De gauche à droite  : 

• Ludovic Malgrain, associé, Freshfields Bruckhaus Deringer 
• Sylvie Le Damany, associée, Adaltys Avocats
• Catherine Ferriol, chef du département de l’appui aux acteurs économiques, Agence Française Anticorruption (AFA) 
• Cyril Naudin, senior managing director, head of France Investigations & Compliance, FTI Consulting 
• Bernard Cazeneuve, ancien premier ministre, associé, August Debouzy 
• Iohann Le Frapper, directeur de l’Ethique groupe, SNCF 
• Bachir Bacha, associé, Forensic Services, PWC
• Edouard Shailendrasingh Leeleea, group compliance officer, MBDA Group et président-fondateur du French Compliance Society

Quelles sont les règles en matière de devoir de vigilance et leurs effets sur les entreprises ?

Bernard Cazeneuve, ancien premier ministre, associé, August Debouzy : Il convient d’abord de rappeler que les règles éthiques sont le résultat d’une pression conjointe exercée par les gouvernements, les opinions publiques et les sociétés civiles, en vue de définir des principes destinés à rendre soutenable la globalisation de l’économie. Des dispositions nouvelles ont été prises, notamment pour prévenir et sanctionner la corruption. Ce sont d’abord les Etats-Unis qui, au terme du scandale du Watergate, ont décidé d’adopter, en 1977, le Foreign Corrupt Practice Act. Il a fallu ensuite attendre 20 ans pour que l’OCDE adopte, en 1997, la Convention relative à la lutte contre la corruption d’agents publics étrangers dans les transactions commerciales internationales. Cette convention a été inspirée et promue par les Etats-Unis qui souhaitaient que leurs partenaires commerciaux soient assujettis à une législation qui puisse contribuer à l’émergence d’un level playing fieldmondial. Force est de constater que les Américains ont été les seuls, pendant 40 ans, à disposer d’un arsenal complet et efficace de lutte contre la corruption et qu’ils ont utilisé leur puissance économique et politique, face à l’inertie des autres pays occidentaux, en usant de leur droit dans un cadre extraterritorial, ce qui a abouti à ce que soient sanctionnées par le Department of Justice (DoJ) de nombreuses entreprises européennes. On a donc vu les nations transposer peu à peu la convention de l’OCDE et se conformer aux principes éthiques qu’elle contient. Plus tard, en France, l’affaire Cahuzac a servi de déclic à l’instauration en 2013 du Parquet national financier et de la Haute Autorité pour la transparence de la vie publique, puis à l’adoption en 2016 de la loi Sapin 2, et à travers elle celle de la Convention judiciaire d’intérêt public. Ces évolutions législatives ont permis à la France de hisser son arsenal législatif au niveau des conventions standards internationales, en matière de prévention et de sanction des faits de corruption, protégeant ainsi les entreprises françaises des risques de poursuites diligentées par des instances étrangères. La loi relative au devoir de vigilance, promulguée en mars 2017, procède de la même logique. La tragédie du Rana Plaza a démontré que des atteintes graves à l’environnement, à la santé et aux droits humains pouvaient résulter de l’activité de certaines entreprises. La France a alors été la première nation à adopter un dispositif préventif, imposant aux entreprises le déploiement de dispositifs de cartographie des risques, ou d’évaluation des partenaires économiques avec lesquels une relation commerciale est établie, ainsi qu’un plan de vigilance destiné à prévenir les risques identifiés. Toutefois, six ans après son entrée en vigueur, la loi relative au devoir de vigilance accuse quelques faiblesses, dont témoignent les difficultés constatées dans le cadre de son application. Contrairement à l’Allemagne qui a adopté un texte témoignant du même esprit, la France ne s’est pas dotée d’une autorité publique qui aurait pu, par son contrôle et l’édiction de lignes directrices claires, faciliter la compréhension et la bonne application du texte de loi, ce qui a conduit à installer les entreprises dans un climat d’insécurité juridique, accentué par l’absence de textes réglementaires d’application de la loi française. Tout cela a pu conduire le législateur européen à s’emparer du sujet, en soumettant au débat un projet de directive. Le 24 avril dernier, le texte a été définitivement voté par le Parlement européen, il doit désormais, pour entrer en vigueur être entériné par le Conseil et transposé par les Etats membres. Il est désormais vraisemblable que le projet de directive ira à son terme.

