Nouvelles recommandations de l’AFA : révision ou révolution ?

L’AFA a ainsi tenu compte de trois années de pratiques et retours d’expériences des contrôles, des échanges avec les praticiens et bien sûr de la jurisprudence de la Commission des sanctions. Si, en effet, la Commission n’a rendu que deux décisions et qu’à chaque fois, les sanctions sollicitées ont été rejetées, la Commission a apporté des précisions utiles sur les obligations des entités assujetties autant que sur les pouvoirs de l’AFA.

Cette version comprend des développements et précisions qui vont sans aucun doute provoquer de nombreux commentaires et débats. Les nouvelles attentes sont ambitieuses, certains diront excessives, d’autres que c’est la réponse logique à ce qu’est la réalité pratique de la corruption.

Les nouvelles recommandations de l’AFA s’articulent en trois parties : des dispositions générales, des déclinaisons pour les entreprises assujetties à l’article 17, et enfin des déclinaisons pour les acteurs publics.

Les dispositions générales

Les « dispositions générales » sont consacrées en premier lieu à l’objet, au champ d’application et à la portée juridique des recommandations.

Opposabilité et présomption simple

L’AFA rappelle, comme dans la première version, que les recommandations ne créent pas d’obligation juridique pour ceux à qui elles s’adressent et qu’elles ne sont opposables qu’à l’AFA elle-même.

Néanmoins, il est évident que les entités assujetties ont plus qu’intérêt à s’y conformer.

D’abord, l’AFA précise que « la loi, ses décrets d’application, les présentes recommandations et les guides publiés sur le site internet de l’AFA constituent le référentiel anticorruption français ». Élément à part entière du corpus juridique français, les recommandations s’imposent donc en réalité aux entités assujetties.

Par ailleurs, en tout état de cause, les recommandations serviront de référentiel aux contrôleurs de l’AFA, à l’issue d’un délai de six mois après la publication au Journal officiel.

Si les entités contrôlées ont suivi les recommandations, elles bénéficieront d’une présomption simple de conformité : ce sera à l’AFA de démontrer que l’application n’a pas été correcte, régulière, effective. Il s’agit là de la jurisprudence de la Commission des sanctions.

Cette question de la présomption simple peut être vue sous deux angles. Optimiste : respecter les recommandations apporte un surplus de sécurité, assure à tout le moins un regard moins suspicieux des contrôleurs. Moins optimiste : cela conforte l’idée que la méthodologie de l’AFA, de plus en plus détaillée, s’impose fortement. Si une entreprise choisit d’adopter une autre méthode, elle se trouvera dans la position très peu confortable d’avoir, dès le début du contrôle, à justifier de son choix, en plus de répondre aux autres questions des contrôleurs.

Changement de focale : les trois piliers

L’AFA poursuit cette première partie décidément très intéressante par un changement de vision et d’organisation du dispositif anticorruption prévu par la loi.

L’article 17 de la loi oblige les entreprises, EPIC et groupes de plus de 500 salariés et 100 millions de chiffre d’affaires à mettre en place un dispositif complet, détaillé, composé de huit mesures complémentaires : cartographie des risques, code de conduite, dispositif d’alertes, procédures d’évaluation des tiers, procédures comptables, formations, régime disciplinaire et enfin dispositif de contrôle global.

À ces huit items, l’AFA a considéré, dès les premières recommandations, que devait s’ajouter l’engagement des instances dirigeantes, dès lors que la loi fait peser sur les dirigeants personnellement la responsabilité du respect des obligations fixées par la loi.

Désormais, dans les nouvelles recommandations, l’AFA substitue à ces 8+1 items 3 piliers, décrits dès les dispositions générales et déclinés ensuite dans les deux parties suivantes.

Cette structuration pose deux difficultés.

D’abord, le regroupement en trois piliers est un changement de focale considérable, lourd. L’AFA n’a pas réparti les items en trois piliers égaux, elle a donné le statut de pilier à l’engagement des instances dirigeantes, premier pilier, ainsi qu’à la cartographie des risques, deuxième pilier. Le troisième pilier est quant à lui constitué de la masse des 7 autres items, qualifiés de « mesures et procédures de maîtrise des risques d’atteintes à la probité ».

