Évaluation des tiers (Sapin II) : les recommandations de l’AFA

Évaluation des tiers dans la fonction Achat : retour sur les recommandations de l’AFA

Alors qu’une troisième mouture est en préparation, la loi Sapin II continue de poser des difficultés aux entreprises. En cause notamment, le 4e pilier de l’article 17, qui évoque « les procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques ».

Au-delà de la lutte contre le blanchiment d’argent et la corruption, cette injonction s’inscrit dans l’intersection de plusieurs lois et réglementations, notamment le devoir de vigilance et le RGPD.

Après avoir détaillé les quatre facteurs qui expliquent la difficulté de la mise en œuvre de l’évaluation des tiers au titre de la loi Sapin II, je vous propose aujourd’hui de revenir sur les principales recommandations de l’Agence Française Anticorruption (AFA) en la matière, qu’il s’agisse du portefeuille tiers existant ou des nouvelles relations envisagées (clients, fournisseurs, intermédiaires).

L’évaluation des tiers : quelle place dans le dispositif anticorruption ?

Situons d’abord l’évaluation des tiers dans l’ensemble du dispositif anticorruption, qui se décline en trois grandes phases.

Phase 1 : la prévention

A ce stade, l’entreprise s'appuit sur deux « référentiels » : la loi (pour les obligations légales) et son code de conduite (pour les normes mieux-disantes).

L’AFA recommande à ce niveau d’identifier et de référencer les collaborateurs en contact direct avec les tiers pour mieux situer les risques, mais aussi pour orienter les efforts de formation et de sensibilisation.

L’évaluation des tiers fait partie de la phase de prévention, dans la mesure où l’on apprécie les risques de corruption (mais pas seulement) associés à chaque tiers.

Phase 2 : la détection

Conformément au 2° du II de l’article 17 de la loi Sapin II, l’entreprise doit déployer « un dispositif d’alerte interne destiné à permettre le recueil des signalements émanant d’employés et relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société ».

A noter : le volet des signalements et des lanceurs d’alerte fait partie des principales évolutions de la loi Sapin III à venir. Les entreprises ont donc tout intérêt à aller au-delà des dispositions de la loi Sapin II pour anticiper les changements et faciliter la transition (on en parle ici).

La phase de détection implique par ailleurs des contrôles comptables et trois types de contrôles internes :

• Le contrôle de 1er niveau, réalisé par les opérationnels, l’équipe support ou le responsable hiérarchique ;
• Le contrôle de 2e niveau, réalisé par le responsable conformité, une fonction qualité, la fonction de gestion des risques ou le contrôle de gestion ;
• Le contrôle de 3e niveau, ou l’audit interne.

Phase 3 : la remédiation

Dans cette dernière phase, il s’agira essentiellement de gérer et de suivre les insuffisances constatées à l’occasion des contrôles, et de mettre en œuvre le régime disciplinaire en cas de comportement fautif.

En quoi consiste le contrôle de l'AFA

Le contrôle de l’Agence Française Anticorruption (AFA) est essentiel pour vérifier la conformité à la loi Sapin II. L’AFA évalue la mise en place des dispositifs de prévention de la corruption, y compris la cartographie des risques, les procédures internes et les codes de conduite. Elle effectue des audits pour vérifier la conformité législative et examine la documentation et les formations anti-corruption. En cas de non-conformité, des recommandations sont émises pour corriger les manquements, accompagnées de mesures préventives. L’AFA offre également un soutien et des actions de sensibilisation pour renforcer la conformité et promouvoir des pratiques éthiques.

L’évaluation des tiers au sens de la loi Sapin II : que recommande l’AFA ?

#1 Ne jamais perdre de vue la finalité relative à l’évaluation des tiers

Les entreprises ne doivent pas perdre de vue la finalité relative à la procédure d’évaluation des tiers, qu’elle s’inscrive dans un dispositif anticorruption ou non :

• Décider ou non d’entrer en relation avec un nouveau tiers ;
• Poursuivre ou non une relation en cours.

Sur le volet des cibles de l’évaluation, l’AFA recommande d’élargir à l’ensemble des tiers : clients, fournisseurs et intermédiaires, mais aussi les cibles d’acquisition ainsi que les bénéficiaires d’actions de sponsoring ou de mécénat.

#2 La cartographie des risques, un outil facilitateur

Par définition, l’évaluation des tiers au sens de la loi Sapin II s’applique aux entreprises qui comptent un nombre relativement important de tiers (entreprises de plus de 500 salariés réalisant un CA > 100 M€).

Pour rationaliser l’évaluation et en maîtriser les coûts, l’AFA insiste sur la phase de cartographie de risque liées aux tiers, qui permet de travailler sur des groupes homogènes de tiers présentant des profils de risques comparables plutôt que sur chaque tiers de manière individuelle, au moins dans un premier temps… car l’AFA nuance cette recommandation : « Les groupes de tiers jugés pas ou peu risqués pourront ne pas faire l’objet d’une évaluation ou faire l’objet d’une évaluation simplifiée, tandis que les groupes les plus risqués nécessiteront une évaluation approfondie », qui va donc forcément impliquer une évaluation individualisée.

#4 Les 4 acteurs de l’évaluation de l’intégrité des tiers

Dans le cadre d’une procédure d’évaluation des tiers formalisée interviennent trois acteurs obligatoires, auxquels s’ajoute un acteur facultatif :

• Les opérationnels chargés des évaluations, qui vont collecter les informations et les documents pertinents. Ils émettent une première appréciation qui pourra valoir de décision finale dans les cas considérés comme peu risqués ;
• Le service de conformité (ou équivalent), qui va accompagner les opérationnels dans les cas plus risqués dans l'application du programme de mise en conformité  ;
• L’instance dirigeante, qui sera amenée à trancher dans les cas les plus risqués communiqués par le service conformité ;
• Éventuellement, des prestataires externes dans les cas les plus complexes (tiers basé à l’étranger, documents difficilement accessibles, etc.).

Pour rappel, les évaluations se basent sur :

• Les listes internes à l’entreprise ;
• Les informations en sources ouvertes (articles de presse, états financiers, décisions de justice…) ;
• Les listes des personnes physiques et morales sanctionnées ;
• Les bases de données commercialisées par les prestataires spécialisées ;
• Les documents collectés auprès du tiers concerné (questionnaire, entretien, audit, etc.).

#5 Le niveau de risque de chaque tiers

L’AFA rappelle que l’évaluation du niveau de risque des tiers doit impérativement tenir compte des facteurs aggravants comme le risque pays ou le comportement du tiers (refus ou retard à fournir certaines informations par exemple).

#6 Quelles conclusions tirer de l’évaluation des tiers ?

Un facteur subjectif va forcément accompagner la décision suite à l’évaluation du niveau de risque du tiers. Comme l’explique l’AFA, « l’absence de facteurs de risque en suite d’évaluation ne garantit pas que la relation avec le tiers soit absolument dénuée de risque. À l’inverse, l’identification de facteurs de risques n’interdit pas la relation ».

Globalement, il peut être décidé :

• D’approuver la relation (avec ou sans renforcement des mesures de vigilance) ;
• De ne pas engager la relation (ou d’y mettre un terme si elle est déjà engagée) ;
• De reporter la prise de décision, par exemple pour réaliser des évaluations complémentaires.

En phase avec les recommandations de l’AFA, Provigis, Tiers de Collecte Probatoire, vous propose une solution SaaS intuitive et innovante dans le cadre de votre dispositif anticorruption. Objectif : digitaliser et simplifier la collecte documentaire, conformément et au-delà de la loi Sapin II.