Sylvie Le Damany, associée, Adaltys Avocats : Le champ du devoir de vigilance issu de la loi française est à la fois vaste, en raison d’un texte ambitieux, et flou. Il y a de nombreuses critiques qui ont été émises dès son entrée en vigueur en 2017 en raison de l’existence dans la réglementation de notions imprécises compliquant ainsi la mise en place par les entreprises des programmes de prévention, notamment l’élaboration des cartographies des risques et des plans d’actions. L’objectif est de réduire l’impact des entreprises sur les droits humains, la santé, la sécurité et l’environnement. Le nouveau projet européen cible plus spécifiquement les droits humains et l’environnement et, surtout, concernera un plus grand nombre d’entreprises.

Bernard Cazeneuve : La législation française repose sur le principe suivant : les entreprises ou les groupes, qui emploient durant deux années consécutives plus de 5 000 salariés en France, ou 10 000 salariés en France et à l’étranger, doivent se conformer à un certain nombre d’obligations telles que l’élaboration d’une cartographie des risques permettant leur identification, leur analyse et leur hiérarchisation ; l’instauration de procédures d’évaluation régulière des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie ; la définition de mesures de remédiation et d’atténuation des risques ; la mise en place d’un dispositif d’alerte et de recueil des signalements ; le déploiement d’un dispositif de suivi des mesures mises en œuvre et de suivi de leur efficacité. Le dispositif européen se distingue de la loi française sur plusieurs points. Le législateur européen a notamment souhaité qu’un organisme de contrôle vienne définir les conditions dans lesquelles les obligations de la directive devront s’appliquer, ce qui est une chose très positive pour permettre aux entreprises de faire face à la situation actuelle d’insécurité juridique.

Sylvie Le Damany : A l’origine, il était prévu des amendes pénales dans le texte français mais celles-ci ont été jugées inconstitutionnelles sur le fondement du principe de légalité des délits.

Iohann Le Frapper, directeur de l’Ethique groupe, SNCF : Je souhaiterais pouvoir rajouter quelque chose qui concerne l’articulation entre la CSRD et la directive qui représente aujourd’hui un enjeu important pour les entreprises européennes. Il s’agit de la gestion de la manière dont sont traités le reporting extra-financier et les obligations sur le devoir de vigilance que doivent respecter les entreprises. En effet, l’enjeu est d’évaluer l’impact de leurs opérations et de la supply chain, sur l’environnement, les droits humains, la santé et la sécurité. Il y a un enjeu concurrentiel pour la directive qui présente un avantage compétitif pour les entreprises françaises et allemandes. L’avantage concurrentiel réside dans le fait que dans le cadre du marché européen, les entreprises allemandes et françaises sont déjà rodées à cet exercice en termes d’évaluation des risques, de mise en place des plans d’actions afférents à ces risques, etc.

Comment s’organisent, au sein des entreprises, le pilotage et la coordination des obligations en matière de devoir de vigilance ?

Edouard Shailendrasingh Leeleea, group compliance officer, MBDA Group et président-fondateur du French Compliance Society : Effectivement, les entreprises en France bénéficient d’un avantage concurrentiel. En interne, il est essentiel d’harmoniser tous les processus. Les défis résident dans les nuances d’interprétation et les incertitudes car il est nécessaire de créer des liens avec tous les départements pour élaborer les rapports, en particulier entre les fonctions financières et les fonctions de conformité. La fonction de conformité n’a pas encore atteint le même niveau de maturité que la fonction financière pour assimiler toutes les obligations réglementaires en termes de normes, de reporting, de gestion des risques, de contrôles et d’actions à entreprendre en fonction des résultats des contrôles, etc.

Iohann Le Frapper : Il est vrai que les directions financières sont habituées à gérer le reporting financier, mais dans nombre d’entreprises quand on parle du plan de vigilance ou du rapport de durabilité (CSRD), il y a un vrai enjeu sur la manière dont l’entreprise s’organise aujourd’hui pour produire à la fois le plan de vigilance et le rapport de durabilité. Il s’agit de déterminer qui est responsable, qui pilote et comment on s’assure de la fiabilité et de l’intégrité des données qui vont remonter à la maison mère. Il y a des enjeux majeurs parce que l’on sait que dès 2025, la grande majorité des données des grandes entreprises (celles requises par la CSRD) seront disponibles en open data. On peut anticiper que les parties prenantes internes comme externes (médias, concurrents, ONG, etc.) pourront faire du data mining, et exploiter ces données pour de multiples raisons et avec des intentions diverses. Cela pourra donner lieu à de potentiels contentieux par exemple. Même s’il y a des auditeurs des informations en matière de durabilité qui vont apporter certaines assurances aux instances de gouvernance, les directions générales et les conseils d’administration auront besoin de s’assurer que les données soient fiables car elles pourront être opposées à l’entreprise par des acteurs externes.

