La loi Sapin 2 a été adoptée : et maintenant ?
Publié le 16 décembre 2016
Article co-écrit avec Karl Payeur, Associé, Deloitte Forensic
Le 8 novembre 2016, l’Assemblée nationale a adopté définitivement le projet de loi « Sapin 2 » relatif à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique. La France continue ainsi un combat initié il y a près de 24 ans, avec la loi n° 93-122 du 29 janvier 1993 (dite « Loi Sapin »), à l’heure où l’intégrité, la lutte contre la corruption, le blanchiment d’argent et le financement du terrorisme sont plus que jamais au cœur des préoccupations mondiales. Bien que déférées au Conseil Constitutionnel par la saisine du 15 novembre 2016, les dispositions clés relatives à la lutte contre la corruption et le trafic d’influence demeurent. Les entreprises soumises à cette nouvelle réglementation doivent dès à présent prendre les mesures nécessaires à la mise en place d’un dispositif de prévention et de détection de la corruption [1].
Dans quel contexte s’inscrit cette nouvelle réglementation ?
La mise en œuvre de cette nouvelle règlementation devra se faire au travers du développement et du déploiement effectif d’un programme interne dédié, efficace et adapté à leurs réalités opérationnelles.
Ce programme de conformité anti-corruption devra s’inscrire dans le cadre d’un contexte réglementaire plus large. On retiendra en effet que le code de conduite, le code d’éthique, ou la charte déontologique devront maintenant être intégrés au règlement intérieur de l’entreprise et seront donc aussi soumis à la procédure de consultation du comité d’entreprise ou des délégués du personnel conformément à l’article L.1321-4 du Code du travail.
En matière d’alerte professionnelle, l’implémentation du dispositif requis par la loi Sapin 2 s’inscrit également dans un cadre précis et restreint, soumis à autorisation de la Commission Nationale de l’Informatique et des Libertés (CNIL). Tout organisme soumis à la loi Sapin 2 devra donc répondre aux obligations légales et réglementaires de droit français pour obtenir l’Autorisation unique AU-004 et traiter les données obtenues via le dispositif. A défaut d’une stricte conformité avec cette autorisation unique, l’entreprise devra effectuer, auprès de la CNIL, une demande d’autorisation individuelle.
De façon prospective, le traitement des données récoltées par ce dispositif devra aussi être compatible avec les législations françaises (Loi informatique et libertés n° 78-17) et européennes, notamment le nouveau règlement européen sur la protection des données à caractère personnel (2016/679 EU GDPR). Cette nouveau réglementation entrera en vigueur le 25 mai 2018 et obligera les organismes à être transparent, vis-à-vis des autorités mais aussi des salariés quant à l’utilisation de leurs données récoltées au travers des alertes professionnelles.
Comment mettre un œuvre ce programme de conformité anti-corruption ? Qui procèdera à sa mise en place ?
Le dispositif de prévention et de détection de la corruption s’inscrit avant tout dans une démarche d’éthique des affaires, organisées et hiérarchisées selon les principes et les moyens de l’entreprise. Il doit être aligné sur le système de gouvernance mais nécessitera un personnel formé et des ressources matérielles dédiées pour construire le dispositif, l’animer, l’évaluer et le pérenniser. Il est aujourd’hui capital de considérer ce dispositif comme un investissement durable permettant d’apporter de la valeur ajoutée au regard de l’ensemble des parties prenantes afin de sécuriser son business.
Au-delà des exigences réglementaires de la loi Sapin 2, et comme tout programme de conformité, ce dispositif entrera dans une logique globale de gestion des risques. L’organisation devra ainsi être dirigée conformément à un ensemble de lois, politiques, valeurs et principes anti-corruption qui feront office de cadre de référence pour maîtriser et réduire les risques financiers ou opérationnels engendrés par de tels actes. Intégrité, transparence et responsabilité de la Direction devront être les maitres mots : l’engagement clair des dirigeants dans la démarche anti-corruption et le principe de tolérance zéro devront être déclinés à tous les niveaux de l’organisation et auprès de l’ensemble des parties prenantes et intermédiaires agissant pour le compte de la société.
Le rattachement hiérarchique du Responsable Conformité restera une question stratégique dans la mesure où il est important qu’il puisse reporter directement aux instances de Gouvernance et de Direction. Accompagné de correspondants locaux si nécessaire (au regard de l’organisation et de la taille de l‘entreprise), il veillera au respect des dispositions légales et réglementaires applicable à sa société. Il lui sera alors essentiel de travailler en étroite collaboration avec le département Juridique afin d’assurer, notamment, la gestion des contrats et des clauses contractuelles avec les tiers. Les clauses anti-corruption permettent en effet d’étendre les normes de l’entreprise, promues dans le code de conduite, à l’ensemble des contreparties d’affaires (clients, fournisseurs, agents, intermédiaires, sous-traitants,…), protègent chaque partie prenante des pratiques de corruption de l’autre et préservent ainsi la continuité de leur relation d’affaires.
Notons enfin que le délai de mise en conformité initialement prévu de 24 mois a été réduit à 6 mois lors de l’adoption de la loi en novembre dernier. Bien que plusieurs incertitudes demeurent quant au champ d’application de cet article, les sociétés qui à ce jour ne répondent pas aux exigences de la loi Sapin 2 devront se mobiliser rapidement pour définir et mettre en œuvre leur programme de conformité anti-corruption.
[1] Le projet de loi Sapin 2 (Article 1 à 24) instaure l’obligation de prévention et de détection de la corruption à travers la mise en œuvre d’un dispositif de lutte contre la corruption pour les sociétés employant au moins 500 salariés, ou appartenant à un groupe de sociétés dont la société mère a son siège social en France et dont l’effectif comprend au moins 500 salariés, et dont le chiffre d’affaires (ou CA consolidé) est supérieur à 100 millions d’euros.
Si le sujet vous intéresse, n’hésitez pas à contacter nos experts.