Sapin 2 : un an après, les entreprises ne sont toujours pas prêtes.
Depuis le 1er juin 2017, les entreprises d'au moins 500 salariés et d'un chiffre d'affaires, consolidé ou non, supérieur à 100 millions d'euros sont tenues de mettre en oeuvre un programme de lutte anti-corruption. Or, une étude Optimind De Gaulle Fleurance & Associés de mai 2018 évalue à 30 % la proportion de celles qui auraient finalisé la mise en oeuvre des huit mesures clefs permettant d'y parvenir. « Ces derniers mois, les législations se sont multipliées. Certaines entreprises ont privilégié la mise en application du règlement européen de protection des données personnelles (RGPD) à la lutte anti-corruption », constate Jordane Ghazani, manager d'Optimind.
Cartographie des risques et alerte interne, les priorités
Le degré de maturité, tout comme le budget alloué, diffère d'une entreprise à l'autre. 26 % des sociétés interrogées auraient déjà mis en eouvre quatre mesures : un code de conduite (87 %), une cartographie des risques (78 %), un dispositif d'alerte interne (78 %) et un régime de sanctions disciplinaires (78 %). « Si la direction générale ne passe pas un message fort, il est très difficile de mettre en oeuvre toutes les nouvelles mesures, en particulier la cartographie des risques », insiste Matthieu Dary, avocat senior counsel chez De Gaulle Fleurance & Associés.
Parmi les 87 % qui se sont doté d'un code de conduite, 61 % ont décidé qu'il serait général et pas uniquement consacré à la lutte anti-corruption. Il est pourtant fortement recommandé de diffuser un code de conduite anti-corruption, distinct des autres plus généraux, afin de simplifier les mises à jour potentielles. D'autant qu'un seul et même code de conduite intégré au règlement intérieur accroît les contraintes, puisque toute modification devra être validée par les instances représentatives du personnel.
Quant au système d'alerte, 61 % des répondants ont décidé de le décliner sous la forme d'une adresse mail interne à l'entreprise. L'appel à des prestataires extérieurs ne semble pas privilégié par les sociétés (9 %) et le RGPD ne devrait pas inverser la tendance. Rappelons que le dispositif d'alerte interne vise à identifier les comportements contraires au code de conduite en vue d'y mettre fin, de sanctionner le cas échéant le responsable et d'actualiser la cartographie des risques afin d'éviter la réitération de ces comportements. « C'est aussi pour des questions de confidentialité que le système d'alerte est souvent internalisé », relève Jordane Ghazani.
Evaluation des tiers, la principale difficulté
La loi Sapin 2 exige aussi des entreprises qu'elles évaluent la situation de leurs clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques. « C'est la mesure la plus compliquée à mettre en oeuvre. L'enjeu principal va être de catégoriser les clients pour identifier les plus à risques », commente Matthieu Dary. Pour évaluer ces tiers, les organisations ont a minima mis à jour leurs contrats en intégrant des clauses anti-corruption ou d'audit (57 %). L'audit des clients peut paraître assez délicat du fait de la nature commerciale de la relation. « Les entreprises ont déjà des procédures existantes pour la solvabilité et la lutte contre le blanchiment notamment, il suffit de les compléter », suggère l'avocat.
Compliance officer, pilier de la stratégie
Le compliance officer reste le chef d'orchestre de cette politique de lutte anti-corruption. 80 % des entreprises interrogées en ont nommé un. Néanmoins, le périmètre de ce professionnel ne se limite pas aux atteintes à la probité. La mise en conformité est un tout : le compliance officer gère aussi la protection des données personnelles (65 %), l'obligation de vigilance (57 %) et les atteintes au droit de la concurrence (43 %).
