Loi Sapin II : Les nouvelles recommandations de l’AFA

Interview expert – 17/09/2021

L’Agence Française Anticorruption (AFA), organisme de contrôle d’application des obligations de la loi Sapin 2, a actualisé ses recommandations dans le cadre de la mise en œuvre du dispositif anticorruption pour les entreprises concernées (article 17 de la loi Sapin 2). Elle a publié un nouveau jeu de consignes au Journal Officiel de la République Française le 12 janvier 2021, auquel elle se réfère depuis le 13 juillet 2021 dans ses missions de conseils et de contrôles.

Ces nouvelles recommandations annulent et remplacent celles publiées en 2017 et ont été restructurées en 3 piliers (contre 8 auparavant). Ces modifications permettent une définition plus claire de la loi, facilitant son application.

Nouzha Ziani, décrypte ces nouvelles recommandations et donne des conseils concernant l’une des parties les plus complexe à mettre en oeuvre : l’évaluation des tiers.

Nouzha ZIANI
Directrice des Risques Export & Intelligence Stratégique

Quel sont les 3 nouveaux piliers de l’AFA ?

Rappelons en premier lieu, que les 8 mesures sont toujours présentes, elles sont simplement structurées différemment et ramenées au nombre de 3 afin de faciliter la compréhension des personnes qui ont la charge du déploiement opérationnel.

Les trois nouveaux piliers de l’AFA sont dorénavant :

1. L’engagement de l’instance dirigeante

L’AFA revient sur la définition de l’instance dirigeante au sens « large » et rappelle surtout son devoir d’implication, sa responsabilité et les moyens à mettre en place. Ce pilier préconise que les membres du conseil d’administration ou autres organes de contrôle doivent assurer leur rôle de surveillance des dispositifs mis en place tout en s’assurant de leur pertinence.

2. La cartographie des risques

C’est le point de départ du dispositif anticorruption. C’est sur ce pilier que repose l’ensemble des mesures des risques d’atteinte à la probité de chaque entreprise. Pour piloter les risques, il faut avoir une fine connaissance des menaces auxquelles est exposée l’entreprise et en identifier les points de vulnérabilité. L’entreprise doit alors élaborer une cartographie des risques et s’interroger notamment sur sa propre organisation. Quels sont les risques spécifiques liés à mon organisation ?

3. La gestion des risques

Ce troisième pilier de gestion des risques est la pièce maitresse du dispositif. Il est lui-même décomposé en trois blocs comme vous pouvez le voir sur le schéma de l’AFA ci-dessous.

  • La prévention: qui consiste à mettre en place des codes de conduite, des formations de sensibilisation interne et externe et la mesure la plus complexe, un système d’évaluation de l’intégrité des tiers.
  • La détection: qui consiste à mettre en place des dispositifs d’alerte interne qui se déclinent en contrôles comptables et contrôles internes de niveau 1 à 3.
  • La remédiation: si l’entreprise détecte des dysfonctionnements, elle doit instaurer des mesures correctives, en contrôlant et mesurant l’efficacité des mesures du dispositif interne mis en place et dans certains cas en appliquant le régime disciplinaire.

A noter : Les recommandations de l’AFA sont toutes structurées dans un document qui définit le nouveau référentiel anticorruption français.

Schéma AFA - Loi Sapin 2

Source : schéma de l’Agence Française Anticorruption

La complexité du système d’évaluation de l’intégrité des tiers

L’évaluation des tiers détaillée dans le troisième pilier de l’AFA est sans aucun doute le dispositif de la loi Sapin 2 le plus compliqué à mettre en oeuvre. Ce dispositif est étroitement lié à la cartographie des risques. L’évaluation des tiers doit évaluer de manière pertinente l’ensemble des parties prenantes de l’entreprise : clients, sous-traitants et fournisseurs de premier rang. Ces évaluations sont un vrai « casse-tête » en raison de la complexité à obtenir des données fiables et à jour. Les recherches sont alors longues et fastidieuses. Il faut pouvoir se plonger dans des listings volumineux et vérifier les informations une à une, pour chaque tiers, comme URIOS le fait pour ses clients. Ce processus peut-être long s’il est réalisé en interne, avec peu d’effectif et peut avoir pour conséquence l’allongement de la mise en relation avec un nouveau tiers. Il demande aussi une forte implication des directions financières, achats et commerciales, du personnel et une formation plus poussée des équipes opérationnelles sur le sujet.

