Quels outils au pied du Sapin ?

La mise en œuvre du dispositif Sapin II, et particulièrement de son article 17, et les difficultés techniques qu’elle véhicule immanquablement amènent les entreprises assujetties au texte à se poser très souvent la même question : quels sont les outils disponibles ?

Il convient à ce stade de préciser que cette question est parfois posée, car on cherche moins à savoir quels sont les moyens techniques à même de répondre aux exigences prévues, que de trouver la pierre philosophale, ou la martingale technique qui permettra, sans effort, et en appuyant sur un simple bouton, de régler tous les problèmes, de traiter tout ou partie des exigences du texte.

Le propos de cet article n’est donc pas de proposer une liste d’outils « presse-bouton » aux vertus exceptionnelles, mais plutôt d’envisager quelles sont les obligations de la loi qui pourraient utilement être équipées dans une optique de « mécanisation » de la mise en œuvre ou du suivi du dispositif.

Rappelons-le, l’article 17 de la loi Sapin II est à l’attention des dirigeants qui doivent faire leurs meilleurs efforts pour organiser la prévention de la corruption dans leur organisation, et ce sont eux qui en répondront directement en cas de non-conformité révélée par l’Agence Française Anticorruption (AFA) à l’occasion d’un contrôle. Et c’est au moins pour cette raison que le dispositif à mettre en place doit être mûrement réfléchi, parce qu’un écart, une imprécision de-ci de-là pourraient entraîner des dommages ou des conséquences délicates pour le fonctionnement de l’entreprise.

Le propos ne sera donc pas de dire quel outil est susceptible de se substituer à la réflexion humaine, mais bien d’indiquer, une fois pleinement réfléchie l’organisation de la prévention de la corruption que la question de l’outillage pourra se poser. En aucun cas avant.

– Objet central et fondement de l’ensemble de la démarche, la cartographie des risques de corruption est avant tout un exercice de réflexion sur l’exposition de l’organisation aux risques. C’est peut-être le moment où l’outillage, s’il existe, doit se faire le plus discret possible. C’est l’étape durant laquelle, il y aura le plus à écrire, à documenter et à argumenter.  Partant, le meilleur outillage qui soit ne saura en aucun cas se substituer à l’intelligence humaine, et au calcul et à la détermination des incidences que pourrait avoir un risque donné sur le fonctionnement d’une organisation. Aussi, les solutions clés en main d’autoévaluation, les questionnaires fermés, toute forme de prêt à penser, ou à rédiger de façon trop mécanique ne répondrait pas à l’esprit de la loi, et encore moins à celui des recommandations de l’AFA. Ces outils, questionnaires, ou méthodes d’autoévaluation peuvent bien évidemment être utilisés dans le contexte de la mise en œuvre du dispositif, mais ils ne devraient être utilisés qu’après que des entretiens aient eu lieu et qu’une première ébauche de cartographie, à tout le moins, ait été établie. Ou encore, préalablement à des entretiens, afin de déterminer à grosse maille les sujets, ou les zones sur lesquelles l’entreprise pourrait être exposée et donc susciter des entretiens avec ses collaborateurs. Mais en aucun l’utilisation d’un procédé quelque peu mécanisé ne saurait se substituer seul, à un exercice d’échanges et de réflexion partagée avec les personnes les plus exposées au risque de corruption. Il n’en reste pas moins que l’utilisation d’un « outil » pour la restitution et la mise en forme du travail de cartographie peut parfaitement trouver sa place, bien évidemment, dans l’exercice. Mais le travail de fond ne devrait être assuré que par une réflexion adaptée.

– L’on pourra passer rapidement sur les codes de conduite et régime disciplinaire, qui par essence ne nécessiteront pas, ou n’induiront pas de recours particulier à un outil.