Ce zoom considérable sur ces deux éléments s’explique en pratique. Sans engagement des instances dirigeantes, rien ne peut concrètement se faire. L’enquête ethicorp/AFJE montrait d’ailleurs que les deux tiers des entreprises n’avaient pas encore achevé leur démarche de compliance Sapin 2, en raison d’un manque de moyens matériels et humains et du défaut d’implication des dirigeants, ce qui va avec.

Quant à la cartographie, c’est le socle du dispositif. Il faut bien sûr connaître les risques auxquels on est effectivement exposé avant de pouvoir sérieusement expliquer aux salariés comment agir, avec le code de conduite et les formations, ou avant de construire la procédure d’évaluation des tiers.

Même si elle peut s’expliquer par la pratique, cette réorganisation est en décalage avec l’équilibre initial de la loi qui ne prévoyait pas une telle hiérarchisation. Il est certain que cela provoquera des contestations.

Les effets d’une partie générale

Enfin, la partie générale donne les grandes lignes des trois piliers. Et cette description pose à son tour une véritable difficulté de fond, de principe même.

Pourquoi les décrire ainsi, dans cette partie générale, pour toute entité, alors qu’ils sont détaillés dans les deux parties suivantes ? Cela génère un problème d’articulation entre plusieurs dispositions de la loi – et plusieurs compétences de l’AFA.

Aux termes de l’article 3, 2°, l’AFA élabore des recommandations destinées à aider les personnes morales de droit public et de droit privé – sans critère de taille ou d’activité par conséquent – à prévenir et à détecter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêt, de détournement de fonds publics et de favoritisme. Toute entité est appelée à lutter contre la corruption, en mettant en œuvre des mesures adaptées à sa taille et à ses risques.

L’article 17, lui, est plus précis et exigeant mais seulement pour les plus grandes entités : les entreprises, EPIC ou groupes de plus de 500 salariés et de plus de 100 millions d’euros de chiffre d’affaires. Cela représente environ 1 800 entités en France. Pour ces entités, et pour elles seules, le législateur exige le déploiement d’un dispositif comprenant les 8 ou 9 items précis qu’on a évoqués.

Or la nouvelle rédaction des recommandations conduit à étendre et généraliser le champ de l’article 17. Alors qu’il y a une partie consacrée aux « entreprises assujetties à l’article 17 », qui reprend l’ensemble des items prévus par la loi – ce qui est normal –, la partie générale les reprend également, et les décrit, alors qu’elle ne se limite évidemment pas aux entités de l’article 17 puisqu’elle est générale.

Et la partie concernant les acteurs publics les reprend d’ailleurs également, sans les limiter aux EPIC de plus de 500 agents et 100 millions d’euros de budget comme le prévoit l’article 17.

Cette triple description montre que l’AFA attend de tout acteur public ou privé non pas seulement qu’il adopte un dispositif adapté à sa taille, mais qu’il établisse une cartographie et qu’il rédige un code de conduite et qu’il établisse une procédure d’évaluation des tiers, etc. Chaque item pourra être adapté à la taille de l’entité, mais chaque item devra exister.

Certes, l’AFA n’a pas pour ces entités de pouvoir de contrôle ni de sanction, qui se limite aux entités de l’article 17, aux administrations de l’État et des collectivités territoriales, administrations de l’État, des collectivités territoriales, aux établissements publics, aux sociétés d’économie mixte et aux associations et fondations reconnues d’utilité publique.

Mais les recommandations ont une force d’influence. On a vu que l’AFA indique que « la loi, ses décrets d’application, les présentes recommandations et les guides publiés sur le site internet de l’AFA constituent le référentiel anticorruption français ».

Là encore, deux attitudes sont possibles face à cette extension.

Le premier réflexe est de la critiquer en la considérant comme ultra legem, voire contra legem, et source d’une charge considérable pour les entités qui étaient hors du champ de l’article 17. Le gérant d’une SARL de dix salariés appréciera sans doute peu cette charge supplémentaire.

