Avis relatif aux recommandations de l'Agence française anticorruption destinées à aider les personnes morales de droit public et de droit privé à prévenir et à détecter les faits de corruption, de trafic d'influence, de concussion, de prise illégale d'intérêts, de détournement de fonds publics et de favoritisme

NOR : ECOZ2035293V
JORF n°0010 du 12 janvier 2021
Texte n° 61

Version initiale


Version du 4 décembre 2020
Table des matières


I. - Dispositions générales
I.1) Objet
I.2) Champ d'application
I.3) Portée juridique
I.4) Principes fondamentaux
1. Principe de proportionnalité et périmètre d'intervention
2. Trois piliers indissociables
Premier pilier : l'engagement de l'instance dirigeante
Deuxième pilier : la cartographie des risques d'atteintes à la probité
Troisième pilier : mesures et procédures de maîtrise des risques d'atteintes à la probité
II. - Déclinaison des dispositions générales aux entreprises assujetties à l'article 17 de la loi
II.1) Premier pilier : l'engagement de l'instance dirigeante
1. Définition de l'instance dirigeante
2. Responsabilité de l'instance dirigeante
3. Moyens dédiés
II.2) Deuxième pilier : la cartographie des risques
1. Objectifs de la cartographie des risques
2. Caractéristiques de la cartographie des risques
3. Les différentes étapes de mise en place d'une cartographie des risques
II.3) Troisième pilier : la gestion des risques
A. - Prévention des risques
1. Code de conduite
2. Sensibilisation et formation
3. Evaluation de l'intégrité des tiers
B. - Détection
1. Dispositif d'alerte interne
2. Le contrôle interne
C. - Contrôle et évaluation du dispositif anticorruption
1. Objectifs et modalités
2. Typologie de contrôles à déployer
D. - Remédiation
1. Gestion et suivi des insuffisances constatées
2. Régime disciplinaire
III. - Déclinaison des dispositions générales aux acteurs publics assujettis au 3° de l'article 3 de la loi
III.1) Premier pilier : l'engagement de l'instance dirigeante
1. Définition de l'instance dirigeante
2. Responsabilité de l'instance dirigeante
3. Moyens dédiés
4. Une politique de communication interne et externe adaptée
III.2) Deuxième pilier : la cartographie des risques d'atteintes à la probité
1. Objectifs de la cartographie des risques d'atteintes à la probité
2. Caractéristiques de la cartographie des risques d'atteintes à la probité
3. Les différentes étapes de mise en place d'une cartographie des risques d'atteintes à la probité
III.3) Troisième pilier : la gestion des risques d'atteintes à la probité
A. - Prévention des risques
1. Règles en matière de déontologie/éthique et code de conduite
2. Formation et sensibilisation
3. L'évaluation de l'intégrité des tiers
B. - Détection
1. Dispositif d'alerte interne
2. Le contrôle interne des risques d'atteintes à la probité
C. - Contrôle et évaluation interne du dispositif anticorruption
1. Objectifs et modalités
2. Typologie de contrôles à déployer
3. Gestion des insuffisances constatées et suivi des recommandations
D. - Remédiation
1. Gestion et suivi des insuffisances constatées
2. Régime disciplinaire
Annexe n° 1 : Le lanceur d'alerte
Annexe n° 2 : Exemple de scénarios de risques pour les acteurs publics


I. - Dispositions générales
I.1) Objet


1. Aux termes du premier alinéa du de l'article 3 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite loi Sapin II, dénommée, sauf indication contraire, « la loi » dans la suite de ces recommandations, l'Agence française anticorruption (AFA) « élabore des recommandations destinées à aider les personnes morales de droit public et de droit privé à prévenir et à détecter les faits de corruption, de trafic d'influence, de concussion, de prise illégale d'intérêt, de détournement de fonds publics et de favoritisme ».
2. L'ensemble de ces faits, délictuels, sont définis au titre III du livre IV du code pénal, à la section 3 du chapitre II (« manquements au devoir de probité »), ainsi qu'à la section 1 du chapitre V (« corruption des personnes n'exerçant pas une fonction publique ») du titre IV. Pour la simplification des présentes recommandations et sauf indication contraire, l'ensemble de ces infractions seront indistinctement qualifiées d'« atteinte à la probité ».
3. Les présentes recommandations interprètent les dispositions de la loi relatives aux dispositifs de prévention et de détection de ces faits. Elles visent à mettre à jour et à enrichir les recommandations déjà émises sur ce sujet en décembre 2017, en tirant les enseignements de trois années d'exercice des missions de l'AFA.
4. La loi, ses décrets d'application, les présentes recommandations et les guides publiés sur le site internet de l'AFA constituent le référentiel anticorruption français. Ce dernier participe de la mise en œuvre des engagements internationaux de la France en matière de lutte contre la corruption.
5. Les présentes recommandations, qui entrent en vigueur le lendemain de leur publication, annulent et remplacent celles parues au Journal officiel de la République française le 22 décembre 2017.


I.2) Champ d'application


6. Les recommandations définissent les modalités de mise en œuvre des dispositifs de prévention et de détection des atteintes à la probité (ci-après dénommés « dispositifs anticorruption ») que peuvent déployer, de manière proportionnée en fonction de leur profil de risque, toutes les personnes morales de droit privé ou de droit public, de droit français ou de droit étranger (ci-après dénommées « organisations »), qui déploient leurs activités en France comme à l'étranger, quels que soient leur taille, leur forme sociale ou leur statut juridique, leur secteur ou domaine d'activité, leur budget ou leur chiffre d'affaires ou l'importance de leurs effectifs.
7. Elles ont également pour objectif d'aider les organisations assujetties à l'obligation de déployer un dispositif anticorruption à se conformer à la loi.


I.3) Portée juridique


8. Les présentes recommandations ne créent pas d'obligation juridique pour ceux à qui elles s'adressent. Les organisations mentionnées au paragraphe 7 sont libres d'adopter d'autres méthodes, sous réserve que leur mise en œuvre permette de se conformer à la loi.
9. L'AFA se réfère aux recommandations dans le cadre de ses missions de conseil et de contrôle. Elle ne se référera aux présentes que pour les contrôles ouverts à compter du sixième mois suivant celui de leur entrée en vigueur.
10. Ces recommandations sont opposables à l'AFA dans le cadre de ses activités de contrôle, en ce sens que les organisations mentionnées au paragraphe 7 peuvent s'en prévaloir si elles ont décidé de s'y conformer.
11. Ainsi, une organisation mentionnée au paragraphe 7 qui indique lors d'un contrôle de l'AFA avoir suivi les présentes recommandations bénéficie d'une présomption simple de conformité. Celle-ci ne peut être renversée que par la démonstration par l'AFA d'une application non effective, incorrecte ou incomplète des recommandations.
12. Une organisation mentionnée au paragraphe 7 qui déciderait de ne pas mettre en œuvre tout ou partie des méthodes préconisées dans ces recommandations ne peut être a priori considérée comme ne respectant pas la loi. Cependant, dans le cas où l'AFA contesterait lors d'un contrôle tout ou partie des mesures prises par cette organisation, il reviendrait à cette dernière de démontrer que les choix qu'elle a faits lui permettent de satisfaire aux exigences posées par la loi.


I.4) Principes fondamentaux


13. Dans la suite de ces recommandations, un dispositif anticorruption désigne l'ensemble de mesures prises et procédures mises en place par une organisation pour connaître, prévenir, détecter et sanctionner tout ou partie des faits mentionnés au paragraphe 1.


1. Principe de proportionnalité et périmètre d'intervention


14. Ces recommandations sont adaptées par les organisations qui y ont recours en fonction de leur profil de risques, qui est affecté par différents paramètres, notamment les activités, compétences ou type de produit ou service qu'elles exercent ou fournissent, leur structure de gouvernance, leur organisation, leur taille, leur domaine ou secteur d'activité, leurs implantations géographiques, et les différentes catégories de tiers avec lesquels elles interagissent.
15. Les organisations qui exercent un contrôle sur d'autres entités s'assurent de la qualité et de l'efficacité du ou des dispositifs anticorruption déployés dans l'ensemble du périmètre qu'elles contrôlent.


2. Trois piliers indissociables


16. Un dispositif anticorruption repose sur trois piliers indissociables :


- premier pilier : l'engagement de l'instance dirigeante en faveur d'un exercice des missions, compétences ou activités de l'organisation exempt d'atteintes à la probité, ce qui suppose de sa part :
- d'avoir un comportement personnel exemplaire, en paroles comme en actes, en matière d'intégrité et de probité ;
- de promouvoir le dispositif anticorruption, par une communication personnelle ;
- de mettre en œuvre des moyens suffisants pour permettre d'atteindre l'effectivité et l'efficacité du dispositif ;
- d'être responsable du correct pilotage de ce dispositif ;
- de s'y conformer pour la prise des décisions qui lui reviennent en propre ;
- de s'assurer que des sanctions adaptées et proportionnées soient prononcées en cas de comportement contraire au code de conduite ou susceptible d'être qualifié d'atteinte à la probité ;
- deuxième pilier : la connaissance des risques d'atteintes à la probité auxquels l'entité est exposée, à travers l'élaboration d'une cartographie de ses risques ;
- troisième pilier : la gestion de ces risques, à travers la mise en œuvre de mesures et procédures efficaces tendant à leur prévention, à la détection d'éventuels comportements ou situations contraires au code de conduite ou susceptibles de constituer des atteintes à la probité et à la sanction de celles-ci. Cette gestion comprend également le contrôle et l'évaluation de l'efficacité desdites mesures et procédures.


Vue d'ensemble



Vous pouvez consulter l'intégralité du texte avec ses images à partir de l'extrait du Journal officiel électronique authentifié accessible en bas de page


Premier pilier : l'engagement de l'instance dirigeante


17. L'instance dirigeante s'entend des personnes placées à la tête de l'organisation et chargées de la gérer, en application de ses statuts et des normes en vigueur. Elle initie la démarche de mise en œuvre du dispositif anticorruption, valide sa conception et en assure le déploiement ainsi que le contrôle.
18. Lorsque l'instance dirigeante exerce ses fonctions sous le contrôle ou la surveillance d'un organe non exécutif, ce dernier veille à ce que les risques d'atteintes à la probité soient convenablement appréhendés par la mise en place d'un dispositif anticorruption adapté et efficace.
19. L'engagement de l'instance dirigeante en faveur d'un exercice des missions, compétences ou activités de l'organisation exempt d'atteintes la probité constitue un élément fondateur de tout dispositif anticorruption.
20. Cet engagement se manifeste non seulement par la volonté de l'instance dirigeante de prévenir et détecter toute atteinte à la probité au sein de son organisation, mais aussi par la mobilisation de moyens adaptés.
21. L'instance dirigeante déploie, selon des modalités adaptées et proportionnées au profil de risque de l'organisation qu'elle dirige, les moyens pour définir, mettre en œuvre et contrôler les mesures et procédures qui composent le dispositif anticorruption.
22. Elle est personnellement responsable de la conception, du déploiement et du contrôle du dispositif, même lorsqu'elle en confie la mise en œuvre à un collaborateur. Dans cette hypothèse, ce collaborateur doit être en mesure de lui rendre compte directement.
23. Elle s'assure que ce collaborateur, ainsi que les personnels qui l'assistent dans l'accomplissement de ses missions, disposent des connaissances nécessaires en raison de leur expérience ou de leur formation ainsi que d'un positionnement adéquat pour exercer leur mission et accéder aux informations nécessaires à l'exercice de leurs fonctions.
24. Elle s'assure également du bon fonctionnement du dispositif en place à travers l'examen des résultats des contrôles des différentes mesures et procédures du dispositif qui lui sont adressés.
25. L'instance dirigeante participe personnellement à la mise en œuvre opérationnelle de certaines mesures et procédures composant le dispositif anticorruption, à l'occasion, par exemple, de la validation de la cartographie des risques d'atteintes à la probité, de la prise de décision à l'issue de l'évaluation de certains tiers ou lorsqu'il s'agit de déterminer les sanctions à prononcer en cas de violation du code de conduite ou de faits susceptibles d'être qualifiés d'atteintes à la probité.
26. L'instance dirigeante communique sur son dispositif anticorruption en interne ainsi qu'en direction des tiers avec qui elle envisage d'entrer ou de demeurer en relation. Elle rappelle avec fermeté son engagement sans faille en faveur de l'éthique et de l'intégrité.
27. L'instance dirigeante s'assure que des sanctions adaptées et proportionnées sont prises en cas de violation avérée du code de conduite ou en présence de faits susceptibles d'être qualifiés d'atteintes à la probité.


Deuxième pilier : la cartographie des risques d'atteintes à la probité


28. La cartographie des risques d'atteintes à la probité constitue la pierre angulaire du dispositif anticorruption, car c'est sur son fondement que sont définies les autres mesures de prévention et de détection. Elle repose sur l'identification, l'évaluation et la hiérarchisation des risques d'atteintes à la probité propres à chaque organisation.
29. Elle participe d'une approche par les risques qui nécessite, d'une part, de comprendre et d'évaluer les risques d'atteintes à la probité auxquels l'organisation est exposée et, d'autre part, de prendre des mesures et procédures adaptées et proportionnées afin de les maîtriser efficacement.
30. La cartographie des risques prend la forme d'une documentation régulièrement actualisée, destinée à permettre à l'organisation de connaître les risques d'atteintes à la probité auxquels elle est exposée.
31. Issue d'une analyse fine des processus de l'organisation, la cartographie est établie sur le fondement d'une méthode offrant l'assurance raisonnable que les risques identifiés sont le fidèle reflet de ceux auxquels l'organisation est réellement exposée ; ces risques sont évalués à leur juste niveau, correctement hiérarchisés et couverts par des plans d'actions de nature à en assurer la maîtrise.
32. Cette cartographie est validée par l'instance dirigeante après, le cas échéant, avoir été présentée à l'organe non exécutif. Cette validation doit intervenir avant qu'elle ne soit mise en œuvre et lors de chacune de ses mises à jour.
33. La cartographie des risques peut être insérée dans une cartographie couvrant un spectre plus large de risques, qui respecte elle-même les dispositions énoncées aux paragraphes 28 à 32.


Troisième pilier : mesures et procédures de maîtrise des risques d'atteintes à la probité


Caractère systémique du dispositif anticorruption
34. La conception, le déploiement et la mise en œuvre du dispositif anticorruption doivent être adaptés aux risques préalablement identifiés, évalués et hiérarchisés par l'organisation.
35. Adaptées aux risques qu'elles ont pour objet de maîtriser, ces mesures et procédures s'articulent autour de trois objectifs : prévenir les risques, les détecter et, le cas échéant, remédier aux insuffisances constatées.
Mesures et procédures de prévention des atteintes à la probité
Le code de conduite et ses procédures/politiques annexes
36. Le code de conduite, ou tout document équivalent quelle que soit sa dénomination, précise les règles déontologiques applicables aux dirigeants, aux personnels, en définissant et illustrant, au regard de la cartographie des risques, les différents types de comportements à proscrire comme étant susceptibles de caractériser des atteintes à la probité.
37. Il est clair, sans réserve et sans équivoque.
38. Il est préfacé par l'instance dirigeante qui rappelle l'importance qu'elle attache à la lutte contre les atteintes à la probité au sein de l'organisation.
39. Dans le respect des normes applicables, le code de conduite est rendu opposable par tous moyens aux personnels de l'organisation. Lorsque l'organisation est dotée de règlement(s) intérieur(s), le code de conduite y est intégré, et fait l'objet, le cas échéant, de la procédure de consultation des instances, autorités ou services compétents.
40. D'autres politiques en matière de conduite éthique et de déontologie peuvent utilement y être intégrées ou lui être annexées, visant par exemple les cadeaux et invitations, le mécénat, le sponsoring, le lobbying, la gestion des conflits d'intérêts, les frais de représentation, les cumuls d'activités, ou toute autre procédure qui participe à la lutte contre les atteintes à la probité.
41. Le code de conduite et ses procédures et politiques annexes forment un ensemble cohérent, facilement accessible aux collaborateurs de l'organisation. Il peut utilement être communiqué aux tiers, le cas échéant, selon des modalités adaptées dans l'objectif de protéger les éventuelles informations confidentielles qu'il contient.
La sensibilisation et la formation aux risques d'atteintes à la probité
42. La sensibilisation de l'ensemble des personnels de l'organisation peut revêtir un caractère général.
43. Les cadres et les collaborateurs les plus exposés doivent, quant à eux, faire l'objet d'une formation obligatoire, adaptée à leurs métiers et aux risques auxquels ils peuvent être exposés. L'identification des bénéficiaires, comme le contenu de la formation, s'appuient sur la cartographie des risques d'atteintes à la probité.
44. Les collaborateurs bénéficiaires de cette formation doivent, à son issue, être en mesure de comprendre l'architecture du dispositif anticorruption, d'identifier les risques auxquels ils sont spécifiquement exposés dans l'exercice de leurs missions et les mesures et procédures applicables dans de telles situations. Ces objectifs doivent être atteints, quelles que soient les modalités de la sensibilisation et de la formation retenues.
45. Des indicateurs de suivi et des tests de connaissance sont par ailleurs définis pour permettre le pilotage de ces formations.
L'évaluation de l'intégrité des tiers
46. Si elle n'est pas suffisamment vigilante sur l'intégrité des tiers avec lesquels elle est entrée ou envisage d'entrer en relation, l'organisation peut se trouver impliquée, plus ou moins directement, dans la commission d'atteintes à la probité susceptibles de ternir sa réputation, d'avoir des conséquences défavorables sur le développement de ses activités, d'engager sa responsabilité ainsi que celle de son instance dirigeante.
47. Destinée à maîtriser ces risques, l'évaluation des tiers consiste à apprécier le risque que fait courir à l'organisation sa relation avec tel ou tel tiers, qu'il s'agisse de clients, de fournisseurs et prestataires, d'intermédiaires, de sous-traitants, de titulaires de marchés publics, de concessionnaires, de délégataires, de bénéficiaires de subventions, de cibles d'acquisitions, d'usagers, de partenaires, etc., c'est-à-dire avec toute personne physique ou morale avec laquelle elle est en relation et qui peut l'exposer à des risques potentiels d'atteintes à la probité.
48. La nature et la profondeur des évaluations à réaliser et des informations à recueillir sont prédéterminées en fonction des différents groupes homogènes de tiers, c'est-à-dire présentant des profils de risques comparables, tels que la cartographie des risques permet de les dresser. Ainsi, les groupes de tiers jugés pas ou peu risqués pourront ne pas faire l'objet d'une évaluation ou faire l'objet d'une évaluation simplifiée tandis que les groupes les plus risqués nécessiteront une évaluation approfondie.
49. Les évaluations peuvent être réalisées par différents moyens, allant d'une simple recherche en source ouverte à une enquête approfondie, en passant par l'envoi d'un questionnaire d'évaluation au tiers lui-même.
50. Les évaluations réalisées permettent à l'instance dirigeante d'apprécier l'opportunité d'entrer en relation avec un tiers, de poursuivre cette relation, le cas échéant avec des mesures de vigilance adaptées, ou de la rompre si elle est déjà engagée (1).
51. Les tiers en relation avec l'organisation qui présentent des risques élevés font l'objet de mesures de vigilance approfondies, de nature à sécuriser les opérations concernées. La surveillance des flux financiers et de l'accomplissement effectif et conforme des missions qui leur sont confiées y contribue notamment.
52. Dans le respect du cadre légal, des clauses spécifiques peuvent par ailleurs être insérées dans les contrats, prévoyant la rupture ou le non-renouvellement de la relation d'affaires en cas de survenance de faits susceptibles de constituer des atteintes à la probité ou de refus de se conformer aux directives de l'organisation en ce domaine.
Mesures et procédures de détection des atteintes à la probité
Le dispositif d'alerte interne
53. Le dispositif d'alerte interne permet le recueil des signalements de comportements ou de situations contraires au code de conduite ou susceptibles de constituer des atteintes à la probité.
54. Sans préjuger des éventuelles règles spécifiques à tel ou tel type d'organisations susceptibles d'influer sur leur dispositif d'alerte interne, celui-ci doit être adapté à la nature des risques de l'organisation et permettre à l'auteur de l'alerte d'effectuer de bonne foi son signalement, ainsi que de garantir sa protection.
55. La gestion de ce dispositif peut être réalisée au sein de l'organisation ou sous-traitée à un tiers, sous réserve que ce tiers dispose des compétences nécessaires au bon traitement des alertes et des moyens permettant d'en préserver la confidentialité.
56. Le dispositif d'alerte peut prévoir un ou plusieurs canaux de signalement allant de la simple adresse électronique dédiée, au logiciel de gestion voire, pour certaines organisations, à une plateforme éthique spécifique. Ils doivent être aisément accessibles aux agents ou collaborateurs de l'organisation, qu'ils soient ou non permanents. Les organisations peuvent utilement le rendre accessible aux tiers avec lesquels elles sont en relation.
57. Le dispositif d'alerte peut également prévoir que l'auteur du signalement en réfère prioritairement à son supérieur hiérarchique. Ce dernier doit pouvoir, le cas échéant, l'orienter et le conseiller, sauf s'il est lui-même l'auteur du comportement en cause.
58. Le dispositif d'alerte est sécurisé et les droits d'accès sont limités aux seuls personnels autorisés à recueillir les alertes ou à les traiter.
59. Les alertes peuvent être lancées de manière anonyme. Le dispositif doit permettre une poursuite des échanges avec l'auteur de l'alerte tout en lui conservant le bénéfice de l'anonymat (il est par exemple envisageable de lui demander de fournir une adresse électronique qui ne permette pas son identification ou l'adresse d'une boîte postale).
60. L'organisation définit les modalités de traitement des alertes qu'elle reçoit, et précise notamment :


