
Le DOJ apporte des précisions telles que la vérification régulière que les collaborateurs ont assimilé cette formation, le contenu de ces formations devant tenir compte des incidents internes. Un suivi doit être mise en place avec une session de rattrapage pour les collaborateurs qui auraient échoué. Cette formation doit également être l’occasion de relayer le message des instances dirigeantes dans ce domaine.
Sans vouloir établir de lien de filiation directe entre le document du DOJ de juin 2020 et celui de l’AFA publié six mois plus tard, on retrouvera néanmoins l’empreinte d’un pragmatisme décomplexé.
II. Premier pilier : L’implication, de bout en bout, des « instances dirigeantes »
1. Les instances dirigeantes
Tone at the top. On se souvient que l’article 17 de la loi oblige les entreprises, EPIC et groupes de plus de 500 salariés et 100 millions de chiffre d’affaires à mettre en œuvre un dispositif de prévention de la corruption composé de huit mesures complémentaires : cartographie des risques, code de conduite, dispositif d’alertes, procédures d’évaluation des tiers, procédures comptables, formations, régime disciplinaire et enfin dispositif de contrôle global.
L’exigence d’engagement des instances dirigeantes apparaissait en filigrane dans l’article 17-1 de la loi Sapin 2, lequel prescrivait que « les présidents, les directeurs généraux et les gérants […] sont tenus de prendre les mesures destinées à prévenir et à détecter la commission, en France ou à l’étranger, de faits de corruption ou de trafic d’influence […] » pour être ensuite reprise dans les Recommandations de 2017 (p. 6).
Cet engagement des instances dirigeantes dans la prévention de la corruption est rappelé, la notion « d’instances dirigeantes » étant largement définies au § 93 des Recommandations. À cet égard, on notera que si le § 95 précise « Si les membres des conseils d’administration ou autres organes de contrôle ou de surveillance ne sont pas visés, dans leur ensemble, par cette définition, ils s’assurent, dans le cadre de leur mission de surveillance des activités de l’entreprise, de l’existence, de la pertinence et de l’efficacité des mesures prises par les dirigeants afin de se conformer à leurs obligations légales ». Les Recommandations exigent ainsi que « le dispositif anticorruption et ses actualisations [soient] périodiquement présentés afin qu’ils disposent de toutes les informations nécessaires pour veiller à la conformité de l’entreprise à l’article 17 de la loi ». De l’art et de la manière d’instaurer une obligation aussi diffuse que contra legem, en livrant une conception toute personnelle des missions dévolues par le Code de commerce aux conseils de surveillance et d’administration[20].
Sans surprise, est souligné le fait que l’engagement de l’instance dirigeante constitue un élément fondateur de tout dispositif anticorruption[21], ladite instance devant initier « la démarche de mise en œuvre du dispositif anticorruption », valider sa conception et en assurer « le déploiement ainsi que le contrôle » (§ 17).
Responsabilité des dirigeants. Ils assument une responsabilité personnelle s’agissant de la conception, du déploiement et du contrôle du dispositif et ce, « même lorsqu’elle en confie la mise en œuvre à un collaborateur » (§ 22). On déduit ainsi qu’une délégation de pouvoir semble inappropriée[22], étant précisé par ailleurs que ce collaborateur doit être en mesure de rendre compte directement à l’instance, ceci impliquant un rattachement hiérarchique adéquat.
Le paragraphe 99 des Recommandations s’intéresse à diverses questions placées sous la vigilance des instances dirigeantes. Tout d’abord, lesdites instances doivent veiller à ce que le processus de recrutement et de nomination des cadres et des personnels les plus exposés inclut « l’évaluation de leur intégrité », les Recommandations étant muettes sur ce que cela implique concrètement.
Par ailleurs, elles doivent veiller à ce que les initiatives des managers, afin de promouvoir la prévention et la détection de faits de corruption auprès de leurs équipes, soient « encouragées et valorisées »[23] dans la fixation de leurs objectifs annuels et l’évaluation des performances. La politique commerciale est également évoquée, en ce que l’octroi de remises commerciales, rabais et ristournes aux clients ne doit pas être utilisé « à des fins corruptives ».