Sylvie Le Damany : La question est de savoir ce que l’on inclut dans les missions du compliance officer. Certains n’ont pas le devoir de vigilance dans leur périmètre, d’autres l’ont, certains ont l’anticorruption, d’autres la concurrence, la data privacy. Il y a un véritable sujet de gouvernance pour toutes les entreprises afin de savoir qui est responsable en matière de compliance. Les responsabilités en la matière doivent être clarifiées, voire mieux définies, notamment pour les dirigeants exécutifs et non exécutifs, et ce d’autant plus s’ils siègent en dehors de la France. Les boards ont des responsabilités à géométrie variable en matière de compliance ; la situation sera différente selon les réglementations applicables. On l’a vu dans l’affaire Boeing en 2021, où un accord a été conclu entre les membres du board et les actionnaires, après que ces derniers sont allés rechercher la responsabilité de membres ou d’anciens membres du conseil d’administration pour avoir failli à leurs obligations en matière de sécurité. Les dommages et intérêts qui étaient de l’ordre de 200 millions de dollars ont été pris en charge par les assureurs des personnes visées par la plainte alors que l’accord n’incluait pas de reconnaissance de négligence de leur part.

Ludovic Malgrain, associé, Freshfields Bruckhaus Deringer : Il a été rappelé que cette obligation de constitution d’un plan de vigilance est une obligation de moyens non sanctionnée pénalement. Néanmoins, ce dernier peut receler un risque pénal pour l’entreprise et ses dirigeants, soit un risque a été identifié qui s’est avéré, et on peut leur opposer de manière générale le fait de ne pas avoir pris toutes les mesures requises ; soit l’entreprise n’a pas vu le risque et il faudra démontrer que ce sujet était imprévisible, ce qui revient à réserver des hypothèses assez extraordinaires. L’implication du risque pénal pour l’entité, pour la personne morale ou ses dirigeants, constitue un risque important d’autant plus que cette documentation du plan de vigilance est publique et scrutée, non seulement par toutes les parties prenantes, mais aussi par tous ceux qui, comme cela a été dit précédemment, peuvent avoir un intérêt à agir. C’est donc une source de risques pour les entreprises qui contribue à rendre cet exercice extrêmement compliqué.

Ludovic Malgrain : Toutes les fonctions de l’entreprise doivent être impliquées dans cet exercice de cartographie. Il s’agit d’un travail constant car l’évaluation d’un risque est un exercice évolutif. Comme le rappelait Monsieur Cazeneuve, la loi n’a pas été suivie de décrets d’application de sorte que les entreprises ont dû développer des méthodologies. Il a fallu attendre sept ans pour obtenir une décision sur le fond au travers de l’affaire « La Poste » et les magistrats ont rappelé que c’est à l’entreprise d’établir son plan, pas au juge. C’est donc au cas par cas que les choses vont évoluer, il y a un terrain de développement pour la soft law et la mise en œuvre de bonnes pratiques.

Bernard Cazeneuve : Je souhaite ajouter un mot sur ce qui vient d’être dit. La question a été celle de savoir si la loi devait être prescriptive pour les entreprises. Le débat parlementaire montre que le législateur a voulu laisser des marges de manœuvre aux entreprises dans la définition des moyens mis en œuvre par elles pour atteindre les objectifs de la loi. Ce qui a pu être dit sur l’aspect pénal est bien entendu très juste et en même temps, on peut considérer qu’un plan de vigilance bien fait peut être un facteur d’atténuation de la responsabilité de l’entreprise en la matière. En effet, si l’entreprise est mise en cause pénalement, elle doit pouvoir démontrer qu’elle a déployé ses meilleurs efforts pour éviter que sa responsabilité pénale soit engagée. C’est donc un instrument qui peut exposer l’entreprise, mais qui peut aussi la protéger.

Sylvie Le Damany : On a vu beaucoup d’entreprises revoir entièrement leurs chartes éthiques et codes de bonne conduite des affaires aux termes desquelles celles-ci prenaient des engagements très forts en matière de RSE. Finalement, elles se sont aperçues que, s’il était important de dire ce qu’elles faisaient, il était essentiel de veiller à ne pas annoncer des engagements non tenus, notamment sur les droits humains et la protection de l’environnement. Cela pouvait leur revenir comme un boomerang, notamment dans le cadre d’un programme de vigilance ou autre programme de prévention des risques générés par l’entreprise sur l’ensemble de la chaîne de valeur.

Iohann Le Frapper : Pour revenir sur la cartographie des risques, on voit bien qu’il y a une cartographie des risques anti-corruption vis-à-vis de l’AFA qui reste confidentielle et une cartographie des risques au titre de la loi sur la vigilance de nature publique, avec l’enjeu de savoir quel est le degré de granularité qui veut être donné dans la cartographie du plan de vigilance. On le voit aussi par rapport à la directive européenne, tout va se jouer dans les lignes directrices de la Commission, lesquelles vont définir le cadre d’application de la directive et dire, dans les détails, comment cela va se passer. Si une direction est responsable du plan de vigilance, et qu’une autre direction est responsable du rapport de durabilité, l’enjeu est la cohérence entre les données remontées de part et d’autre et les deux documents produits. C’est un enjeu essentiel.

