Nouvelles recommandations de l’AFA : «Nous nous sommes clairement dévoilés»

Le 12 janvier 2021, et à la suite d'une consultation publique, l'AFA dévoilait ses nouvelles recommandations aux personnes morales de droit public et de droit privé pour prévenir et détecter les faits d’atteinte à la probité. L'Agence pourra s'en prévaloir à partir du 1^er juillet prochain en cas de contrôle d'un opérateur. 

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Quelles sont les nouveautés à porter à l’attention des juristes ?

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Les nouvelles recommandations reprennent évidemment en grande partie ce qui se trouvait dans les premières du mois de décembre 2017 mais elles contiennent tout de même plusieurs évolutions importantes. Outre leur présentation (les nouvelles contiennent un référentiel commun, puis une partie applicable aux entités assujetties à l’article 17 de la loi Sapin II, puis une autre concernant les personnes publiques), nous nous sommes clairement dévoilés dans cette nouvelle mouture en posant un référentiel minimum pour les acteurs publics là où la loi restait silencieuse. Cette prise de position est utile à la lisibilité et à la prévisibilité de notre action.

Nous avons en effet progressé sur la question de la valeur juridique de nos recommandations. Nous vivons dans une forme d’ambiguïté : si on ne dit rien là où la loi est taisante, on nous reproche de ne pas prendre position et si on le fait, on nous reproche d’ajouter à la loi et de créer des contraintes qui n’existeraient pas. Nous avons donc été très clairs, beaucoup plus qu’en 2017 où nous n’avions pas le recul et l’expérience nécessaire. Nous indiquons d’abord que nos recommandations s’adressent à tous, nous indiquons ensuite qu’elles n’ont aucune valeur obligatoire ou contraignante. Les opérateurs ne sont absolument pas tenus de s’y conformer.

Il s’agit donc d’un mode d’emploi de la loi. Loi dont les dispositions ont, elles, un caractère obligatoire. Nos recommandations sont là pour aider les acteurs à lire la loi et à l’appliquer. Elles ne peuvent pas ajouter à la loi si ce n’est en précision et fatalement en rigueur pour ceux auxquels elles s’adressent.

Désormais, et intégrant en cela un principe posé par la Commission des sanctions, nous considérons que les entités qui suivent nos recommandations de façon sincère et réelle bénéficient d’une présomption simple de conformité. C'est un apport très important. Dans le cadre d’un contrôle ou à l’occasion d’une comparution devant la Commission des sanctions, l’entreprise qui peut justifier ou qui prétend avoir adopté nos recommandations part avec un avantage. Il appartient à l’AFA, le cas échéant, de démontrer que tel n’est pas le cas.

Si les entités choisissent - et c’est parfaitement leur droit - d’employer des méthodes autres que celles que nous préconisons, elles devront - si nous étions amenés à les contrôler et que nous contestions la régularité de leur dispositif - démontrer que leurs méthodes ont permis d’atteindre les objectifs fixés par la loi. Evidemment une telle démonstration ne sera nécessaire que si nous remettons en cause à l’occasion d’un contrôle ou d’une poursuite, la pertinence et l’efficacité de la méthode choisie par l’entreprise. Si nous constatons que l’entreprise est parvenue aux objectifs fixés par la loi sans avoir suivi nos recommandations nous ne lui demanderons rien de plus.

Et très honnêtement, même si certaines mesures de l’article 17 peuvent sans doute être satisfaites selon plusieurs méthodes, la plupart d’entre elles ne laissent pas vraiment place à l’inventivité. Dans la plupart des cas, la méthode que nous proposons est cohérente, surtout lorsque la loi est elle-même très prescriptive, c’est le cas pour le code de conduite par exemple.

Pouvez-vous nous donner des exemples de recommandations ?

Concernant la cartographie des risques, nous proposons aux entités d’analyser leurs processus métiers et supports afin d’identifier leurs risques propres. Il faut interroger les personnes en interne qui sont en position de les détecter. Certains préfèrent partir d’une conception, souvent très théorique d’ailleurs, des risques auxquels ils pourraient être exposés pour bâtir leur cartographie. Cette évaluation dans l’abstrait peut être dangereuse : à un moment ou à un autre on peut passer à côté de quelque chose.

La difficulté toutefois est de le faire avec le bon dosage. Nous avons apporté une forme d’atténuation de nos exigences en matière d’évaluation des tiers par exemple. Il n’est pas nécessaire d’évaluer tous les tiers avec la même vigilance. La seule véritable exigence que nous posons c’est de considérer le caractère systémique du dispositif : toutes les mesures procèdent de la cartographie des risques et doivent se tenir et s’articuler. On évalue donc les tiers à partir des risques tels qu’ils résultent de la cartographie.

