Values associates
Accueil >> Blog >> Sapin II : comprendre les nouvelles recommandations de l’AFA en 10 points clés

Sapin II : comprendre les nouvelles recommandations de l’AFA en 10 points clés

  • 15.03.2021

Que retenir de la mise à jour des recommandations de l’Agence française anticorruption (AFA) parue au Journal officiel le 12 janvier 2021 ? Par Jade Paulino, consultante Conformité chez Mazars.

1. Des recommandations dorénavant structurées en trois parties

Les recommandations publiées au Journal officiel en décembre 2017 étaient structurées en fiches portant sur les 8 mesures définies à l’article 17 de la loi Sapin II auxquelles s’en ajoutaient trois autres :  le périmètre des recommandations, l’engagement de l’instance dirigeante et les précisions à l’attention des acteurs publics.

La structure retenue pour cette mise à jour est celle d’un triptyque composé :

  • de dispositions générales applicables à toutes les organisations assujetties à la loi,
  • d’une première déclinaison pour les acteurs économiques assujettis à l’article 17 de la loi,
  • d’une seconde déclinaison pour les acteurs publics soumis à l’article 3, 3°, renforçant ainsi sensiblement l’attention portée aux acteurs publics.

2. Détermination d’un référentiel commun au sein de dispositions générales

Au-delà de la forme inédite que revêtent ces recommandations, l’insertion de dispositions générales en introduction constitue également l’une des principales nouveautés de cette mise à jour. Ces dispositions générales déterminent un référentiel commun en énonçant les principes applicables à tous les acteurs, qu’ils soient publics ou privés.

L’affirmation de ce référentiel commun se manifeste d’ailleurs par un changement de terminologie, notable dès les premières lignes. Ainsi, alors que l’AFA avait retenu en 2017 le terme générique de « corruption », elle fait désormais référence à la notion « d’atteintes à la probité » afin d’englober l’ensemble des délits entrant dans son champ de compétence. Cette nouvelle terminologie devrait trouver un écho plus large au sein du secteur public et permettre une meilleure appropriation des enjeux de conformité par les acteurs publics.

3. Un référentiel anticorruption français à l’ambition universelle

Alors que les recommandations de 2017 étaient « inspirées des meilleurs standards internationaux », cette référence est supprimée, l’AFA n’affiche plus la volonté de suivre les exemples anglo-saxons, ni de rattraper un éventuel retard sur la scène internationale. Elle souhaite au contraire servir de modèle aux opérateurs publics et privés du monde entier.

Ces dernières recommandations s’adressent en effet à « toutes les personnes de droit privé et de droit public, de droit français ou de droit étranger, qui déploient leurs activités en France comme à l’étranger, quels que soient leur taille, leur forme sociale ou leur forme juridique, leur secteur ou domaine d’activité, leur budget ou leur chiffre d’affaires ou l’importance de leurs effectifs ».

4. La jurisprudence de la commission des sanctions

L’AFA rappelle que les recommandations sont dépourvues de force obligatoire et intègre les précisions apportées par la commission des sanctions sur deux points. D’une part, les recommandations sont opposables à l’AFA dans le cadre de ses missions. D’autre part, une organisation qui ne suivrait pas les recommandations ne pourrait être considérée a priori comme n’étant pas conforme. Néanmoins, en cas de contrôle de l’AFA, l’organisation aura la charge de démontrer qu’elle satisfait les exigences fixées par la loi.

5. Des exigences en matière d’implication personnelle des instances dirigeantes

Les dispositions générales mettent davantage en lumière la responsabilité personnelle des instances dirigeantes. Ainsi, l’instance dirigeante est « responsable personnellement de la conception, du déploiement et du contrôle du dispositif, même lorsqu’elle en confie la mise en œuvre à un collaborateur ». Cette responsabilité doit s’accompagner d’une implication personnelle de l’instance dirigeante dans la mise en œuvre du dispositif anticorruption : « L’instance dirigeante participe personnellement à la mise en œuvre opérationnelle de certaines mesures et procédures composant le dispositif anticorruption, à l’occasion, par exemple, de la validation de la cartographie des risques d’atteintes à la probité, de la prise de décision à l’issue de l’évaluation de certains tiers ou lorsqu’il s’agit de déterminer les sanctions à prononcer en cas de violation du code de conduite ou de faits susceptibles d’être qualifiés d’atteintes à la probité ».