Comment établir ce plan de vigilance ? Comment bien rédiger une cartographie des risques ?

Catherine Ferriol, chef du département de l’appui aux acteurs économiques, Agence Française Anticorruption (AFA) : L’article 17 de la loi Sapin 2 impose aux grandes entreprises qui y sont assujetties de mettre en place une cartographie des risques de corruption. En 2017, puis en 2021, l’AFA a rédigé des recommandations, dépourvues de valeur juridique contraignante, qui sont venues proposer aux entreprises une méthodologie très précise pour les aider à mettre en place cette cartographie et le plan d’actions relatif aux mesures de maîtrise des risques qui en découle. Il s’agit d’une méthode d’approche par les risques, déjà mise en œuvre dans certains secteurs d’activité, notamment bancaire et assurantiel. L’objectif est que les risques majeurs auxquels une entreprise peut être exposée soient bien identifiés, évalués, hiérarchisés et gérés.

En termes de méthode, il est très vraisemblable que la cartographie des risques du plan de vigilance nécessite la même approche et les mêmes outils que la cartographie des risques de corruption, qu’il s’agisse de l’identification des risques, de leur évaluation, de leur hiérarchisation ou de leur gestion. Cette approche méthodologique est essentielle, même si la nature des risques diffère entre la corruption d’un côté, et l’environnement, la santé ou les droits humains de l’autre.

Cyril Naudin, senior managing director, head of France Investigations & Compliance, FTI Consulting : L’identification des exercices de cartographie des risques déjà conduits au sein de l’entreprise est un travail important. Il doit être fait en amont de l’élaboration de chaque nouvelle cartographie pour éviter le risque d’une approche en silo. Nous le recommandons systématiquement à nos clients. Il ne s’agit pas de se retrouver avec des méthodologies spécifiques à chaque direction ou chaque thématique (risques majeurs, corruption, vigilance, cyber). Il y a des sujets différents, mais il y a tout de même beaucoup de points de recoupement entre certains sujets. Il faut donc s’assurer qu’ils sont traités et abordés d’une façon cohérente et assez identique. La méthodologie qui est déployée dans les entreprises doit être pragmatique et opérationnelle. Nous constatons un autre enjeu qui est d’identifier les bons acteurs et interlocuteurs, définir les personnes qui seront en charge de conduire l’exercice de cartographie, mais également ceux qui seront rencontrés. Enfin, nous constatons que dans la conduite des cartographies des risques corruption, l’exercice s’est principalement effectué en interne sans sortir de l’entreprise. Sur le devoir de vigilance dans le cadre de l’identification des risques, il va falloir davantage sortir de l’entreprise et interroger certains interlocuteurs externes, ce qui peut engendrer bien sûr des questions sur la gestion de la confidentialité.

Sylvie Le Damany : Il est important de rappeler que l’entreprise élabore des cartographies sur de nombreux sujets. Ainsi, une entreprise peut disposer d’une cartographie des risques d’exposition aux faits de corruption pour chacune de ses BU, voire par région, ou même pour plusieurs entités du groupe ayant atteint une certaine taille. A cela s’ajoute, pour certains groupes, la cartographie vigilance évoquée ensemble. Pour la réalisation de celle-ci, l’approche ne sera pas forcément la même. On va entrer, par exemple, par les tiers ou par les processus de l’entreprise, ce qui est d’ailleurs préconisé par l’AFA s’agissant du risque de corruption. Il est donc assez compliqué d’appliquer une méthodologie identique.

Bachir Bacha, associé, Forensic Services, PWC : Pour le devoir de vigilance, les entreprises ont pu capitaliser sur les enseignements tirés de la mise en place de la loi Sapin 2. En effet, la loi Sapin 2 a été un sujet traité sérieusement par les entreprises en France avec beaucoup de choses mises en place, même si cela a pris du temps. Le rôle et l’importance des services de conformité se sont accrus de manière importante et même si certaines entreprises ne sont pas encore totalement conformes, on peut observer que globalement, celles qui ont pris le pli pour Sapin 2, ont pu monter plus rapidement et efficacement leur plan de vigilance.

Certaines entreprises, fortes de cette expérience de la loi Sapin 2 – qui a suscité beaucoup d’efforts et de discussions – vont réellement loin dans leur démarche autour du devoir de vigilance en collaborant et en travaillant en « coalition », comme a pu récemment me le dire un compliance officer du CAC 40, au sujet des vérifications sur des tiers de rang 2, 3, etc.