Quand on évalue les risques, il faut aussi les hiérarchiser et trouver les moyens de les atténuer. D’un risque brut identifié, il faut arriver à un risque net après avoir mis en place les mesures et procédures les plus efficaces pour les atténuer.

Concernant la formation des cadres, des salariés les plus exposés ou encore le contrôle interne, tout doit se faire au regard des résultats de la cartographie des risques.

Sur les dispositifs de contrôle interne toujours : ils ne marchent que s’ils sont à plusieurs niveaux. Si la même personne fait l’opération et la contrôle, cela ne peut pas être efficace. Il faut être sérieux. Que les entreprises ne disposent pas d’emblée de trois niveaux de contrôle je peux l’entendre. Paris ne s’est pas fait en un jour. Mais si on souhaite mettre en place des dispositifs de conformité il faut qu’ils soient dignes de ce nom. Recommander aux entreprises de faire de l’audit externe nous semble opportun. Ce n’est peut-être pas dit expressément dans la loi mais très largement sous-entendu et considéré comme nécessaire par les professionnels avisés. 

Nous ne ferons pas de contrôle de complaisance. Et on ne tire généralement aucune conséquence immédiate des manquements que l’on relève. Dans 9,9 cas sur 10, après avoir notifié des manquements à un dirigeant et obtenu son retour, nous donnons un simple avertissement. On ne peut pas nous reprocher d’être particulièrement offensif.

Avez-vous fait évoluer la partie sur la cartographie des risques à la suite des deux décisions de la Commission des sanctions ?

Nous avons intégré les principes et les raisonnements apportés à l’occasion de ces deux affaires, comme la présomption simple de conformité par exemple ou la mention selon laquelle notre contrôle porte à la fois sur la réalité et l’efficacité du dispositif anticorruption.

Mais il n’y a pas trente-six manières de tirer les conséquences d’une cartographie. Sur la méthodologie on ne peut pas revenir en arrière. Il faut évaluer et hiérarchiser ses risques puis les atténuer avec des plans d’actions. C’est l’esprit même de la loi, même si elle ne le dit pas expressément. La définition et la mise en œuvre de plans d’actions sont nécessaires ; une cartographie sans plan d’action ne serait d’aucune utilité.

Concernant le scope des infractions sur lequel doit porter le programme de conformité, certains estiment que vous avez une interprétation extensive. Que leur répondez-vous ?

Si on regarde le texte de la loi Sapin II que dit-il ? Les dirigeants des entreprises sont tenus de prévenir et de détecter la commission des faits de corruption et de trafic d’influence (article 17, I premier alinéa). Nous conseillons toutefois d’avoir une vision plus large mais en cas de contrôle nous ne ferons jamais grief à quelqu’un de ne pas avoir prévenu le blanchiment par exemple. On s’en tient au texte.

Il détaille ensuite les huit mesures à mettre en œuvre (à l’article 17, II) et le texte omet pour la cartographie des risques d’évoquer le trafic d’influence. Pour nous, le dispositif à un caractère systémique. Tout se tient. Par ailleurs, il n’y a pas de grande différence entre la corruption et le trafic d’influence : la distinction résidant dans la qualité de l’auteur qui agit ou non dans l’exercice de ses fonctions. Les éléments constitutifs de l’infraction sont rigoureusement les mêmes. Donc si on prévient l’un convenablement on prévient forcément l’autre, encore faut-il le dire.

Pourquoi avoir proposé un cadre général en première partie ?

Nos recommandations ont un double usage : elles sont un instrument de conseil et une grille d’analyse en cas de contrôle. Notre présentation en trois parties est un peu redondante mais permet à chacun de ne lire que ce qui l’intéresse.

Pour nous, le référentiel commun s’applique à tout le monde car une approche par les risques est à peu près équivalente que l’on soit du secteur public ou privé. Chacun peut ainsi lire uniquement sa partie : les non assujetties la première partie - ils ne peuvent se soumettre à la loi que de manière volontaire et il ne leur sera jamais demandé de rendre des comptes -, les entreprises privées assujetties la seconde et les entités publiques la dernière. Sinon nous aurions dû faire des encadrés pour spécifier les choses ce qui aurait apporter de la confusion à notre sens.

Pourquoi laisser un temps d’adaptation aux entreprises ?

Nos recommandations existent depuis le 12 janvier. Dans la mesure où c’est notre référentiel en cas de contrôle, on laisse 6 mois aux entreprises avant de l’utiliser. Au 1^er juillet, nous pourrons donc nous prévaloir de nos recommandations. Les entreprises qui avaient basé leur dispositif sur les anciennes ont cependant très peu de choses à adapter. Nous avons surtout développé nos recommandations mais elles n’ont pas fondamentalement changé au fond. Dans la mesure où nous avons entériné le principe de présomption simple de conformité nous avons trouvé légitime de laisser un délai pour que les entreprises se les approprient.