Le webinar Altares du 22 avril portait sur les étapes de la due diligence pour la réussite de l’évaluation des tiers. Ce webinar était animé par : Marion Rostamkolaei, Ingénieure avant-vente Finance et Compliance, Xavier Billard, Account Manager et Laurent Luce, Senior Compliance Product Marketing Manager chez Altares.

33% seulement des entreprises assujetties seraient en conformité avec la loi Sapin 2 (selon une étude de l’AFJE).

8 piliers Loi Sapin 2

Les 8 piliers de la loi Sapin 2

  1. Code de conduite intégré au règlement intérieur : illustre les différents comportements susceptibles de caractériser des faits de corruption ou de trafic d’influence, à proscrire.
  2. Dispositif d’alerte interne : recueil les signalements émanant d’employés relatif à des situations contraire au code de conduite.
  3. Cartographie des risques de corruption : hiérarchiser et analyser les zones géographiques de risque.
  4. Procédure d’évaluation des tiers : 8 étapes.
  5. Procédures de contrôle comptable : internes et externes, pour s’assurer que les registres de compte ne masquent pas des faits de corruption ou de trafic d’influence (ex : surfacturation reversée à quelqu’un).
  6. Formation des cadres et personnels exposés : quizz, vidéos, destinés aux personnels les plus exposés aux risques de corruption et trafic d’influence.
  7. Régime disciplinaire : sanction des salariés en cas de violation du code de conduite et faits avérés.
  8. Dispositif de contrôle et d’évaluation interne.
Télécharger notre livre blanc Loi sapin 2

Les 2 piliers les plus complexes sont les suivants : la cartographie et l’évaluation des tiers, pour lesquels Altares intervient.

La cartographie des risques dans le cadre de la loi Sapin 2

La cartographie des risques se définit comme la démarche d’identification, d’évaluation et de hiérarchisation des risques de corruption inhérents à votre activité. Elle implique deux objectifs :

Objectif 1 : hiérarchiser les risques de corruption et les gérer, puis les partager avec les instances dirigeantes.

Objectif 2 : informer l’instance dirigeante et donner aux personnes en charge de la conformité, la visibilité nécessaire pour la mise en œuvre de mesures de prévention et de détection proportionnées aux enjeux identifiés par la cartographie.

  • Votre cartographie doit être complète, prendre en compte les particularités propres à chaque organisation et intégrer tous les acteurs maîtrisant les processus.
  • Elle doit être formalisée sous forme écrite, structurée, synthétique et pouvoir être présentée sans délai aux agents de l’AFA.
  • Elle doit pour finir être évolutive : nécessité de réévaluer les risques de manière périodique, à chaque fois qu’un élément important de l’organisation évolue, dans un souci d’amélioration continue.

Les 6 étapes de la cartographie des risques

  1. Clarifier les rôles et responsabilités dans l’élaboration, la mise en œuvre et la mise à jour de la cartographie,
  2. Identifier les risques inhérents aux activités des organisations concernées,
  3. Évaluer l’exposition aux risques de corruption,
  4. Évaluer l’adéquation et l’efficacité des moyens visant à maîtriser les risques,
  5. Hiérarchiser et traiter les risques nets et résiduels,
  6. Formaliser la cartographie et la tenir à jour.

L’exposition aux risques peut être appréciée par pays, activité ou transaction (ex : un montant de facturation inhabituel).

Recommandations de l’AFA sur les étapes de la due diligence

L’AFA est un service opérant uniquement sur le territoire français, rattaché au ministre de la justice et au ministre du budget.
Elle a pour vocation d’aider les entreprises à détecter des faits de corruption, de détournement de fonds publics, de trafic d’influence… Elle a un rôle d’assistance envers les assujettis mais aussi de contrôle : la loi prévoit des sanctions en cas de non-respect des procédures et mesures réglementaires. En cas de constat d’infractions lors d’un contrôle, les entreprises reçoivent un avertissement mentionnant les faits, la commission des sanctions peut alors obliger la société à mettre en place les recommandations et procédures de l’AFA dans un délai défini (souvent 1 an, 1 an et demi). Elle prononce les sanctions financières, envers l’entreprise et les personnes physiques dirigeantes. Toutes ces informations de jugement sont ensuite publiées et disponibles librement.

Qui est concerné par ces obligations ?

Les entreprises françaises de plus de 500 salariés et 100 millions d’euros de chiffre d’affaires, ou les filiales présentes sur le territoire français.

Les entreprises doivent mettre en place des procédures d’évaluation de la situation des clients, des fournisseurs de premier rang et intermédiaires (II 4° de l’article 17 de la loi Sapin 2).

Pourquoi prendre des mesures de prévention de la corruption ?

