ATOUT RISK MANAGER N°27

ATOUT RISK MANAGER N°27 I HIVER 2020 50 Veille et position génériques ou habituelles, en y associant des principes et des interdictions. Sa mise à jour ne doit intervenir que s’il s’agit d’y apporter des modifications substantielles, d’autant qu’imposer une telle obligation serait inutilement contraignante et irréaliste en raison de la longueur du processus d’information et de consultation des IRP, le code de conduite étant intégré au règlement intérieur. À titre d’information, le déploiement d’un code de conduite dans un groupe international peut aisément prendre deux ans compte tenu des délais incompressibles de traduction, d’information-consultation des instances représentatives du personnel, d’intégration dans les règlements intérieurs, de diffusion et d’accompagnement (communication interne) 4. La formation Les entreprises dispensent, de longue date, de la formation professionnelle dans de nombreux domaines (y compris la conformité), en application des dispositions du Code du travail, et en s’appuyant sur des référentiels et normes internationalement reconnus (ISO 9001, ISO 29 900, ). Les recommandations entrent dans un niveau de détail qui pourrait, le cas échéant, trouver sa place dans un guide permettant de recenser les bonnes pratiques, mais pas dans des recommandations publiées au Journal Officiel. Ainsi, par exemple, il ne nous semble pas relever de la « recommandation» le fait de définir ce qu’est une action de sensibilisation ou une action de formation (§ 111- 112), de mentionner que « les formations sont mises en œuvre avec des outils adaptés» ou «dispensées dans une langue comprise par les publics auxquels elles s’adressent », ou encore indiquer qu’elles doivent être « pragmatiques et pédagogiques » ! Enfin, l’organisation de la sensibilisation des personnels doit être laissée à l’appréciation des entreprises qui sont mieux àmême de connaître les modalités les plus efficientes pour les porter en fonction notamment de la taille, du secteur et de la culture de l’entreprise. 5. L’évaluation de l’intégrité des tiers Il est contradictoire de considérer que la cartographie des risques est l’élément central du dispositif anticorruption tout en la déconnectant de l’évaluation de l’intégrité des tiers. 4 Onattendrait, eneffet, deces recommandations qu’elles consacrent une approche par les risques (à l’instar notamment des pratiques du Département de la Justice américain) en lien avec la cartographie , conformément aux termes de l’article 17 4° de la loi Sapin II, et qu’elles fournissent une méthodologie à mettre en œuvre pour se focaliser sur les tiers les plus à risques. En effet, il est irréaliste de demander à des sociétés qui ont des dizaines ou centaines de milliers de partenaires d’affaires (clients, fournisseurs, intermédiaires…) de réaliser une évaluation individuelle de chacun d’entre eux, y compris ceux qui présentent un risque faible. De surcroît, les coûts induits par ces contrôles exhaustifs et systématiques seraient disproportionnés alors même que les tiers ne présentent à l’évidence pas tous les mêmes niveaux de risques. Une exigence d’exhaustivité entraînerait une dispersion des ressources qui nuirait à l’efficacité du dispositif. Plusieurs méthodes peuvent être utilisées pour procéder à cette évaluation. Par exemple, certaines entreprises la réalisent en trois étapes selon la méthode de l’«entonnoir » : - une analyse préliminaire des risques qui permet de déterminer les tiers à risque en établissant un scoring de l’exposition au risque de corruption sur la base d’un questionnaire ; - une due diligence standard qui ne concerne que les tiers à risque identifiés lors de l’analyse préliminaire ; cette due diligence peut être effectuée en exploitant des bases de données spécialisées ; - une due diligence avancée qui ne porte que sur les tiers pour lesquels une alerte est soulevée lors de la due diligence standard et qui implique une évaluation approfondie (demande de documents, entretien, recours à un prestataire spécialisé…). Par ailleurs, les recommandations n’abordent pas le sujet, pourtant sensible et important pour les entreprises, de la manière d’aborder les vérifications sur des partenaires publics tels que les États, administrations, collectivités territoriales, établissements publics, sociétés d’économie mixte, que ce soit en France ou à l’étranger, ou encore les institutions internationales. 6. Dispositif d’alerte anticorruption Il n’appartient pas à l’AFA, dans ses recommandations, de paraphraser les articles 6 et suivants de la Loi Sapin II et de son décret d’application, les entreprises ayant besoin