L’engagement de l’instance dirigeante se manifeste également au travers de sa volonté d’accorder des moyens dédiés à la prévention et à la détection de toute atteinte grave à la probité. Ces moyens sont détaillés (§ 102) et doivent couvrir « l’équipe chargée de la conformité anticorruption, le recours à des conseils ou prestataires externes, la mise en place d’outils tels que les outils d’évaluation de l’intégrité des tiers… ». Enfin, les Recommandations renforcent les missions du responsable de la conformité, notamment en matière de contrôles (§ 103 et s. et § 322), question déjà abordée dans le « guide pratique La fonction conformité anticorruption dans l’entreprise »[24].
III. Deuxième pilier : la cartographie des risques
La cartographie des risques est présentée comme la « pierre angulaire » du dispositif, les autres mesures de prévention et de détection en découlant (§ 28).
Périmètre de la cartographie des risques. S’agissant du périmètre de cette cartographie, les Recommandations prennent l’exact contre-pied de la décision de la Commission des sanctions du 4 juillet 2019 dite Sonepar, laquelle avait souligné que le risque de trafic d’influence n’était pas visé par l’article 17-II-3° de la loi Sapin 2 et n’avait donc pas à figurer dans ladite cartographie. En effet, l’AFA estime (§ 117 des Recommandations) que « La lecture combinée des différentes dispositions de l’article 17 et notamment de son I, implique que les entreprises qui y sont soumises doivent réaliser une cartographie couvrant non seulement les risques de corruption comme le précise le texte, mais également ceux de trafic d’influence ».
Sous couvert d’une analyse téléologique de la loi Sapin 2, l’AFA s’accorde le pouvoir de créer des obligations n’y figurant pas arguant du fait qu’une autre interprétation, « qui procéderait d’une lecture littérale du seul 3° de son II, priverait le dispositif global de son efficacité… ».
Obligation de conservation. Hormis la question du périmètre, les Recommandations visent la conservation de certains éléments permettant d’apprécier la correcte mise en œuvre de la cartographie[25] de même que la méthode de calcul des risques « bruts » et « nets » (§ 154).
On soulignera que les Recommandations (§ 414) évoquent la conservation de « tous les éléments permettant d’apprécier la mise en œuvre effective des modalités et méthodologies de la cartographie », sans que soit précisée une durée limite, ce qui laisse envisager une conservation « imprescriptible ». Cette Recommandation ouvre des perspectives inquiétantes en termes de compatibilité avec le RGPD, notamment en ce qui concerne l’information des personnes concernées en application des articles 12 et suivants du RGPD.
Par ailleurs, la Commission soulignait que les Recommandations n’imposaient aucun niveau de « granularité prédéfini », l’entreprise devant démontrer un « choix fondé sur une analyse précise de sa chaîne de valeurs et de ses activités » (§ 27 de la décision Imérys). Enfin, cette même décision soulignait que l’actualisation annuelle de la cartographie des risques ne résultait d’aucune prescription de la Recommandation de 2017 (§ 35 de la décision), ni de la loi Sapin 2 et que si l’AFA pouvait collecter des bonnes pratiques à mettre en œuvre, mais qu’elle n’était pas compétente « pour ajouter à la loi ». Les choix opérés par l’entreprise en matière d’identification des risques doivent être justifiés et documentés.
On soulignera que les Recommandations dressent un tableau récapitulatif des typologies de contrôles de premier, deuxième et troisième niveaux à réaliser en fonction des trois piliers qu’elles évoquent (§ 326). Là encore, cette précision doit être observée avec attention.
IV. Troisième pilier : la gestion des risques
Ce troisième pilier s’articule autour d’outils préventifs (1.) et de détection (2.).
1. Les outils préventifs
Le code de conduite (§ 156 et s). Les Recommandations précisent les attentes de l’AFA quant aux illustrations figurant dans les codes de conduite, lesquelles doivent être « pertinentes sur des cas concrets » (§ 172), exigence qui trouve une application pratique pour les entreprises exerçant des activités variées présentant des risques de corruption spécifiques. En pareil cas, l’AFA estime que le code de conduite devra être décliné au niveau des différentes entités (§ 160).
