Le dispositif de la loi Sapin II

L’article 17 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique dite loi Sapin II instaure une obligation de mettre en place un dispositif anticorruption pour les dirigeants des sociétés (ou groupes de sociétés dont la société mère a son siège social en France) de plus de 500 salariés et dont le chiffre d’affaires ou le chiffre d’affaires consolidé est supérieur à 100 millions d’euros[1]. Cela concerne également les filiales et les sociétés contrôlées. Ce dispositif se décline en 8 mesures destinées à prévenir et détecter la corruption et le trafic d’influence, en France ou à l’étranger, : cartographie des risques, code de conduite, dispositif de formation, procédure d’évaluation des tiers, dispositif d’alerte interne, régime disciplinaire, procédures de contrôle comptable, dispositif de contrôle et d’évaluation interne des mesures mises en œuvre[2].

L’article 3 3° de la loi Sapin II énonce que les administrations de l’Etat, collectivités territoriales, établissements publics et sociétés d’économie mixte ainsi que les associations et les fondations reconnues d’utilité publique doivent aussi mettre en œuvre des procédures pour prévenir et détecter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêt, de détournement de fonds publics et de favoritisme. Par analogie avec ce qui est attendu des acteurs économiques, il est attendu des acteurs publics qu’ils mettent en place un dispositif anticorruption similaire à celui décrit à l’article 17 de la loi.

L’Agence Française Anticorruption

La loi Sapin II a créé une nouvelle agence nationale en charge de la lutte contre les atteintes à la probité : l’Agence Française Anticorruption (AFA). Elle dispose d’un pouvoir administratif de contrôle lui permettant de vérifier la réalité et l’efficacité des dispositifs mis en place par les acteurs économiques (publics ou privés), les administrations de l’Etat et collectivités territoriales.

L’AFA a-t-elle un pouvoir de sanction en cas de défaillances/insuffisances identifiées au cours des contrôles qu’elle met en œuvre ?

Il est important de souligner la différence entre les acteurs publics et privés : l’AFA n’a en effet pas la possibilité de sanctionner les collectivités territoriales, établissements publics, les associations et fondations reconnues d’utilité publique ainsi que les administrations de l’Etat. En revanche, elle dispose bien d’un pouvoir de sanction à l’égard des acteurs privés.

A l’issue d’un contrôle ayant révélé des manquements, le directeur de l’AFA peut en effet délivrer un avertissement à l’autorité contrôlée. Il a également la possibilité de saisir la commission des sanctions afin que cette dernière enjoigne à la société d’adapter ses procédures de conformité destinées à la détection et à la prévention de la corruption et du trafic d’influence conformément aux recommandations que l’AFA lui adresse et dans un délai qu’elle fixe, inférieur à 3 ans ou bien pour qu’une sanction pécuniaire soit prononcée.

Le montant de cette sanction ne peut excéder 200 000 € pour les personnes physiques et 1 million d’€ pour les personnes morales. Cette sanction financière est proportionnée à la gravité des manquements constatés et à la situation financière de l’intéressée. La commission des sanctions peut aussi ordonner la publication, la diffusion ou l’affichage de sa décision aux frais du condamné.

A ce jour, la commission des sanctions n’a rendu que deux décisions sur les dispositifs de conformité mis en place par des entreprises privées en application de l’article 17 de la loi Sapin II.

S’agissant de la première décision rendue le 4 juillet 2019, le directeur de l’AFA soutenait notamment que la société Sonepar n’avait pas mis en œuvre une cartographie des risques conforme à la loi Sapin II, notamment en raison du fait que « la méthodologie d’identification des risques [qui] s’appuie sur des scénarios génériques de corruption […] ne permet pas d’assurer que la société soit en mesure de réaliser une analyse fine des vulnérabilités existantes ». Ce grief n’a pas été retenu par la commission des sanctions qui considère que des manquements à la cartographie des risques ne pouvaient être caractérisés au moment où elle statuait.

Il convient toutefois de souligner l’importance de réaliser une cartographie des risques qui résulte d’une analyse fine des activités de l’entreprise et donc faite sur mesure sur la base d’entretiens avec les fonctions clés de l’entreprise et couvrant l’ensemble de ses processus opérationnels.

Les autres griefs relatifs au code de conduite, à la procédure d’évaluation des tiers, aux procédures de contrôle comptable et de contrôle interne du dispositif n’ont pas été retenus par la commission des sanctions. Cette décision illustre bien le fait que la commission dispose d’un pouvoir exclusif pour prononcer des sanctions, injonctions ou sanctions pécuniaires. Elle n’est pas liée par l’avis du directeur de l’AFA, dont les prérogatives consistent à engager la procédure de saisine et à en déterminer le périmètre. Dès lors, si les manquements ne perdurent pas au moment où la commission des sanctions statue, elle n’est pas susceptible de prononcer des sanctions. Cette précision procédurale a été réaffirmée dans la deuxième décision rendue par la commission des sanctions dans l’affaire Imerys le 7 février 2020.

Dans cette deuxième affaire, le directeur de l’AFA retenait des manquements visant : la cartographie des risques, le code de conduite et les procédures comptables. La commission des sanctions a rejeté tout manquement au titre de la cartographie des risques et des injonctions de mise en conformité ont été prononcées s’agissant des deux autres manquements.

Il est intéressant de relever que la commission des sanctions souligne que l’AFA ne peut, par le biais de ses recommandations, ajouter aux exigences de l’article 17 de la loi Sapin II. En effet, tel que souligné par l’AFA dans ses dernières recommandations, celles-ci ne créent pas d’obligation juridique contraignante. L’AFA s’y réfère néanmoins en cas de contrôle et une entreprise qui suit les recommandations bénéficie d’une présomption simple de conformité le cas échéant. Dans le cas où une entreprise ferait le choix de ne pas suivre cette méthode, il lui appartiendra de démontrer « la pertinence, la qualité et l’effectivité » de son dispositif. Ceci peut en effet complexifier l’exercice de collecte et de communications d’informations auquel doit se soumettre une entreprise objet d’un contrôle.

C’est la raison pour laquelle Data Legal Drive accompagne les entreprises à déployer un dispositif anticorruption conforme aux exigences de l’AFA.

[1] Cette obligation s’impose également aux présidents et directeurs généraux d’établissements à caractère industriel et commercial et aux membres du directoire des sociétés anonymes régies par l’article L225-57 du code de commerce avec les mêmes seuils.

[2] LegiFrance

Crédits photo : Racool_studio, Freepik