- le référent fonctionnellement désigné pour recueillir les alertes au sein de l'organisation et, s'il est différent, le référent en charge de leur traitement ;
- les dispositions prises pour garantir la confidentialité de l'identité de l'auteur de l'alerte, des faits objets de l'alerte et des personnes qui y sont visées, y compris lorsque des vérifications ou lorsque le traitement de l'alerte nécessitent la communication avec des tiers ;
- les modalités selon lesquelles l'auteur de l'alerte fournit, le cas échéant, les informations ou documents à l'appui de son alerte ;
- en cas d'enquête interne, les informations et documents professionnels susceptibles d'être exploités dans ce cadre ;
- les dispositions prises pour informer l'auteur de l'alerte de la réception et, le cas échéant, de la recevabilité de son alerte, ainsi que du délai nécessaire à son traitement et des suites qui lui sont réservées ;
- si aucune suite n'a été donnée à l'alerte, les dispositions prises pour détruire, dans les deux mois suivant la clôture des vérifications, les éléments du dossier permettant d'identifier l'auteur de l'alerte et les personnes mises en cause ;
- si un traitement automatisé des alertes est mis en place, les dispositions prises pour en assurer la conformité au regard des normes régissant la protection des données ;
- la mise en place d'indicateurs afin d'apprécier la qualité et l'efficacité du dispositif d'alerte (notamment : nombre d'alertes reçues, classées sans suite ou traitées, délais de traitement, problématiques soulevées). Ces indicateurs sont transmis à l'instance dirigeante ainsi que les signalements les plus sensibles.


Le dispositif de contrôle
61. L'organisation met en place un dispositif de contrôle et d'audit interne adapté et proportionné aux risques d'atteintes à la probité auxquels elle est exposée.
62. Ce dispositif répond à plusieurs objectifs :


- prévenir et détecter, le cas échéant, des atteintes à la probité ;
- contrôler la mise en œuvre effective, conforme et efficace des mesures et procédures de prévention et de détection des atteintes à la probité et définir des recommandations ou mesures correctives adaptées, en vue de leur amélioration.


63. Le dispositif de contrôle peut comprendre idéalement jusqu'à trois niveaux réalisés de façon autonome.
64. Le premier niveau de contrôle vise à s'assurer, au travers de contrôles préventifs réalisés avant que la décision ou l'opération ne soient mises en œuvre, que les tâches inhérentes à un processus opérationnel ou support ont été effectuées conformément aux procédures édictées par l'organisation. Les contrôles de premier niveau sont opérés par les équipes opérationnelles ou supports ou par la hiérarchie.
65. Les contrôles de deuxième niveau visent à s'assurer, au travers de contrôles détectifs conduits sur tout ou partie des décisions prises ou des opérations réalisées, selon une fréquence prédéfinie ou de façon aléatoire, de la bonne exécution des contrôles de premier niveau et du bon fonctionnement du dispositif anticorruption dans son ensemble.
66. Les contrôles de troisième niveau (ou « audits internes ») sont périodiques et visent à s'assurer que le dispositif de contrôle est conforme aux exigences de l'organisation, efficacement mis en œuvre et tenu à jour. Les personnes en charge des contrôles de troisième niveau sont indépendantes. Elles sont missionnées par l'instance dirigeante et lui rendent compte directement.
67. Les résultats des contrôles de deuxième et troisième niveaux et la mise en œuvre des mesures correctives sont régulièrement transmis à l'instance dirigeante.
68. L'organisation peut insérer son dispositif de contrôle et d'audit interne du dispositif anticorruption au sein d'un dispositif couvrant un spectre plus large de risques, sous réserve de respecter les dispositions énoncées aux paragraphes 61 à 67.
69. Parmi les procédures de contrôle et d'audit interne, les procédures de contrôle et d'audit comptable peuvent constituer un instrument privilégié de prévention et de détection des atteintes à la probité.
70. Les contrôles comptables consistent à s'assurer que les livres, registres et comptes ne sont pas utilisés pour masquer des faits d'atteintes à la probité. Ces procédures ciblent les situations à risques mises en évidence dans la cartographie des risques d'atteintes à la probité. En l'absence de tels contrôles, l'organisation les définit et les déploie.
71. Sans préjuger des éventuelles normes ou réglementations spécifiques à tel ou tel type d'organisation susceptibles d'influer sur leurs contrôles comptables, la séparation des responsabilités entre la vérification du service fait, la demande de mise en paiement, l'autorisation de mise en paiement et la mise en paiement effective contribue à la prévention des atteintes à la probité.
72. Idéalement, l'organisation met en place trois niveaux de contrôle comptable, selon les mêmes modalités que celles du contrôle interne, définies supra : les contrôles comptables de premier et second niveaux et les audits comptables.
73. Ces contrôles comptables peuvent être réalisés soit par les services de contrôle comptable et financier propres à l'organisation, soit par un auditeur externe disposant des compétences nécessaires à leur bonne réalisation.
74. L'organisation peut insérer son dispositif de contrôle et d'audit comptable destiné à prévenir et détecter les atteintes à la probité au sein d'un dispositif de contrôle et d'audit comptable général sous réserve de respecter les dispositions énoncées aux paragraphes 69 à 73.
La gestion des insuffisances constatées
75. Les insuffisances constatées à l'occasion, notamment, des contrôles réalisés, donnent lieu à la définition de mesures correctives, qui peuvent s'inscrire dans le cadre d'un plan d'actions.
76. Les plans d'actions ainsi définis rappellent les insuffisances constatées, détaillent les actions correctives à mener, désignent les personnes responsables de leur mise en œuvre et fixent les délais dans lesquels elles doivent y procéder.
77. L'état d'avancement de ces plans d'action fait l'objet d'un suivi régulier dont les résultats sont transmis à l'instance dirigeante.
78. En cas de non-respect du code de conduite ou de ses éventuelles annexes ou de survenance de faits susceptibles d'être qualifiés d'atteintes à la probité, l'instance dirigeante prend des sanctions adaptées aux comportements constatés.
79. Les sanctions prononcées sont recensées afin d'identifier leurs causes et d'éviter leur réitération.
80. L'instance dirigeante communique au sein de son entité sur les faits constatés et les sanctions ainsi prononcées, en respectant le principe de l'anonymat et en veillant à ce que les personnes sanctionnées ne soient pas aisément identifiables.
81. Lorsque l'instance dirigeante n'a pas, compte tenu de sa qualité, l'obligation de mettre en œuvre les dispositions de l'article 40 du code de procédure pénale en informant l'autorité de poursuite compétente des atteintes qui seraient de nature à constituer une infraction pénale, elle demeure libre de le faire si elle l'estime opportun, ainsi que de déposer plainte, le cas échéant.
Assurer la conservation et l'archivage des mesures et procédures et de leur méthode d'élaboration
82. Dans le respect des normes régissant la protection des données, et de celles relatives aux fichiers et aux libertés, l'organisation met en place un dispositif de conservation et d'archivage des documents et informations qui composent son dispositif anticorruption, afin d'en assurer l'auditabilité. Cette précaution est d'autant plus nécessaire lorsque les méthodes retenues par les organisations mentionnées au paragraphe 7 ne correspondent pas à celles proposées par les présentes recommandations.
83. Les méthodes suivies par l'organisation dans le cadre de l'élaboration de son dispositif anticorruption ou de ses mises à jour sont également conservées et archivées.
84. Ces documents et informations sont conservés selon des durées qui varient en fonction de la nature des informations contenues. En l'état de la législation et notamment du règlement général sur la protection des données (RGPD), une organisation ne peut pas conserver des données personnelles de manière illimitée. Les déclinaisons des dispositions générales ci-dessous précisent ce point.


II. - Déclinaison des dispositions générales aux entreprises assujetties à l'article 17 de la loi


85. Les dispositions qui suivent déclinent et précisent, pour les entités soumises à l'article 17 de la loi, les dispositions énoncées aux paragraphes 13 à 84 des présentes recommandations.
86. En application du I de l'article 17 de la loi, les dirigeants des organisations énumérées au paragraphe 93, dénommées ci-après « entreprises », sont tenus de « prendre les mesures et procédures destinées à prévenir et détecter la commission, en France ou à l'étranger, des faits de corruption et de trafic d'influence ».
87. Les mesures et procédures énumérées au II de l'article 17 ne visent donc qu'à la prévention de deux des six infractions énumérées à l'article 1 de la loi, la corruption et le trafic d'influence. Au regard de ces dispositions, la prévention et la détection de ces deux infractions peuvent être envisagées par la mise en œuvre de mesures et procédures identiques, puisque ces délits recouvrent strictement les mêmes réalités en termes d'éléments matériels constitutifs et ne se distinguent, dans leur aspect passif, que par la qualité de leur auteur.
88. Au-delà de ce que prévoit la loi, il est conseillé que le dispositif anticorruption d'une entreprise appréhende plus largement d'autres risques non expressément prévus par le texte, mais qui pourraient constituer les prémices ou la conséquence de ceux prévus par la loi ; c'est le cas en particulier des infractions de faux ou d'abus de biens sociaux qui justifient en particulier les contrôles comptables ou des infractions de recel ou de blanchiment de l'ensemble des faits visés à l'article 1 de la loi.
89. Sauf indication contraire, les infractions mentionnées au paragraphe 87 seront dénommées indistinctement « corruption » dans la suite du II des présentes recommandations.
90. Les sociétés d'économie mixte et les établissements publics industriels et commerciaux qui atteignent les seuils définis à l'article 17 restent aussi assujettis aux obligations définies par le 3° de l'article 3 de la loi. Par conséquent, au-delà des risques de corruption et de trafic d'influence, leur dispositif anticorruption doit impérativement couvrir les risques de concussion, de prise illégale d'intérêt, de détournement de fonds publics et de favoritisme.
91. Les entreprises qui exercent un contrôle sur d'autres entités (par exemple : filiales, succursales, agences) sont invitées à mettre en place des procédures et un contrôle interne visant à s'assurer de la qualité et de l'efficacité du ou des dispositifs anticorruption déployés dans l'ensemble du périmètre qu'elles contrôlent.


II.1) Premier pilier : l'engagement de l'instance dirigeante


92. L'article 17 de la loi impose à l'instance dirigeante « (…) de prendre les mesures destinées à prévenir et détecter la commission, en France ou à l'étranger, de faits de corruption ou de trafic d'influence selon les modalités prévues au II ». A défaut, sa responsabilité peut être engagée devant la commission des sanctions de l'AFA. Il est donc dans son intérêt de veiller à la mise en œuvre d'un dispositif anticorruption adapté sur l'ensemble du périmètre d'intervention de l'entreprise.


1. Définition de l'instance dirigeante


93. Constituent l'instance dirigeante, au sens du I de l'article 17 de la loi, les personnes suivantes :


- les présidents, les directeurs généraux et les gérants de sociétés ayant leur siège social en France, employant au moins cinq cents salariés et dont le chiffre d'affaires est supérieur à 100 millions d'euros ;
- les présidents, des directeurs généraux et des gérants de sociétés appartenant à un groupe de sociétés dont la société mère a son siège social en France, dont l'effectif comprend au moins cinq cents salariés et dont le chiffre d'affaires consolidé est supérieur à 100 millions d'euros ;
- les présidents et directeurs généraux d'établissements publics à caractère industriel et commercial employant au moins cinq cents salariés, ou appartenant à un groupe public dont l'effectif comprend au moins cinq cents salariés, et dont le chiffre d'affaires ou le chiffre d'affaires consolidé est supérieur à 100 millions d'euros ;
- les membres du directoire des sociétés anonymes régies par l'article L. 225-57 du code de commerce et employant au moins cinq cents salariés, ou appartenant à un groupe de sociétés dont l'effectif comprend au moins cinq cents salariés, et dont le chiffre d'affaires ou le chiffre d'affaires consolidé est supérieur à 100 millions d'euros.


94. Un « groupe de sociétés » doit être entendu comme désignant l'ensemble formé par une société et ses filiales au sens de l'article L. 233-1 du code de commerce ou comme l'ensemble formé par une société et celles qu'elle contrôle au sens de l'article L. 233-3 du même code.
95. Si les membres des conseils d'administration ou autres organes de contrôle ou de surveillance ne sont pas visés, dans leur ensemble, par cette définition, ils s'assurent, dans le cadre de leur mission de surveillance des activités de l'entreprise, de l'existence, de la pertinence et de l'efficacité des mesures prises par les dirigeants afin de se conformer à leurs obligations légales. Pour ce faire, dans les sociétés dotées de tels organes, l'AFA recommande que le dispositif anticorruption et ses actualisations leur soient périodiquement présentés afin qu'ils disposent de toutes les informations nécessaires pour veiller à la conformité de l'entreprise à l'article 17 de la loi.


2. Responsabilité de l'instance dirigeante


96. L'instance dirigeante s'engage à mettre en œuvre une politique de tolérance zéro à l'égard de tout fait de corruption, promeut et diffuse la culture de la conformité anticorruption au sein de l'entreprise et vis-à-vis des tiers, en érigeant la prévention et la détection des faits de corruption à un niveau prioritaire. Ceci constitue un élément fondateur de la démarche de prévention et de détection de la corruption.
97. La mise en place du dispositif anticorruption incombe à l'instance dirigeante qui peut, le cas échéant, en déléguer la mise en œuvre opérationnelle à un responsable de la conformité anticorruption, désigné ci-après « responsable de la conformité ».
98. L'instance dirigeante définit la stratégie de gestion des risques et s'assure de sa mise en œuvre. A cet égard, elle veille à formaliser l'approbation du dispositif et en particulier de la cartographie des risques de corruption. Elle s'assure de la mise en place d'un plan d'actions y afférent et des moyens adaptés pour l'exécuter et pour en assurer le suivi régulier. L'instance dirigeante vérifie, au moyen d'indicateurs et de rapports de contrôle et d'audit, que le dispositif anticorruption est organisé, efficace et à jour.
99. Au-delà de la mise en œuvre des mesures et procédures qui composent le dispositif anticorruption, l'instance dirigeante est invitée à veiller à l'intégration de mesures anticorruption aux procédures et politiques à risque, au sein, par exemple, de sa gestion des ressources humaines, de sa politique commerciale ou d'achat :


- En matière de gestion des ressources humaines, l'instance dirigeante veille à ce que :
- le processus de recrutement et de nomination des cadres et des personnels les plus exposés inclut l'évaluation de leur intégrité ;
- les initiatives des managers pour promouvoir la prévention et la détection de faits de corruption auprès de leurs équipes sont encouragées et valorisées. Par exemple, le respect des mesures de prévention de la corruption peut être pris en compte dans la fixation de leurs objectifs annuels et l'évaluation de leur performance ;
- En matière de politique commerciale, l'instance dirigeante est invitée à veiller à ce que l'octroi de remises commerciales, rabais et ristournes aux clients ne soit pas utilisé à des fins corruptives ;
- La mise en concurrence des fournisseurs participe enfin de la maîtrise des risques inhérents à la fonction achats.


100. L'instance dirigeante s'assure qu'un régime disciplinaire est mis en place et que des sanctions adéquates soient prises en cas de faits de corruption.


