Enjeux

Trois ans après l’entrée en vigueur de la loi Sapin 2, une grande majorité d’entreprises n’est toujours pas dans les clous.

En matière de compliance et d’anticorruption, trois ans après l’entrée en vigueur de la loi Sapin 2, relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, les entreprises françaises sont à la traîne. « Deux tiers des entreprises ne sont pas prêtes. Et seul un tiers des juristes pense que leur entreprise est en pleine conformité », souligne William Feugère, avocat et président de la plateforme ethicorp.org, dédiée aux lanceurs d’alertes.

Un retard qui s’explique par « la complexité du texte de loi, par la lourdeur des procédures, par un manque de moyens financiers et humains, et par un manque d’engagement des dirigeants, peu conscients des enjeux et de leur responsabilité personnelle », précise William Feugère, s’appuyant sur une enquête publiée en janvier 2020, conduite par ethicorp.org et l’Association française des juristes d’entreprise (AFJE).

La loi Sapin 2 du 9 décembre 2016 impose la mise en œuvre d’un dispositif complet et cohérent de compliance comprenant cartographie des risques, code de conduite, dispositif d’alerte, procédure d’évaluation des tiers, procédures comptables, formations. Des obligations qui concernent toutes les sociétés avec au moins 500 salariés et 100 millions d’euros de chiffre d’affaires, au titre de l’article 17. L’article 8 de la loi impose, lui, la mise à disposition d’un dispositif d’alerte pour toutes les structures de plus de 50 agents ou salariés.

Cartographie des risques

Pour autant, dans de nombreuses entreprises, l’établissement de la cartographie des risques qui figure l’un des huit chapitres de la loi Sapin 2, reste superficiel. Selon l’enquête ethicorp-AFJE, si 53 % des entreprises disposent d’une cartographie des risques, seulement 35 % ont une cartographie spécifique anticorruption.

Globalement, les entreprises ne vont pas assez en profondeur, en s’entretenant et travaillant avec tous les services et personnes clés sur le terrain, que ce soit au niveau des services achat, commercial, comptable ou des ressources humaines. Certaines entreprises vont jusqu’à utiliser des modèles préétablis par leur fédération ou leur syndicat sans l’adapter à leur secteur d’activité propre.

Les dispositifs d’alerte anti-corruption, autre obligation légale, sont mis en place, à 77 % selon l’enquête ethicorp-AFJE, mais peu incitatifs. Il est relevé un manque de confiance des employés à 72 %, et une peur des conséquences et des mesures de rétorsion à 68 %. Or le dispositif d’alerte se devrait d’être confidentiel et sécurisé, et perçu tel quel. L’entreprise et ses équipes restant le plus souvent au cœur du dispositif.

« La difficulté de la loi Sapin 2 est qu’elle revêt une dimension très administrative. Les recommandations, contrôles ou menaces de sanctions conduisent les entreprises à s’assurer qu’elles répondent aux demandes de l’Agence française anticorruption. Comme le demande la loi, elles vont faire des efforts en terme de traçabilité, de formation, cocher des cases, en accentuant le contrôle ex-post. Or en matière de corruption, l’enjeu c’est la prévention. Il faut surtout s’assurer que cela n’arrive pas et donc adopter une démarche à base de vigilance », souligne Philippe Montigny, président du Comité de Certification d’Ethic Intelligence.

« Ainsi, toutes les recommandations internationales mettent en critère numéro un l’engagement de la direction sur le sujet, car derrière il y a de vrais enjeux stratégiques. Va t-on dans un pays qui est très risqué ? S’engage-t-on dans une opération risquée ? Si oui, seule la direction générale peut donner les moyens de prévenir efficacement le risque de corruption. Or cet engagement du « plus haut niveau », ne figure pas dans les obligations de la loi Sapin 2 », précise Philippe Montigny.

Depuis l’entrée en vigueur de la loi Sapin 2, l’Agence française anticorruption (AFA) a conduit près d’une centaine de contrôles dont deux ont abouti devant la Commission des sanctions. Cette dernière n’a pas donné suite, les deux entreprises concernées, Sonepar et Imerys, s’étant mises en conformité peu avant l’audience.