S’agissant des relations avec les tiers, les Recommandations souhaitent que le code de conduite leur soit communiqué, « sous réserve d’adaptations rendues nécessaires pour protéger les éventuelles informations confidentielles » et que le respect dudit code de conduite soit imposé, notamment par le biais d’une clause contractuelle (§ 162). On imagine sans mal les difficultés qui peuvent découler d’une telle exigence, notamment en présence de prestataires non soumis eux-mêmes à Sapin 2. On voit poindre la cacophonie issue des engagements de respecter les codes de conduite de diverses origines, de même que les affres des négociations contractuelles sur ce sujet.
Un plan de sensibilisation et la de formation (§ 179 et s). Dans la continuité des précédentes Recommandations, l’AFA demande à nouveau que l’ensemble du personnel soit sensibilisé afin de « favoriser la prise de conscience des enjeux du phénomène de corruption » (§ 184), tout en soulignant que l’impératif légal porte uniquement sur la formation des cadres et personnels les plus exposés ( § 187 ).
Les Recommandations sont extrêmement prescriptives s’agissant de ces formations, décrivant tout à la fois leur objet, ainsi que le tronc commun qu’elles doivent nécessairement recouper (§ 192 et 193), soit un encadrement qui paraît très lourd pour une formation concernant des personnes qui, potentiellement, peuvent ne présenter aucun risque d’exposition à la corruption. Le principe de proportionnalité, tel que prévu par le paragraphe 14 des Recommandations, a pleinement vocation à s’appliquer ici.
Une évaluation des tiers (§ 201 et s). L’article 17-II-4 Sapin 2 indique que les vérifications devaient être circonscrites « aux clients, aux fournisseurs de premier rang et aux intermédiaires ». Les Recommandations demandent toutefois d’inclure en outre les cibles d’acquisition de l’entreprise[26] ou bien encore, ses bénéficiaires d’action de sponsoring ou de mécénat (§ 202 et 203), cette évaluation devant donner lieu à une procédure (§ 214).
Il faut souligner que la Chambre criminelle de la Cour de cassation a rendu le 25 novembre 2020[27] un arrêt important précisant que la société absorbante peut avoir à répondre pénalement des infractions commises par l’absorbée, antérieurement à l’opération de fusion. Cette jurisprudence valant bien évidemment pour les faits de corruption. C’est la prise en compte de cet arrêt qui a principalement motivé la mise à jour d’un guide ad hoc[28], ainsi qu’un éclairage sur le rôle de l’instance dirigeante et du responsable de la fonction conformité en ligne avec les Recommandations. L’AFA a en outre enrichi le guide de scénarios de risques illustratifs afin d’en faciliter la compréhension.
Si les modalités d’évaluation des tiers ne sont pas modifiées, les Recommandations livrent diverses préconisations méthodologiques. D’une part, elle souligne les synergies entre évaluations individualisées et cartographie des risques, l’appréciation de l’intégrité des tiers devant être effectuée en fonction des risques, et au travers de catégorisation en « groupes homogènes de tiers […] présentant des profils de risques comparables tels que la cartographie des risques permet de les dresser » (§ 48). De ce premier tri, les Recommandations déduisent que les tiers « jugés pas ou peu risqués pourront ne pas faire l’objet d’une évaluation, ou faire l’objet d’une évaluation simplifiée tandis que les groupes les plus risqués nécessiteront une évaluation approfondie » (§ 207).
Si l’AFA précise que le dispositif d’évaluation des tiers doit être distinct d’autres dispositifs de vigilance (dont la lutte contre le blanchiment de capitaux et le financement du terrorisme LCB-FT), elle concède toutefois qu’ils peuvent être mis en œuvre à travers un dispositif unique, pour autant que ce dernier permette d’isoler le risque de corruption (§ 205 et 206).
Enfin, les Recommandations précisent que l’intégralité des dossiers d’évaluation des tiers doivent être conservée pendant 5 ans après la cessation de la relation d’affaires (§ 250).
2. Les outils de détection
Le dispositif d’alerte (§ 251 et s.). Dans ses Recommandations, l’AFA prévoit des modalités de traitement des alertes qui ne sont pas prévues par la loi Sapin 2 (articles 6 à 16 et 17, 2°I) en imposant aux entreprises la création d’un comité dédié pour traiter les alertes (§ 280), lequel interviendrait aux côtés du référent anticorruption qui recueille les alertes.