3. Moyens dédiés


101. La mise en œuvre d'un dispositif anticorruption nécessite des moyens humains et financiers proportionnés au profil de risque de l'entreprise, mis à disposition par l'instance dirigeante.
102. Ces moyens doivent couvrir notamment :


- l'équipe chargée de la conformité anticorruption ;
- le recours à des conseils ou prestataires externes, le cas échéant ;
- la mise en place d'outils tels que des outils d'évaluation de l'intégrité des tiers, d'alerte interne, de gestion des risques, de monitoring, d'e-learning, etc. ;
- la gestion de la formation anticorruption ;
- la production de rapports et d'évaluations périodiques.


Le responsable de la conformité
103. La désignation du responsable de la conformité peut faire l'objet d'une communication spécifique à l'ensemble des personnels et être formalisée par une lettre de mission de l'instance dirigeante précisant :


- les missions confiées, qui tiennent compte des choix stratégiques et organisationnels retenus et des caractéristiques de l'entreprise (notamment : modèle économique, secteur d'activité, taille) ;
- les éléments qui garantissent l'indépendance du responsable de la conformité à travers son positionnement dans l'organigramme et les modalités d'accès à l'instance dirigeante, au conseil d'administration et aux comités spécialisés qui en émanent ;
- l'articulation avec les autres fonctions de l'entreprise et les autres domaines de la conformité ;
- l'organisation de la fonction conformité anticorruption dans l'entreprise, notamment les moyens matériels et humains qui y sont consacrés.


104. L'instance dirigeante s'assure que le responsable de la conformité dispose des moyens lui permettant de réaliser ses missions, de coordonner les fonctions concernées et de lui rendre compte.
105. Dans le cas d'une entreprise structurée autour d'une entité centrale de type maison-mère et filiales, il est recommandé de nommer un responsable de la conformité au niveau central et des référents par exemple par filiale, par pays ou par unité opérationnelle.
106. Ce responsable peut inciter à la mise en œuvre du dispositif anticorruption dans les filiales, et les assister dans cet exercice, au moyen notamment de la diffusion de méthodologies et de politiques communes, à adapter le cas échéant en fonction des contraintes locales (taille, risques propres identifiés, options retenues dans l'organisation de la fonction conformité, réglementations, etc.).
107. Le responsable de la conformité peut constituer avec ses interlocuteurs conformité de l'entreprise un réseau conformité anticorruption, afin d'aider à la conception, au déploiement et au contrôle du ou des dispositifs anticorruption. Ce réseau, qui facilite notamment la remontée de questions et, le cas échéant, d'alertes ainsi que des retours d'expérience, participe à l'amélioration du ou des dispositifs anticorruption de l'entreprise.
108. L'instance dirigeante veille à ce que le responsable de la conformité bénéficie à tout moment de :


- un accès à toute information utile à l'exercice de ses fonctions, lui permettant de disposer d'une image fidèle de l'activité de l'entreprise ;
- l'indépendance de son action vis-à-vis des autres fonctions de l'entreprise et la capacité à influer réellement sur ces dernières ;
- un accès à l'instance dirigeante, afin d'en obtenir l'écoute et le soutien.


109. Indépendamment de son positionnement dans l'organigramme, il est primordial que le responsable de la conformité entretienne un lien direct et régulier avec l'instance dirigeante, ainsi qu'un accès facilité au conseil d'administration.
110. Au-delà de ses missions récurrentes, le responsable de la conformité est associé à la mise en œuvre des projets stratégiques et aux prises de décisions structurantes de l'entreprise, tels que, par exemple, la conclusion de nouveaux contrats, les fusions-acquisitions, les investissements majeurs, la prospection ou la constitution d'un partenariat, la conception et la commercialisation de nouveaux produits ou services.
111. L'indépendance du responsable de la conformité ne signifie pas pour autant l'absence de contrôle. A cet effet, il rend compte à l'instance dirigeante de son activité.
112. L'instance dirigeante s'assure que le responsable de la conformité dispose des compétences requises, notamment :


- de la capacité à exercer une fonction transverse ;
- d'une connaissance des réglementations liées à la conformité anticorruption, ainsi que des activités de l'entreprise et des techniques de gestion des risques. Cette connaissance peut avoir été acquise par le suivi de formations ou résulter de l'expérience professionnelle.


Une politique de communication interne et externe adaptée
113. L'entreprise communique largement sur sa politique de prévention et de détection de la corruption, auprès de l'ensemble de son personnel.
114. Adaptée à sa structure et à ses activités, la communication interne du dispositif anticorruption porte nécessairement sur le code de conduite, la formation anticorruption et le dispositif d'alerte interne.
115. L'entreprise communique également, selon des modalités adaptées, sa politique anticorruption aux partenaires extérieurs, dans l'objectif de protéger son personnel de sollicitations indues.


II.2) Deuxième pilier : la cartographie des risques


116. Aux termes du 3° du II de l'article 17 de la loi, la cartographie des risques « [prend] la forme d'une documentation régulièrement actualisée et destinée à identifier, analyser et hiérarchiser les risques d'exposition de la société à des sollicitations externes aux fins de corruption, en fonction notamment des secteurs d'activité et des zones géographiques dans lesquels la société exerce son activité. »
117. La lecture combinée des différentes dispositions de l'article 17 et notamment de son I, implique que les entreprises qui y sont soumises doivent réaliser une cartographie couvrant non seulement les risques de corruption comme le précise le texte, mais également ceux de trafic d'influence. Une autre interprétation, qui procéderait d'une lecture littérale du seul 3° de son II, priverait le dispositif global de son efficacité puisque les autres mesures, qui toutes procèdent de cette cartographie, prévoient implicitement (code de conduite, procédures de contrôle comptable, dispositif de formation) ou explicitement (dispositif d'alerte, procédures d'évaluation des tiers, etc.) qu'elles ont aussi pour objet de prévenir et de détecter le trafic d'influence.
118. Indispensable instrument de la connaissance des risques de corruption, une cartographie permet aux entreprises d'engager et de formaliser une réflexion en profondeur pour créer les conditions d'une meilleure maîtrise de ces risques. La cartographie est mise en œuvre dans l'objectif de se prémunir contre les conséquences réputationnelles, juridiques, humaines, économiques et financières que pourrait générer leur réalisation.
119. L'établissement de la cartographie des risques de corruption nécessite :


- de disposer d'une connaissance étendue de l'entreprise et de ses activités, dont les processus (2) managériaux, opérationnels et support que ces activités nécessitent de mettre en œuvre. Cette connaissance est la condition préalable à l'analyse fine des processus qui apporte une assurance raisonnable que la cartographie reflète fidèlement les risques auxquels l'entreprise est réellement exposée lorsqu'elle interagit avec des tiers. Chaque entreprise établit sa propre cartographie des risques, qui lui est spécifique, et ne peut en conséquence être appliquée en l'état à une autre entreprise ;
- d'identifier les rôles et responsabilités des acteurs concernés de l'entreprise, quel que soit leur niveau.


1. Objectifs de la cartographie des risques


120. La cartographie des risques procède d'une analyse objective, structurée et documentée des risques de corruption auxquels une entreprise est exposée dans le cadre de ses activités. Elle résulte de l'analyse de l'ensemble des processus de l'entreprise qui la conduisent à interagir avec les tiers, ainsi que de l'identification des risques de corruption, et ce à chaque stade de ces processus.
121. Elle donne à l'instance dirigeante la visibilité nécessaire pour mettre en œuvre les mesures de prévention et de détection efficaces, proportionnées aux enjeux qu'elle a permis d'identifier et adaptées aux activités de l'entreprise concernée.
121. La cartographie des risques permet à l'entreprise de gérer efficacement ses risques à travers les mesures et procédures de prévention, de détection et de remédiation développées ci-dessous. Réciproquement, les enseignements tirés de la mise en œuvre de ces mesures et procédures sont pris en compte pour établir et mettre à jour la cartographie des risques de corruption. L'ensemble de ces interactions s'inscrit ainsi dans une approche systémique de la cartographie des risques de corruption et des mesures et procédures conçues et mises en œuvre pour les gérer.


2. Caractéristiques de la cartographie des risques


123. La cartographie des risques est complète dans la mesure où :


- d'une part, elle couvre les processus managériaux, opérationnels et support mis en œuvre par les entreprises dans le cadre de leurs interactions avec leurs tiers. Elle appréhende les risques de corruption en prenant en compte les particularités de chaque entreprise, notamment : secteurs d'activité, zones géographiques, contexte concurrentiel et réglementaire, typologies de tiers, modèle de revenus, chaîne de valeur, métiers et processus, organisation interne de l'entreprise, circuits de décision ;
- d'autre part, elle couvre le périmètre d'intervention de l'entreprise. Ainsi, lorsque l'entreprise exerce un contrôle de droit ou de fait sur d'autres entités, à l'instar d'une maison-mère sur ses filiales, elle établit sa cartographie en prenant en compte les risques inhérents aux activités des entreprises contrôlées. A cet effet, celles-ci communiquent leur cartographie des risques de corruption et les plans d'actions associés à la maison-mère qui en suit périodiquement la réalisation. Ces cartographies peuvent utilement être agrégées au sein de celle de l'entreprise-mère. Cette dernière a ainsi une vision globale des risques encourus par ses différentes entités et des plans d'action associés.


124. La cartographie des risques est formalisée, c'est-à-dire qu'elle prend la forme d'une documentation écrite et structurée, qui décrit en détail les méthodes retenues pour son élaboration, les mesures prises pour maîtriser les risques, ainsi que les rôles et responsabilités des différentes personnes parties prenantes.
125. En fonction des activités et de l'organisation de l'entreprise, la cartographie peut être organisée, par exemple, par métier, par processus, par entité ou par zone géographique.
126. La cartographie des risques doit être un outil de pilotage des risques ; elle doit également faciliter l'appréciation, par des personnes extérieures à l'entreprise, de la pertinence du dispositif anticorruption (notamment en cas de contrôle administratif ou de procédure judiciaire).
127. La cartographie des risques est évolutive eu égard à la nécessité de réévaluer les risques de manière périodique, en particulier chaque fois qu'une évolution notable se produit dans l'entreprise. A la faveur de son actualisation, la cartographie participe d'un processus d'amélioration continue permettant aux entreprises de renforcer la maîtrise de leurs risques.


3. Les différentes étapes de mise en place d'une cartographie des risques


128. La cartographie des risques procède d'une analyse objective, structurée et documentée des risques de corruption auxquels une entreprise est exposée dans le cadre de ses activités. La description fait ressortir l'impact potentiel des risques (gravité) et leur probabilité d'occurrence (fréquence), les éléments susceptibles de les accroître (facteurs aggravants) ainsi que les réponses apportées dans le cadre du dispositif de maîtrise des risques existant ou à apporter dans le cadre d'un plan d'actions.
129. Dans ce contexte, afin d'identifier, d'évaluer et de gérer les risques de corruption, il est recommandé de respecter les étapes ci-après.
130. Pour les entreprises ayant déjà conduit des travaux de cartographie des risques dans un cadre plus large ou sur d'autres types de risques que ceux de corruption, ces démarches préexistantes peuvent être capitalisées.


1re étape : rôles et responsabilités des parties prenantes à la cartographie des risques


131. Au sein des entreprises, les rôles et responsabilités peuvent utilement être répartis comme suit :


- l'instance dirigeante promeut l'exercice de cartographie des risques et donne les moyens de sa mise en œuvre au responsable de la conformité. Elle valide la stratégie de gestion des risques mise en œuvre sur son fondement et s'assure de la mise en œuvre du plan d'actions retenu.
- le responsable de la conformité coordonne l'élaboration de la cartographie des risques, en accompagnant l'entreprise dans le recensement des processus, dans l'identification des risques de corruption, dans l'évaluation et la hiérarchisation de ces risques et dans la définition et la mise en œuvre de mesures concourant à leur maîtrise. Le responsable de la conformité est chargé d'établir la cartographie des risques de corruption, qu'il communique à l'instance dirigeante à chacune de ses mises à jour ainsi que le suivi du plan d'actions.
- les responsables des processus décisionnels, opérationnels, comptables et autres activités support contribuent, tous et chacun à leur place, à l'élaboration et à la mise à jour de la cartographie des risques. Ils sont responsables de l'identification des risques spécifiques à leurs activités conformément aux procédures anticorruption en vigueur dans l'entreprise.
- le responsable en charge de la maîtrise des risques, quand l'entreprise en dispose, contribue également à la définition de la méthodologie utilisée pour identifier, analyser, hiérarchiser et gérer les risques de corruption. Sur ce point, le responsable de la conformité et le responsable de la gestion des risques travaillent en étroite collaboration. La cartographie des risques de corruption peut être réalisée en même temps qu'une cartographie concernant d'autres risques (opérationnels, comptables, de fraude, etc.) afin d'optimiser les ressources mobilisées. Il est alors important de bien distinguer, dans l'exercice de cartographie, entre les risques de corruption et les autres.
- les personnels, forts de leur expérience pratique des processus de l'entreprise, apportent leur contribution à l'exercice de cartographie en rendant compte des facteurs spécifiques aux fonctions exercées et aux risques encourus afin qu'en soient tirées les conséquences sur l'identification, l'évaluation et la hiérarchisation des risques.


132. L'entreprise, lors de l'élaboration de sa cartographie, veille à appréhender les risques inhérents aux activités exercées par l'ensemble des personnels travaillant dans la structure, quel que soit leur statut, y compris celles des dirigeants, des administrateurs et des gérants.


2e étape : identification des risques inhérents aux activités de l'entreprise (recensement des processus et scénarios de risques)


133. L'identification des risques de l'entreprise s'appuie sur une analyse fine de ses processus :


- dans une première étape, l'entreprise pourra établir un recensement de ces processus sur la base des activités qu'elle exerce, le cas échéant sur le fondement d'une cartographie des processus préexistante. A ce stade, l'entreprise s'attache à ne pas préjuger des résultats de la cartographie des risques en dressant a priori une liste de processus jugés les plus représentatifs ou les plus exposés aux risques ;
- dans une seconde étape et sur la base du recensement des processus, l'entreprise organise des échanges, notamment au moyen d'ateliers, d'entretiens, de l'envoi de questionnaires, avec des personnels de tous niveaux hiérarchiques et issus de l'ensemble de l'entreprise. Ces personnels sont choisis pour leur maîtrise opérationnelle de ces processus, afin d'identifier les scénarios de risques auxquels l'entreprise est exposée dans le cadre de ses activités, le cas échéant attachés à certains métiers, filiales ou zones géographiques notamment.


134. Il s'agit de procéder à un état des lieux précis permettant d'identifier, de manière circonstanciée et documentée, les scénarios de risques propres à l'entreprise. Si une liste de risques pré établie peut constituer un des supports sur lesquels s'appuie la réflexion menée lors des échanges susmentionnés, elle ne saurait pré déterminer la nature, le nombre et la classification des scénarios de risque retenus à l'issue des échanges.
135. Ces échanges permettent la libre expression des participants et font l'objet de synthèses écrites qui précisent notamment l'ensemble des scénarios et facteurs de risque identifiés.
136. Les scénarios de risques sont identifiés en tenant compte de l'environnement dans lequel s'inscrit l'entreprise, qui peut notamment être affecté par :


- les pays dans lesquels l'entreprise déploie ses activités ;
- les secteurs d'activité ;
- la nature des opérations, notamment les d'opérations stratégiques (opérations de fusions-acquisitions, cessions d'actifs, association avec un nouveau partenaire stratégique, etc.) ;
- la nature du tiers, son secteur d'activité, la nature des relations (directe ou indirecte), la présence de personnes politiquement exposées, le degré de dépendance économique ;
- la durée du cycle de vente et la pression concurrentielle, les modalités de rémunération des commerciaux ;
- les conditions et les moyens de paiement ;
- l'historique des incidents constatés au sein de l'entreprise : doivent notamment être pris en compte les incidents que les audits internes ou le dispositif d'alerte interne ont permis de révéler, qui ont, le cas échéant, donné lieu à l'application du régime disciplinaire ;
- les faits ayant donné lieu à des décisions juridictionnelles concernant des entreprises aux risques comparables.


3e étape : évaluation des risques bruts


137. Cette étape vise à évaluer le niveau de vulnérabilité de l'entreprise pour chaque scénario de risque identifié à l'étape précédente. Il s'agit ici d'identifier les risques « bruts » auxquels l'entreprise est exposée, c'est-à-dire les risques considérés en amont des moyens de maîtrise mis en œuvre.
138. Ce niveau de vulnérabilité est évalué au moyen des trois indicateurs suivants : l'impact, la fréquence et les facteurs aggravants.
139. Une analyse de l'impact de chaque scénario de risque identifié est menée. Cet impact peut être réputationnel, financier, économique ou juridique. Un même scénario de risque peut naturellement cumuler plusieurs types d'impacts.
140. Une probabilité d'occurrence est déterminée à l'aide des informations les plus complètes et les plus adaptées à la spécificité du risque identifié (exemple : historique des incidents).
141. L'appréciation des facteurs jugés aggravants est réalisée par l'application de coefficients de gravité. Par exemple, dans la situation des entreprises développant leurs activités à l'international, ce coefficient permet de prendre en compte, au stade de l'évaluation des risques bruts, l'incidence de l'implantation géographique.
142. Les échanges organisés pour identifier les risques peuvent utilement conduire à leur évaluation. Qu'elle s'appuie ou pas sur ces échanges, l'évaluation des risques bruts est conduite sur le fondement d'une méthodologie homogène : l'entreprise veille notamment à ce que les évaluations des risques bruts émanant des différents métiers, filiales ou zones géographiques puissent être agrégées de manière cohérente.


4e étape : évaluation des risques nets ou résiduels


143. Cette étape vise à évaluer le niveau de maîtrise des risques par l'entreprise afin de déterminer les risques « nets » ou « résiduels » auxquels elle est exposée. Il s'agit donc de réévaluer les scénarios de risques « bruts » en prenant en considération les moyens de maîtrise des risques déjà existants et mis en œuvre.
144. Il convient, à ce stade d'élaboration de la cartographie, d'évaluer l'efficacité des mesures de maîtrise des risques existantes en s'appuyant notamment sur les audits réalisés.
145. Idéalement, le recensement des moyens de maîtrise des risques déjà existants et mis en œuvre est réalisé à l'occasion des échanges avec le personnel, conduits dans le cadre de l'identification des risques inhérents aux activités de l'entreprise (2e étape). L'évaluation de l'efficacité de ces mesures et ce faisant des risques nets ou résiduels est faite par le responsable de la conformité, en lien si nécessaire avec les responsables des fonctions de l'entreprise concernées et avec l'appui éventuel de l'audit interne et du responsable de la maîtrise des risques, quand l'entreprise possède une telle fonction.


