Volet compliance de la loi Sapin II : impacts organisationnels et informationnels
Paru dans La Lettre des Juristes d'Affaires N°1332 du 8 janvier 2018
Par Pierre Memheld, Directeur Général, Global Risk Profile France SAS
La loi Sapin II a créé l’obligation, pour toutes les entreprises faisant plus de 100 millions d’Euros de CA, et ayant au moins 500 salariés, de mettre en place des procédures anti-corruption impliquant le développement d’un système d’information interne et externe. Jusqu’à présent, elles avaient généralement la possibilité de ne rien faire pour prévenir le risque corruptif même si elles y étaient souvent exposées dans le cadre de leurs activités à l’international, malgré l’existence de cadres légaux (États Unis) ou de recommandations (OCDE).
Cette loi a des impacts importants sur l’organisation des entreprises par : l’adoption d’un code de conduite décrivant les comportements à proscrire ; la mise en œuvre d’un dispositif d’alerte interne ; l’établissement d’une cartographie des risques ; la vérification de l’intégrité des clients, fournisseurs, partenaires et intermédiaires ; la réalisation de contrôles comptables internes ou externes ; l’organisation d’une formation dispensée pour des cadres et personnels ; l’instauration de sanctions disciplinaires en cas de violation du code de conduite. Outre les sanctions vis-à-vis des employés fautifs, une peine complémentaire de mise en conformité visera l’entreprise, et ses dirigeants, en cas d’absence de mise en place de ces procédures.
La mise en œuvre des multiples cadres légaux (RGPD ou Devoir de Vigilance) existants représente une nouvelle contrainte managériale qui va s’appliquer aux entreprises concernées. Elle nécessite la mise en place d’une fonction transverse, chargée de coordonner les actions : suivi de l’évolution du cadre légal et réglementaire ; création de postes dédiés ; coordination avec les fonctions financières et opérationnelles ; formation interne de personnels venant d’horizons et cultures différentes ; recherches nécessaires à la documentation interne opposable aux autorités et structures associatives (comme dans le cas Sherpa contre Lafarge) ; audits internes sur le fond et la forme ; suivi de l’évolution des menaces internes et externes.
La loi précise également la documentation à créer. Quand un groupe international peut créer une équipe dédiée comptant plusieurs dizaines d’employés spécialisés, quels seront les moyens disponibles pour une entreprise de 500 personnes, pourtant soumise aux mêmes obligations ? En effet, outre le code de déontologie, il faut créer de toutes pièces les procédures recommandées, prévoir les audits des contrats, des comptes et des relations commerciales mêmes non formalisées, faire réaliser des due diligence sur les « tierces parties », désigner des responsables internes, former les salariés ou mener une veille juridique sur les marchés et les concurrents. La mise en œuvre de ces différents processus fait appel à toutes les fonctions de l’entreprise : juridique, financière, marketing, production, export, communication ou ressources humaines et sécurité.
L’intelligence économique, comme outil de management de l’information et de coordination des actions, peut servir dans ce cadre. Ses objectifs sont une connaissance approfondie des compétences internes et des risques éventuels ou du jeu des acteurs de l’environnement concurrentiel ce qui lui confère un rôle stratégique. Si certaines tâches, comme la veille juridique ou les investigations, peuvent être externalisées, il n’en va pas de même pour l’interface avec les fonctions opérationnelles ou financières, ou la préservation de la confidentialité des objectifs stratégiques ou technologiques de l’entreprise. D’autres fonctions, liées à la conformité, sont déjà externalisées comme l’audit des comptes, leur certification, ou la formation continue des personnels.
Il s’agit là de la fonction anticipation de l’intelligence économique, compréhension des évolutions de l’environnement passant par la mise en œuvre de méthodes d’analyse. En combinant ces approches, chaque entreprise peut concevoir sa propre grille d’évaluation des risques, en fonction de son industrie, de ses pays d’activité, des lois applicables. Ces méthodes permettent de protéger l’entreprise.