Les Recommandations apportent une nouveauté dans ce domaine en prévoyant la possibilité d’alertes anonymes telle sorte que des échanges avec le lanceur d’alerte puissent avoir lieu, tout en lui conservant le bénéfice de l’anonymat. Les Recommandations visent, par exemple, une adresse électronique qui ne permette pas son identification ou l’adresse d’une boîte postale (§ 529). En ce sens, cet anonymat préempte la transposition de la directive 2019/1937 du 23 octobre 2019 sur la protection des personnes qui signalent des violations du droit de l’Union, laquelle prévoit pour les États membre la possibilité de permettre les signalements anonymes (art. 6-2), le projet de transposition, et donc la position de l’État français, n’étant pas disponible à ce jour
Une fois encore, cette prescription est contra legem. Si la loi Sapin 2 instaure un droit à la confidentialité des auteurs de signalements, des personnes visées et, plus généralement, des informations recueillies par l’ensemble des destinataires du signalement (art. 9), cette confidentialité ne signifie pas qu’il faille garantir la possibilité pour un salarié de faire un signalement de manière anonyme.
Par ailleurs, l’article 5-I-3° du décret 2017-564[29] indique que la fourniture d’élément permettant un échange avec le destinataire du signalement n’intervient que « le cas échéant », ce qui semble signifier qu’une alerte puisse ne pas donner lieu à tel échange, par exemple si elle est faite de manière anonyme. Mais ceci n’est qu’implicite. On peut également relever une contradiction avec la position de la CNIL qui, dans le référentiel « dispositif d’alertes professionnelles »[30], précise (§ 5.4) qu’il « est toutefois recommandé que l’organisme n’incite pas les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme, étant entendu qu’une alerte anonyme est une alerte dont l’auteur n’est ni identifié ni identifiable ».
La CNIL indique que, par exception, l’alerte d’une personne qui souhaite rester anonyme devrait être traitée sous les conditions suivantes « la gravité des faits mentionnés est établie et les éléments factuels sont suffisamment détaillés ; le traitement de cette alerte doit s’entourer de précautions particulières, telles qu’un examen préalable, par son premier destinataire, de l’opportunité de sa diffusion dans le cadre du dispositif ».
Les enquêtes internes post-alertes. S’agissant des enquêtes, un rappel s’impose. Les lignes directrices conjointes AFA – PNF en matière de CJIP (Convention judiciaire d’intérêt public) du 27 juin 2020[31] énumèrent, parmi les trois critères requis pour le bénéfice d’une CJIP, la participation active à la manifestation de la vérité par la mise en œuvre d’une enquête interne rapportant la preuve de faits de corruption et de trafic d’influence[32]. Ces mêmes lignes directrices (p. 8) font de la coopération de la personne morale aux investigations judiciaires un « préalable nécessaire » à la conclusion d’une CJIP (p. 8) et est prise en compte pour la détermination du montant de l’amende « par application d’un coefficient de minoration » (sic).
Les Recommandations de l’AFA formalisent la conduite de l’enquête interne faisant suite à une alerte. Une fois encore, la question qui se pose est celle de la portée de ces prescriptions puisque la loi Sapin 2 n’impose aucune obligation de conduites de telles investigations. Les lignes directrices du 27 juin 2020 soulignent notamment qu’une « enquête suffisamment approfondie, permettant de mettre à jour les faits délictueux les plus significatifs constitue un préalable nécessaire à toute discussion sur la conclusion d’une CJIP ». Les investigations conduites par l’entreprise doivent également contribuer à « établir les responsabilités individuelles » (p. 9 in fine). Le § 273 des Recommandations, enrichi le sujet en précisant que « Toute enquête interne est diligentée par une ou plusieurs personnes qualifiées, désignées par l’instance dirigeante de l’entreprise ».
On s’interrogera sur la compatibilité de ces prescriptions avec la jurisprudence de la Cour européenne des droits de l’homme (CEDH) ayant dégagé le droit de ne pas s’incriminer de la notion de « procès équitable », dans un arrêt du 25 février 1993, Funke c/ France[33]. Position reprise notamment dans un arrêt Murray c/ Royaume-Uni du 8 février 1996[34], dans lequel la Cour EDH rappelle que « le droit de se taire lors d’un interrogatoire de police et le droit de ne pas contribuer à sa propre incrimination sont des normes internationales généralement reconnues qui sont au cœur de la notion de procès équitable ».
