12. J.O du 12 janvier 2021 – Avis relatif aux recommandations de l’AFA (Agence française anticorruption) destinées à aider à prévoir et détecter les faits de corruption, de trafic d’influence, de concession, de prise illégale d’intérêt, de détournement de fonds publics et de favoritisme – 4 décembre 2020
Ce texte fondateur institue une énième structure de contrôle interne des entreprises, tant assureurs que clients des assureurs, et élargit le domaine de la conformité.
La moitié du texte est consacrée aux acteurs publics et l’autre aux entreprises couvertes par l’article 17 de la loi Sapin II, donc les entreprises qui ont publié au moins une fois, au cours des 5 dernières années, un chiffre d’affaires supérieur à 50 M €, soit 1 800 entreprises. Les juristes s’inquiètent de ce que les dispositions sur les 3 piliers (ci-dessous) figurent dans la partie générale, ce qui voudrait dire que toutes les entreprises privées pourraient être soumises à cette obligation d’organisation.
Les recommandations ne créent pas d’obligation juridique, mais l’AFA s’y réfèrera pour mener ses contrôles : n’est-ce pas contradictoire ?
Comme de coutume, les recommandations rappellent le principe de proportionnalité pour n’en tenir ultérieurement aucun compte.
Elles définissent 3 piliers (comme dans Solvency II) :
– l’engagement de l’instance dirigeante de l’entreprise (comme pour la solvabilité, la lutte contre le blanchiment, la sécurité informatique, la gestion de la politique commerciale, etc.) ;
– la construction d’une cartographie des risques d’atteinte à la probité (mêmes références) ;
– la politique de gestion des risques : mesures et prévention des atteintes à la probité ; sensibilisation et formation ; évaluation de l’intégrité des tiers (la relation d’affaires ?) ; la mise en place de mesures de détection (notamment les lanceurs d’alerte) ; l’organisation d’un contrôle à 3 niveaux comme dans les autres domaines de la gestion de risques.
Pour les entreprises de grande taille (article 17), ces mesures sont étendues : extension de la prévention au-delà de la corruption et du trafic d’influence, et donc à la concussion, à la prise illégale d’intérêt, au détournement de fonds publics et au favoritisme.
La responsabilité de l’instance dirigeante de l’entreprise est étendue, afin de mettre en œuvre une politique de tolérance zéro à l’égard de la corruption et d’intégrer les mesures anti-corruption aux procédures et politique de risque.
La définition des moyens humains nécessaires est de la responsabilité (une de plus !) du responsable de la conformité.
Enfin, il convient de mettre en place une communication externe et interne adaptée.
Quant à la cartographie des risques pour ces grandes entreprises, l’avis rappelle qu’elle doit être complète, formalisée et évolutive. Elle est faite (avalisée) par l’AMSB avec le soutien de la fonction conformité, des responsables des processus, de la fonction gestion des risques et du personnel. Le whistleblowing (lancement d’alerte) est l’affaire de tous.
Nous sommes dans l’univers « fondé sur le risque » ; il appartient donc à l’entreprise de définir ses propres scénarios d’exposition au risque, d’évaluer le risque brut et le risque « net » ou résiduel (après mesure de protection) et de hiérarchiser les risques. L’avis est un manuel d’ERM.
Quant à la gestion des risques, les recommandations relèvent du même manuel d’ERM :
– la prévention résulte de Codes de conduite, de la sensibilisation des salariés et de la formation des spécialistes de la lutte anti-corruption ;
– la formation des cadres et du personnel le plus exposé est essentielle ;
– quant à l’évaluation de l’intégrité des tiers (les relations d’affaires ?), on renvoie à l’entreprise le soin d’y procéder (utilisation de la liste OCDE des pays non coopératifs).
Tout cela doit faire l’objet d’une réévaluation périodique :
– la détection s’appuie sur le dispositif d’alerte (défini par des canaux de transmission), dont la protection doit être assurée et qui doit faire l’objet d’une procédure écrite. Elle s’appuie aussi sur le contrôle interne dont on rappelle les trois niveaux. On y ajoute les « contrôles comptables » dits « anti-corruption », sur la base de situations à risque dûment repérées. Les commissaires aux comptes deviennent ainsi des « chasseurs de corruption », ce qui ne manquera pas de perturber leurs contrôles.
Après la détection, le contrôle à trois niveaux et, pour chaque activité, une cartographie, un code de conduite, une formation, une évaluation des tiers, une alerte interne, un contrôle comptable.
La remédiation repose sur un système disciplinaire interne.
Au total, l’AFA développe une logique bureaucratique semblable à celle de la LCB/FT et de la surveillance d’application du RGPD. Un nouveau territoire de compétence est ainsi créé pour la fonction « conformité » et de nouvelles contraintes pour les entreprises. Il ne faut pas traiter le sujet par prétérition : le whistleblowing est désormais institué par loi et peut aussi avoir des conséquences graves sur la réputation des entreprises d’assurances, notamment en cas de contrôle négatif de l’AFA.