Mais on peut aussi voir les choses sous un angle pratique, en se reportant à l’esprit de la loi et la réalité du terrain de la lutte contre la corruption. Il n’est pas possible de prévenir sérieusement la corruption sans savoir à quels risques on est exposé. Inviter les entreprises, y compris plus modestes, à s’engager comme les autres dans l’éthique et l’anticorruption conduit à ce qu’elle fasse cet exercice d’analyse indispensable. C’est cela, une cartographie.

Reste que la formulation actuelle prend tout de même les entités concernées dans une forme d’étau et, pour le coup, ne les guide peut-être pas assez et les laisse un peu démunies. On leur dit que les recommandations sont partie intégrante du corpus anticorruption. On leur dit aussi qu’elles doivent faire une cartographie. On décrit un peu ce que c’est, mais pas trop. La seule description, très poussée, est pour les grandes entités, inapplicable à leur échelle. Que doivent-elles faire concrètement, ces entreprises, qui n’ont souvent pas de juriste ou compliance officer ?

Cette rédaction est en fait un appel aux conseils des entreprises, qui ont un vrai travail d’accompagnement à construire. Bien entendu, on ne fera pas une cartographie pour des PME de la même manière que pour un groupe international. Mais il est tout à fait possible d’en établir une qui soit adaptée à leur dimension et efficace.

Les entreprises sont déjà soumises au RGPD. La méthode de la cartographie des risques n’est pas éloignée de celle d’une analyse d’impact. Les deux réglementations prévoient des codes de conduite, des formations, etc. Aux conseils des entreprises de s’adapter pour proposer à leurs clientes des modes d’interventions optimisés, pour être efficaces avec un prix raisonnable.

À terme, il n’est pas évident que ces PME aient le choix : pour être référencée par un grand groupe, pour lui vendre ses services ou ses produits, pour soumissionner à un marché public, la PME devra être en mesure de démonter qu’elle a bien structuré sa démarche anticorruption. De telles exigences commencent déjà à apparaître.

Les dispositions relatives aux entreprises assujetties à l’article 17

Regardons maintenant la partie relative aux « entreprises de l’article 17 ». Il s’agit bien des entreprises et non des entités. Les EPIC assujettis relèveront donc de la partie 3 sur les acteurs publics.

Quelles infractions sont concernées ?

L’AFA commence là encore par une interprétation extensive de la loi, qui sera sans doute très commentée et critiquée.

Le paragraphe 87 des recommandations rappelle que l’article 17 vise deux infractions : la corruption et le trafic d’influence, alors que l’article 1er de la loi en vise 6 : corruption, trafic d’influence, concussion, prise illégale d’intérêt, détournement de fonds publics et favoritisme. Si on est très précis, l’article 17 ne prévoit la cartographie des risques que pour un seul et unique cas : les « sollicitations externes aux fins de corruption ». Une telle précision est surprenante, mais laisse penser qu’il ne s’agit pas d’une erreur de plume.

L’AFA opère une première généralisation en indiquant que les infractions mentionnées au paragraphe 87 (donc a priori toutes celles des articles 1 et 17 de la loi) seront « dénommées indistinctement “corruption” dans la suite du II des présentes recommandations ».

Et elle ajoute qu’elle conseille qu’au-delà de ce que prévoit la loi, le dispositif anticorruption d’une entreprise appréhende les infractions de faux, d’abus de biens sociaux, de recel ou de blanchiment, qui peuvent être selon ses termes « les prémices ou la conséquence ». Ce n’est qu’un conseil, il n’y a aucune ambiguïté à cet égard dans la rédaction, mais lorsqu’il émane d’une autorité de contrôle, on a peut-être la tentation de le suivre plutôt que de l’écarter…

Si on ajoute que la corruption recouvre en fait deux infractions, la corruption publique et la corruption privée, nous voilà donc avec onze infractions désormais visées par les recommandations.

Qu’en penser ? On revient aux deux visions possibles et opposées évoquées dans la première partie. C’est évidemment une extension de ce que la loi prévoyait, avec tout le poids qu’on les recommandations.