Les programmes de lutte contre la corruption mis en place pour répondre à la loi Sapin 2 ont permis aux entreprises de disposer d’une infrastructure pour mettre en place la loi sur le devoir de vigilance, en capitalisant sur les points d’adhérence : les alertes, les diligences sur les tiers. Ce renforcement de la régulation progressif a permis de capitaliser sur les enseignements et finalement être plus efficace dans la mise en œuvre. L’enjeu pour les entreprises est donc de capitaliser sur les méthodologies et les bases existantes pour se projeter sereinement sur le nouveau sujet à venir. Pour ce qui concerne la loi sur le devoir de vigilance, il faut s’appuyer sur ce qui a été fait, comme par exemple : la cartographie, la disposition de remontée d’alertes, le processus de vérification des tiers, etc. Pour finir sur ce point, je voulais également souligner la nécessaire coordination entre directions au sein d’un groupe pour une mise en œuvre efficace et effective de ces programmes de conformité. Cette mise en œuvre plus ou moins fluide est, la plupart du temps, liée au positionnement de la conformité dans l’organisation, qui résulte souvent de l’histoire de l’entreprise et de son organisation.

Edouard Shailendrasingh Leeleea : Outre les divergences de méthodes, il est crucial de limiter les écarts. Parfois, l’un des facteurs aggravants réside dans les critères sociaux divergents entre certains pays, ce qui peut accroître les risques de corruption. Pour ma part, je me fie aux spécialistes des risques en entreprise. Le maître mot est la cohérence globale et il est nécessaire d’harmoniser les éléments lors du reporting final. Cette cohérence globale est essentielle pour réduire le risque pénal, ainsi que le risque de « surcommunication », en évitant de promettre des actions qui ne seront pas réellement entreprises (par exemple, éviter le « greenwashing ») et donc pour prévenir tout risque réputationnel.

Sylvie Le Damany : Toutes les entreprises n’ont pas un risk manager. Il y a une grande diversité en matière de gouvernance des fonctions consacrées aux risques, tant au sein des grandes entreprises, qu’au sein des ETI. Les fonctions qui se consacrent à la compliance se multiplient. Le tout est de ne pas créer des silos au sein des organisations.

Ludovic Malgrain : Souvent, on a tendance à dire qu’une bonne gouvernance vise à ce que l’on doive s’assurer que chaque directeur a bien connaissance de ses missions et des risques en regard qu’ils font porter pour eux-mêmes et pour la personne morale. Cet exercice de cartographie des risques en matière de corruption ou d’atteintes aux droits environnementaux pourrait aussi conduire, dans le cadre d’une bonne gouvernance, à faire une cartographie des missions de chaque direction pour couvrir les aspects en question. L’expression employée « désiloter » est bien adaptée afin de veiller à ce que tous les sujets soient partagés.

Comment s’assurer de l’efficacité d’un plan de conformité ?

Ludovic Malgrain : Je pense qu’il est très important de noter, comme cela a été dit précédemment, le caractère non obligatoire des recommandations de l’AFA. Elles sont importantes et on les attendait notamment pour les entreprises qui n’avaient pas de standard, les entreprises de petite taille ou celles qui n’avaient pas eu les moyens de se mettre à jour à temps. Un certain nombre d’entreprises, bien avant la loi Sapin, ont fait cette cartographie des risques selon une autre méthodologie. Dans le cadre de certains contrôles, j’ai été surpris de constater que même si cette méthodologie ne correspondait pas aux recommandations en présence, l’exercice était pris en compte par l’AFA. C’est toujours une garantie pour les entreprises de s’assurer que leur exercice a été considéré même s’il diverge.

Catherine Ferriol : L’AFA, qui est un service administratif, est notamment chargée d’accompagner toutes les entreprises en matière de prévention et de détection de la corruption et de trafic d’influence et de s’assurer que les entreprises assujetties à l’article 17 sont conformes à la loi. A cet égard, rappelons que cet article liste huit mesures constitutives d’un dispositif anticorruption à déployer (cartographie, code de conduite, évaluation des tiers, etc.), sans véritablement les définir. L’objectif des recommandations de l’AFA, dont la publication au Journal officiel est prévue par la loi Sapin 2, est de les préciser et de proposer des outils méthodologiques pour accompagner au mieux les entreprises dans la mise en œuvre de ces mesures.

