Première décision de la Commission des sanctions de l'AFA : une occasion manquée ?
16.07.2019
Gestion d'entreprise
La Commission des sanctions de l'Agence française anticorruption (AFA) a rendu sa première décision le 4 juillet 2019. L'article ci-dessous ne détaille pas l'ensemble des griefs de l'AFA, ni tous les moyens soulevés par la société contrôlée pour se concentrer sur certains uniquement. L'auteur vous invite à lire la décision elle-même pour avoir une vision plus complète du dossier.
L'article ci-dessous ne détaille pas l'ensemble des griefs de l'AFA, ni tous les moyens soulevés par la société contrôlée pour se concentrer sur certains uniquement. L'auteur vous invite à lire la décision elle-même pour avoir une vision plus complète du dossier.
Une audience haletante
Après plus d’une heure et demie d’attente, seule une petite cinquantaine de personnes a été acceptée dans les locaux de l’AFA, avenue d’Italie, afin de pouvoir assister à l’audience de la Commission des sanctions, qui s’est tenue le 25 juin dernier. Les débats se sont étirés durant plus de 3 heures.
Les résultats du contrôle effectué par les agents de l’AFA à partir de la lettre de mission émise par le Directeur de l’Agence le 17 octobre 2017 semblaient sans appel : le programme en question aurait été totalement défaillant, en tout cas sur 5 des 8 points de l’article 17-I de la loi Sapin 2. Pourtant, les représentants de la SAS S. ont présenté en détail leur programme, et de prime abord, sans avoir vu les documents, rien ne semblait manquer ou du moins mériter un renvoi de l’affaire devant la Commission des sanctions. Un vrai roman policier que le contrôle de la SAS S.
Les personnes qui ont pu assister à l’audience sont sorties ébahies par cette expérimentation de la justice qui venait de se dérouler devant elles, et avides de réponses :
- pourquoi le Directeur de l’AFA était-il à l’audience ? Sa présence allait-elle entacher de nullité l’ensemble de la procédure ?
- pourquoi la SAS. S. avait-elle soulevé autant de moyens de nullité, 11 au total ?
- pourquoi la cartographie des risques préparée à l’origine par un cabinet de consultants renommé serait-elle défaillante ?
- pourquoi la défaillance de la cartographie entraînerait-elle automatiquement la défaillance des autres éléments du programme de conformité ?
- pourquoi, enfin, renvoyer le dossier devant la Commission des sanctions un an et demi après avoir débuté le contrôle, alors que la SAS S. a largement complété son programme depuis lors et que la Commission des sanctions statue au vu du programme existant à la date de l’audience ?
Une décision mi-figue mi-raisin
Beaucoup d’espoirs étaient fondés sur la décision qui allait être rendue, non pas seulement pour savoir quel serait le sort de la SAS S. et de sa dirigeante, mais surtout sur les enseignements qui pourraient être tirés de cette décision, afin de mettre en œuvre les programmes de conformité anticorruption de l’ensemble des sociétés soumises à la loi Sapin 2.
Or, la décision rendue le 4 juillet par la Commission des sanctions, publiée le 10 juillet 2019 sur le site de l’AFA, accompagnée d’un communiqué du Directeur de l’AFA, a pu en laisser certains sur leur faim.
Remarque : pour un dossier aussi important qui a sans doute donné lieu à un échange de mémoires longs et détaillés et à la communication d’un grand nombre de documents, une décision de 16 pages qui n’en consacre que 5 à l’analyse du programme lui-même, a pu sembler un peu court pour que d'autres entreprises puissent en tirer des leçons.
La mise à jour du programme de conformité
Un point essentiel toutefois : la Commission des sanctions, investie d’un pouvoir de plein contentieux comme le rappelle l’AFA dans son communiqué, conclut qu’à la date où elle statue, aucun des manquements soulevés par le Directeur de l’AFA n’étant constaté, il n’y a pas lieu de prononcer d’injonction ou de sanction pécuniaire.
Cela confirme que, contrairement à ce qui a souvent été dit depuis le début des contrôles, les améliorations apportées au programme après le contrôle doivent être prises en compte, même si le contrôle sur place est terminé. Voilà un point clarifié qui confirme que le contrôle doit également permettre l’instauration d’une « véritable discussion » entre les agents de l’AFA et la société contrôlée et guider celle-ci vers une amélioration et un meilleur déploiement de son programme. La CNIL applique d’ailleurs souvent ce principe de dialogue lors de ses contrôles, ce qui la conduit à conclure 90% de ses contrôles par un accord (D. Dedieu, W. Feugère, M. Lancri, J.-Y. Trochon, Compliance, enquêtes et transactions, Revue internationale de la compliance et de l'éthique des affaires, n°3, juin 2019, p.11).
Remarque : de ce fait, si les 18 derniers mois ont bien permis à la SAS S. d’améliorer son programme et de couvrir utilement les 8 points de l’article 17-I, pourquoi l’AFA a-t-elle renvoyé le dossier devant la Commission des sanctions ?