En même temps, quand on pratique à la fois la matière pénale et la compliance, c’est une extension qui n’a rien de surprenant.

Voilà plusieurs décennies que les magistrats poursuivent des faits de corruption en utilisant l’infraction d’abus de bien sociaux. Les deux infractions ont des régimes de prescription différents. Il est souvent trop tard lorsque les faits sont découverts pour poursuivre sur le fondement de la corruption. En outre, le pacte de corruption est délicat à démontrer. En revanche, dès lors qu’on aura utilisé les moyens d’une entreprise pour corrompre, il y a ABS dont le délai de prescription ne commence à courir qu’à partir du moment où on est en mesure de le poursuivre, donc en fait du jour où les faits sont découverts. Et il est vrai que la corruption va s’accompagner de la même manière de faux, de recel, de blanchiment.

Si on veut vraiment protéger l’entreprise, et s’assurer de prévenir la réalité de la corruption, la réalité d’un phénomène et de pratiques qui dépassent la lettre de l’infraction elle-même, si on veut faire une cartographie pertinente, il faut tenir compte de ces éléments.

Néanmoins, cela signifie tout de même que les entreprises qui avaient déployé leur dispositif, après des mois de travail, vont devoir le reprendre, peut-être pas à zéro mais en tout cas suffisamment pour s’assurer que les angles ABS ? Faux, recel, blanchiment ont été intégrés.

Il leur faudra rajouter des scénarios de risques, recalibrer les plans d’action, revoir la rédaction du code de conduite, compléter les formations, etc. C’est reparti pour un tour. Parce que sinon, en cas de contrôle, on sera une fois encore dans la position désagréable d’avoir à justifier qu’on n’a pas suivi les nouvelles recommandations.

Les instances dirigeantes et au-delà ?

La partie 2 poursuit sur la responsabilité des instances dirigeantes, avec un ajout ou une précision par rapport à la première version.

L’AFA indique en effet que, « si les membres des conseils d’administration ou autres organes de contrôle ou de surveillance ne sont pas visés, dans leur ensemble, par cette définition, ils s’assurent, dans le cadre de leur mission de surveillance des activités de l’entreprise, de l’existence, de la pertinence et de l’efficacité des mesures prises par les dirigeants afin de se conformer à leurs obligations légales ».

Cette formulation a surpris, mais pour autant est-ce vraiment un élargissement par rapport à ce que la loi prévoit ? Le défaut de contrôle ne pourra pas donne lieu à leur poursuite devant la Commission des sanctions, seuls les dirigeants sont visés. Et surtout, l’AFA n’invente rien : le rôle des organes de contrôle est prévu dans le code de commerce.

Il faut revenir vers l’objectif des recommandations et la réalité pratique : les instances dirigeantes sont encore insuffisamment mobilisées pour mettre en œuvre la loi Sapin 2. Et il revient aux conseils de surveillance de leur rappeler que c’est une obligation. Pour être complet, il revient aussi aux commissaires aux comptes de le leur rappeler, et même de s’assurer que les risques sont provisionnés. Et il revient de même aux assureurs ou courtiers d’attirer l’attention de leurs clients. À terme, il serait même assez légitime qu’ils refusent de couvrir un sinistre qui n’aurait pas été valablement anticipé.

Les trois piliers, quelques observations

La partie 2 des recommandations détaille chacun des trois piliers. Nous ferons simplement ici quelques observations, renvoyant au texte lui-même pour plus de précisions.

Sur la cartographie, l’AFA détaille enfin un peu plus sa méthodologie, les premières recommandations étant plus sommaires à cet égard. Il y a diverses manières de construire une cartographie, mais celle-ci se fonde sur les processus et sur un mix des méthodes bottom up et top down, c’est-à-dire un aller-retour finalement entre la direction et les opérationnels.