5e étape : hiérarchisation des risques nets ou résiduels et élaboration du plan d'actions


146. Une fois les risques « nets » ou « résiduels » évalués, un classement par niveau des scénarios de risques apparaît.
147. Lorsque ces scénarios de risques présentent une évaluation nette de même niveau et si l'entreprise juge utile de les départager pour prioriser les actions à mettre en œuvre, elle peut les hiérarchiser au moyen d'une méthode objective adaptée à ses activités spécifiques, reposant sur la combinaison de plusieurs critères comme le risque-pays, le chiffre d'affaires, la nature et le type de relations avec les tiers.
148. Cette hiérarchisation des risques permet de distinguer les risques pour lesquels le niveau de maîtrise est considéré comme suffisant de ceux pour lesquels l'instance dirigeante souhaite améliorer la maîtrise, au moyen notamment d'un renforcement du contrôle interne.
149. Une fois cette limite d'acceptabilité fixée et documentée, il s'agit de déterminer, dans le cadre de la stratégie de gestion des risques, les mesures à mettre en œuvre afin de les maîtriser.
150. Sur la base de ces éléments, un plan d'actions est élaboré. Son calendrier et ses modalités de mise en œuvre, ainsi que son suivi et les modalités de compte rendu associés, sont confiés à la responsabilité d'acteurs précisément désignés. L'établissement, la formalisation et le suivi de ce plan d'actions constituent une condition de l'efficacité de la cartographie des risques.


6e étape : formalisation, mise à jour et archivage de la cartographie des risques


151. L'ensemble des éléments précités constitue la cartographie des risques. Sa présentation participe de son appropriation comme outil de pilotage des risques de corruption. Elle peut être, au choix de l'entreprise, organisée par métier, par processus, par entité ou par zone géographique. Elle est accompagnée d'une annexe décrivant les modalités de son élaboration et la méthodologie d'identification, d'évaluation, de hiérarchisation et de gestion des risques.
152. La nécessité éventuelle d'actualiser la cartographie est appréciée chaque année.
153. La mise à jour de la cartographie peut opportunément permettre à l'entreprise d'adapter sa méthodologie ou d'adopter une nouvelle méthodologie pour que la cartographie qui en sera issue offre l'assurance raisonnable que les risques identifiés reflètent fidèlement les risques auxquels elle est réellement exposée, soient évalués à leur juste niveau et correctement hiérarchisés.
154. Il convient de conserver les éléments suivants, qui permettent d'apprécier la mise en œuvre effective de la cartographie :


- la trace des échanges avec les personnels concernés (calendriers, notes, synthèses écrites) ;
- la méthode de calcul des risques « bruts », ainsi que les définitions retenues ;
- la méthode de calcul des risques « nets » ou « résiduels », ainsi que les définitions retenues ;
- Les procédures d'identification et de classification des risques ;
- les différentes versions des cartographies présentées aux instances dirigeantes, leur validation et les plans d'actions validés y afférents ;
- les comptes rendus des différents comités dédiés.


155. Les différentes versions des cartographies, ainsi que leur piste d'audit, sont datées, référencées et archivées.


II.3) Troisième pilier : la gestion des risques
A. - Prévention des risques
1. Code de conduite


156. Le 1° du II de l'article 17 de la loi dispose que les personnes mentionnées au I mettent en œuvre « un code de conduite définissant et illustrant les différents types de comportements à proscrire comme étant susceptibles de caractériser des faits de corruption ou de trafic d'influence. Ce code de conduite est intégré au règlement intérieur de l'entreprise et fait l'objet, à ce titre, de la procédure de consultation des représentants du personnel prévue à l'article L. 1321-4 du code du travail. »
Définition et objectifs
157. Le code de conduite, quelle que soit la dénomination qui lui est donnée par l'entreprise, est un document qui manifeste la décision de l'instance dirigeante d'engager l'entreprise dans une démarche de prévention et de détection des faits de corruption.
158. Il recueille les engagements et principes de l'entreprise en cette matière. Il définit et illustre les différents types de comportements à proscrire comme étant susceptibles de caractériser des faits de corruption.
Champ d'application et communication
159. Le code de conduite est applicable et opposable à l'ensemble des personnels de l'entreprise.
160. En tant qu'instrument de bonne gouvernance, le code de conduite est applicable partout où l'entreprise exerce une activité, y compris à l'étranger. Il peut être commun à l'ensemble des entités d'une même entreprise à la condition que ce choix n'entrave pas son efficacité. Lorsque l'entreprise exerce une activité à l'étranger, il est conseillé d'y prévoir une déclinaison du code de conduite tenant compte, le cas échéant, des spécificités juridiques locales, pouvant parfois se matérialiser par l'application de normes anticorruption différentes. De même, lorsque l'entreprise exerce des activités sensiblement variées avec des risques de corruption spécifiques, il peut être opportun pour l'entreprise de décliner son code de conduite au niveau de ses entités ou de ses unités opérationnelles.
161. Les autres collaborateurs amenés à travailler avec l'entreprise et qui sont soumis à son règlement intérieur doivent respecter le code de conduite.
162. S'agissant des tiers, le code de conduite peut utilement leur être communiqué, sous réserve d'adaptations rendues nécessaires pour protéger les éventuelles informations confidentielles qu'il contient. Il est recommandé d'imposer aux tiers le respect de ce document, par une clause contractuelle.
Processus d'élaboration et de validation
163. Le code de conduite est préparé conjointement par le responsable de la conformité et les personnes qualifiées de l'entreprise.
164. Il est validé par l'instance dirigeante qui en assure le portage, par exemple en préfaçant son introduction. Il favorise ainsi au sein de l'entreprise le développement d'une culture de la conformité, de l'éthique, de l'intégrité et de la probité, dont chacun peut se prévaloir dans sa relation professionnelle.
165. L'instance dirigeante promeut le code de conduite et en applique scrupuleusement les principes. Son exemplarité est essentielle à la bonne appropriation et application du code de conduite par les personnels.
L'interdépendance du code de conduite avec d'autres documents
166. Le code de conduite peut renvoyer à des fiches « opérationnelles » (ou « processus », ou « procédures » relatives à la politique cadeau ou la gestion des conflits d'intérêts par exemple) qui, sans faire partie du code lui-même, définissent, sur la base de la cartographie des risques, le détail opérationnel des comportements à respecter afin de maîtriser les situations à risque. Il importe que l'ensemble de ces documents constituent un ensemble cohérent, clairement articulé et dont la lisibilité et l'accessibilité soient assurées pour l'ensemble des collaborateurs.
167. Il est par ailleurs possible d'intégrer le code de conduite dans un dispositif « d'éthique » (du type charte éthique) au périmètre plus large que la stricte lutte anticorruption, à la condition d'en permettre la parfaite lisibilité dans sa présentation.
L'articulation du code de conduite avec le règlement intérieur
168. Dans les entreprises dans lesquelles il existe un règlement intérieur, le code de conduite y est intégré.
169. Lorsque l'entreprise n'est pas soumise à l'obligation de disposer d'un règlement intérieur, en France ou à l'étranger, le code de conduite est remis aux membres du personnel ou leur est rendu accessible, selon les modalités déterminées par l'entreprise et dont elle devra conserver la trace.
Contenu
170. Le code de conduite a vocation à être rédigé postérieurement à l'élaboration de la cartographie des risques, dans la mesure où il décrit les comportements à proscrire à partir des risques identifiés.
171. Le code de conduite contient des dispositions sur les types de comportements à proscrire auxquels les collaborateurs sont susceptibles d'être confrontés du fait de l'activité de l'entreprise. Une structuration en rubriques correspondant aux différents types de comportements à proscrire est encouragée.
172. Le code de conduite est accompagné d'illustrations pertinentes sur des cas concrets.
173. Le code de conduite n'est pas limité à un recueil de bonnes pratiques, mais formule également des interdictions visant, dans le contexte particulier de l'entreprise concernée, les comportements et usages qui sont constitutifs d'atteintes à la probité. A ce titre, il peut traiter notamment des cadeaux et invitations, des paiements de facilitation, des conflits d'intérêts, du mécénat, du sponsoring ainsi que, le cas échéant, de la représentation d'intérêts (lobbying) et des frais de représentation.
174. Le code de conduite présente le dispositif d'alerte interne destiné à recueillir les signalements relatifs à l'existence de conduites ou de situations contraires à ses dispositions.
175. Le code de conduite prévoit que les comportements proscrits et, plus généralement, les comportements non conformes aux engagements et principes de l'entreprise en matière de prévention et de détection des faits de corruption font l'objet de sanctions disciplinaires.
176. Le code de conduite mentionne la fonction qualifiée pour répondre aux questions des personnels (par exemple : responsable de la conformité, référent conformité ou intégrité) et les modalités pour la contacter (notamment adresse générique).
177. Le code de conduite est rédigé en des termes qui le rendent intelligible et accessible à des non-spécialistes. Il est clair, sans réserve et sans équivoque. Il peut être traduit en une ou plusieurs langues étrangères afin de faciliter sa compréhension par les personnels ressortissants des Etats étrangers.
Mise à jour
178. L'opportunité de mettre à jour le code de conduite est examinée régulièrement et notamment après une mise à jour de la cartographie. Il comporte à cette fin une indication de date d'effet.


2. Sensibilisation et formation


179. Conformément au du 6° du II de l'article 17 de la loi, les personnes mentionnées au I sont tenues de mettre en œuvre « un dispositif de formation destiné aux cadres et aux personnels les plus exposés aux risques de corruption et de trafic d'influence. ».
180. Le dispositif de formation anticorruption s'adresse donc à l'ensemble des cadres, en tant que personnels chargés d'un certain niveau de responsabilité dans l'entreprise, ainsi qu'aux autres membres du personnel de l'entreprise considérés comme les plus exposés aux risques de corruption.
Définition et objectifs
181. Vecteur des valeurs et de la culture d'intégrité au sein de l'entreprise, un dispositif de formation efficace et adapté favorise une large diffusion des engagements pris par l'instance dirigeante en matière de lutte contre la corruption, ainsi que leur appropriation par les collaborateurs concernés. Il peut utilement s'inscrire dans un dispositif plus large de sensibilisation de l'ensemble du personnel.
182. Si le dispositif de sensibilisation permet aux bénéficiaires d'être mieux informés et réceptifs sur les sujets qui leur sont présentés, le dispositif de formation consiste à procurer les connaissances et les compétences nécessaires à l'exercice d'une activité ou d'un métier. Elle s'intègre dans le plan de formation général de l'entreprise.
183. Le dispositif de formation anticorruption doit :


- être coordonné avec les autres mesures et procédure du dispositif anticorruption. Par exemple : formation au contenu du code de conduite, formation prioritaire des personnes évaluées à risque par la cartographie, formation et sensibilisation à l'utilisation des dispositifs d'alerte ;
- tenir compte des risques spécifiques auxquels sont exposées les différentes catégories de personnels.


Le dispositif de sensibilisation destiné à tous les personnels
184. Si le dispositif de formation anticorruption s'adresse prioritairement aux cadres et aux personnels les plus exposés, il est recommandé d'organiser une sensibilisation de l'ensemble des personnels.
185. Les actions de sensibilisation peuvent porter notamment sur :


- le code de conduite, traduction de l'engagement de l'instance dirigeante ;
- la corruption en général, ses enjeux, ses formes et les sanctions encourues, qu'elles soient disciplinaires ou pénales ;
- le comportement à adopter face à des faits de corruption, le rôle et les responsabilités de chacun ;
- le dispositif d'alerte interne.


186. Quelles que soient les modalités retenues, ces actions de sensibilisation visent à favoriser la prise de conscience des enjeux du phénomène de corruption dans l'entreprise et son environnement.
Formation obligatoire destinée aux cadres et aux personnels les plus exposés
187. La formation des cadres et des personnels les plus exposés permet de les alerter à la fois sur la nécessaire vigilance dont ils devront faire preuve dans l'exercice de leurs activités, mais également sur les comportements qu'ils devront adopter face aux situations à risque. Elle vise à ce qu'ils s'approprient le dispositif anticorruption de l'entreprise.
188. A terme, la formation a pour effet de limiter les risques identifiés dans la cartographie des risques.
189. Les personnels les plus exposés sont identifiés à partir de la cartographie des risques. Il peut s'agir, en particulier :


- des personnels en relation avec certains tiers (notamment : commerciaux, acheteurs) ;
- des personnels qui participent à la mise en œuvre du dispositif anticorruption.


190. Le contenu des formations varie selon qu'elles s'adressent aux cadres et aux personnels les plus exposés aux risques de corruption ou à d'autres catégories de personnes.
191. Ce contenu est adapté à la nature des risques, aux fonctions exercées et aux zones géographiques d'activité de l'entreprise. Il est actualisé régulièrement, en lien avec la mise à jour de la cartographie des risques.
192. La formation a pour objectif d'améliorer la compréhension et la connaissance :


- des processus et des risques induits ;
- des infractions d'atteintes à la probité ;
- des diligences à accomplir et des mesures à appliquer pour réduire ces risques ;
- des comportements à adopter face à une sollicitation indue ;
- des sanctions disciplinaires encourues en cas de pratiques non conformes.


193. Le tronc commun de ces formations porte sur :


- le code de conduite, traduction de l'engagement de l'instance dirigeante ;
- la corruption en général, ses enjeux et ses formes ;
- les obligations juridiques applicables et les sanctions afférentes ;
- le dispositif de conformité anticorruption ;
- le comportement à adopter, le rôle et les responsabilités de chacun face à des faits de corruption ;
- le dispositif d'alerte anticorruption.


194. En complément, des thématiques spécifiques sont traitées, selon les fonctions exercées par les participants et les risques spécifiques auxquels ils sont confrontés. Les outils de détection de la corruption peuvent être une thématique couverte par la formation à destination des personnels chargés d'une fonction de contrôle.
195. Les cadres et les personnels les plus exposés sont formés au cours de leur parcours d'intégration. Les formations sont ensuite régulièrement dispensées tout au long de l'exercice de leur activité.
196. A l'instar du code de conduite, les formations s'appuient notamment sur des cas pratiques et des scénarios personnalisés par public et adaptés aux risques identifiés dans la cartographie des risques.
197. Des personnels de l'entreprise peuvent être invités à faire partager leur expérience en la matière, leurs réactions et les conclusions qu'ils en ont tirées, donnant ainsi lieu à des échanges au plus près des contraintes opérationnelles. Les mises en situation peuvent être utiles pour favoriser une appropriation des règles dans l'exercice quotidien des fonctions.
198. La mise en place d'outils permettant de vérifier la bonne compréhension des formations comme, par exemple, un contrôle de connaissances, est à encourager. Ce contrôle de connaissances peut être effectué au cours de la formation et passé un certain délai, afin de s'assurer que les connaissances ont bien été assimilées.
Contrôle et suivi du dispositif de formation
199. La mise en place d'indicateurs permet d'assurer le suivi du dispositif de formation y compris dans l'hypothèse d'une externalisation des formations. Ces indicateurs peuvent inclure les items suivants :


- taux de couverture de la formation au regard du public visé ;
- nombre d'heures de formation sur la conformité et le dispositif anticorruption.


200. Le responsable de la conformité doit être informé du calendrier des formations et de leur contenu pédagogique, mais doit aussi pouvoir contrôler le déploiement du dispositif et les indicateurs associés.


3. Evaluation de l'intégrité des tiers


201. Le 4° du II de l'article 17 de la loi prévoit que les personnes mentionnées au I mettent en œuvre « des procédures d'évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques. »
Définition et objectifs de l'évaluation de l'intégrité des tiers
202. La loi impose aux entreprises de procéder à l'évaluation des clients, des fournisseurs de premier rang et des intermédiaires.
203. Il est également recommandé d'inclure dans les dispositifs d'évaluation d'autres catégories de tiers avec lesquels l'entreprise peut être en relation ou vouloir entrer en relation, notamment : ses cibles d'acquisition, ses bénéficiaires d'action de sponsoring ou de mécénat.
204. Les évaluations visent à permettre de décider d'entrer ou pas en relation avec un tiers, de poursuivre une relation en cours ou d'y mettre fin.
Articulation du dispositif d'évaluation avec d'autres dispositifs (dont la lutte contre le blanchiment de capitaux et le financement du terrorisme LCB-FT)
205. Les évaluations des tiers doivent être distinguées des obligations de vigilance à l'égard de la clientèle auxquelles sont assujetties les personnes définies à l'article L. 561-2 du code monétaire et financier dans le cadre de la lutte contre le blanchiment des capitaux et le financement du terrorisme (article L. 561-1 et suivants du code monétaire et financier).
206. Elles peuvent néanmoins être mises en œuvre à travers un dispositif unique, pour autant que ce dernier permette de faire ressortir le risque spécifique de corruption.
Définition des modalités d'évaluation des tiers
207. La nature et la profondeur des évaluations à réaliser et des informations à recueillir sont déterminées en fonction des différents groupes homogènes de tiers présentant des profils de risques comparables, tels que la cartographie des risques permet de les dresser. Ainsi, les groupes de tiers jugés pas ou peu risqués pourront ne pas faire l'objet d'une évaluation ou faire l'objet d'une évaluation simplifiée, tandis que les groupes les plus risqués nécessiteront une évaluation approfondie.
208. L'entreprise peut recenser de manière exhaustive ses tiers. Cette approche a pour objet de déterminer ex ante, sur le fondement de la cartographie des risques, les groupes de tiers qui lui semblent les plus sensibles aux risques de corruption.
209. Au sein de chaque groupe de tiers qui nécessite une évaluation, chacun est évalué individuellement, en fonction de ses particularités. Les procédures d'évaluation des tiers visent en effet à apprécier le risque spécifique induit par la relation entretenue ou qu'il est envisagé d'entretenir avec un tiers donné.
210. L'évaluation de l'intégrité des tiers permet à l'entreprise d'apprécier des situations individuelles, ce que ne permet pas la cartographie des risques. Un tiers, considéré comme appartenant à un groupe peu risqué peut être requalifié en tiers risqué à l'issue de son évaluation individuelle. Par ailleurs, un incident, une alerte, une condamnation concernant un tiers dont le groupe est jugé peu risqué ou dont le comportement évolue au cours de la relation peuvent conduire l'entreprise à réaliser une évaluation plus poussée ou à l'évaluer en priorité.
211. Une base de données interne dédiée aux tiers, conforme à la réglementation, peut utilement être mise en place. Elle doit être sécurisée et à jour. Cette démarche suppose notamment l'adoption de procédures formalisées et sécurisées de création, validation, modification et suppression des tiers enregistrés dans la base, avec un respect strict de la répartition des tâches et des habilitations.
Modalités d'évaluation de l'intégrité des tiers
212. Trois niveaux d'acteurs participent aux évaluations :


- le personnel en charge des évaluations collecte les informations et documents utiles à l'évaluation des tiers avec lesquels l'entreprise est ou est appelée à être en relation. Il émet une première appréciation. Cette appréciation vaut décision dans les cas considérés comme peu risqués ;
- le service de la conformité (ou tout autre responsable désigné) apporte son expertise et ses conseils au personnel en charge des évaluations. Il accompagne le niveau opérationnel dans l'appréciation des cas les plus risqués et dans la prise de décision ;
- l'instance dirigeante décide des suites à donner aux cas les plus risqués que lui communiquent les services concernés.