Ces recommandations ne créent effectivement pas d’obligation juridique aux entreprises, ces dernières étant libres de retenir d’autres méthodes, sous réserve que leur déploiement leur permette d’être conformes, s’agissant des entreprises assujetties, à l’article 17 de la loi. Il est important de souligner deux points. D’une part, dans l’élaboration de ses recommandations, l’AFA s’est inspirée des plus grands référentiels internationaux en la matière, tels que celui des Etats-Unis ou de la Grande-Bretagne. D’autre part, ces recommandations ont été, d’une certaine manière, coconstruites avec les entreprises, dans la mesure où elles ont donné lieu à une large consultation publique. Cette démarche partenariale est essentielle pour l’AFA car elle permet non seulement d’améliorer considérablement ses publications, en intégrant les difficultés ou bonnes pratiques des entreprises qui peuvent parfois lui échapper, mais également de favoriser une appropriation très en amont des outils qu’elle recommande. En suivant cette méthode de coconstruction, l’AFA a complété ses recommandations par de nombreux guides pratiques relatifs par exemple à la fonction conformité anticorruption, à la politique cadeaux et invitations des entreprises, à la gestion des conflits d’intérêts, aux contrôles comptables anticorruption, aux opérations de mécénat et de parrainage, etc. L’AFA est très attentive aux difficultés des entreprises et elle souhaite avoir avec elles un dialogue quotidien et constructif.

Comment se passent les contrôles ?

Bernard Cazeneuve : Les contrôles sont assez normés par les éléments que l’AFA communique dans ses guides, par la charte des contrôles et le questionnaire aux entreprises. Tout cela constitue des pistes pour réaliser des audits.

Cyril Naudin : De plus en plus d’entreprises viennent nous consulter pour évaluer le programme de conformité mis en œuvre et décliné à différents niveaux (groupe, filiales, pays, etc.). Aujourd’hui, nous voyons des entreprises qui ont par exemple un plan d’audit interne déjà bien en place mais qui souhaitent également regarder le programme de conformité Sapin 2. Nous allons alors analyser la façon dont il a été défini, mis œuvre et décliné. Cette analyse, nous la conduisons notamment sur la base des questionnaires de l’AFA. C’est, d’une certaine manière, un contrôle à blanc qui est un bon moyen d’évaluer le programme mis en place et de le tester. L’ensemble des piliers du programme de conformité entre dans le champ de l’exercice. L’entreprise évalue ainsi son programme mais elle se prépare également à un éventuel contrôle de l’AFA.

Sylvie Le Damany : Cette approche est fortement conseillée car le questionnaire comprend 170 questions. Les entreprises ont un mois pour travailler. Nous incitons donc nos clients à compléter le questionnaire pour anticiper un contrôle de l’AFA, identifier les axes d’amélioration afin qu’en cas de contrôle, celles-ci soient prêtes.

Bernard Cazeneuve : Le contrôle se passe généralement en deux temps et court sur une durée de plusieurs mois : un contrôle sur pièces conduit d’abord l’AFA à examiner les réponses aux 170 questions adressées à l’entreprise, qui dispose d’un délai d’un mois environ pour y répondre. Puis une deuxième phase de contrôle sur place peut intervenir, qui se traduit par l’audition des collaborateurs de l’entreprise par les contrôleurs de l’AFA. L’objet est d’identifier les éventuels décalages entre les contenus des réponses apportées par l’entité contrôlée dans le cadre du contrôle sur pièces et la réalité de ses pratiques. Une fois que le contrôle sur place est terminé, l’AFA remet un rapport provisoire. L’entité contrôlée dispose alors de deux mois pour répondre et faire valoir ses observations écrites. Par ailleurs, en cas de manquements graves aux obligations de la loi Sapin 2, l’entité contrôlée peut être renvoyée par l’AFA devant la commission des sanctions.

Catherine Ferriol : Je voudrais revenir sur les modalités des contrôles : dans les nouvelles modalités de contrôles publiées par l’AFA en 2022, la deuxième phase de contrôle sur place n’est plus systématique. Cela correspond à un souhait de l’AFA d’avoir une efficacité maximale dans ses procédures de contrôle, mais également d’accroître la dimension d’accompagnement des entreprises par l’AFA, y compris dans ses missions de contrôle. Désormais, à l’issue de la première partie du contrôle sur pièces, qui est, elle, systématique, et en fonction des éléments transmis par l’entreprise et des premières analyses que peut mener l’agence, une deuxième phase peut s’ouvrir avec un approfondissement qui ne porte pas forcément sur l’ensemble du dispositif mais sur certaines mesures, une zone géographique ou certaines activités. Par ailleurs, lorsque l’agence remet le rapport de contrôle provisoire, elle demande à l’entreprise de lui communiquer un plan d’actions précisant les modalités et le calendrier des actions envisagées pour répondre aux recommandations formulées par le rapport. Dans une démarche relativement partenariale et innovante, ce plan d’action peut donner lieu à des échanges entre l’AFA et l’entreprise contrôlée pour s’assurer de sa pertinence.

