Par Iohann le Frapper, vice-chair, Commission internationale « Corporate Responsability & Anti-corruption » de l'ICC et Stéphane Lefer, avocat, Oxygen+

La loi Sapin II est publiée. Il y a désormais urgence pour les groupes comme pour les ETI à se mettre en ordre de marche pour être prêt. La date-butoir est le 1er juin 2017 – c'est-à-dire demain –, et les sanctions possibles… Il s'agit d'une pénalité administrative pour l'entreprise et ses dirigeants mais aussi et surtout une dégradation de l'image de l'entreprise préjudiciable pour les parties prenantes, dont les investisseurs. Le monde change et la lutte contre la corruption devient en France, comme au niveau international, une préoccupation importante. Personne n'y échappera. La tentation est alors grande pour les entreprises de faire du « Window dressing » qui consisterait à mettre en place soit un programme « light », sans consistance réelle, soit la seule apparence d'un programme, pour pouvoir rassurer les parties prenantes, alors que dans la réalité aucun changement ne serait intervenu, hormis la rédaction et la vague diffusion d'une procédure anti-corruption. Une telle approche factice serait un facteur aggravant de la responsabilité des entreprises et de leurs dirigeants aux yeux des régulateurs, du Parquet, des investisseurs et autres parties prenantes. Ce risque serait d'autant plus important si l'entreprise affichait ses intentions dans sa communication externe telle qu'un rapport annuel d'activités, en trompant la confiance de ses actionnaires, de ses clients et de ses fournisseurs.

La priorité naturelle des entreprises est de développer leurs offres, trouver des clients et fournir les services ou produits attendus par les clients. Si leur objectif n'est pas de mettre en place un programme anti-corruption, établir un programme robuste conforme à la loi Sapin II devient un avantage concurrentiel pour remporter des marchés publics ou privés, accéder à des financements publics ou export et rassurer des clients soucieux de l'éthique de leurs fournisseurs.

Au carrefour de la compliance

La compliance est un sujet au croisement du juridique, de l'audit, des ressources humaines et de la communication. Nous qui avons travaillé dans des entreprises à l'élaboration et à l'évolution des programmes de compliance, y compris de lutte contre la corruption, nous savons que ce n'est pas uniquement un sujet juridique, pas uniquement un sujet d'audit interne et encore moins un sujet de ressources humaines ou de communication interne ou externe. Un programme de compliance est un projet au carrefour de tous ces domaines.

Il faut savoir être pragmatique, opérationnel, gestionnaire de projet, comprendre la stratégie de l'entreprise, son mode d'organisation et son business model. La connaissance intime, à la fois du cadre réglementaire et des scénarios de gestion de crise, est aussi cruciale pour conseiller sur des problématiques où la responsabilité administrative ou pénale de l'entreprise et de ses dirigeants est en jeu.

Les entreprises concernées par Sapin II

Cette obligation de prévention de la corruption et du trafic d'influence est applicable à toute « société employant au moins cinq cents salariés, ou appartenant à un groupe de sociétés dont la société mère a son siège social en France et dont l'effectif comprend au moins cinq cents salariés, et dont le chiffre d'affaires ou le chiffre d'affaires consolidé est supérieur à 100 millions d'euros » (article 17 de la loi).

Cette obligation de prévention repose sur les mandataires sociaux des sociétés concernées ou du groupe de sociétés ce qui signifie que si ces mandataires n'agissent pas, ils engagent leur responsabilité personnelle.

Le périmètre du programme anti-corruption requis d'un groupe de sociétés concerne outre la holding – indépendamment de leur localisation en France ou à l'étranger ou des seuils de chiffre d'affaires et d'effectifs –, les entités suivantes :

> ses filiales, à savoir les sociétés dont le groupe détient plus de 50 % du capital,

> les sociétés sous son contrôle, à savoir les sociétés dont l'actionnaire détient moins de la moitié des actions ou parts sociales mais en a le contrôle effectif,

> ses succursales (« établissements stables » sur le plan fiscal), bien qu'elles ne soient pas expressément mentionnées par la loi Sapin II.

Qui vient contrôler, et quand ?