A noter : les dossiers d’évaluation des tiers et leurs historiques de mises à jour régulières doivent être conservés pendant 5 ans après la cessation de la relation d’affaires.

Quelles questions se poser dans l’évaluation des tiers 

  • Quels tiers évaluer ?

Les tiers à évaluer découlent directement de la cartographie des risques et des points de vigilance qui en ressortent. Il est primordial de commencer par approfondir l’évaluation sur les partenaires les plus stratégiques et obligatoires : les clients, les fournisseurs  de premier rang et les intermédiaires. L’AFA recommande également d’approfondir l’évaluation en enquêtant sur les sous-traitants, les titulaires de marchés publics, les concessionnaires, les délégataires, les bénéficiaires de mécénats, sponsoring, les partenaires avec qui vous devez « joint-venture » et les cibles d’acquisition.

  • Quels systèmes de hiérarchisation des risques d’atteintes à la probité mettre en place ?

En face de chaque niveau de risque il faut préconiser un type d’évaluation différent, établir un premier set de critères d’évaluation simplifiée ou approfondie, en fonction du profil du tiers…

L’AFA conseille de ne pas forcément décliner des mesures anticorruptions en profondeur pour tous les tiers identifiés et adopter une évaluation simplifiée dans certains cas.  

  • Quels moyens utiliser pour compléter son appréciation du risque d’atteinte à la probité ?

L’entreprise peut mener différents niveaux d’investigations lui permettant d’évaluer la pertinence de poursuivre ou stopper la relation d’affaire : 

    • La recherche simple en vérifiant les sources ouvertes
    • L’enquête approfondie de type Due Diligence « simple » ou « augmentée »
    • L’envoi d’un questionnaire d’évaluation au tiers
    • Le recours à des prestataires d’information et de base de données pour compléter et sécuriser sa vision du risque
  • A quelle périodicité faut-il mettre à jour les contrôles ?

Une réévaluation périodique est nécessaire, une fois par an à minima ou tous les six mois en fonction du niveau de risque du tiers et/ou d’un évènement notable qui se produit dans l’entreprise : changement d’actionnaire, changement de bénéficiaire effectif …

  • Quels facteurs de risques doivent provoquer la vigilance ?

Il y a plusieurs facteurs devant vous alerter comme : un tiers qui vous a été recommandé, le niveau de dépendance économique de l’entreprise, un secteur d’activité sensible, une zone géographique à risque, la présence de personnes politiquement exposées…

Quelles solutions pour évaluer les tiers ?

Depuis la mise en place de la loi Sapin 2, de nombreux outils digitaux ont fait leur apparition sur le marché. Ces outils permettent de remonter des informations de premier niveau qui manquent parfois de « fraicheur ». Pour s’approprier correctement ces résultats et faire remonter des informations à jour et pertinentes, il faut mettre en place une intervention humaine pour évaluer et vérifier chaque spécificité d’un tiers, avant  l’injection de la donnée dans un outil de compliance.

La valeur ajoutée d’URIOS, c’est l’information qualifiée et en temps réel, appelée en interne la data live. C’est à ce jour un des moyens les plus fiables d’obtenir des informations financières et stratégiques. Notre analyse repose sur trois étapes. La première, la collecte d’informations disponibles via des bases de données, des sources légales, la presse et le web. La seconde, une investigation poussée de la part de nos experts via des interviews en live des partenaires à étudier pour mesurer les faits à travers différents prismes et nous permettre de confronter et vérifier en temps réel les éléments acquis lors de la première étape. Et enfin, un recoupement de l’ensemble des informations obtenues permettant à nos experts de remonter de nouveaux points de vigilances. En cas d’alerte positive, URIOS peut établir des rapports de due diligences approfondies sur des personnes morales ou physiques comme il est recommandé par l’AFA.

L’évaluation des tiers occupe toujours une place centrale dans le dispositif

Pour vous aider dans votre démarche de compliance, URIOS vous propose une solution pragmatique, véritable outil d’aide à la décision.

 Nos objectifs ?

  • identifier les risques liés à votre portefeuille de clients, fournisseurs, sous-traitants
  • lever les doutes
  • évaluer la pertinence de poursuivre ou stopper la relation d’affaire.

EN SAVOIR PLUS