Sapin 2 : la compliance, de la contrainte à la création de valeur

Par William Feugère

En 2014, l’OCDE regrettait la faible utilisation du délit de corruption en France. Dans un souci de pragmatisme, la loi Sapin 2 du 9 décembre 2016, inspirée du FCPA des États-Unis et du Bribery Act britannique, opère une révolution au regard des habitudes répressives françaises : c’est la mise en œuvre d’outils de conformité destinés à permettre la prévention et la détection des délits, non seulement par les autorités mais par les entreprises elles-mêmes.

- Depuis le 1er juin 2017, les entreprises ou groupes de plus de 500 salariés et 100 M€ de chiffre d’affaires (article 17 de la loi) doivent notamment adopter un code de conduite définissant et illustrant les différents types de comportements de corruption, mettre en place un dispositif d’alerte interne, établir une cartographie des risques, former les salariés…
- À compter du 1er janvier 2017, toutes les entreprises de plus de 50 salariés devront adopter un système d’alertes, étendu à la révélation notamment de tout crime ou délit, ou d’une violation grave et manifeste de la loi ou du règlement.
 

Un état des lieux sur la compliance
Les objectifs de l’enquête l’AFJE et ethicorp.org, plateforme sécurisée de réception et traitement des alertes par des avocats, étaient de dresser un état des lieux de la compliance dans les entreprises françaises : comment les entreprises se sont-elles investies dans la compliance, quelles sont leurs attentes, quels sont les risques auxquels elles sont le plus exposées, quels outils de compliance ont été adoptés, sont-elles prêtes pour la loi Sapin 2 ?

Jamais une enquête d’une telle ampleur n’avait été réalisée, auprès de plus de 7 500 juristes français, sur un sujet qui les intéresse vivement, 53 % d’entre eux ayant suivi régulièrement les débats et les évolutions du projet de loi.
Une très large majorité de juristes ayant répondu appartiennent à une entreprise ayant mis en place une charte éthique (69 %) ou une cartographie des risques (61 %). Les systèmes d’alertes sont en revanche bien moins fréquents (seulement 44 %).
La mise à jour des outils de compliance est assez variable. Plus du tiers (36 %) des juristes considère que la charte éthique devrait être révisée. Les cartographies des risques sont actualisées plus régulièrement (tous les ans pour plus de 59 %), même si dans certaines entreprises cela va jusqu’à deux ans (18 %) voire cinq ans (8 %). La révision est également annuelle pour les processus comptables et financiers (47 %), pour les processus commerciaux (38 %) ou l’évaluation des pratiques en matière de ressources humaines (35 %).
 

Les attentes des juristes sur les systèmes de compliance
L’enquête révèle les attentes des juristes sur ces systèmes de compliance. En tête : la prévention des risques de manquements ou d’infractions (95 %), le fait d’éviter des contentieux ou poursuites (86 %) et la protection ou le renforcement de l’image de l’entreprise (84 %). Ensuite, des effets fondamentaux de la compliance, comme l’amélioration de la gestion de l’information (34 %) ou l’amélioration des processus comptables ou commerciaux (49 %). Rares sont les juristes qui y voient un moyen d’améliorer le bien-être des équipes (19 %) ou la productivité (17 %) alors que des systèmes de compliance efficaces peuvent pourtant avoir ces vertus.
 

Les risques auxquels les entreprises sont confrontées
L’enquête révèle par ailleurs les risques qui préoccupent le plus les juristes : en premier lieu, les questions de protection des données personnelles (53 %) et les intrusions informatiques (51 %).
Au-delà des préoccupations, les risques auxquels l’entreprise a été effectivement confrontée sont également en majorité les questions de protection des données personnelles (51 %) et les intrusions informatiques (43 %). S’y ajoutent la procédure collective d’un client est un risque important (47 %) et les fraudes au président (45 %).
 