C’est une méthode pragmatique et efficace. On commence en synthèse par identifier les risques de l’entreprise, en décortiquant les processus étape par étape. Ce sont les risques « bruts » qu’on va évaluer selon des échelles et des coefficients de gravité à déterminer pour chaque entreprise, selon son activité, les pays avec lesquels elle travaille, son type de clientèle, etc. Ensuite, on apprécie ces risques au regard des mesures de prévention en place pour obtenir des risques dits « nets », et on va voir quelles mesures doivent être mises en œuvre ou améliorées, donnant lieu à un véritable plan d’action, tout cela étant formalisé, réévalué régulièrement, et mis à jour si nécessaire (v. W. Feugère, Cartographier ses risques, La compliance en pratique, Éditions législatives, 2020).

Résumé ainsi, c’est simple et logique. En pratique, pour de grandes entreprises, c’est un projet de grande ampleur, qu’il faut gérer avec rigueur. Et surtout, il faut bien s’adapter à chaque entreprise. On voit trop souvent des cartographies plaquées à l’identique d’une entreprise à l’autre. Les modèles sont des dangers en matière de compliance.

De la cartographie découlera le reste. On sera à même d’expliquer aux salariés ce qu’il faut faire, avec un code de conduite, des formations. On permettra la remontée de manquements éventuels avec un dispositif d’alertes pour que l’entreprise puisse y remédier et réviser si nécessaire ses processus qui n’auront pas permis d’empêcher le manquement. On mettra en œuvre des procédures adaptées d’évaluation des tiers, pour s’assurer qu’ils ne mettent pas l’entreprise et ses équipes en situation à risque.

Des alertes, l’AFA décline des développements sur les enquêtes internes. Une alerte qui ne donne pas lieu à des suites effectives est une alerte inutile, je dirais même une alerte gâchée. L’intérêt d’une alerte est d’informer pour permettre de remédier, de corriger, de décider. C’est un outil d’intelligence économique. Mais l’alerte seule ne suffit pas, il faut vérifier les faits, procéder à des recherches, des investigations, une enquête donc.

L’AFA donne les grandes lignes sur le sujet, sans précision excessive et c’est heureux. On n’enquête pas de la même manière sur de la corruption, sur un harcèlement, sur un détournement de fonds. Il faut des procédures d’enquêtes adaptées à chaque situation. Il ne faut pas que les autorités créent un carcan qui serait finalement contre-productif.

L’AFA rappelle qu’il y a trois niveaux d’acteurs à ce sujet : les opérationnels, commerciaux, acheteurs, le service de la conformité et les dirigeants à qui doivent remonter les cas les plus risqués.

Enfin, l’AFA détaille la question du contrôle interne, avec un tableau détaillé des trois niveaux de contrôle préconisés, sur chacun des items de l’article 17. C’est essentiel : la compliance est une matière dynamique, c’est une construction perpétuelle. Le contrôle permet de s’assurer de la pertinence des mesures en place et de déceler les adaptations utiles.

Les conséquences d’une méthodologie détaillée

Toutes ces précisions successives sont intéressantes. Reste qu’elles vont aussi provoquer quelques oppositions. L’AFA entre dans un degré de détails qui n’est pas seulement explicatif mais, évidemment, contraignant, encadrant, puisqu’une fois encore il fait partie du référentiel anticorruption français.

Or il y a diverses méthodes de mise en conformité et notamment de cartographie. Même si la méthode préconisée est bonne et a fait ses preuves, pourquoi la rendre ainsi quasi exclusive, les autres ne bénéficiant pas, si on les choisit, d’une présomption favorable ?

Il faut bien comprendre que les directions juridiques, éthiques, conformité des entreprises ne bénéficient pas d’énormes moyens. Le responsable compliance, quel que soit son titre, est bien souvent seul, ou avec une toute petite équipe, même dans de très grands groupes. Il est chargé de Sapin 2, mais aussi très souvent du RGPD, de la RSE et du devoir de vigilance, quand il ne gère pas l’ensemble des autres aspects juridiques. Il est donc contraint de mener de front des chantiers de grande ampleur, tout en devant répondre aux urgences quotidiennes qui touchent à la stratégie de l’entreprise.

La période est également très particulière. Une révision des recommandations était prévue, et même attendue. L’épidémie de covid était imprévisible. Mais réviser le référentiel des entreprises alors qu’elles ont géré des plans de continuité d’activité, des plans de reprise d’activité, qu’elles sont confrontées à des difficultés financières, les leurs ou celles de leurs fournisseurs, de leurs clients, etc., c’est pour le moins compliqué.