Autre élément nouveau de cette mise à jour, l’AFA s’adresse aux organes non exécutifs, tels que les conseils d’administration, et les exhorte à contrôler la mise en œuvre du dispositif anticorruption : « Lorsque l’instance dirigeante exerce ses fonctions sous le contrôle ou la surveillance d’un organe non exécutif, ce dernier veille à ce que les risques d’atteintes à la probité soient convenablement appréhendés par la mise en place d’un dispositif anticorruption adapté et efficace ».

6. Le rôle de la cartographie des risques explicité

Si les recommandations de 2017 accordaient une grande importance à la cartographie des risques de corruption, les nouvelles recommandations sont plus explicites sur le rôle joué par cette dernière. Ainsi, l’AFA précise que la cartographie des risques d’atteintes à la probité est « la pierre angulaire du dispositif anticorruption car c’est sur son fondement que sont définies les autres mesures de prévention des risques d’atteinte à la probité propres à chaque organisation ».

L’AFA insiste sur la nécessite d’associer à la cartographie des risques d’atteintes à la probité des plans d’actions afin de maîtriser les risques identifiés. L’objectif est dual : il ne s’agit pas seulement d’identifier et d’évaluer les risques d’une organisation mais également de « prendre des mesures et procédures adaptées et proportionnés afin de les maîtriser efficacement ». Il est ainsi rappelé que les risques doivent être « couverts par des plans d’actions de nature à en assurer la maîtrise ».

7. Une affirmation du caractère systémique des mesures de maîtrise des risques d’atteintes à la probité

L’AFA relie entre elles chacune des mesures visant à la maîtrise des risques d’atteintes à la probité et partant affirme « le caractère systémique du dispositif anticorruption ». Outil de maîtrise des risques, le code de conduite et ses politiques annexes doivent par exemple former « un ensemble cohérent, facilement accessible aux collaborateurs de l’organisation ».

De même, l’AFA rappelle que la formation destinée aux collaborateurs les plus exposés doit être adaptée aux risques auxquels ils sont exposés à raison de leur métier. Il en résulte que « L’identité des bénéficiaires, comme le contenu des formations, [doivent s’appuyer] sur la cartographie des risques ».

8. Des évolutions quant à l’évaluation des tiers

Par ailleurs, des évolutions sont à noter en matière d’évaluation des tiers : si l’AFA maintient une lecture extensive des tiers à évaluer, elle donne une liste indicative des catégories de tiers concernés. Aux clients, fournisseurs et intermédiaires, s’ajoutent les prestataires, les sous-traitants, les titulaires de marchés publics, les concessionnaires, les délégataires, les bénéficiaires de subventions, les cibles d’acquisition, les usagers, les partenaires, etc.

Notons que l’AFA confirme son approche par les risques et clarifie l’épineuse question de la discrimination des tiers à évaluer en proposant une méthodologie permettant d’adapter la nature et la profondeur des évaluations. Celles-ci pourront en effet être « prédéterminées en fonction des différents groupes homogènes de tiers c’est-à-dire présentant des profils de risques comparables tels que la cartographie des risques permet de les dresser. Ainsi, les groupes de tiers jugés pas ou peu risqués pourront ne pas faire l’objet d’une évaluation ou faire l’objet d’une évaluation simplifiée tandis que les groupes les plus risqués nécessiteront une évaluation approfondie ».