Tout ceci présente un risque important dans le contexte d’enquêtes internationales pouvant notamment conduire à communiquer des rapports d’enquêtes ou des notes issues de la direction juridique qui, en l’absence de legal privilege, constitueraient autant d’éléments à charge. Autant que de raison, le recours à un avocat dont les écrits sont protégés, semble une sage précaution.
Les Recommandations demandent que l’enquête interne soit définie et formalisée préalablement à son lancement. Cette dernière doit notamment prévoir les critères nécessaires au déclenchement de l’enquête et les modalités de réalisation de celle-ci (§ 270).
Ainsi, l’AFA demande que la procédure d’enquête interne soit définie et formalisée avant son lancement et détaille les critères nécessaires à son déclenchement ainsi que ses modalités de réalisation (§ 530). Ce rapport « conclut sur la suite à donner au signalement » (§ 535).
Les Recommandations souhaitent en outre qu’à l’issue de l’enquête interne, l’instance dirigeante soit informée non seulement de l’ouverture d’une enquête (§ 534), mais également des suites qui lui sont données « lorsque les soupçons apparaissent suffisamment étayés » (§ 536), lesquelles peuvent résider dans une action judiciaire (§ 538). Ces enquêtes conduisent également à la mise à jour de la cartographie des risques (§ 539). On soulignera enfin que les Recommandations visent la mise en place d’un comité ad hoc chargé d’assurer « une prise de décision collégiale sur les suites à réserver aux alertes reçues » § 540).
La durée d’archivage des rapports d’enquête internes est précisée. Ils doivent être conservés deux mois si l’instruction de l’alerte ne débouche sur aucune suite – en ligne avec la CNIL, et pendant six ans si c’est le cas (§ 282 et 283) – en contradiction cette fois-ci avec la CNIL.
Les contrôles comptables (§ 70 et 300). Les Recommandations visent une procédure formalisée intégrant les modalités de contrôles, leur objet et leur périmètre, les rôles et responsabilités dans leur mise en œuvre, les modalités d’échantillonnage des opérations à contrôler, la définition d’un plan de contrôle, les modalités de gestion des incidents, ainsi que les critères de seuils ou de matérialité devant entraîner un contrôle (§ 300).
Le régime disciplinaire (§ 339). Contrairement aux précédentes Recommandations de 2017, qui mentionnaient la mise en place d’un régime disciplinaire, les Recommandations sont plus précises. Ainsi, sont cités les principes de gradation des sanctions et de proportionnalité par rapport à la faute commise (§ 341). Dans un but de rappel de la politique de tolérance zéro au regard des faits de corruption, les Recommandations mentionnent également le recensement des sanctions disciplinaires en vue de leur diffusion en interne « sous un format garantissant la totale anonymisation », à l’égard de tout comportement contraire à l’intégrité et à la probité ( § 344 et § 345 ).
In fine, le juriste considérera que ces Recommandations sont ultra- voire même contra legem au regard de l’article 17 de la loi Sapin 2. Le spécialiste de la conformité se dira, de manière pragmatique, que ces Recommandations sont finalement cohérentes avec celles du DOJ, indépendamment d’une juridicité brinquebalante, ôtant ainsi au DOJ un argument pour appliquer des sanctions de droit américain. Reste à savoir si l’insécurité juridique est bien le moyen le plus opportun de lutter contre la corruption. L’opportunité ne saurait primer la légalité.
[1] . https://www.agence-francaise-anticorruption.gouv.fr/files/files/joe_20210112
_0010_0061.pdf.
[2] . JO du 22 décembre 2017.
[3] . P.-L. Frier et J. Petit, Droit administratif, LGDJ, coll. « Domat droit public », 8e éd., 2013, p. 323
[4] . Principe affirmé dans la décision Sonepar.
[5] . § 9.
[6] . § 8 et § 10.
[7] . Déjà évoquée dans la décision Sonepar du 4 juillet 2019 § 18, puis rappelé dans la décision Imerys du 7 février 2020 (§ 16).
[8] . § 11.
[9] . § 12.
[10] . Recommandations § 6.
[11] . Sociétés employant au moins cinq cents salariés, ou appartenant à un groupe de sociétés dont la société mère a son siège social en France et dont l’effectif comprend au moins cinq cents salariés, et dont le chiffre d’affaires ou le chiffre d’affaires consolidé est supérieur à 100 millions d’euros.