Une organisation pas suffisamment vigilante sur l’intégrité de ses tiers peut être impliquée dans des affaires de corruption. Il existe un risque : juridique, commercial, financier et réputationnel.

Sur qui/quoi porte cette prévention ?

Sur l’ensemble des tiers existants et à venir, en priorité les tiers les plus à risque, sur lesquels est appliquée la procédure d’évaluation en fonction du niveau de risque.

Comment collecter ces informations ?

La collecte des données se fait :

  • via vos systèmes d’informations, collectées auprès de vos tiers : questionnaires, entretiens, audits, agréments, certifications…
  • via des données externes : informations sur les tiers, presse négative, listes de sanctions, liste des Personnes Politiquement Exposées.

Loi Sapin 2 et devoir de vigilance (loi Potier) : quelles différences ?

Le devoir de vigilance (Loi n°2017-399 du 28 mars 2017 relative au devoir de vigilance des sociétés mères et entreprises donneuses d’ordre) est très proche de la loi Sapin 2.

Les entreprises concernées par le Devoir de vigilance sont celles de plus de 5000 salariés en France et 10 000 à l’étranger (vs les entreprises françaises de plus de 500 salariés et 100 millions d’euros de chiffre d’affaires pour la loi Sapin 2), ou les filiales présentes sur le territoire français.

Le Devoir de vigilance porte sur l’atteinte aux droits humains et aux libertés fondamentales, à la santé et la sécurité des personnes, et à l’environnement c’est une démarche de Responsabilité Sociétale d’Entreprise (différente de la démarche anticorruption de Sapin 2).

Objectifs du Devoir de vigilance

La loi sur le Devoir de vigilance oblige les entreprises donneuses d’ordre à identifier les risques et prévenir les atteintes graves aux droits humains, libertés fondamentales, à la santé, la sécurité mais aussi l’environnement, résultant directement ou indirectement de ses activités ou de celles de ses filiales, sous-traitants et fournisseurs avec lesquels elle entretient une relation établie.

L’entreprise doit :

  • identifier, évaluer, hiérarchiser et gérer les risques d’atteintes aux droits de l’homme, à la santé, la sécurité et l’environnement,
  • informer l’instance dirigeante et donner aux personnes en charge de la conformité, la visibilité nécessaire pour mettre en œuvre les mesures de prévention et de détection proportionnées aux enjeux identifiés par la cartographie.

Les 5 mesures du plan de vigilance

  1. Cartographie des risques destinée à les identifier, les analyser et les hiérarchiser,
  2. Procédures d’évaluation régulière de la situation des filiales, sous-traitants et fournisseurs,
  3. Actions d’atténuation des risques ou de prévention des atteintes aux droits humains ou à l’environnement,
  4. Mécanisme d’alerte et de recueil des signalements relatifs à l’existence ou à la réalisation des risques défini avec les organisations syndicales représentatives,
  5. Dispositif de suivi des mesures et évaluation de leur efficacité,
  6. Publication dans le rapport annuel de l’entreprise.

Les actions à mettre en place dans le cadre du Devoir de vigilance sont : code de conduite, formation, audit, évaluation préalable.

Sanctions relatives au Devoir de vigilance

Il n’existe pas d’organisme de contrôle pour le Devoir de vigilance, les sanctions prévues initialement prévues n’ont pas été retenues par la loi. Néanmoins le mécanisme de sanction est le suivant : injonction du tribunal de respecter les obligations à la demande de toute personne justifiant d’un intérêt à agir, après mise en demeure restée sans effet pendant 3 mois.

Le manquement à l’obligation de vigilance engage la responsabilité de son auteur et l’oblige à réparer le préjudice (indemnisation des victimes) sur le fondement des articles 1240 et 1241 du code civil.

induedD pour gérer le 4ème pilier d’évaluation des tiers

L’AFA recommande 3 niveaux d’évaluation : vert, orange, rouge, repris dans indueD, la solution compliance Altares.

indueD inclut toutes les étapes du KYC pour arriver au rapport de conformité.

Les étapes du processus KYC indueD

  • Identification des tiers issus de la cartographie (via les D-U-N-S Numbers de 360 millions d’entreprises présentes dans la base de données d’Altares – Dun & Bradstreet).
  • Enrichissement avec des données issues de sources officielles, publiques (publiées par les entreprises) et d’enquêtes.
  • Vérification de l’honorabilité de l’entreprise, ses Bénéficiaires Effectifs et ses filiales.
  • Screening personnalisable basé sur le risque pays, l’activité, les PPE, les sanctions financières et la presse négative.
  • Visualisation du niveau de risque avec les indicateurs et les scores.

Retrouvez l’intégralité du webinar et plus de détails sur le sujet, dans le replay :