Le délai de six mois, s’il faut tout reprendre, relire et éventuellement réviser, est presque trop court.

Les dispositions relatives aux acteurs publics

La troisième est dernière partie est consacrée aux acteurs publics. Cette partie était vivement attendue. Les entreprises privées avaient un peu le sentiment qu’elles étaient les seules à devoir lutter contre la corruption, alors que, s’agissant de corruption publique ou de trafic d’influence, le décisionnaire est un agent public.

La loi Sapin 2 est très sobre sur les entités publiques. Les administrations de l’État, les régions, départements, communes de plus de 10 000 habitants, etc., doivent mettre en place des dispositifs d’alertes. Mais c’est tout. Il n’y a que les EPIC de plus de 500 agents et 100 millions de budget sont assujettis à l’article 17.

De mémoire, l’AFA avait estimé que l’équivalent public – en nombre d’agents, en budget, etc. – d’une entreprise assujettie à l’article 17, c’était une commune de 80 000 habitants. Pourtant, ces communes ne sont pas soumises à l’article 17. Pas d’obligation dans les grandes métropoles ou les régions par exemple de faire une cartographie des risques. Pas d’obligation pour les administrations de l’État.

Il n’est pas anodin que le rapport du GRECO (groupe d’États contre la corruption du Conseil de l’Europe) du 9 janvier 2020 ait exhorté la France à renforcer l’efficacité et l’application dans la pratique de la lutte contre la corruption, y compris au sein de l’exécutif (président de la République, ministres, membres des cabinets et hauts fonctionnaires), ainsi que dans la police nationale et la gendarmerie nationale !

Là, près de la moitié des nouvelles recommandations est consacrée aux acteurs publics. Ça vient en complément d’un remarquable guide Maîtriser le risque de corruption dans le cycle de l’achat public, rédigé par l’AFA et la Direction des achats de l’État et publié en juin 2020.

Il y a même une annexe consacrée à des exemples de scénarios de risques pour les acteurs publics.

Est-il cohérent de trouver excellent d’étendre l’article 17 au-delà des EPIC quand il s’agit des acteurs publics et de s’interroger lorsque cette extension concerne les entités privées ? Encore une fois, la vérité est entre les deux. Exclure une part considérable des administrations du cœur de la lutte contre la corruption n’avait pas de justification, y compris budgétaire. Et si l’ont est attaché à la notion de service public, l’engagement éthique en est une partie intégrante, naturelle.

Conclusion

Ces recommandations sont très intéressantes, intellectuellement et en pratique. Elles sont autrement plus abouties, meilleures, disons-le clairement, que les précédentes.

Mais elles sont dures, lourdes. Elles peuvent assommer un peu les entités assujetties, auxquelles il va falloir laisser un peu de temps, leur faire bénéficier d’un peu plus de souplesse.

Nous sommes à trois ans de l’entrée en vigueur de la loi, on pouvait considérer qu’elles avaient eu le temps de se préparer et les contrôleurs étaient en droit de devenir de plus en plus exigeants. Là, on ne repart pas à zéro, mais on a quand même fait un reboot qui nécessite un temps de redémarrage pour que le processeur tourne à nouveau à plein régime.

C’est aussi un appel à l’imagination et à l’agilité des conseils de ces entités, publiques ou privées. Loin des modèles préformatés, revendus trop chers d’un client à l’autre et sans aucun intérêt pratique car détachés du réel de l’entreprise concernée, loin aussi à l’extrême d’une construction d’une complexité et d’une lourdeur excessive, impossible à mettre en œuvre dans les grands groupes comme dans les PME, il faut faire preuve de pragmatisme.

La première étape, c’est de connaître l’entreprise, sa culture, et de faire en sorte que les outils anticorruption s’y intègrent, de manière fluide. Là, ils seront compris et acceptés. Ils seront efficaces. Et, en sécurisant et facilitant la vie des opérationnels, ils deviendront ce qui permet de distinguer conformité et compliance : des leviers de croissance.