Les aspects procéduraux
La présence du Directeur de l'AFA a pu paraître surprenante : lorsqu’on relit attentivement la loi Sapin 2, l’article 2 alinéa 2 prévoit en effet que le Directeur "ne peut être membre de la commission des sanctions ni assister à ses séances", ce que n’avait pas manqué de soulever la SAS S. qui avait appris la présence du Directeur uniquement en début d’audience.
Dans sa décision, la Commission des sanctions a considéré qu’il n’y avait pas là d’atteinte à son indépendance dans la mesure où le Directeur n’a assisté qu’à l’audience publique et non pas aux délibérations de la Commission.
Beaucoup de praticiens ont du mal, depuis 18 mois, à comprendre quelle est l’étendue des pouvoirs de contrôle des agents de l’AFA.
La charte préparée par l’AFA semble donner à cette dernière des pouvoirs assez illimités, alors même que la mission de cette agence est de contrôler les programmes de conformité, et non pas de rechercher d’éventuelles violations de la loi, comme dans le cadre des enquêtes lourdes de l’Autorité de la concurrence ou des enquêtes pénales.
Le fait que la rédaction de l’article 4 de la loi Sapin 2 soit assez extensive et permette à l’Agence de se faire communiquer "tout document professionnel, quel qu’en soit le support, ou toute information utile" permet-il à l’AFA de demander la communication de documents qui ne semblent pas avoir de lien avec sa mission ?
La SAS S. a en effet soulevé que les agents de l’AFA ne pouvaient solliciter des documents aux fins de rechercher des indices de pratiques restrictives de concurrence ou de fraude fiscale.
La Commission des sanctions considère que ce moyen devrait plutôt être soulevé devant le juge du délit d’entrave auquel il appartiendrait de statuer sur la licéité du refus de produire des documents ou de fournir des informations.
C’est bien entendu une possibilité, mais si une société contrôlée devait le faire, cela voudrait dire que le dialogue avec l’AFA n’a pas été productif. Or, la saisine d’un juge en cours de procédure de contrôle est toujours source de tensions supplémentaires.
Il était peut-être attendu, de la part de la Commission des sanctions sur ce sujet, de donner des directives claires sur ce qui est dans le champ et hors du champ du contrôle, directives qui puissent être transposables à d’autres dossiers.
La réponse à cette question doit d’ailleurs se faire en lien avec le fait de savoir quels sont les documents dont les agents de l’AFA ont besoin pour évaluer un programme de conformité.
Le fond du programme de conformité
L'étendue des pouvoirs de l'AFA
L' une des attentes des praticiens était de savoir enfin quelle est l’étendue des pouvoirs de l’AFA dans le contrôle des programmes. S’agit-il uniquement de contrôler la mise en œuvre des mesures de l’article 17-II ou bien leur efficacité ; sur quels fondements ce contrôle doit-il se faire ?
La question a son importance à deux titres :
- d’une part, les agents de l’AFA, considérant devoir vérifier l’efficacité du programme, demandent la communication d’un nombre important de documents. Cette approche ne se limite pas à la simple analyse des programmes et peut ainsi permettre de rechercher des indices de faits de corruption dans des dossiers commerciaux de l’entreprise. La Commission des sanctions répond à la première question en citant la première phrase de l’article 3-3° de la loi Sapin 2 : "les contrôles doivent permettre à l’AFA d’apprécier … ‘la qualité du dispositif’… " qui ne paraît pourtant concerner que les personnes morales de droit public. La deuxième phrase de l’article 3-3° semble elle concerner les personnes morales de droit privé puisqu’elle dit : "Elle (l’AFA) contrôle également le respect des mesures mentionnées au II de l’article 17".
- D’autre part, si l’AFA rappelle régulièrement que les Recommandations qu’elle a émises n’ont pas de valeur contraignante, elle assied la validité du programme contrôlé sur un respect à la lettre de ces Recommandations.
Au titre de la seconde question, la Commission recommande de suivre la méthode préconisée dans les Recommandations et dit, qu’à défaut, il incombe à la société contrôlée de "démontrer la pertinence, la qualité et l’effectivité du dispositif de détection et de prévention de la corruption en justifiant de la validité de la méthode qu’elle a librement choisie et suivie". On comprend donc que pour répondre à ces critères, la société contrôlée doit donner accès à des documents attestant de l’effectivité du programme.
Remarque : pour comprendre quelle est l’étendue des pouvoirs des agents de l’AFA, il aurait été intéressant que la Commission des sanctions essaie de définir ce qu’est l’effectivité en répondant à des questions telles que : quel niveau de déploiement doit-on considérer comme suffisant ? Quels indices relatifs à l’utilisation des codes et procédures du groupe démontrent leur compréhension et leur pertinence ? Autant d’éléments qui encore une fois auraient pu aider les autres sociétés soumises à la loi à mieux adapter leur programme.
La cartographie des risques
La cartographie des risques a été discutée pendant une bonne moitié de l’audience.