213. L'entreprise peut, en tant que de besoin, avoir recours à des prestataires externes, notamment lorsqu'elle n'est pas en mesure d'obtenir par elle-même les informations ou documents nécessaires, ou lorsque le tiers réside ou intervient dans un pays où elle n'est pas implantée. Au regard des objectifs assignés par la loi, l'entreprise demeure responsable de la qualité et de la pertinence des évaluations réalisées pour son compte.
214. La procédure d'évaluation de l'intégrité des tiers est formalisée.
215. La nature des informations et documents utiles à l'évaluation des tiers est déterminée par l'entreprise sur le fondement de sa cartographie des risques.
216. A titre indicatif, les évaluations peuvent inclure :


- la collecte d'informations au moyen de la consultation de listes internes à l'entreprise ;
- la collecte d'informations en sources ouvertes, de documents publics ou à disposition du public (par exemple : articles de presse, états financiers, décisions de justice lorsqu'elles sont publiées) ;
- la vérification de la présence du tiers ou de ses bénéficiaires effectifs, tels que définis par les articles R. 561-1 et R. 561-2 du code monétaire et financier, de ses dirigeants ou de ses administrateurs, sur les listes des personnes physiques et morales sanctionnées (notamment la liste des personnes exclues des marchés publics financés par la banque mondiale, les banques de développement ainsi que la liste des personnes sous sanctions financières et internationales des ministères économiques et financiers) ;
- la collecte d'informations dans des bases de données commercialisées par des prestataires spécialisés ;
- la collecte d'informations et de documents auprès du tiers, au moyen par exemple d'un questionnaire, d'un entretien, d'un audit, d'un processus interne d'agrément ou de certification.


217. L'entreprise recense les principaux éléments d'identité du tiers : nom, raison ou dénomination sociale, forme juridique de la structure, date de création, effectifs, chiffre d'affaires, capital, secteur(s) d'activité, domaines de compétences (notamment pour les intermédiaires et prestataires de services), implantation géographique.
218. L'entreprise identifie les noms, prénoms des principaux actionnaires, ainsi que des bénéficiaires effectifs.
219. L'entreprise apprécie la sensibilité du secteur d'activité du tiers au regard du risque de corruption. Elle peut s'appuyer pour cela sur sa cartographie des risques de corruption ainsi que sur l'expérience qu'elle tire de ses activités. En complément, elle peut s'appuyer sur des analyses externes d'entreprises internationales ou d'organisations non gouvernementales.
220. L'entreprise s'assure que le tiers - en particulier s'il s'agit d'un intermédiaire ou un fournisseur- dispose de l'expérience, des qualifications et des compétences nécessaires à la réalisation de sa mission. A ce titre, elle peut demander au tiers de lui communiquer les références professionnelles qu'elle jugera nécessaires en fonction des données déjà recueillies (date de constitution, date du lancement de l'activité, etc.). Le manque de qualification ou d'expérience peut être défini comme un facteur aggravant lors de l'évaluation du niveau de risque du tiers.
221. L'entreprise recherche si le tiers, ses dirigeants, ses principaux actionnaires et ses bénéficiaires effectifs ont fait l'objet d'informations défavorables, d'allégations, de poursuites ou de condamnations pour atteintes à la probité (ou le recel et le blanchiment de ces infractions).
222. Les informations sont obtenues, dans le respect des réglementations applicables, notamment celles relatives à la protection des données personnelles.
223. L'entreprise peut également s'assurer que le tiers a mis en œuvre un dispositif de conformité anticorruption. Le fait que le tiers ne communique pas sur la mise en place d'un tel dispositif et ne le documente pas peut être considéré comme un point de vigilance.
224. Les relations public/privé présentent un risque identifié en termes de corruption. Il est pertinent que l'entreprise identifie les interactions que le tiers peut avoir avec des agents publics, a fortiori lorsqu'il s'agit de personnes politiquement exposées, au sens de l'article L. 561-10 du code monétaire et financier.
Appréciation du niveau de risque du tiers
225. L'entreprise apprécie le niveau de risque du tiers à partir des informations et documents collectés d'une part, et de l'analyse des conditions dans lesquelles s'inscrit la relation envisagée (ou de l'analyse de la nature et de l'objet de la relation), d'autre part. Elle tient compte également de facteurs aggravants comme le risque pays ou le comportement du tiers.
226. Certaines relations comportent un risque aigu de corruption comme, par exemple, le cas d'un tiers ayant pour mission d'assister l'entreprise dans l'obtention de contrats : d'une part, l'entreprise peut inciter le tiers à se livrer à des pratiques non conformes de façon à contourner son dispositif anticorruption ; d'autre part, le tiers peut se livrer à de telles pratiques de sa propre initiative, sans que l'entreprise n'en soit informée.
227. L'établissement d'une relation financière de longue durée ou à forte valeur peut constituer un facteur de risque lors de l'évaluation du niveau de risque du tiers. Par ailleurs, l'utilisation de certaines devises est également un élément à prendre en considération du fait de l'extraterritorialité de certaines législations anticorruption. De la même manière, le niveau de dépendance économique de l'entreprise vis-à-vis du tiers ou du tiers vis-à-vis de l'entreprise peut constituer un risque.
228. L'entreprise vérifie que le montant de la rémunération est cohérent avec la nature et le volume des biens ou services vendus par le tiers, et conforme au prix du marché. Une incohérence peut constituer un signal d'alerte et nécessite d'en justifier les raisons.
229. L'entreprise s'assure, en particulier pour les prestataires ou intermédiaires, que le recours à ces tiers est justifié et que leur prestation est effective.
230. L'entreprise identifie les raisons qui conduisent à choisir un tiers plutôt qu'un concurrent de ce tiers. Par exemple, constitue une alerte pour une entreprise le fait que le tiers soit recommandé ou imposé par un client.
231. Le versement de commissions liées à l'obtention de contrats peut constituer un facteur de risque lors de l'évaluation du niveau de risque du tiers.
232. La localisation du compte bancaire du tiers peut constituer un facteur de risque lors de l'évaluation du niveau de risque du tiers (par exemple, si le compte bancaire est domicilié dans un Etat figurant dans la liste des Etats et territoires non coopératifs).
233. De plus, certaines modalités de paiement, dont les paiements en espèces, les paiements transfrontaliers, les paiements effectués sur présentation de factures non détaillées peuvent constituer des facteurs de risque lors de l'évaluation du niveau de risque du tiers.
234. Si le tiers n'est pas implanté sur le territoire français ou si la prestation est réalisée à l'étranger, son évaluation prend en compte la sensibilité du pays au risque de corruption, à partir :


- de la liste des pays sous sanctions financières et internationales publiée par les ministères économiques et financiers ;
- des rapports de suivi de l'OCDE concernant la mise en œuvre de la convention sur la lutte contre la corruption d'agents publics étrangers dans les transactions commerciales internationales dans les pays signataires ;
- d'enquêtes ou d'indices publiés relatifs à la corruption dans le secteur public ;
- de l'enregistrement du tiers dans un Etat non coopératif ou dans un pays à législation non équivalente qui peut être défini comme un facteur de risque lors de l'évaluation du niveau de risque du tiers.


235. Le comportement du tiers est pris en compte dans l'évaluation du risque : le fait par exemple que le tiers refuse de fournir ou tarde à fournir les informations ou documents demandés peut être considéré comme un facteur de risque lors de son évaluation.
236. L'entreprise peut évoluer dans un écosystème regroupant plusieurs intervenants, sans pour autant être liée avec chacun d'entre eux (exemple : chaînes contractuelles). Dans ce cas, elle peut avoir intérêt à s'assurer que les tiers avec lesquels elle est liée effectuent l'évaluation de leurs propres tiers conformément aux paragraphes précédents.
Conclusions à tirer des évaluations des tiers
237. La décision est prise par les acteurs appropriés en fonction notamment du stade de la relation d'affaires (entrée en relation ou renouvellement, etc.), de la catégorie à laquelle appartient le tiers et de son niveau de risque.
238. A la suite de l'évaluation du niveau de risque, il est décidé :


- d'approuver la relation - avec ou sans mesures de vigilance renforcée ;
- de mettre un terme à la relation ou de ne pas l'engager ;
- de reporter la prise de décision (pour cause d'évaluations complémentaires, par exemple).


239. Les personnes à l'origine de la décision ainsi que les modalités de prise de décision sont clairement identifiées dans l'entreprise.
240. L'absence de facteurs de risque en suite d'évaluation ne garantit pas que la relation avec le tiers soit absolument dénuée de risque. A l'inverse, l'identification de facteurs de risques n'interdit pas la relation, mais doit conduire l'entreprise à prendre les mesures de vigilance appropriées pendant la relation.
Mesures de vigilance à déployer en cours de relation d'affaires
241. Les mesures de prévention et de détection de la corruption devant être adaptées à l'environnement de chaque entreprise, il revient à cette dernière de définir les mesures qu'elle juge cohérentes avec son modèle économique.
242. Dans ce cadre, l'entreprise peut utilement envisager l'une ou plusieurs des options suivantes :


- informer le tiers de l'existence de son dispositif anticorruption en communiquant, par exemple, le code de conduite ;
- former ou sensibiliser le tiers au risque de corruption ;
- exiger du tiers un engagement écrit de lutte anticorruption ou insérer une clause permettant à l'entreprise de mettre un terme à la relation contractuelle en cas de manquement à la probité si la nature juridique du contrat le permet ;
- inciter le tiers à vérifier l'intégrité de ses propres sous-traitants afin de sécuriser la chaîne contractuelle.


Suivi de la relation contractuelle avec le tiers
243. La relation contractuelle doit être clairement établie afin d'en contrôler la bonne exécution.
244. A cet égard, l'entreprise doit avoir une visibilité complète sur les paiements reçus de tiers ou effectués à leur profit afin de s'assurer que la rémunération et les modalités de paiement sont conformes aux dispositions contractuelles. Les services financiers et comptables alertent le responsable de la conformité ou tout autre responsable désigné lorsque des modalités anormales de paiement sont exigées (par exemple : des paiements en espèces, une délégation de paiement au profit d'un tiers ou un changement de domiciliation bancaire vers un pays ou territoire non coopératif en matière judiciaire ou fiscale, ou faisant l'objet d'un embargo).
Renouvellement et mise à jour des évaluations des tiers
245. Le processus d'évaluation est reconduit de manière périodique, en fonction de la catégorie et du niveau de risque du tiers. A ce titre, il est utile de fixer, lors de toute entrée en relation, une date de renouvellement.
246. Les informations sur la situation du tiers qui n'impactent pas le niveau de risque de l'entreprise donnent lieu à une mise à jour des informations sur le tiers. En revanche, si ces informations portent sur un changement significatif dans la situation du tiers comme, par exemple, un changement de bénéficiaire effectif, une fusion de deux entités ou l'acquisition d'une nouvelle entité, alors une nouvelle évaluation du tiers est conduite.
247. Le processus de réévaluation sera l'occasion de s'assurer que le tiers a respecté ses engagements anticorruption tout au long de la relation.
Suivi du processus d'évaluation des tiers
248. Un suivi du dispositif d'évaluation des tiers est mis en place et peut comprendre :


- des indicateurs portant sur les évaluations réalisées ;
- des indicateurs de renouvellement traçant le respect des fréquences de révision des évaluations des tiers ;
- des résultats des contrôles de premier et de deuxième niveau ;
- des indicateurs de renouvellement prioritaire, suite à un plan ponctuel de régularisation issu des contrôles de deuxième et de troisième niveau, révélant des cas non conformes.


249. L'ensemble de ces indicateurs et résultats peuvent, en fonction de leur objet, être transmis à la hiérarchie et au responsable de la conformité ou à tout autre responsable désigné.
Conservations des informations sur les tiers
250. L'intégralité du dossier d'évaluation du tiers ainsi que l'historique des modifications sont à conserver pendant 5 ans après la cessation de la relation d'affaires (ou après la date d'une opération occasionnelle), sous réserve d'une législation plus exigeante.


B. - Détection
1. Dispositif d'alerte interne


251. Conformément au 2° du II de l'article 17 de la loi, l'entreprise est tenue de mettre en œuvre « un dispositif d'alerte interne destiné à permettre le recueil des signalements émanant d'employés et relatifs à l'existence de conduites ou de situations contraires au code de conduite de la société ».
Définition et objectifs
252. Le dispositif d'alerte interne est la procédure mise en œuvre par les entreprises afin de permettre notamment à leurs employés de porter à la connaissance d'un référent dédié, un comportement ou une situation potentiellement contraire au code de conduite, afin d'y mettre fin et de prendre les sanctions appropriées, le cas échéant (cf. annexe 1).
Articulation des différents dispositifs d'alerte
253. Différents dispositifs d'alerte professionnelle, prévus par des textes spécifiques, coexistent, il est conseillé, dans un souci de lisibilité, la mise en place d'un dispositif technique unique de recueil des signalements, qui feront l'objet de traitement approprié.
254. La mise en place d'un dispositif technique unique de recueil suppose d'ouvrir la possibilité de signalement non seulement aux personnels, mais aussi aux collaborateurs extérieurs et occasionnels (3).
255. Un signalement qui porte sur des atteintes à la probité et témoigne d'une défaillance du dispositif de conformité pourra être adressé à l'AFA.
Organisation du dispositif d'alerte
256. Le dispositif d'alerte interne doit être adapté au profil de risque de l'entreprise.
257. Le dispositif d'alerte interne précise le rôle du supérieur hiérarchique, qui doit pouvoir orienter et conseiller ses collaborateurs, sauf dans l'hypothèse où il est lui-même l'auteur du comportement incriminé.
258. L'entreprise veille à la formation des personnes en charge du traitement de l'alerte, au respect de la confidentialité de son traitement et à l'absence de tout conflit d'intérêts ; elle veille également à la formation des supérieurs hiérarchiques.
259. Le dispositif d'alerte interne est présenté sans délai aux collaborateurs venant de rejoindre l'entreprise.
260. La gestion de ce dispositif (y compris la fonction de référent définie ci-dessous) peut être sous-traitée à un tiers, sous réserve qu'il dispose des compétences nécessaires au bon traitement des alertes et au respect des moyens permettant d'en garantir la confidentialité. Les prestations fournies dans ce cadre devront faire l'objet de contrôles réguliers. L'entreprise veillera à donner au tiers retenu les moyens de traiter les alertes, notamment en veillant à lui faciliter l'accès aux services internes concernés de l'entreprise.
261. Le dispositif d'alerte est à déployer sur l'ensemble du périmètre des entités contrôlées par l'entreprise.
Traitement des alertes
262. La procédure d'alerte interne doit préciser les différentes étapes à suivre pour effectuer un signalement, les modalités de traitement par celui qui en est destinataire, le droit des personnes concernées (et notamment leur protection), et les mesures de sécurité et de conservation des données à caractère personnel.
263. Le dispositif d'alerte interne indique :


- le référent fonctionnellement désigné pour recueillir les alertes au sein de l'entreprise et, s'il est différent, le référent en charge de leur traitement ;
- les dispositions prises pour garantir la confidentialité de l'identité de l'auteur du signalement, des faits objets du signalement et des personnes visées par le signalement, y compris lorsque des vérifications ou lorsque le traitement du signalement nécessitent la communication avec des tiers. La violation de la confidentialité doit être susceptible d'entraîner des sanctions disciplinaires.


264. Le dispositif d'alerte est sécurisé et, le cas échéant, ses droits d'accès sont limités aux seuls personnels autorisés à recueillir les alertes ou à les traiter.
265. Dans l'hypothèse d'une mise en cause d'une ou plusieurs personnes, l'entreprise doit être vigilante quant à la réunion de preuves ou documents, notamment lorsque les personnes mises en cause dans l'alerte peuvent détruire des données ou documents les incriminant.
266. Le dispositif d'alerte interne précise les modalités d'accès au dispositif et d'échange d'informations avec l'auteur de l'alerte, notamment :


- les canaux pour effectuer une alerte : il peut s'agir d'une adresse électronique dédiée, d'un logiciel de gestion voire, pour certaines entreprises, d'une plateforme éthique spécifique. L'alerte peut aussi emprunter la voie hiérarchique. En tout état de cause, ces canaux doivent être aisément accessibles aux utilisateurs ;
- les conditions de transmission, par l'auteur du signalement, des informations ou documents produits à l'appui de son signalement ;
- en cas d'enquête interne, les informations et documents professionnels transmis par l'auteur de l'alerte et susceptibles d'être exploités ;
- les dispositions prises pour informer sans délai l'auteur du signalement de la réception de son alerte et du délai nécessaire à l'examen de sa recevabilité. Il est à ce titre recommandé de mentionner que l'accusé de réception ne vaut pas recevabilité du signalement ;
- les dispositions prises pour informer de la clôture de la procédure l'auteur du signalement et, le cas échéant, les personnes visées par celui-ci.


267. Si un traitement automatisé des alertes est mis en place, la procédure doit indiquer les dispositions prises pour en assurer la conformité aux dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et à celles relatives à la protection des données personnelles. Une donnée à caractère personnel désigne toute information se rapportant à une personne physique identifiée ou identifiable.
268. Face à une multiplication croissante des obligations en matière de recueil des alertes, la CNIL a publié une délibération n° 2019-139 du 18 juillet 2019 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d'un dispositif d'alertes professionnelles.
269. Les alertes peuvent être adressées de manière anonyme. Le dispositif doit permettre une poursuite des échanges avec l'auteur de l'alerte tout en lui conservant le bénéfice de l'anonymat (il est par exemple envisageable de demander à l'auteur de l'alerte de fournir une adresse électronique qui ne permette pas son identification ou l'adresse d'une boîte postale).
270. Il est essentiel de définir et formaliser la procédure d'enquête interne préalablement à son lancement, tout en étant vigilant tant sur le choix des acteurs de l'enquête que sur son déroulé. La procédure d'enquête pourra prévoir notamment :


- les critères nécessaires au déclenchement d'une enquête ;
- les modalités de réalisation de l'enquête.


