Recommandations de l’AFA de janvier 2021 : une évolution des contrôles à partir de juillet

Les recommandations de l’AFA, destinées à accompagner les personnes morales à prévenir et à détecter les faits de corruption, sont régulièrement mises à jour pour prendre en compte l’évolution des pratiques.

Les nouvelles recommandations ont été publiées au Journal officiel le 12 janvier 2021, à la suite d’une consultation publique, à laquelle a participé Deloitte et annulent et remplacent celles publiées en 2017. Les nouvelles recommandations seront utilisées comme référence, pour les contrôles ouverts à compter de juillet 2021.

Les principaux apports des recommandations de 2021 portent sur :

• l’introduction d’une présomption simple de conformité et valeur juridique des recommandations,
• la création de règles de conservation et d’archivage,
• l’intérêt porté aux acteurs publics,
• la formalisation de l’enquête interne en cas d’alerte,
• le renforcement de l’implication des organes de direction.

Les nouvelles recommandations sont structurées en trois parties :

• Dispositions générales applicables à tous les acteurs, qui s’articulent autour de trois piliers indissociables : l’engagement de l’instance dirigeante, la connaissance des risques d’atteinte à la probité auxquels l’entité est exposée (cartographie de ses risques) et la gestion de ces risques.
• Dispositions pour les personnes morales de droit privé (entreprises assujetties à l’article 17 de la loi), relatives aux 8 piliers de la loi déjà connus des assujettis
• Dispositions pour les personnes morales de droit public (acteurs publics assujettis à l’article 3 de la loi Sapin 2). L’AFA décline les 3 piliers présentés dans les dispositions générales (engagement de l’instance dirigeante, cartographie des risques d’atteintes à la probité, gestion des risques d’atteintes à la probité). Cette déclinaison montre un intérêt progressif de l’AFA à l’égard des acteurs publics depuis 2017. De plus, une annexe a été ajoutée, recensant des exemples de scénarios de risques pour les acteurs publics dans trois processus de gestion publique : le versement de subventions, la gestion des ressources humaines et la commande publique.

Première partie – dispositions générales

Champ d’application des recommandations

Les recommandations sont applicables aux personnes morales de droit français ou étranger qui déploient leurs activités en France comme à l’étranger. Il n’est plus précisé que les recommandations sont applicables lorsqu’il n’existe pas de références plus exigeantes en matière de prévention et de détection des faits de corruption.

L’AFA précise également que les recommandations sont applicables aux personnes morales, quelles que soient leurs caractéristiques (taille, forme juridique, etc.) et encourage donc toutes les entités à se doter d’un dispositif de lutte contre la corruption et à appréhender plus largement les risques, qui pourraient constituer les prémices ou la conséquence des délits évoqués dans la loi Sapin 2.

Conformité aux recommandations

Une organisation qui indique lors d’un contrôle de l’AFA avoir suivi les recommandations, bénéficie d’une présomption simple de conformité. Cette présomption peut toutefois disparaitre si l’AFA démontre que l’application des recommandations est non effective, incorrecte ou incomplète.

Une organisation qui déciderait de ne pas mettre en œuvre les recommandations ne serait pas considérée comme ne respectant pas la loi. Cependant, en cas de contestation de l’AFA, il revient à l’organisation de démontrer que les choix qu’elle a faits lui permettent de satisfaire aux exigences posées par la loi. De plus, l’AFA précise que les recommandations doivent être adaptées en fonction du profil de risques de chaque entité et de ses activités.

Deuxième partie – entités soumises à l’article 17

L’engagement de l’instance dirigeante

L’AFA rappelle l’importance de la mise en œuvre d’une politique de « tolérance zéro », nécessaire à la prévention et à la détection des faits de corruption. Les nouvelles recommandations détaillent également les moyens dédiés, humains et financiers, mis à disposition par l’instance dirigeante et notamment le rôle du responsable de conformité. L’instance dirigeante veille à ce que ce dernier puisse accéder à toute information utile à la réalisation de ses fonctions et bénéficie d’une indépendance d’action ainsi que de son soutien.