Iohann Le Frapper : Je voudrais apporter le témoignage d’une entreprise qui a été contrôlée, en l’occurrence celle à laquelle j’appartiens. C’était un contrôle sur place et sur pièces qui a été mené, lourd parce que portant sur l’ensemble du groupe et des piliers, mais qui s’est terminé de manière très positive parce que c’était un contrôle de suite, sans manquement à l’issue, ce qui est assez rare. Cela a nécessité, je peux le dire en tant qu’interlocuteur de l’AFA, beaucoup de travail de pilotage du programme anticorruption.

Cyril Naudin : De manière très pragmatique, cela recoupe plusieurs points. En effet, il convient de définir un plan d’actions dès la cartographie des risques mais aussi à l’issue d’un éventuel contrôle. Il faut s’assurer de pouvoir mettre en œuvre les actions du plan sinon l’entreprise pourrait s’exposer à un risque. Les échanges qui précèdent l’établissement d’un plan d’actions sont souvent intéressants. Il faut arriver à identifier les acteurs ou contributeurs qui prendront en charge des actions à mettre en œuvre. L’échéance temps doit également être prise en compte. Il est essentiel que le plan soit lancé au meilleur moment, c’est-à-dire qu’il intègre le quotidien de l’entreprise et son plan de développement à court, moyen et long terme. Nous observons que faire évoluer les processus prend du temps. Il faut, en effet, intégrer ce plan dans le projet de l’entreprise. Il faut donc apporter de la valeur, il ne faut pas tomber dans le non-réalisme. En synthèse, le plan doit être réaliste pour être pleinement opérationnel.

Sylvie Le Damany : En effet, la cartographie doit contenir des plans d’actions atteignables et suivis. Le risque est de les négliger, notamment sur la partie afférente aux fonctions en charge. Parfois, les plans d’actions sont laissés de côté au profit d’autres urgences opérationnelles ou faute de volonté, voire de moyens humains ou financiers suffisants. En notre qualité de conseil, notamment dans les missions d’anticipation de contrôles par des autorités administratives, nous sommes là pour rappeler à nos clients les engagements qu’ils auraient pris ou omis de prendre. Il n’y a pas pire, en effet, qu’une cartographie mettant en exergue des risques ou des dysfonctionnements, sans que les actions de remédiation ne soient mises en œuvre.

Quid de la gestion des alertes ?

Bachir Bacha : Pour les grandes entreprises, notamment celles travaillant aux Etats-Unis, les dispositifs d’alerte ne sont pas une nouveauté. Plus spécifiquement en France, la loi Sapin 2 prévoit, depuis 2017, la nécessité pour les entreprises de plus de 50 salariés de mettre en place un dispositif d’alerte interne. La loi Waserman sur la protection des lanceurs d’alerte est venue renforcer la réglementation sur la gestion des alertes.

Pour répondre à ces lois, les entreprises ont dû mettre en place des dispositifs d’alerte interne, souvent via des logiciels spécialisés, avec des équipes, internes ou externes, en charge d’analyser les alertes, d’échanger avec le lanceur d’alerte et de décider des suites à donner à l’alerte, notamment la conduite d’une enquête interne.

La nécessaire protection conférée aux lanceurs d’alerte est due à leur sensibilité, les alertes portant sur des sujets tels que le harcèlement, le non-respect des règles de concurrence, la fraude, la corruption, etc. Les entreprises, en plus de processus pour recueillir et analyser ces signalements, mettent en place des procédures pour conduire des enquêtes internes lorsque la gravité des faits l’impose. Ces enquêtes doivent être encadrées et menées de manière indépendante afin de préserver la crédibilité des résultats et des décisions qui en résulteront.

Les entreprises ne doivent également pas négliger la manière dont la technologie est utilisée lors de ces enquêtes, en veillant à extraire, transférer, analyser et utiliser les données électroniques dans le respect des règles applicables, notamment de protection de la vie privée ou des données à caractère personnel, et dans les règles de l’art en vue d’une potentielle utilisation judiciaire.

