ATOUT RISK MANAGER N°27

ATOUT RISK MANAGER N°27 I HIVER 2020 49 Veille et position bonnes pratiques ayant vocation à figurer dans des guides pratiques. La citation parfois intégrale de dispositions légales et réglementaires qui sont parfaitement connues des entreprises apparaît sans valeur ajoutée dans le contexte d’un tel référentiel. Plusieurs recommandations sont trop détaillées et dépassent le cadre des modalités d’appréciation, lors des contrôles, des finalités fixées par la loi, le tout nuisant à la lisibilité du référentiel. Il serait dès lors plus utile de faire référence directement aux guides pratiques et lignes directrices pertinentes afin d’éviter d’éventuelles contradictions ou erreurs d’interprétation liées à la multiplication de documents relatifs à des thématiques similaires ou identiques. Les entreprises estiment, en particulier, que les thèmes relatifs au code de conduite, à la formation et à l’évaluation de l’intégrité des tiers pourraient faire l’objet de développements dans des guides recensant les bonnes pratiques identifiées à l’occasion des contrôles ou consultations de l’AFA. Enfin, alors que de nombreuses informations sont demandées sur les personnes physiques, il conviendrait d’apporter des précisions sur l’articulation de ces dispositions relatives à des traitements de données personnelles avec celles du Règlement (UE) 2016/679 sur la protection des données et de tout autre texte international éventuellement applicable, sujet sur lequel les entreprises sont toujours dans l’attente du guide annoncé par l’AFA. Plus précisément, sur les différents piliers de l’article 17, il est apporté les commentaires suivants : 1. L’engagement de l’instance dirigeante L’instance dirigeante joue un rôle important car c’est elle qui impulse la politique et met à disposition les moyens humains et financiers pour mettre en œuvre un dispositif anticorruption efficient. Il est toutefois important de souligner que, dans les entreprises opérant des choix de gestion déconcentrés et dans les grands groupes internationaux où il est fait largement recours aux délégations de pouvoirs, ce n’est pas le directeur général qui sanctionne directement (ce qui serait contraire au droit du travail), pas plus qu’il n’est rendu destinataire de chaque rapport d’audit interne ou qu’il n’est tenu au courant du moindre signalement émis dans le cadre du dispositif d’alerte, ni qu’il n’interfère dans toutes les décisions relatives à l’évaluation des tiers. On ne saurait raisonnablement imposer au dirigeant d’un groupe une omniscience et une omnipotence incompatibles avec les réalités de la vie des affaires , sans même mentionner l’autonomie des personnes morales et la nécessaire prise en compte des cadres législatifs locaux. 2. La cartographie des risques La cartographie des risques est l’un des outils communément utilisés en entreprise pour, d’une part, identifier les risques majeurs auxquels l’entreprise est exposée, y compris les risques de corruption et de trafic d’influence, et, d’autre part, à assurer une maîtrise et un suivi de ces risques. Pour être efficace, la cartographie doit être adaptée à l’organisation considérée. De ce fait, il n’existe pas, contrairement au postulat du projet de recommandations, de méthodologie unique de cartographie des risques , mais bien une pluralité de méthodes, d’ailleurs reflétées dans des approches de gestion des risques reconnues telles que le référentiel COSO ou la norme ISO 31 000. Par ailleurs, la cartographie doit répondre au principe de « juste nécessaire» par rapport au contexte : il ne doit pas s’agir d’un lourd exercice bureaucratique qui occulterait l’objectif ultime de prévenir les risques et qui perdrait sa crédibilité aux yeux des opérateurs chargés de l’alimenter. 3 Pour toutes ces raisons, il serait préférable de laisser aux entreprises le choix de laméthode plutôt que d’imposer l’application précise de la méthodologie unique de l’AFA, qui est à la fois très théorique et excessivement détaillée. Ceci serait possible en présentant les modalités pratiques décrites comme de simples possibilités ou des exemples, ce qui ferait d’autant mieux ressortir les points essentiels pour l’AFA. 3. Le code de conduite Le code de conduite est le document par lequel l’entreprise communique les valeurs et les principes auxquels elle adhère et qu’il appartient à tout collaborateur de respecter dans l’accomplissement quotidien de ses activités, partout où l’entreprise opère. Si l’on veut que les collaborateurs puissent s’approprier ce document, il doit être simple et s’en tenir à la rédaction des principes fondamentaux. Pour être lu par l’ensemble des salariés d’une entreprise (du cadre dirigeant à l’ouvrier, en France comme à l’étranger) et susciter l’adhésion, un tel document doit être synthétique et didactique et non viser l’exhaustivité, au risque de susciter l’indifférence, voire le rejet. Il doit également être stable . Si le lien avec la cartographie des risques est évident, il est illusoire de demander une actualisation du code de conduite à chaque mise à jour de la cartographie des risques. Le code de conduite constitue un cadre de référence destiné dès le départ à prendre en compte les « différents types de comportements », soit les situations les plus