[12] . Recommandation § 14.
[13] . § 88 : « Au-delà [sic] de ce que prévoit la loi… ».
[14] . § 87.
[15] . La corruption, le trafic d’influence, la concussion, la prise illégale d’intérêt, le détournement de fonds publics et enfin le favoritisme.
[16] . P. 9 : la Commission indique que seuls les manquements à loi peuvent fonder des griefs, en page 11 elle confirme que « les Recommandations ne constituent qu’un référentiel dont l’usage n’est en rien obligatoire ».
[17] . Seule la violation de la loi conduit à une sanction. Ne peuvent, à elles seules, être source de responsabilité : l’inexécution d’une injonction (§ 8), des règles qui seraient édictées au cours d’un contrôle, à la seule main de l’AFA (§ 19) ou bien encore les exigences qu’ajoutent à la loi les Recommandations de l’AFA (§ 19).
[18] . § 347 à § 352.
[19] . https://www.justice.gov/criminal-fraud/page/file/937501/download.
[20] . Article L. 225-68 et L. 225-35.
[21] . § 19.
[22] . Cf. N. Rontchvesky, « Observations et interrogations sur les responsabilités administratives et pénales des dirigeants » Hors-série Banque & Droit – décembre 2017, p. 15 et s., spéc. § 35.
[23] . Où l’on voit que la rémunération des managers prend désormais en compte des considérations qui ne sont pas uniquement mesurées à l’aune de la performance économique. À titre d’exemple, cf. le document ACPR « Gouvernance et gestion des risques climatiques par les établissements bancaires - quelques bonnes pratiques » (25 mai 2020 - https://acpr.banque-france.fr/sites/default/files/medias/documents/20200525_synthese_gouvernance.pdf) « la rémunération variable des membres de la direction générale et des responsables des lignes de métiers concernées par les enjeux climatiques pourrait prendre en compte un ou plusieurs indicateurs liés à ces objectifs stratégiques ainsi que ceux intégrés dans la déclaration d’appétence aux risques ».
[24] . Version 1, janvier 2019, cf. p. 9 notamment.
[25] . « Trace des échanges avec les personnels concernés (calendriers, notes, synthèses écrites) ; – la méthode de calcul des risques “bruts”, ainsi que les définitions retenues ; – la méthode de calcul des risques “nets” ou “résiduels”, ainsi que les définitions retenues ; – Les procédures d’identification et de classification des risques ; – les différentes versions des cartographies présentées aux instances dirigeantes, leur validation et les plans d’actions validés y afférents ; - les comptes rendus des différents comités dédiés. »
[26] . Sur ce sujet cf. le guide pratique de l’AFA « Les vérifications anticorruption dans le cadre des fusions-acquisitions », mars 2021.
[27] . Crim. 25 nov. 2020, Fp-P+B+I, n° 18-86.955, Fp-P+B+I.
[28] . Cité supra note 25.
[29] . Décret n° 2017-564 du 19 avril 2017 relatif aux procédures de recueil des signalements émis par les lanceurs d’alerte au sein des personnes morales de droit public ou de droit privé ou des administrations de l’État.
[30] . Délibération n° 2019-139 du 18 juillet 2019 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles. Ce référentiel remplacé l’autorisation unique AU-004.
[31] . https://www.agence-francaise-anticorruption.gouv.fr/fr/lafa-et-parquet-national-financier-precisent-mise-en-oeuvre-convention-judiciaire-dinteret-public.
[32] . S’y ajoutent, la révélation spontanée des faits dans un délai « raisonnable » et la mise en place d’un programme de conformité effectif. Trois autres critères étant mentionnés dans la circulaire du 31 janvier 2018, relative à la présentation et la mise en œuvre des dispositions pénales de la loi Sapin 2 (CRIM/2018-01/G3), à savoir les antécédents de la personne morale, le caractère volontaire de la révélation des faits et le degré de coopération avec l’autorité judiciaire dont la personne morale fait preuve.
[33] . CEDH, affaire Funke c/ France, 25 février 1993, requête n° 10828/84.
[34] . CEDH, affaire John Murray c/ Royaume-Uni, 8 février 1996, requête n° 18731/91.