9. Les modalités de mise en œuvre du dispositif d’alerte interne précisées

La nouvelle version des recommandations apporte des précisions concernant les modalités de mise en œuvre du dispositif d’alerte et introduit de la souplesse dans le choix du type de dispositif : « Le dispositif d’alerte peut prévoir un ou plusieurs canaux de signalement allant de la simple adresse électronique dédiée, au logiciel de gestion voire, pour certaines organisations, à une plateforme éthique spécifique ».

10. Un dispositif reposant sur 3 piliers indissociables et une fusion des piliers 5 et 8 source d’interrogations

Par ailleurs, alors que les recommandations de 2017 s’articulaient autour des 8 mesures et procédures de l’article 17 de la loi Sapin II, l’AFA distingue dans ses nouvelles recommandations 3 grands piliers indissociables :  l’engagement de l’instance dirigeante, la connaissance des risques d’atteintes à la probité (dont la corruption) et la gestion de ces risques au moyen de mesures de prévention, de détection et de remédiation. Ces 3 piliers englobent, tout en les dépassant, les mesures de l’article 17 et structurent les référentiels applicables aux acteurs publics ou privés.

Plutôt que de maintenir une distinction franche entre les procédures de contrôles comptables (5° de l’article 17) et le dispositif de contrôle et d’évaluation interne (8° de l’article 17), l’AFA a fait le choix de regrouper ces deux mesures au sein d’un dispositif de contrôle global pour lequel elle applique trois niveaux de contrôle.

Au-delà de la confusion qu’il occasionne, ce rapprochement suscite des interrogations dans la mesure où les piliers 5 et 8 de la loi Sapin II poursuivent des finalités très distinctes. En effet, alors que les contrôles comptables ont vocation à prévenir et détecter les risques identifiés dans la cartographie des risques et peuvent être associés à des contrôles internes non comptables, les contrôles réalisés au titre du pilier 8 ont pour objet de s’assurer que le dispositif anticorruption est correctement mis en œuvre.

L’application, sans doute artificielle, des trois niveaux de contrôles à ces deux types de contrôles semble générer des difficultés, dont l’analyse fera l’objet d’un prochain article. 

En savoir plus sur l’offre logicielle ConformEthics, dédiée au respect des obligations de la loi Sapin 2, développée en partenariat entre le Groupe Mazars et Values Associates.

Cet article vous a plu ? Partagez-le !
À lire aussi

Les piliers et mesures de la loi Sapin 2

  • 26.07.2022
Loi Sapin 2 : un dispositif articulé autour de 3 piliers « indissociables » pour prévenir les risques de corruption en entreprise « Un saut notable dans le cadre juridique français de lutte contre les infractions qui a permis à la France de retrouver crédibilité et visibilité dans ce domaine ». Telle est la conclusion de l’OCDE […]

Quelle place du risque en entreprise ?

  • 12.07.2022
La crise du Covid-19 a été une démonstration éclatante de l’importance de la gestion du risque en entreprise. A l’heure où les risques pour les entreprises se multiplient et où l’inflation législative contraint ces dernières à toujours plus de vigilance, le management du risque s’avère être un vecteur de croissance pour les entreprises. Dans un […]

Comment faire converger gestion des risques et création de valeur ?

  • 05.07.2022
Crise financière de 2008, pandémie de Covid-19… Ces dernières années, les entreprises ont éprouvé l’intérêt d’une politique efficiente en matière de gestion des risques. Or, de la gestion des risques à la création de valeur, il n’y a qu’un pas. En entreprise, le risque est protéïforme. incertitudes financières, responsabilités juridiques, enjeux technologiques, erreurs de management […]

Pourquoi le management du risque est-il plus important que jamais ? 

  • 20.06.2022
Avant même la pandémie, les entreprises évoluent dans un monde de plus en plus compétitif et incertain. Mondialisation oblige, les frontières entre l’entreprise et ses partenaires tiers sont de plus en plus floues. Pour les entreprises, prévenir et gérer les risques réels ou potentiels devient donc une priorité absolue. Qu’est-ce que le management du risque […]