Les enjeux des systèmes d’alertes
Les systèmes d’alertes, adoptés par 44 % seulement des entreprises des sondés, ont été mis en place à 80 % au niveau du groupe. 20 % des entreprises ont un système distinct, peut-être plus adapté au droit local. Les systèmes sont ouverts aux salariés (100 %), parfois aux clients (23,9 %), aux prestataires externes (23,9 %), aux fournisseurs (22,7 %), voire aux ONG (12,5 %).

Pour les entreprises qui en sont dépourvues, le premier objectif d’un système d’alertes est la réduction des risques (76 %), suivi de la protection du lanceur d’alertes (73 %) et la confidentialité pour l’entreprise (71 %), puis l’opportunité d’identifier et de traiter les risques de manière proactive (65 %) et protéger ou renforcer l’image de l’entreprise (60 %).

Pour les entreprises bénéficiant d’un système d’alertes, la protection du lanceur d’alertes passe largement en tête (83,5 %) puis la proactivité (81 %), la confidentialité pour l’entreprise (74,7 %), et ensuite la protection de l’image (65,9 %) et la réduction des risques (64,8 %).

Ces chiffres sont à comparer avec les limites des systèmes d’alertes identifiées dans l’enquête : le manque de confiance dans le suivi réel (71 %) et la peur de rétorsions contre le lanceur d’alertes (52 %). Il faut y ajouter le manque d’information sur le système, écueil fréquent empêchant l’utilisation du système.
 

De fait, la conscience des besoins en matière de confidentialité et de confiance est évidente et correspond en effet à un élément fondamental d’un système d’alertes efficace. Rappelons que la loi Sapin exige la protection de la confidentialité du lanceur d’alerte, de l’information objet de l’alerte et de la personne visée, sous peine d’un délit puni de deux ans de détention et 30 000 € d'amende (150 000 € pour les personnes morales).

Or, les systèmes le plus souvent en place présentent justement des risques élevés de violation de confidentialité et de diffusion des faits dénoncés. Il s’agit en effet d’emails internes (37,77 %), hautement volatils et diffusables, de numéros de téléphone (30,32 %), voire de boites aux lettres (6,38 %)…

Ces systèmes, on le sait, inquiètent et rebutent les lanceurs d’alertes, et ce manque de confiance les incite à se taire donc à laisser l’entreprise dans l’ignorance et à l’exposer à des poursuites et atteintes à son image qu’elle n’aura pu anticiper ou éviter.

La compliance, outil d’économies et de croissance
Or, et c’est un des éléments particulièrement intéressant, les juristes ont une vive conscience de l’utilité des outils de compliance et notamment des systèmes d’alertes. Le coût moyen d’un litige, estimé par les sondés, est de 286 000 € (comprenant la mobilisation des équipes internes, les frais de procédure, et l’éventuelle condamnation). La mise en place d’un système efficace détectant les difficultés en amont est un moyen fondamental d’économies autant que de prévention.
Cette enquête confirme que la loi Sapin 2 peut, au-delà des contraintes qu’elle semble ajouter, devenir une valeur ajoutée pour l’entreprise. Mais les entreprises françaises ont un important travail à réaliser pour être en phase avec la nouvelle réglementation.

Bien conçus, les outils de compliance, et notamment les systèmes d’alertes qui en sont le système nerveux central, puisqu’ils permettent le transfert d’information, sont une force pour l’entreprise. Ils peuvent diminuer les risques, favoriser le bien-être des équipes, augmenter la productivité.

Plus que jamais, les juristes sont une force de connaissance et de croissance.

A propos de...
Wiliam Feugère & ethicorp.org
Wiliam Feugère est avocat et fondateur d’ethicorp.org, plateforme externe, optimisée et sécurisée de réception des alertes. 
Toutes les alertes sont reçues et traitées par des avocats, apportant aux entreprises adhérentes la garantie de leur plein 
secret professionnel, autant que leur expérience en matière de prévention des risques et de contentieux.