– Pour ce qui concerne les contrôles comptables, la question de l’outillage peut se poser assez rapidement, particulièrement pour les organisations ou groupes dont l’éclatement géographique, organisationnel, ou informatique est important. En effet, rappelons-le, le sujet des contrôles comptables est caractérisé par la nécessité de pouvoir identifier un lien entre les risques de la cartographie des risques de corruption d’une part, et d’autre part le dispositif de contrôle interne, dans l’optique de pouvoir démontrer que chaque risque est bien « encadré » par des procédures ou processus, et que ce lien peut être mis en évidence lors d’un contrôle de l’AFA. L’observation de cette règle simple va donc imposer qu’à chaque risque de corruption identifié soient liés les points de contrôle interne que l’organisation a identifiés ou mis en place, quel que soit l’endroit, ou le système utilisé. Ce qui signifie que pour un risque donné, s’il y a réponse différenciée selon l’endroit où l’on se trouve dans un groupe donné, alors il devra y avoir autant de réponses que de différences identifiées. Et d’un simple point de vue formel, le seul collationnement de ces différences nécessite une logistique à même de ne pas perdre d’informations, d’avoir des informations à jour, et bien évidemment non contradictoire entre elles. A plus forte raison lorsque l’on a sous son aile plusieurs dizaines ou centaines de filiales présentant chacune des particularités fortes. Dans ce cas précis, la présence d’un outil s’impose, ou d’équipes disciplinées et dédiées, mais ce serait beaucoup plus coûteux.

– La question de l’outillage ne manque pas de se poser pour l’épineuse question des procédures d’évaluation des tiers. Qu’il s’agisse de clients ou de fournisseurs, le nombre de ces tiers est important, particulièrement dans des organisations dépassant les seuils imposés par la loi : en effet l’idée d’appliquer de façon quelque peu systémique, à plusieurs centaines ou milliers de tiers des contrôles ou des vérifications, aussi triviales soient-elles, nécessite immanquablement une forme de réponse mécanisée :

– d’une part pour faire office de gare de triage, et de pouvoir identifier les tiers a priori à risque, ceux qui le sont particulièrement, et ceux qui le sont particulièrement peu,

– pour, d’autre part, leur appliquer un traitement de vérification plus ou moins approfondi en fonction du niveau de risque qui aura été identifié à l’étape précédente. Dans ce cas précis, et contrairement aux autres cas où l’outillage apparaît nécessaire, un nombre limité de solutions existe, toutes d’une efficacité assez proche,

– enfin et bien sûr pour garder une trace de l’ensemble des contrôles et analyses qui auront pu être réalisés.

Le système de lancement d’alerte en soi appelle une réponse technique adaptée aux exigences du texte :  permettre à chaque salarié, ou tiers de l’organisation, de pouvoir déclarer crime, délit, ou atteinte à l’intérêt général, en préservant les trois secrets que sont l’identité du lanceur d’alerte, les personnes éventuellement mises en cause, ainsi que le fond même de l’alerte, supposent immanquablement une réponse technique sûre. Aujourd’hui, nombre de solutions de marché ont vu le jour. Toutes ne se valent pas, ni en termes de réponse aux exigences des art 6 à 16 de la loi, ni en matière de sécurité des données, particulièrement à l’heure du RGPD, mais au moins le marché est dynamique et le coût des solutions proposées très abordable.

La formation, et le 8ème pilier de contrôle et d’évaluation interne des mesures mises en œuvre pourraient faire l’objet d’un outillage particulier, mais il ne semble pas à ce stade qu’ils soient une nécessité absolue, au même titre que les contrôles comptables ou l’évaluation des tiers.

En somme, l’on pourra dire, qu’aucun outil « presse-bouton » ne permet de régler la question Sapin II dans les organisations, mais l’on pourra sans hésitation affirmer qu’au-delà de l’effort humain à fournir, des outils sont indispensables pour la mise en œuvre la plus efficace du texte, ne serait-ce que pour les contrôles comptables ou le lancement d’alerte. On pourra également rajouter en guise de conclusion de la conclusion que la question du questionnaire de contrôle de l’AFA qui est et public, et potentiellement lourd à automatiser, mériterait une attention particulière, surtout dans les entreprises aux multiples branches et réseaux.

Se faire accompagner dans la mise en place d’un dispositif anti-corruption

Découvrir ConformEthics©, solution de mise en conformité dédiée à Sapin II

François Nogaret

François Nogaret

Associé Conformité & Éthique