Des sanctions pécuniaires peuvent être prononcées par la commission des sanctions de l'Agence française anti-corruption (institution nouvelle qui remplace le Service central de prévention de la corruption) en cas d'absence ou insuffisance de programme anti-corruption :

• une amende d'un montant maximum d'un million d'euros pour la société ;

• une amende d'un montant maximum de 200 000 euros pour les mandataires sociaux.

Le risque majeur est toutefois l'atteinte à l'image de l'entreprise qui se verrait clouée au pilori dans les médias à l'issue d'un contrôle par l'AFA soulignant des lacunes majeures du programme anti-corruption.

Les huit piliers du programme

Le programme de prévention devra reposer sur huit piliers décrits à l'article 17 de la loi Sapin II :

1. « un code de conduite définissant et illustrant les différents types de comportements à proscrire comme étant susceptibles de caractériser des faits de corruption ou de trafic d'influence. »

Attention, le code de conduite doit être intégré au règlement intérieur et donner lieu à la consultation des partenaires sociaux ce qui est, nous le savons, un projet dans le projet.

2. « un dispositif d'alerte interne destiné à permettre le recueil des signalements émanant d'employés et relatifs à l'existence de conduites ou de situations contraires au code de conduite de la société. »

Tant l'entreprise que le lanceur d'alerte ont des droits et devoirs très encadrés par la loi Sapin II.

3. « une cartographie des risques. Ce document devra être régulièrement actualisé et aura pour objet d'identifier, analyser et hiérarchiser les risques d'exposition de la société à des sollicitations externes aux fins de corruption, en fonction notamment des secteurs d'activités et des zones géographiques dans lesquels la société exerce son activité. »

La cartographie des risques est le point de départ dans la définition d'un programme de conformité adapté à la taille, au profil et au secteur de la société.

4. « des procédures d'évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques. »

L'entreprise doit adopter des procédures de sélection, d'évaluation et d'approbation de ses relations d'affaires, en particulier les intermédiaires tels que les agents commerciaux considérés à haut risque.

5. « des procédures de contrôles comptables, internes ou externes, destinées à s'assurer que les livres, registres et comptes ne sont pas utilisés pour masquer des faits de corruption ou de trafic d'influence. »

6. « un dispositif de formation des cadres et des personnels les plus exposés aux risques de corruption et de trafic d'influence. »

En pratique, il est indispensable de former les salariés exposés aux risques de sollicitation, les cadres dirigeants, cadres supérieurs et intermédiaires de l'entreprise et les fonctions support.

7. « un régime disciplinaire spécifique en cas de violation du code de conduite de la société. »

Les salariés devront connaître les sanctions disciplinaires éventuellement applicables en cas de violation des prescriptions du code de conduite.

8. « un dispositif de contrôle et d'évaluation interne des mesures mises en œuvre. »

L'entreprise doit s'appuyer sur plusieurs outils tels que des audits internes ou les signalements via le dispositif d'alerte interne ou tous autres canaux. L'entreprise doit évaluer en fin d'année les réalisations ou lacunes du plan d'actions. Ce bilan permet de mesurer l'effectivité du programme de conformité et de prendre des mesures rectificatives. Des décrets sont attendus tout prochainement, notamment pour définir les attributions et moyens de l'Agence anti-corruption et décrire les « procédures appropriées de recueil des signalements » pour le dispositif d'alertes internes obligatoire pour toute personne morale publique ou privée ayant au moins 50 salariés (article 8 de la loi Sapin II)

Au final, il incombe aux entreprises devant mettre en place un programme de prévention de la corruption de gérer un véritable chantier avec de multiples facettes. Le pilotage d'un tel projet peut être réalisé en interne avec le concours des différentes fonctions juridique, RH, audit interne, communication ou avec des experts extérieurs.

De nouveau, c'est un projet important pour les entreprises françaises et ne rien faire serait faire courir un risque significatif, surtout en termes d'image, auxdites entreprises et à leurs dirigeants. Les parties prenantes des entreprises, qu'il s'agisse des clients, des fournisseurs, des investisseurs ou des salariés, acceptent de moins en moins de travailler ou collaborer avec des sociétés ayant des problématiques de corruption et qui plus est avec celles qui se seront distinguées par leur négligence passive pour prévenir ce risque.