271. Les personnes chargées de mener l'enquête doivent être soumises à de très strictes obligations de confidentialité, qui doivent être formalisées.
272. En cas d'externalisation de l'enquête interne, la conformité des services fournis dans ce cadre par le prestataire sélectionné doit faire l'objet de contrôles réguliers au regard notamment du respect des règles de confidentialité et de protection des données.
273. Toute enquête interne est diligentée par une ou plusieurs personnes qualifiées, désignées par l'instance dirigeante de l'entreprise.
274. L'instance dirigeante est au minimum informée des enquêtes ouvertes relatives aux situations les plus sensibles, à l'exception de celles où elle est elle-même mise en cause.
275. A la suite d'une enquête interne, la rédaction formelle d'un rapport d'enquête est destinée à consigner l'ensemble des faits et preuves recueillies, à charge et à décharge, de nature à établir ou à lever le soupçon, ainsi que la méthode suivie. Le rapport d'enquête interne conclut sur la suite à donner au signalement.
276. Lorsque les soupçons apparaissent suffisamment étayés, ce rapport est communiqué à l'instance dirigeante (où à l'organe de contrôle lorsque cette dernière est mise en cause) afin qu'elle décide des suites à donner.
277. La démonstration, par l'enquête interne, d'un comportement contraire au code de conduite anticorruption doit donner lieu à l'application des sanctions disciplinaires prévues en tel cas, décidées par l'instance dirigeante ou son délégataire.
278. Enfin, une action judiciaire peut être diligentée à l'encontre de la personne physique concernée si l'entreprise décide de porter les faits à la connaissance de l'autorité judiciaire par le moyen d'une plainte ou d'un simple signalement. Elle est tenue de le faire si elle relève des autorités énumérées à l'article 40 du code de procédure pénale.
279. Ces signalements doivent permettre d'actualiser la cartographie des risques, en respectant la confidentialité garantie par le dispositif, et d'en tirer les conséquences sur les améliorations à apporter aux éléments du dispositif de prévention et de détection de la corruption (plan de formation, code de conduite, évaluation de l'intégrité des tiers).
Mise en œuvre du dispositif d'alerte interne
280. Les étapes suivantes peuvent utilement être observées :


- établissement d'une procédure formalisée qui peut notamment prévoir la désignation d'un référent alerte et la mise en place d'un comité intégrant des personnes qualifiées, soumises à des obligations de confidentialité renforcée. Ce comité assure une prise de décision collégiale sur les suites à réserver aux alertes reçues ;
- présentation du dispositif d'alerte dans le code de conduite renvoyant à ladite procédure ;
- diffusion de la procédure d'alerte interne à l'ensemble des personnels par tous moyens (courrier de la direction, affichage, site intranet, remise en main propre, etc.) permettant de s'assurer que chaque personne concernée en a connaissance et y a accès. Dans le cas d'un dispositif d'alerte commun à l'alerte anticorruption et à d'autres dispositifs légaux, la procédure doit être également diffusée aux collaborateurs occasionnels. L'entreprise peut décider d'ouvrir son dispositif d'alerte aux tiers. L'entreprise peut choisir de mettre à profit ses outils de communication externes pour mentionner l'existence de son dispositif d'alerte (par exemple son site internet, les documents remis à ses tiers, etc.) ;
- présentation du dispositif d'alerte dans le cadre des actions de sensibilisation de l'ensemble des personnels ;
- formation des personnels amenés à recueillir, gérer et traiter les alertes, notamment sur les obligations de confidentialité, et formation des personnels les plus exposés ;
- mise en place des contrôles de premier et second niveaux sur la procédure d'alerte interne et intégration du dispositif d'alerte (comme tous les autres outils du dispositif de prévention de la corruption) dans le plan de contrôle de l'audit interne au titre du contrôle de troisième niveau. Pour éviter toute situation de conflit d'intérêts ou d'autocontrôle, les trois niveaux de contrôles rappelés ci-dessus peuvent être adaptés. Il importe, le cas échéant, que le personnel qui traite l'alerte soit différent de celui qui en contrôle le bon traitement et qu'un contrôle a posteriori soit effectué ;
- mise en place d'indicateurs afin d'apprécier la qualité et l'efficacité du dispositif d'alerte (nombre d'alertes reçues, classées sans suite ou traitées, délais de traitement, problématiques soulevées, etc.). Ces indicateurs sont transmis à l'instance dirigeante.


Archivage des alertes et de leur traitement
281. La durée de conservation et d'archivage des données personnelles relatives à une alerte va différer suivant que l'alerte est ou non suivie d'effets.
282. Si le responsable du traitement décide de donner suite (4) à une alerte, ou qu'une action disciplinaire ou contentieuse est engagée, l'ensemble des données à caractère personnel collectées à l'occasion de l'instruction peuvent être conservées jusqu'au terme de la procédure, jusqu'à acquisition de la prescription (six ans) ou épuisement des voies de recours.
283. Dans le cas où l'instruction de l'alerte ne débouche sur aucune suite, les données à caractère personnel doivent être détruites ou anonymisées dans les deux mois suivants la clôture de l'instruction.
284. Pour les alertes recueillies par le biais d'un dispositif technique unique de recueil, et ne concernant pas des faits susceptibles d'être qualifiés de corruption, les durées de conservation sont encadrées, par le décret n° 2017-564 du 19 avril 2017 relatif aux procédures de recueil des signalements émis par les lanceurs d'alerte au sein des personnes morales de droit public ou de droit privé ou des administrations de l'Etat.


2. Le contrôle interne


La contribution du dispositif de contrôle et d'audit interne à la prévention et à la détection des risques de corruption
285. L'article 17 de la loi impose aux entreprises qui y sont soumises de mettre en place des procédures de contrôles comptables et un dispositif de contrôle et d'évaluation interne des mesures et procédures composant le dispositif anticorruption.
286. Les entreprises sont généralement dotées d'un dispositif de contrôle et d'audit interne à vocation générale, qui peut comprendre jusqu'à trois niveaux :


- les contrôles de premier niveau (5) visent à s'assurer que les tâches inhérentes à un processus opérationnel ou support ont été effectuées conformément aux procédures édictées par l'entreprise. Ils peuvent être opérés par les équipes opérationnelles ou supports ou par le responsable hiérarchique ;
- les contrôles de deuxième niveau (6) visent à s'assurer, selon une fréquence prédéfinie ou de façon aléatoire, de la bonne exécution des contrôles de premier niveau. Les contrôles de deuxième niveau peuvent être réalisés par le responsable de la conformité, une fonction qualité, la fonction de gestion des risques, le contrôle de gestion notamment ;
- les contrôles de troisième niveau, également appelés « audits internes », visent à s'assurer que le dispositif de contrôle est conforme aux exigences de l'entreprise, efficacement mis en œuvre et tenu à jour.


287. Au-delà de la mise en œuvre des obligations prévues par l'article 17 de la loi, ce dispositif de contrôle et d'audit interne à vocation générale peut utilement permettre à l'entreprise de couvrir plus largement les risques identifiés à travers la cartographie des risques de corruption.
288. En effet, l'entreprise est en mesure, sur le fondement de celle-ci d'identifier :


- des situations à risque, pas ou peu couvertes par des mesures de contrôle ;
- et d'évaluer les dispositifs de contrôle en place de nature à maîtriser ces risques.


289. L'entreprise est ainsi invitée à s'assurer que son dispositif de contrôle et d'audit interne à vocation générale :


- couvre les situations à risque identifiées par sa cartographie des risques de corruption ;
- est adapté à ces risques et en mesure de les maîtriser ;
- est régulièrement mis à jour en fonction des situations de risque rencontrées et du résultat des contrôles réalisés.


290. Les contrôles ainsi définis viennent compléter le plan d'actions afférent à la cartographie des risques de corruption.
291. Les contrôles ainsi définis sont formalisés au sein d'une procédure qui précise notamment les processus et situations à risques identifiés, la fréquence des contrôles et leurs modalités, les responsables de ces contrôles et les modalités de transmission de leurs résultats à l'instance dirigeante.
Les contrôles comptables
292. Parmi les procédures de contrôle et d'audit interne, les procédures de contrôle et d'audit comptable, qui participent à la maîtrise des risques des entreprises, constituent un instrument privilégié de prévention et de détection de la corruption.
293. La comptabilité d'une entreprise est un outil d'évaluation contenant et présentant des informations sur son activité ainsi que sur les éléments de son patrimoine incorporel, matériel et financier. Les écritures comptables sont saisies, classées, retraitées et agrégées en vue de produire des documents retraçant fidèlement le détail des opérations.
Définition et objectifs
294. Les contrôles comptables prévus par l'article 17 de la loi (ci-après « contrôles comptables anticorruption ») ont pour objectif de « s'assurer que les livres, registres et comptes ne sont pas utilisés pour masquer des faits de corruption ou de trafic d'influence ».
Articulation avec les contrôles comptables en place
295. Les entreprises disposent des procédures de contrôles comptables générales qui permettent d'avoir l'assurance raisonnable de la qualité de l'information comptable. Elles garantissent la régularité, la sincérité et la fidélité des opérations comptables et financières.
296. Les contrôles comptables anticorruption :


- garantissent in fine le respect des mêmes principes que les contrôles comptables généraux (régularité, sincérité et fidélité des opérations comptables et financières) ;
- visent en particulier à détecter des opérations sans cause ou sans justification (par exemple, paiements en tout ou partie non causés destinés à alimenter des « caisses noires ») ;
- reposent sur les mêmes méthodes que les contrôles comptables généraux et comportent par exemple des contrôles par sondages, par revue de cohérence, par confrontation avec la réalité physique (inventaire) ou par confirmation par un tiers.


297. Ils sont établis au regard des situations à risques mises en évidence dans la cartographie des risques de corruption, parmi les contrôles généraux existants, par approfondissement ou en complément de ceux-ci.
298. Peuvent, par exemple, représenter des situations à risque et ainsi être traités, s'ils ressortent de la cartographie des risques :


- les opérations telles que le sponsoring, le mécénat, les honoraires et les commissions, les frais de représentation et de déplacement, les cadeaux et invitations, les dons, les legs, etc. ;
- les flux atypiques (par exemple, les comptes d'attente ou transitoires) ;
- les opérations exceptionnelles ou à enjeu ;
- les opérations liées au recours à des tiers relevant d'un groupe présentant un niveau de risque élevé tels que des intermédiaires ou des consultants ;
- les flux financiers ou de matière vers des comptes ou des tiers relevant d'un groupe présentant un niveau de risque élevé comme les intermédiaires ou les agents commerciaux ;
- les engagements hors bilan comme :
- les engagements pour compte de tiers (par exemple dirigeants, filiales) ;
- les garanties ;
- les cautions.


299. La gestion de certains comptes comptables peut également ressortir comme processus risqué lors de l'analyse des risques au cours de l'exercice de cartographie : c'est le cas notamment des comptes d'extourne, de rabais et remises, de dépenses diverses, de fonds de caisse. Des comptes bilanciels peuvent également comporter un niveau de risque élevé comme les écarts d'acquisition ou les comptes d'attente ou d'avance.
Formalisation des contrôles comptables anticorruption
300. Les modalités des contrôles comptables anticorruption sont formalisées au sein d'une procédure rappelant notamment :


- l'objet et le périmètre des contrôles ;
- les rôles et responsabilités dans leur mise en œuvre ;
- les modalités d'échantillonnage des opérations à contrôler, le cas échéant ;
- la définition d'un plan de contrôle ;
- les modalités de gestion des incidents ;
- les critères de seuils ou de matérialité devant entraîner un contrôle.


Contenu des contrôles comptables anticorruption
301. Les contrôles comptables anticorruption de premier niveau sont généralement effectués par les personnes en charge de la saisie et de la validation des écritures comptables. Ces personnes s'assurent que les écritures sont convenablement justifiées et documentées (en particulier les écritures manuelles).
302. Afin de limiter le risque lié à l'autocontrôle, il est recommandé de s'assurer que les écritures comptables à risque soient examinées et validées par un collaborateur différent de celui qui en a effectué la saisie.
303. Une validation croisée entre collaborateurs est satisfaisante pour des écritures inférieures à un seuil défini. Les écritures supérieures à ce seuil nécessitent une validation par la hiérarchie.
304. Les contrôles comptables anticorruption de deuxième niveau, réalisés par des personnes indépendantes de celles ayant réalisé les contrôles de premier niveau, sont réalisés tout au long de l'année.
305. Ils visent à s'assurer de la bonne exécution des contrôles comptables anticorruption de premier niveau. Ainsi, lors des contrôles par sondage, l'échantillon retenu doit être représentatif des risques inhérents aux opérations traitées (écritures manuelles, niveau d'habilitation et séparation des tâches notamment). Les modalités de l'échantillonnage sont définies en fonction d'une analyse préalable des différentes écritures et risques concernés pour en permettre la représentativité.
306. Dans l'hypothèse où des contrôles comptables anticorruption de premier niveau sont automatisés, les contrôles comptables anticorruption de deuxième niveau sont corrélativement adaptés.
307. Les résultats des contrôles comptables anticorruption de deuxième niveau donnent lieu à une synthèse conclusive incluant, en cas d'anomalies, la définition d'actions correctives dans le cadre d'un plan d'actions.
308. L'efficacité des procédures de contrôles comptables anticorruption est évaluée régulièrement dans le cadre de contrôles comptables de troisième niveau, également appelés « audits comptables ».
309. Ces audits comptables couvrent l'ensemble des dispositifs comptables afin de s'assurer que les contrôles comptables anticorruption sont conformes aux exigences de l'entreprise, efficacement mis en œuvre et tenus à jour.
310. Dans ce cadre, les contrôles comptables de troisième niveau apprécieront la pertinence et l'efficacité :


- de la gouvernance et des ressources allouées aux procédures de contrôles comptables anticorruption ;
- de la méthode d'élaboration (notamment de la prise en compte de la cartographie des risques de corruption) et de l'application des contrôles comptables anticorruption de premier niveau et de deuxième niveaux.


Traitement des anomalies constatées
311. Le constat d'une anomalie peut amener à compléter certaines procédures comptables existantes pour y remédier.
312. Les cas d'anomalies alimentent également une mise à jour de la cartographie des risques de corruption et peuvent faire l'objet d'illustrations complémentaires dans le code de conduite et les supports de formation dédiés à la prévention de la corruption en coordination avec le responsable de la conformité.
313. Si l'anomalie relève d'un manquement dans la mise en œuvre des procédures ou du dispositif anticorruption, le responsable hiérarchique peut envisager des mesures envers l'auteur du manquement allant du simple rappel de la règle à la sanction, suivant l'importance du manquement constaté.
314. Si l'anomalie fait ressortir des soupçons ou des faits de corruption, elle doit être portée à la connaissance du responsable de la conformité et de l'instance dirigeante qui peut décider de diligenter une enquête interne.
Externalisation
315. Les contrôles comptables anticorruption peuvent être mis en œuvre :


- en interne, par les services comptables et financiers ou par des services spécialisés (centres de services partagés, contrôle de gestion, audit interne, etc.) que l'entreprise mobilise à cette fin ;
- en externe, par les entités que l'entreprise mandate à cette fin.


316. Au sein des entreprises qui ont l'obligation de nommer un commissaire aux comptes chargé de la certification des comptes, ce dernier participe, à l'occasion de ses vérifications et dans l'objectif qui lui est assigné, à la prévention des difficultés éventuelles de l'entreprise auditée, à la prévention et à la détection de la corruption. Il est rappelé qu'il est tenu de révéler au procureur de la République les faits présumés délictueux - y compris donc les faits de corruption - dont il a connaissance au cours de sa mission.


C. - Contrôle et évaluation du dispositif anticorruption
1. Objectifs et modalités


317. Afin de s'assurer de l'adéquation et de l'efficacité des mesures et procédures visées au II de l'article 17 de la loi, l'entreprise développe un dispositif de contrôle et d'évaluation interne, qui peut être inséré dans son dispositif de contrôle et d'audit interne à vocation générale.
318. Ce dispositif répond à quatre objectifs :


- contrôler la mise en œuvre des mesures du dispositif anticorruption et tester leur efficacité ;
- identifier et comprendre les manquements dans la mise en œuvre des procédures ;
- définir des recommandations ou autres mesures correctives adaptées, si nécessaire, en vue d'améliorer l'efficacité du dispositif anticorruption ;
- détecter, le cas échéant, des faits de corruption.


319. Ces contrôles peuvent s'articuler autour des trois niveaux de contrôle susmentionnés.
320. Le responsable de la conformité élabore un plan de contrôle de deuxième niveau couvrant l'ensemble du dispositif anticorruption.
321. Pour chacun des contrôles, sont précisés l'objet et le périmètre, le ou les responsables en charge du contrôle, la méthode de contrôle (type de mesure, de pièces justificatives, d'analyse, et d'évaluation), le cas échéant, les modalités d'échantillonnage fondées sur une analyse des risques. De même, le plan prévoit la fréquence du contrôle, la formalisation attendue, la communication des résultats du contrôle et des mesures correctives pouvant être mises en place et les modalités de conservation des pièces afférentes aux contrôles.
322. Les manquements identifiés dans le cadre des contrôles de deuxième niveau font l'objet d'un rapport visé par le responsable de la conformité dont une synthèse peut utilement être communiquée à l'instance dirigeante et au service d'audit interne.
323. La pertinence et l'efficacité des mesures et procédures composant le dispositif anticorruption sont régulièrement évaluées par des contrôles de troisième niveau. Ces audits internes visent à s'assurer que le dispositif anticorruption est conforme aux exigences de l'entreprise, efficacement mis en œuvre et tenu à jour. L'audit interne est également invité à s'assurer que les situations de risque identifiées par la cartographie des risques de corruption sont couvertes par des mesures de prévention efficaces.
324. Les audits réalisés sont formalisés, documentés et conservés. Ils donnent lieu à la rédaction d'un rapport circonstancié et documenté, détaillant les mesures correctives ainsi que les recommandations formulées. Ce rapport est communiqué à l'instance dirigeante.