Iohann Le Frapper : Je peux peut-être illustrer ce point. Il y a une multiplication d’alertes en entreprise avec la libération de la parole, elles concernent pour la plupart des faits de harcèlement ou de discrimination, celles concernant la corruption sont plutôt rares. On observe une structuration de plus en plus importante des enquêtes internes, notamment avec le référentiel AFA qui a donné un cadre même pour des questions hors sujets de probité. Mais, il y a, en effet, un enjeu de professionnalisation et d’accompagnement des équipes parce que tout le monde n’est pas armé pour gérer des enquêtes internes qui peuvent être complexes, nationales ou transnationales… ce qui soulève de nombreuses questions. Il y a un point de vigilance important pour les entreprises européennes et notamment françaises, c’est que le département de la justice américaine vient de sortir deux programmes pilotes, l’un annoncé en mars dernier, qui est un programme concernant la rémunération des lanceurs d’alerte, l’autre qui porte sur la possibilité d’octroyer une immunité, un accord de non-poursuite à des individus qui dénonceraient des mauvaises pratiques et coopéreraient avec le DoJ. Alors que les entreprises françaises cotées aux Etats-Unis sont habituées à gérer ces aspects, notamment avec la SEC, c’est un vrai changement de paradigme pour les entreprises non cotées ayant des activités aux Etats-Unis car cela signifie que, si les entreprises ne sont pas dotées d’un programme de compliance et d’un dispositif d’alerte qui soient robustes, de nouveaux risques peuvent apparaître. En effet, si l’entreprise ne traite pas avec diligence un signalement, le lanceur d’alerte, au moment de décider la saisine d’une autorité, peut se dire qu’il va aller sur le terrain américain et qu’ainsi il pourrait toucher un pourcentage des montants recouvrés par le DoJ. Cela représente évidemment un enjeu financier et réputationnel important. Ce type de dispositif n’est pas prévu en Europe (contraire au principe que le lanceur d’alerte agit dans l’intérêt public à l’exclusion de toute contrepartie pécuniaire), mais si un salarié constate que personne ne s’occupe de son alerte, le danger peut être d’inviter le salarié à utiliser le canal US pour déclencher une enquête pilotée par une autorité américaine qui, si elle se considère comme compétente, saura se faire entendre.

Ludovic Malgrain : Je me réjouis que des dispositifs contraignants existent en entreprise qui permettent de libérer la parole, de dénoncer des sujets qui ne seraient pas apparus, mais je dois dire que je crains et que je constate une instrumentalisation de ces alertes par des personnes qui, soit cherchent une protection, soit cherchent à nuire, voire à paralyser des groupes de manière abusive par ces dispositifs. L’ensemble de ces derniers mettent parfois les systèmes opérationnels de management en péril. Il serait donc utile de rappeler que toute une série d’infractions, vol de documents, dénonciation calomnieuse ou tout autre sujet de cette nature ne restent pas impunis. On a malheureusement un cadre qui est très délicat pour discerner l’alerte de bonne foi désintéressée de l’instrumentalisation de quelque chose qui porte un terrible préjudice soit à des personnes physiques soit à des personnes morales.

Sylvie Le Damany : Le recueil des signalements et le traitement des alertes au sein des entreprises ne sont pas des sujets mineurs face au nombre d’alertes qui se multiplient. Les signalements faits de mauvaise foi ou destinés à nuire ou à déstabiliser une organisation doivent être identifiés très rapidement.

Bachir Bacha : Dans le domaine des alertes RSE et des enquêtes internes en découlant, le volume de dossiers le plus important que nous constatons fait suite à des audits RSE d’usines ou de sociétés locales dont les auditeurs sont accusés de corruption. Il y a de plus en plus de sujets liés aux audits RSE, notamment en Asie.

Cyril Naudin : Dans la gestion des alertes, la gestion de la remontée de l’alerte est importante, mais également la gestion de la confidentialité. Lorsque nous sommes en train de conduire des enquêtes internes, il est important de rappeler aux personnes avec lesquelles nous pouvons interagir la nécessité de maintenir la confidentialité, notamment à l’issue de la conduite des entretiens. Cet enjeu se retrouve également lors de la rédaction des synthèses : à qui seront-elles adressées, de quelle manière seront-elles partagées ? La gestion de la confidentialité est clé dans la gestion de l’alerte et dans la conduite de son analyse au cours d’une investigation, si l’on veut mener la chose à bien.

Bachir Bacha : Pour la conduite des entretiens avec les protagonistes importants d’une enquête interne, il est une bonne pratique pour l’entreprise de faire signer des accords de confidentialité spécifiques aux collaborateurs concernés. Ce type de mesure – accord de confidentialité, compte rendu signé, utilisation des données électroniques – doit figurer dans les procédures spécifiques aux enquêtes internes que les entreprises doivent mettre en place pour répondre aux recommandations de l’AFA et aux bonnes pratiques de place.

Sylvie Le Damany : En effet, les enquêtes internes nécessitent la signature d’engagements de confidentialité renforcée mais également le respect de droits fondamentaux protégeant tant les lanceurs d’alerte, les facilitateurs ou les personnes ciblées par les signalements.

Ludovic Malgrain : Mais attention, la confidentialité ne doit pas faire échec au respect du contradictoire, au respect de la défense.