La cartographie des risques

Dans ses nouvelles recommandations, l’AFA conserve sa méthodologie de 2017 et la complète, notamment concernant le périmètre. Elle indique que les maisons-mères doivent prendre en considération les risques inhérents à leurs filiales lors de l’établissement de la cartographie, et suivre de manière périodique la mise en œuvre des plans d’action dans ces filiales.

L’AFA suggère de conserver certains éléments permettant d’apprécier la mise en œuvre effective de la cartographie : méthode calcul des risques « bruts », ainsi que la définition retenue, les procédures d’identification et de classification des risques etc.

Il est également conseillé de conserver les différentes versions des cartographies, ainsi que leur piste d’audit. Ces cartographies doivent être datées, référencées et archivées.

En revanche, l’AFA souligne que les entreprises doivent recenser de manière exhaustive leurs processus et scénarios de risques, “sans préjuger des résultats de la cartographie des risques en dressant a priori une liste de processus jugés les plus représentatifs ou les plus exposés aux risques”. Ce recensement ne doit donc pas être fondé sur une approche par les risques.

La gestion des risques

Plusieurs recommandations nouvelles, relatives aux 6 piliers dans le cadre de la gestion des risques, sont détaillées

• Concernant le code de conduite: dans ses recommandations de 2021, l’AFA recommande d’imposer aux tiers le respect de ce document, par une clause contractuelle. L’AFA détaille le processus d’élaboration et de validation du code de conduite, mais également le contenu souhaité et souligne l’interdépendance possible entre le code de conduite et d’autres documents internes (procédures, fiches opérationnelles…).
• Concernant la formation, contrôlée et suivie, des collaborateurs les plus exposés aux risques de corruption et de trafic d’influence. L’AFA recommande également de sensibiliser l’ensemble des personnels de l’organisation, et préconise expressément de former les collaborateurs en charge du traitement des alertes internes.
• Concernant l’évaluation des tiers: dans ses recommandations de 2021, l’AFA précise qu’elle doit être distinguée des obligations de vigilance à l’égard de la clientèle mises en œuvre dans le cadre de la LCB-FT. Néanmoins, elles peuvent être mises en œuvre à travers le même dispositif, pour autant que ce dernier permette de faire ressortir le risque spécifique de corruption.

L’AFA précise également quels types de tiers doivent être inclus dans les dispositifs d’évaluation en dehors des clients, fournisseurs de premier rang et intermédiaires : les cibles d’acquisition, bénéficiaires d’actions de sponsoring ou de mécénat.

Par ailleurs, la procédure d’évaluation de l’intégrité des tiers doit être formalisée.

• Concernant le dispositif d’alerte interne: l’AFA précise qu’il est essentiel de définir et formaliser la procédure d’enquête interne préalablement à son lancement, ainsi que le suivi du traitement des alertes (comités dédiés, rapport d’enquête et conservation des données).
• Concernant le contrôle interne: l’AFA recommande la formalisation au sein d’une procédure des contrôles comptables. Les nouvelles recommandations intègrent un tableau récapitulatif des contrôles à réaliser pour chaque niveau de contrôle et chaque élément du dispositif anticorruption. Il est également précisé les attendus en termes de formalisation des contrôles.

Si les nouvelles recommandations de l’AFA, comme celles de 2017, reposent sur trois piliers indissociables, elles formalisent aussi considérablement les préconisations de l’Agence. On retient principalement le renforcement de l’implication des organes de direction, la formalisation des enquêtes internes, et l’intérêt nouveau pour les acteurs publics, auxquels l’article 17 a été entièrement décliné. On peut toutefois s’interroger sur la valeur et la portée juridique de ces recommandations, non contraignantes, mais qui pose une présomption simple de conformité au bénéfice des entreprises pouvant justifier de la mise en œuvre effective des nouvelles recommandations, sans toutefois définir la nature exacte de l’avantage attribué à ces entreprises. Il pourrait s’agir d’une méfiance moindre à leur encontre lors de la réalisation des contrôles par l’AFA, ce qui sera confirmé ou infirmé lors des contrôles à compter de juillet 2021.