2. Typologie de contrôles à déployer


325. Pour chaque mesure et procédure visée à l'article 17 de la loi, des contrôles de premier, deuxième et troisième niveaux sont définis et mis en œuvre.
326. L'AFA recommande que ces contrôles portent notamment sur les éléments suivants :


327. Cartographie des risques de corruption

Contrôles de 1er niveau :

Les contrôles liés à la cartographie ne peuvent être réalisés qu'après son établissement et ses mises à jour. Aucun contrôle de premier niveau ne peut être réalisé dans ce cadre.
Par ailleurs, le service en charge du pilotage du dispositif anticorruption, qui a participé à la mise en place de la cartographie ou à ses mises à jour ne peut réaliser de contrôle de second niveau, sauf à être en situation de contrôler le travail qu'il a lui-même produit.

Contrôles de 2e niveau :

Contrôles de 3e niveau :

- Revue du périmètre de la cartographie, de la méthodologie mise en œuvre, du déploiement des plans d'actions y afférents ;
- Analyse des insuffisances constatées et des incidents survenus (pour éventuelle mise à jour) ;
- Analyse de la gouvernance et de la correcte allocation des ressources.

Analyse du caractère systémique du dispositif

- Analyse des illustrations retenues dans le code de conduite au regard des risques identifiés dans la cartographie ;
- Analyse du ciblage et du contenu des formations au regard des risques identifiés dans la cartographie ;
- Analyse des incidents révélés au travers du dispositif d'alerte ou des contrôles comptables et leurs conséquences sur la mise à jour de la cartographie ;
- Analyse de l'adéquation du dispositif d'évaluation des tiers au regard des risques identifiés dans la cartographie.


328. Code de conduite

Contrôles de 1er niveau :

- Validation des opérations ou situations régies par les politiques ou procédures intégrées ou annexées au code de conduite (relatives notamment aux cadeaux et invitations).

Contrôles de 2e niveau :

- Contrôle régulier de la correcte réalisation des contrôles de premier niveau ;
- Contrôle par échantillonnage du respect des politiques ou procédures intégrées ou annexées au code de conduite. Par exemple : définition trimestrielle d'un échantillon de XX notes de frais sur la base d'une analyse des risques. Puis analyse de la cohérence du justificatif vis-à-vis de la déclaration, les noms des invités, le respect des seuils/des validations ;
- Revue du contenu du code au regard de la loi et de la cartographie et de l'intégration, pour les entités concernées, du code de conduite au sein de leur règlement intérieur ;
- Vérification, à chaque mise à jour de la cartographie, que les illustrations du code de conduite sont adaptées.

Contrôles de 3e niveau :

- Contrôle de la correcte réalisation et de l'efficacité des contrôles de premier et deuxième niveau ;
- Analyse de la communication, de la diffusion et de l'accessibilité du code de conduite et des politiques/procédures intégrées ou annexées.

Analyse du caractère systémique du dispositif

Par exemple, une analyse critique du contenu (notamment les illustrations) du code de conduite au regard des scénarios identifiés dans la cartographie et de l'intégration du contenu du code de conduite dans la formation.


329. Formation

Contrôles de 1er niveau :

- Vérification de la présence des collaborateurs concernés et des connaissances qu'ils ont acquises lors des formations.

Contrôles de 2e niveau :

- Contrôle régulier de la correcte réalisation des contrôles de premier niveau ;
- Vérification de la cohérence entre les publics ciblés dans la formation, le contenu de la formation et les risques auxquels ils peuvent être exposés tels qu'identifiés dans la cartographie ;
- Revue de la participation des collaborateurs concernés et des éventuelles sanctions en cas de non-suivi de la formation.

Contrôles de 3e niveau :

- Contrôle de la correcte réalisation et de l'efficacité des contrôles de premier et deuxième niveau ;
- Analyse de la gouvernance et de la correcte allocation des ressources.
Par exemple, analyse des modalités (présentiel/à distance...) et du contenu de la formation destinée aux cadres et personnels les plus exposés au regard des risques qui leur sont propres.

Analyse du caractère systémique du dispositif

Par exemple, analyse du ciblage et du contenu de la formation destinée aux cadres et personnels les plus exposés au regard des risques identifiés dans la cartographie.
S'assurer que les références au code de conduite et au dispositif d'alerte sont claires.


330. Évaluation des tiers

Contrôles de 1er niveau :

- Contrôle de l'application de la/les procédure(s) d'évaluation des tiers.
Par exemple, vérifier en amont de l'entrée en relation avec un nouveau fournisseur :
- que l'ensemble des documents prévus par la procédure (ex. : liste des bénéficiaires effectifs, réponses à un éventuel questionnaire…) ont été collectés ;
- que les recherches nécessaires ont été effectuées (sources ouvertes, bases de données…) ;
- que l'évaluation est conforme aux éléments analysés ;
- que la décision d'entrer ou de refus d'entrer en relation a été correctement formalisée.

Contrôles de 2e niveau :

- Contrôle régulier de la correcte réalisation des contrôles de premier niveau, sur la base d'un échantillonnage représentatif de dossiers ;
- Vérification de la mise en place des mesures de vigilance et de leur suivi effectif ;
- Vérification de la mise à jour des dossiers (renouvellement périodique de l'évaluation ou à la suite d'un signalement) ;
- Contrôle de la pertinence des mesures de vigilance déployées.

Contrôles de 3e niveau :

- Contrôle de la correcte réalisation et de l'efficacité des contrôles de premier et deuxième niveau.

Analyse du caractère systémique du dispositif

Par exemple, contrôle de l'adéquation du dispositif d'évaluation des tiers avec les risques identifiés dans la cartographie.
S'assurer de la mise à jour des dispositifs de contrôles comptables au regard des risques identifiés à l'occasion des évaluations de tiers.


331. Alerte interne

Contrôles de 1er niveau :

- Contrôle du déploiement et de la correcte application de la procédure d'alerte.
Par exemple, contrôle de l'accessibilité des canaux, et communication large sur le dispositif d'alerte, accusé de réception, analyse de recevabilité de l'alerte, identification des rôles et responsabilités au sein de l'équipe en charge de l'investigation, clôture de l'investigation, information de clôture, sanctions et plans d'actions, respect de la confidentialité et de l'anonymat, suivi des mesures de protection.

Contrôles de 2e niveau :

- Contrôle régulier de la correcte réalisation des contrôles de premier niveau, sur la base d'un échantillonnage représentatif de dossiers.

Contrôles de 3e niveau :

- Contrôle de la correcte réalisation et de l'efficacité des contrôles de premier et deuxième niveau ;
- Analyse qualitative et quantitative des signalements reçus sur la période (Quels canaux utilisés ? Des signalements sont-ils remontés par d'autres canaux non identifiés ? Quels sujets visés ?)
- Contrôle de la pertinence des réponses apportées aux signalements reçus.

Analyse du caractère systémique du dispositif

Par exemple, prise en compte des signalements dans la mise à jour de la cartographie, du dispositif d'évaluation des tiers ou des contrôles comptables.
Contrôle de l'existence d'une formation/information des collaborateurs sur le dispositif d'alerte et d'une formation spécifique pour les personnes en charge de leur traitement.


332. Contrôles comptables

Contrôles de 1er niveau :

- contrôle automatisé de certaines opérations ;
- contrôle des habilitations ;
- règle « des quatre yeux » : revue par un collaborateur différent de celui en charge de passer l'opération ;
- contrôle de la correcte application des contrôles comptables anticorruption avant réalisation de l'opération.

Contrôles de 2e niveau

- Contrôle régulier de la correcte réalisation des contrôles comptables anticorruption après réalisation de l'opération sur la base d'un échantillonnage représentatif de dossiers.

Contrôles de 3e niveau

- Contrôle de la correcte réalisation et de l'efficacité des contrôles comptables de premier et deuxième niveaux ;
- Analyse de la réalisation des contrôles comptables et de la correcte allocation des ressources ;
- Analyse de la pertinence des contrôles comptables au regard des risques identifiés par la cartographie.

Analyse du caractère systémique du dispositif

Par exemple, analyse critique des procédures de contrôles comptables en place au regard des mises à jour de la cartographie des risques de corruption.


333. Régime disciplinaire

Contrôles de 1er niveau :

Le contrôle de la conformité du régime disciplinaire ne peut être effectué qu'une fois les sanctions prononcées.

Contrôles de 2e niveau

- Contrôle, pour chaque incident, de la prise de sanction ;
- Vérification de l'adéquation entre l'incident et la sanction.

Contrôles de 3e niveau

- Contrôle de la correcte réalisation et de l'efficacité des contrôles de deuxième niveau.

Analyse du caractère systémique du dispositif.

Par exemple, analyse des sanctions mises en œuvre et de la nécessité de renforcer la communication de l'instance dirigeante ou les formations sur telle ou telle mesure composant le dispositif anticorruption.


334. Si l'entreprise a déployé au sein de son dispositif anticorruption d'autres mesures et procédures en complément de celles visées par l'article 17 de la loi, l'AFA recommande que ces mesures et procédures fassent également l'objet de contrôles à travers le dispositif de contrôle et d'évaluation internes mis en place.
335. Les contrôles de premier niveau sont formalisés et documentés.
336. Les contrôles de deuxième niveau font l'objet d'un plan de contrôle formalisé décrivant notamment le périmètre des contrôles, les rôles et responsabilités, la fréquence, les modalités d'échantillonnage, la formalisation attendue, le suivi des anomalies et les plans d'actions associés.
337. Les contrôles de troisième niveau font l'objet d'un programme d'audit formalisé décrivant notamment le périmètre des contrôles, les modalités d'échantillonnage, la formalisation attendue, le suivi des anomalies et les plans d'actions associés.


D. - Remédiation
1. Gestion et suivi des insuffisances constatées


338. Les manquements liés à la mise en œuvre des procédures - et potentiellement signalés par les contrôles et audits - sont analysés afin d'en identifier l'origine et d'y remédier.


2. Régime disciplinaire


Définition
339. Le régime disciplinaire regroupe l'ensemble des mesures qu'une entreprise se réserve le droit de prendre à l'occasion d'un comportement qu'elle considère comme fautif.
340. Est notamment considéré comme une faute de nature à justifier l'application d'une sanction disciplinaire le non-respect des règles de discipline fixées par le règlement intérieur et donc par le code de conduite anticorruption qui y est intégré. Dans les entreprises d'au moins 20 salariés, le règlement intérieur est obligatoire. Une sanction ne peut alors être prononcée à l'encontre d'un salarié que si elle est prévue par le règlement intérieur.
Principe de gradation des sanctions
341. La sanction disciplinaire doit être proportionnée à la faute commise. Elle relève de l'échelle des sanctions prévues par le régime disciplinaire.
Mécanisme
342. Lorsque des manquements aux devoirs d'intégrité et de probité des personnels sont constatés, une procédure disciplinaire est engagée à leur encontre et des sanctions proportionnées leurs sont infligées.
343. L'instance dirigeante n'est pas tenue d'attendre que soit rendue une décision pénale pour mettre en œuvre des sanctions disciplinaires si les faits sont avérés et que leur gravité le justifie. La mise en œuvre de ces sanctions peut en effet s'appuyer sur les constatations d'une enquête interne circonstanciée, permettant d'établir avec rigueur la matérialité des faits reprochés à la personne concernée.
Recensement des sanctions
344. L'entreprise peut utilement recenser les sanctions disciplinaires prononcées à l'encontre des personnels de l'entité, ce qui favorise le renforcement des mécanismes de maîtrise des risques d'atteintes à la probité.
345. Quel que soit le support utilisé pour effectuer ce recensement, l'entreprise veillera à la stricte confidentialité de son contenu et l'établira dans le respect des règles de protection des données personnelles.
Communication interne
La diffusion, sous un format garantissant la totale anonymisation, des sanctions disciplinaires peut être demandée par l'instance dirigeante, afin de rappeler la politique de tolérance zéro à l'égard de tout comportement contraire à l'intégrité et à la probité.


III. - Déclinaison des dispositions générales aux acteurs publics assujettis au 3° de l'article 3 de la loi


346. Les dispositions qui suivent déclinent et précisent, pour les acteurs publics soumis au 3° de l'article 3 de la loi, les dispositions énoncées aux paragraphes 13 à 84 des présentes recommandations.
347. La loi donne compétence à l'Agence française anticorruption pour contrôler « la qualité et l'efficacité des procédures mises en œuvre au sein des administrations de l'Etat, des collectivités territoriales, de leurs établissements publics et sociétés d'économie mixte, et des associations et fondations reconnues d'utilité publique pour prévenir et détecter les faits de corruption, de trafic d'influence, de concussion, de prise illégale d'intérêt, de détournement de fonds publics et de favoritisme ». Le législateur a créé l'obligation pour les entités ainsi définies (ci-après dénommées « acteurs publics »), de déployer un dispositif anticorruption.
348. Les présentes recommandations visent à faciliter la réalisation par les acteurs publics des objectifs définis par la loi en proposant les modalités de mise en œuvre d'un dispositif anticorruption.
349. La spécificité des acteurs publics en matière de prévention et de détection des atteintes à la probité réside dans la grande diversité de leurs missions, compétences, statuts juridiques, structures de gouvernance, territoires, des normes d'intégrité qui les régissent, du statut de leurs collaborateurs, des différentes catégories de tiers avec lesquels ils interagissent et de leur taille. Il s'ensuit que les acteurs publics sont invités à mettre en œuvre les recommandations d'une façon proportionnée à leur profil de risques. Ils peuvent tout autant recourir à d'autres méthodes permettant d'atteindre les mêmes résultats.
350. Ces recommandations ne détaillent pas l'ensemble des dispositions obligatoires qui s'appliquent aux acteurs publics et qui concourent à la prévention et à la détection des atteintes à la probité, en raison à la fois de leur nombre et de la variété des régimes juridiques applicables aux différentes catégories d'acteurs publics. Toutefois, les recommandations comprennent des focus sur des points particuliers concernant un grand nombre d'acteurs publics.
351. Les acteurs publics qui exercent un contrôle sur d'autres entités (par exemple : fondations, filiales, entreprises publiques locales, établissements publics, etc.) s'assurent de la qualité et de l'efficacité du ou des dispositifs anticorruption déployés dans l'ensemble du périmètre qu'ils contrôlent. A ce titre, ils peuvent choisir soit d'élaborer eux-mêmes le dispositif anticorruption applicable aux entités qu'ils contrôlent (par exemple, pour celles qui sont de taille modeste), soit de mettre en place des procédures et un contrôle interne visant à s'assurer de la qualité et de l'efficacité du ou des dispositifs anticorruption déployés dans l'ensemble du périmètre qu'ils contrôlent.
352. Le dispositif anticorruption de l'acteur public concerne, outre ses agents et collaborateurs, les membres de l'instance dirigeante, l'ensemble des élus qui ne font pas partie de l'instance dirigeante et les membres des cabinets ainsi que, si nécessaire, les bénévoles contribuant à ses activités.


III.1) Premier pilier : l'engagement de l'instance dirigeante


353. Les obligations qui imposent aux acteurs publics de mettre en place des procédures pour prévenir et détecter les atteintes à la probité procèdent non seulement de la loi (7), mais également, pour la plupart d'entre eux, de diverses dispositions législatives et réglementaires. Il s'agit notamment, pour les acteurs publics qui emploient des agents publics, des obligations déontologiques (obligations de déclaration d'intérêts ou de situation patrimoniale pour certains élus et cadres dirigeants, obligation de déport ou d'abstention en cas de conflit d'intérêts, encadrement des cumuls d'activités, prévention des conflits d'intérêts lors des cessations de fonction, obligation de désignation d'un référent déontologue, etc.) (8). D'autres dispositions concourent également à la réduction des risques d'atteintes à la probité comme celles du code général des collectivités territoriales sur le fonctionnement des assemblées délibérantes, les règles de la commande publique et le décret n° 2012-1246 du 7 novembre 2012 modifié relatif à la gestion budgétaire et comptable publique.
354. Il incombe donc à l'instance dirigeante de veiller à ce que ces dispositions soient connues des personnes concernées et réellement mises en œuvre. A défaut, sa responsabilité administrative ou pénale pourrait être engagée.
355. Toutefois, la mise en œuvre de ces dispositions législatives et réglementaires ne permet pas, à elle seule, de disposer d'un dispositif complet et efficace de prévention et de détection des atteintes à la probité. Aussi ces recommandations ont-elles pour objectif d'aider les acteurs publics à élaborer un tel dispositif.


1. Définition de l'instance dirigeante


356. Constitue l'instance dirigeante les personnes - élues ou nommées - disposant de compétences et de pouvoirs propres pour gérer un acteur public, en application de ses statuts et des textes législatifs et réglementaires en vigueur.
357. Il s'agit notamment des personnes ou instances suivantes :


- pour les services de l'Etat : ministre, secrétaire général, directeur d'administration centrale, autorité préfectorale, responsable de services déconcentrés ;
- pour les collectivités territoriales : organe exécutif (maire, président de conseil départemental, de conseil régional, de conseil territorial, d'assemblée, etc.), président d'établissement public de coopération intercommunale (EPCI), ainsi que le directeur général des services ;
- pour les établissements publics, sociétés d'économie mixte : président du conseil d'administration et directeur ;
- pour les établissements publics de santé : directeur ;
- pour les fondations reconnues d'utilité publique, selon l'organisation qu'elles ont choisie : président du conseil de surveillance, président du directoire, président du conseil d'administration ainsi que directeur ;
- pour les associations reconnues d'utilité publique : président et directeur.


358. Ces instances disposent d'un pouvoir d'organisation de l'entité ou du service, d'allocation des moyens et de représentation de l'entité, qui leur confère un rôle déterminant dans la mise en place d'un dispositif anticorruption.