Visiblement, au moment du contrôle, cette cartographie n’avait été effectuée que pour les activités françaises et n’avait pas encore été conduite dans les filiales étrangères, compte tenu de la date du contrôle. Cet exercice avait été engagé dès décembre 2016, soit au moment où la loi était votée. Il s’agissait, comme nous le rappelle la décision, d’une cartographie-pilote établie avec l’assistance d’un cabinet de conseil reconnu, en interrogeant une trentaine de personnes, d’après ce qui avait été dit à l’audience. On comprend que l’objectif était de déployer la cartographie également au sein de ses filiales.
C’est cette cartographie en cours de déploiement qui a été remise au moment du contrôle. L’exercice a ensuite été poursuivi par la SAS S. pendant toute la durée de la procédure : 139 personnes ont ainsi été interrogées au total, 17 risques identifiés, 182 plans d’actions mis en place dont 75% seraient clôturés en juin 2019.
La Commission des sanctions conclut qu’au vu des éléments de déploiement mentionnés, la cartographie telle qu’existant au jour de l’audience, qui a ainsi suivi un "long processus d’amélioration progressive", est satisfaisante.
L’AFA avait plaidé que la méthodologie suivie, n’étant pas conduite selon ses Recommandations, ne permettait pas une bonne identification des risques de la société et avait jugé contestable, entre autres, l’absence d’analyse du risque de trafic d’influence, et le classement des pays dans lesquels la société exerce en trois niveaux de risques.
Pour le public qui n’a pas accès aux pièces du dossier, l’audience a pu paraître trop brève sur ce point :
- il ne semblait pas être tenu compte du fait que la cartographie d’origine avait été initiée avant que la méthodologie de l’AFA ne soit exposée dans ses Recommandations ;
- la méthodologie suivie dans la cartographie d’origine n’a pas été exposée clairement par l’AFA, ce qui ne permettait pas de savoir ce qui lui manquait ;
- l’AFA a cité des extraits de ses Recommandations sans vraiment les mettre en parallèle avec la cartographie de la SAS S. ;
- la SAS S. a précisé que l’analyse avait été faite par processus, ce que l’AFA réclame, mais elle ne disait pas, au travers d’exemples, en quoi cette analyse n’était pas assez fine ;
- la raison pour laquelle les niveaux de risques retenus pour les pays où la société exerce ne serait pas satisfaisante n’était pas clairement exposée par l’AFA ;
- la raison pour laquelle la cartographie, maintenant étendue à toutes les filiales, ne serait toujours pas satisfaisante, n’a pas été suffisamment explicitée non plus.
Remarque : bien entendu, il ne s’agit que d’une audience et tout le dossier ne peut être y revu en détails, mais il s’agit d’éléments qui peuvent aider à la compréhension.
La Commission des sanctions répond que la cartographie était satisfaisante, rappelant que la SAS S. n’était pas tenue de suivre la méthodologie de l’AFA dans la mesure où l’exercice qu’elle a mené a été jugé pertinent, de qualité et effectif.
C’est un point positif, les entreprises disposent ainsi d’une certaine liberté pour mettre en place une cartographie adaptée et proportionnée à leurs risques.
Remarque : il est donc possible de considérer que les entreprises disposent ainsi d’une certaine liberté pour mettre en place une cartographie adaptée et proportionnée à leurs risques.
Peut-être la Commission des sanctions s’est-elle inspirée de la façon dont le Département de la justice américain analyse la pertinence des cartographies des risques : «The starting point for a prosecutor’s evaluation of whether a company has a well-designed compliance program is to understand the company’s business from a commercial perspective, how the company has identified, assessed, and defined its risk profile, and the degree to which the program devotes appropriate scrutiny and resources to the spectrum of risks» (U.S. Department of Justice, Criminal Division, Evaluation of Corporate Compliance Programs).
Remarque : il aurait toutefois été préférable que, pour guider les autres sociétés dans ce même exercice, l’analyse factuelle soit plus détaillée, et qu’au même titre que l’Autorité de la concurrence le fait, la décision cite, à l’appui de son raisonnement, des extraits des documents consultés, sans que cela ne vienne à dévoiler un quelconque secret des affaires bien entendu
Pour la cartographie des risques, comme pour les autres points du programme, au moment du contrôle, les outils n’étaient pas encore totalement déployés. Depuis, le code de conduite a été présenté à un grand nombre d’instances représentatives du personnel, les procédures d’évaluation des tiers sont en place (même si la décision ne dit pas ce qu’elles contiennent), les contrôles comptables et le dispositif de contrôle et d’évaluation interne ont été renforcés.
Au final, la meilleure démonstration de cette décision est de rappeler à tous qu’un programme de compliance, qu’il concerne la lutte contre la corruption ou d’autres domaines, ne se fait pas en un jour, mais se construit sur la durée.
C’est sans doute cela que l’AFA devrait saluer lors de ses contrôles : la progression de la mise en œuvre des programmes de conformité, nécessairement appuyée et démontrée par l’engagement renouvelé de l’instance dirigeante. Compliance et gouvernance vont de pair.