2. Responsabilité de l'instance dirigeante


359. L'instance dirigeante s'engage à mettre en œuvre une politique de tolérance zéro envers tout comportement qui pourrait contrevenir au devoir de probité, promeut et diffuse la culture de la probité au sein de l'acteur public et vis-à-vis des tiers, en érigeant la prévention et la détection des atteintes à la probité à un niveau prioritaire.
360. La responsabilité de la mise en place du dispositif anticorruption repose sur l'instance dirigeante qui peut, le cas échéant, et sans s'affranchir de sa responsabilité personnelle, en déléguer la mise en œuvre opérationnelle à un collaborateur ou un service.
361. Quelle que soit l'organisation retenue, le délégataire doit disposer d'un positionnement lui assurant l'autonomie et la légitimité nécessaires à la conduite de sa mission. Ce positionnement doit faciliter un accès direct à l'instance dirigeante.
362. L'instance dirigeante définit la stratégie de gestion des risques et s'assure de la mise en œuvre et de l'efficacité du dispositif anticorruption. A cet égard, elle veille à formaliser l'approbation de ce dispositif, et en particulier de la cartographie des risques d'atteintes à la probité. Elle s'assure de l'élaboration d'un plan d'actions y afférent et de la mise à disposition des moyens adaptés pour l'exécuter et en assurer le suivi régulier.
363. L'instance dirigeante s'assure que le respect des mesures de prévention et de détection des atteintes à la probité est pris en compte dans la fixation des objectifs annuels et l'évaluation de la performance de l'encadrement. Les initiatives de l'encadrement pour promouvoir la prévention et la détection des atteintes à la probité auprès de ses équipes doivent être valorisées.
364. L'instance dirigeante vérifie, au moyen d'indicateurs et de rapports de contrôle et d'audit, que le dispositif anticorruption est organisé, efficace et à jour.
365. La mise en œuvre des mesures et procédures qui composent le dispositif anticorruption induit pour l'instance dirigeante d'intégrer des mesures de maîtrise des risques aux procédures et politiques publiques exposées de son organisation, notamment la gestion des ressources humaines, la commande publique et l'attribution de subventions publiques.
366. L'instance dirigeante prend, dans le respect des normes applicables (droit du travail, statut de la fonction publique) les sanctions disciplinaires adéquates en cas de comportements constitutifs d'une atteinte à la probité, d'un manquement au code de conduite ou d'un manquement au devoir de probité.
367. L'instance dirigeante veille à ce que les entités que contrôle l'acteur public (en droit ou en fait) soient couvertes par un dispositif anticorruption.
368. L'instance dirigeante veille à ce que le dispositif anticorruption lui soit applicable.
369. Lorsque l'instance dirigeante exerce ses fonctions sous le contrôle ou la surveillance d'un organe non exécutif ou d'une tutelle, ces derniers veillent à ce que les risques d'atteintes à la probité soient appréhendés par la mise en place d'un dispositif anticorruption adapté et efficace.


3. Moyens dédiés


370. La mise en œuvre d'un dispositif anticorruption nécessite des moyens humains et financiers proportionnés au profil de risque de l'acteur public.
371. La désignation du collaborateur ou du service chargé de la mise en œuvre opérationnelle du dispositif de prévention et de détection peut faire l'objet d'une communication spécifique à l'ensemble des personnels et, le cas échéant, être formalisée par une lettre de mission de l'instance dirigeante précisant notamment :


- les missions confiées ;
- les éléments qui garantissent son autonomie, tels que son positionnement dans l'organigramme et les modalités d'accès à l'instance dirigeante ;
- l'articulation avec les autres fonctions de l'acteur public ;
- les moyens matériels et humains affectés ou susceptibles d'être mobilisés.


372. L'instance dirigeante s'assure que ce collaborateur ou ce service dispose des moyens et des compétences lui permettant de réaliser ses missions, de coordonner les fonctions concernées et de rendre compte à l'instance dirigeante.
373. Son positionnement dans la structure doit lui garantir :


- un accès à toute information utile pour disposer d'une image fidèle de l'activité de l'acteur public ;
- l'indépendance de son action vis-à-vis des autres fonctions et la capacité à influer réellement sur ces dernières ;
- un accès aisé à l'instance dirigeante, afin d'en obtenir l'écoute et le soutien.


374. Indépendamment de son positionnement dans l'organigramme, il entretient un lien direct et régulier avec l'instance dirigeante.


4. Une politique de communication interne et externe adaptée


375. L'instance dirigeante communique sur sa politique de prévention et de détection des atteintes à la probité, ainsi que sur le dispositif global qui la matérialise auprès de l'ensemble des élus, du personnel et des tiers (usagers, fournisseurs, prestataires, associations, partenaires).
376. Adaptée à sa structure et à ses activités, la communication interne du dispositif anticorruption porte nécessairement sur le code de conduite et la déontologie, la formation et le dispositif d'alerte interne.


III.2) Deuxième pilier : la cartographie des risques d'atteintes à la probité


377. Indispensable instrument de la connaissance des risques d'atteintes à la probité, la cartographie des risques permet aux acteurs publics d'engager et de formaliser une réflexion en profondeur sur leurs risques ainsi que de créer les conditions d'une meilleure maîtrise de ces risques. Elle est mise en œuvre dans l'objectif de se prémunir contre les conséquences réputationnelles, juridiques, humaines, économiques et financières que pourrait générer la réalisation des risques.
378. Cette cartographie peut être spécifique ou intégrée dans une cartographie générale des risques, sous réserve de l'utilisation d'une méthodologie offrant l'assurance raisonnable que les risques d'atteintes à la probité identifiés, évalués et hiérarchisés soient le fidèle reflet des risques auxquels l'acteur public est réellement exposé.
379. La cartographie des risques des acteurs publics vise la maîtrise des risques de l'ensemble des infractions d'atteintes à la probité énumérées à l'article 1er de la loi.
380. Pour les acteurs publics relevant à la fois de l'article 3 et de l'article 17 de la loi (soit les établissements publics industriels et commerciaux et les SEM dont le chiffre d'affaires et les effectifs atteignent les seuils fixés par l'article 17), la cartographie doit intégrer les risques relatifs à l'ensemble des infractions d'atteintes à la probité énumérées à l'article 1 de la loi.
381. L'établissement de la cartographie des risques d'atteintes à la probité nécessite :


- de disposer d'une connaissance précise de l'acteur public et de ses activités, dont les processus (9) que celles-ci nécessitent de mettre en œuvre. Cette connaissance est la condition préalable à l'analyse fine des processus qui garantit que la cartographie des risques d'atteintes à la probité reflète fidèlement les risques auxquels l'acteur public est réellement exposé. Chaque acteur public établit sa propre cartographie des risques, qui lui est spécifique et ne peut en conséquence être transposée en l'état à un autre acteur public ;
- nécessite d'identifier les rôles et responsabilités des acteurs concernés à tous les niveaux de l'organisation.


1. Objectifs de la cartographie des risques d'atteintes à la probité


382. La cartographie des risques d'atteintes à la probité donne à l'instance dirigeante la connaissance nécessaire pour la mise en œuvre de mesures de prévention et de détection efficaces, proportionnées aux enjeux identifiés par la cartographie et adaptées aux activités de l'acteur public concerné.
383. Deuxième pilier du dispositif de prévention et de détection, la cartographie des risques d'atteintes à la probité permet à l'acteur public de gérer efficacement ses risques en identifiant les mesures et procédures de prévention, de détection et de remédiation à mettre en place. Réciproquement, les enseignements tirés de la mise en œuvre de ces mesures et procédures sont pris en compte pour établir et mettre à jour la cartographie des risques d'atteintes à la probité. L'ensemble de ces interactions s'inscrit ainsi dans une approche systémique de la cartographie des risques et des mesures et procédures conçues et mises en œuvre pour les gérer.


2. Caractéristiques de la cartographie des risques d'atteintes à la probité


384. La cartographie des risques est complète dans la mesure où elle couvre :


- tout d'abord, l'ensemble des acteurs, y compris les élus, les ministres, les membres des différents cabinets, les comptables publics, les contrôleurs généraux économiques et financiers, ainsi que l'ensemble des agents, quel que soit leur statut (agents titulaires, agents contractuels, agents détachés ou mis à disposition, personnels sous contrat de droit privé, vacataires, apprentis, stagiaires, bénévoles) ;
- ensuite, « de bout en bout », les processus managériaux, opérationnels et support mis en œuvre par l'acteur public dans le cadre de ses activités. Résultant de l'analyse de l'ensemble des processus de l'acteur public, ainsi que de l'identification des risques d'atteintes à la probité, et ce à chaque stade de ces processus, elle appréhende ces risques en prenant en compte les particularités de chaque acteur public : missions, compétences, spécialité, structure de gouvernance et circuits de décision, statut des personnels, territoires, typologies de tiers, ressources propres, etc. ;
- enfin, l'entier périmètre d'intervention de l'acteur public, soit l'ensemble des structures, notamment les entités qu'il contrôle. Si le choix a été fait de laisser tout ou partie des structures contrôlées réaliser par elles-mêmes leurs cartographies des risques d'atteintes à la probité, l'acteur public s'assure de leur existence et de la pertinence des méthodes choisies pour les établir.


385. La cartographie des risques d'atteintes à la probité est formalisée, c'est-à-dire qu'elle prend la forme d'une documentation écrite, structurée et auditable. La forme de la cartographie des risques doit permettre d'en faire un outil de pilotage des risques et faciliter également l'appréciation interne (par l'audit notamment) et externe (en cas de contrôle administratif ou de procédure judiciaire) de la pertinence du dispositif anticorruption.
386. Au choix de l'acteur public, la documentation peut être organisée, par exemple, par compétence, par processus, par entité ou par territoire. Elle est accompagnée d'une annexe décrivant notamment les rôles et responsabilités dans son élaboration, les modalités et les méthodologies mises en œuvre pour identifier, évaluer, hiérarchiser et gérer les risques d'atteintes à la probité.
387. La cartographie des risques est évolutive puisqu'il est nécessaire de réévaluer les risques de manière périodique, en particulier chaque fois qu'évolue un élément important de l'acteur public. A la faveur de son actualisation, la cartographie participe d'un processus d'amélioration continue permettant aux acteurs publics de renforcer la maîtrise de leurs risques.


3. Les différentes étapes de mise en place d'une cartographie des risques d'atteintes à la probité


388. La cartographie des risques d'atteintes à la probité procède d'une analyse objective, structurée et documentée des risques auxquels un acteur public est exposé dans le cadre de ses activités. La description fait ressortir l'impact des risques (gravité) et leur probabilité d'occurrence (fréquence), les éléments susceptibles de les accroître (facteurs aggravants) ainsi que les réponses apportées dans le cadre du dispositif de maîtrise des risques existant ou à apporter dans le cadre d'un plan d'actions.
389. Dans ce contexte, afin d'identifier, d'évaluer et de gérer les risques d'atteintes à la probité, il est recommandé de respecter les étapes ci-après, ou d'employer une autre méthode présentant une efficacité et pertinence au moins similaires.
390. Pour les acteurs publics ayant déjà conduit des travaux de cartographie des risques, par exemple des risques opérationnels, stratégiques, budgétaires ou comptables ou en matière de gestion des fonds européens, ces démarches préexistantes peuvent être capitalisées, sous réserve que la méthode employée pour les construire soit conforme aux préconisations qui suivent. En effet, la cartographie des risques d'atteintes à la probité relève d'une méthode analogue : l'acteur public a d'ores et déjà procédé à une description de tout ou partie de ses processus et il dispose d'une expérience en matière d'identification et de cotation des risques, ainsi que dans la détermination d'une stratégie de maîtrise des risques. Les scénarios de risque déjà identifiés au titre des risques opérationnels, stratégiques, budgétaires ou comptables ou en matière de gestion des fonds européens peuvent ainsi être examinés et enrichis, lorsque cela est pertinent, des risques d'atteintes à la probité qu'ils recèlent. Ce procédé ne garantit toutefois pas que les scénarios de risque ainsi identifiés reflètent fidèlement les risques d'atteintes à la probité auxquels l'organisation est réellement exposée. L'usage de la méthode basée sur l'analyse des processus exposée infra est de nature à utilement compléter cette approche.


1re étape : rôles et responsabilités des parties prenantes à la cartographie des risques d'atteintes à la probité


391. Au sein des acteurs publics, les rôles et responsabilités peuvent utilement être répartis comme suit :


- l'instance dirigeante promeut l'exercice de cartographie des risques et donne les moyens de sa mise en œuvre au collaborateur ou au service auquel elle en a confié l'élaboration. Elle valide la stratégie de gestion des risques mise en œuvre sur son fondement et s'assure de l'exécution du plan d'actions retenu ;
- le collaborateur ou service responsable coordonne l'élaboration de la cartographie des risques, en accompagnant les services dans le recensement des processus, dans l'identification des risques d'atteintes à la probité, dans l'évaluation et la hiérarchisation de ces risques et dans la définition et la mise en œuvre de mesures concourant à leur maîtrise. Il communique la cartographie des risques à l'instance dirigeante à chacune de ses mises à jour ainsi que le suivi du plan d'actions ;
- les responsables des processus décisionnels, opérationnels, comptables et support contribuent à l'élaboration et à la mise à jour de la cartographie des risques en rendant compte des risques spécifiques au périmètre relevant de leur responsabilité ;
- les personnels, forts de leur expérience pratique des processus de l'acteur public, apportent leur contribution à l'exercice de cartographie en rendant compte des facteurs spécifiques aux fonctions exercées et aux risques encourus.


392. L'acteur public, lors de l'élaboration de sa cartographie, veille à appréhender les risques inhérents aux activités exercées par l'ensemble des personnels travaillant dans la structure, quel que soit leur statut (y compris les bénévoles et les stagiaires), ainsi que ceux attachés aux missions des dirigeants, des élus et de leurs collaborateurs.


2e étape : identification des risques inhérents aux activités de l'acteur public (recensement des processus et scénarios de risques)


393. L'identification des risques de l'acteur public s'appuie sur une analyse fine de ses processus :


- dans une première étape, l'acteur public établit un recensement de ces processus, le cas échéant sur le fondement d'une cartographie des processus préexistante. Lors de ce premier recensement, l'acteur public s'attache à ne pas préjuger des résultats de la cartographie des risques en dressant a priori une liste de processus jugés les plus représentatifs ou les plus exposés aux risques. Dans le cas d'un acteur public ne disposant d'aucune bibliothèque de processus, le recensement pourra, dans une première étape, cibler les macro-processus auxquels sera appliquée la méthodologie décrite aux paragraphes qui suivent. Cette première étape doit être suivie d'une revue à une échelle plus fine des processus et des scénarios de risques associés ;
- dans une seconde étape et sur la base du recensement des processus, l'acteur public organise des échanges (ateliers, entretiens individuels, etc.) avec des personnels de tout niveau hiérarchique et de toutes les fonctions de l'acteur public, choisis pour leur maîtrise opérationnelle de ces processus. Ces échanges permettent la libre expression des participants et font l'objet de comptes rendus écrits.


394. Ces échanges ont pour objet d'identifier, par processus, des scénarios de risques (10) auxquels l'acteur public est exposé dans le cadre de ses activités et de certains métiers. Il ne s'agit pas de décliner la typologie théorique des risques auxquels il est exposé, mais de procéder à un état des lieux précis permettant d'identifier, de manière circonstanciée et documentée, les scénarios de risques qui lui sont propres. Si une liste de risques pré établie peut constituer un des supports sur lesquels peut s'appuyer la réflexion menée lors de ces entretiens, elle ne saurait pré déterminer la nature, le nombre et la classification des scénarios de risque retenus à l'issue des entretiens : l'acteur public doit en effet fonder sa cartographie sur la réalité de ses processus.
395. La cartographie des risques intègre l'intervention des tiers de l'acteur public, qui peut présenter un risque d'exposition à une sollicitation (facteur de risque).
396. Les scénarios de risques sont identifiés en tenant compte notamment des facteurs de risques suivants :


- le fonctionnement interne de l'acteur public et notamment sa gouvernance ;
- son organisation territoriale, notamment les administrations déconcentrées, les opérateurs de l'Etat ;
- les « liens d'intérêts » de l'instance dirigeante et des personnels ;
- la nature des tiers avec lesquels l'acteur public interagit, à l'occasion par exemple des achats auxquels il procède, des aides et subventions qu'il attribue ou des autorisations qu'il délivre, ainsi que des secteurs d'activité du tiers, la nature de la relation (directe ou indirecte), le degré de dépendance économique, etc. ;
- l'historique des incidents : doivent être pris en compte notamment les incidents ayant affecté l'acteur public, révélés par les audits internes ou par les dispositifs d'alerte interne et déontologique, les faits ayant donné lieu à l'application du régime disciplinaire ou à des décisions juridictionnelles concernant des acteurs publics similaires, les observations de la Cour des comptes et de la chambre régionale des comptes, le retour d'expérience tiré du contrôle de légalité.


3e étape : évaluation des risques bruts


397. Cette étape vise à évaluer le niveau de vulnérabilité de l'acteur public pour chaque scénario de risque identifié à l'étape précédente. Il s'agit ici d'identifier les risques « bruts » auxquels l'acteur public est exposé, c'est-à-dire les risques considérés en amont des moyens de maîtrise mis en œuvre.
398. Ce niveau de vulnérabilité est évalué au moyen des trois indicateurs suivants : l'impact, la fréquence et les facteurs aggravants.
399. Une analyse de l'impact de chaque scénario de risque identifié est menée. Cet impact peut être réputationnel, humain, financier, économique ou juridique. Un même scénario de risque peut cumuler plusieurs types d'impact.
400. Une probabilité d'occurrence est déterminée à l'aide des informations les plus complètes et les plus adaptées à la spécificité du risque identifié (exemple : historique des incidents).
401. L'appréciation des facteurs jugés aggravants est réalisée par l'application de coefficients de gravité. Par exemple, dans la situation des acteurs publics développant leurs activités à l'international, ce coefficient permet de prendre en compte, au stade de l'évaluation des risques bruts, l'incidence de l'implantation géographique.
402. Les échanges organisés pour identifier les risques peuvent utilement permettre de procéder à l'évaluation des risques bruts identifiés. Qu'elle s'appuie ou pas sur ces échanges, l'évaluation des risques bruts est conduite sur le fondement d'une méthodologie homogène. L'acteur public veille notamment à ce que les évaluations des risques bruts émanant de ses différentes composantes puissent être agrégées de manière cohérente.


4e étape : évaluation des risques nets ou résiduels


403. Cette étape vise à évaluer le niveau de maîtrise des risques par l'acteur public afin de déterminer les risques « nets » ou « résiduels » auxquels elle est exposée. Il s'agit donc de réévaluer les scénarios de risques « bruts » en prenant en considération les moyens de maîtrise des risques déjà existants et mis en œuvre.
404. Il convient dès lors, à ce stade d'élaboration de la cartographie, d'évaluer l'efficacité des mesures de maîtrise des risques existantes, comme celles inhérentes à l'existence de procédures formalisées, de dispositifs de formation et aux contrôles internes, en s'appuyant notamment sur les audits réalisés.


405. Nota. - Dans le cas d'une cartographie des risques « intégrée », conduisant à évaluer le niveau de risque d'un scénario ou d'un processus en agrégeant différentes natures de risque, dont le risque d'atteintes à la probité, il conviendra de s'assurer que cette évaluation fasse ressortir la cotation de ce risque en tant que tel.

Retourner en haut de la page