Norme ISO 37001 : nouvelle frontière anticor depuis 2016

À l’heure où la compliance anticorruption devient une préoccupation majeure pour les organisations, nous avons jugé utile de consacrer un article à la norme ISO 37001, une certification des « systèmes de management anti-corruption » de plus en plus recherchée par les entreprises. 1 000 l’ont à ce jour obtenue dans le monde.

Vers un standard international anticorruption

Cette norme a été créée en 2016 par l’Organisation internationale de normalisation (ISO), dont le but consiste à produire des normes à l’échelle mondiale – les célèbres « normes ISO ». Reconnue par 163 pays, elle est aujourd’hui le seul véritable standard anticorruption à l’international.

L’ISO 37001 définit ainsi un certain nombre de critères qu’une entreprise doit satisfaire pour que son dispositif anticorruption soit considéré comme a priori efficace. Cette norme ne certifie donc pas un produit, mais l’organisation elle-même, à l’instar des normes de systèmes de management comme l’ISO 9001 sur le contrôle de la qualité des produits, ou l’ISO 14001 sur le respect des règles environnementales.

Le système proposé par la norme est conçu pour être applicable dans n’importe quel pays, et peut être mis en place de manière autonome ou intégré à un système de management global. Il peut être adopté par tout type d’organisation, publique ou privée, quelle que soit sa taille.

Pour être certifiée ISO 37001, l’organisation doit mettre en place une série de mesures : cartographie des risques, adoption d’une politique anticorruption, désignation d’une personne chargée de superviser la mise en œuvre de cette politique, formation des salariés, évaluation des risques relatifs à certains projets ou partenaires commerciaux, déploiement de contrôles financiers et commerciaux, création de procédures de signalement et d’enquête interne…

La loi et la norme : faussement redondantes

En réalité, tous ces critères sont très similaires aux exigences définies par l’article 17 de la loi Sapin 2.

Pour les sociétés françaises de plus de 500 employés et d’un chiffre d’affaires supérieur à 100 millions d’euros, la mise en place des mesures susmentionnées est donc déjà obligatoire sous l’égide de l’Agence Française Anticorruption (AFA). Ces entreprises pourraient alors être amenées à considérer la certification ISO 37001 comme une démarche rendue inutile par sa redondance avec la loi Sapin 2. Et en théorie, elles n’auraient pas tort.

Mais au-delà de la procédure en elle-même, il y a au moins deux avantages à effectuer cette démarche. D’abord, la certification ISO 37001 n’est accordée qu’au terme d’un audit mené par un organisme tiers certificateur (l’AFNOR, Eurocompliance ou encore Bureau Veritas par exemple). Grâce à cet audit externe, la certification peut donc jouer le rôle d’un garde-fou supplémentaire, permettant de repasser les procédures au peigne fin et de s’assurer que les risques ont bien été analysés.

Ensuite, contrairement aux obligations Sapin 2, la démarche de certification 37 001 est lancée à l’initiative de l’entreprise. Se faire certifier peut donc être un moyen de montrer que l’entreprise est prête à aller plus loin que les exigence légales pour lutter contre la corruption. C’est le cas par exemple de la société Thales, qui a annoncé en 2021 être devenue la « première entreprise de son secteur à être certifiée ISO 37001 ». Pour le constructeur, dont la réputation a été entachée par plusieurs scandales de corruption (l’affaire des frégates de Taïwan, affaire du tramway de Nice, affaire Zuma…), se faire certifier est aussi un moyen de faire peau neuve.

L’entreprise ne se prive d’ailleurs pas de communiquer à ce propos. Selon les mots de Patrice Caine, PDG de Thales « la certification de Thales à la norme ISO 37001 témoigne de la mise en place d’un dispositif de conformité exigeant, reflet de l’engagement et la détermination de l’ensemble du Groupe dans la lutte contre la corruption. » peut-on lire sur le site internet de l’entreprise.

On retrouve ce cas de figure pour d’autres entreprises, comme Alstom, qui, après une série de revers judiciaires ces dix dernières années, a obtenu la certification mondiale en 2019. Parmi les entreprises françaises qui ont obtenu leur certification ces dernières années, on peut également citer le Crédit Agricole, le groupe Saur, l’entreprise Naval Group ou encore… Systra qui vient pourtant tout juste de signer une CJIP de 7,5 millions d’euros pour des affaires de corruption en Asie Centrale intervenues entre 2009 et 2013. Il est d’ailleurs intéressant de noter à ce sujet que la procédure n’exige pas ici de programme de mise en conformité alors que c’est souvent le cas. Sans doute la certification ISO 37001 de l’entreprise a-t-elle joué un rôle dans cet aspect de l’accord.

Pour des entreprises qui veulent éviter d’être discréditées par des soupçons ou des affaires de corruption, la certification peut donc être une aubaine. Notons d’ailleurs que la course à cette certification ne concerne pas que le secteur privé : en juin 2021, la Région Île-de-France a elle aussi obtenu la certification ISO 37001.

Un avantage déterminant pour les ETI et PME

Mais l’intérêt d’une telle certification est peut-être encore plus important pour les PME comme pour certaines ETI qui ne sont pas encore assujetties aux obligations Sapin 2.

Nous avons montré précédemment à l’occasion d’un précédent article, que même lorsqu’une entreprise n’est pas assujettie à la loi Sapin 2, elle a tout intérêt à agir comme si elle l’était. Quelle que soit sa taille, une entreprise est susceptible d’être évaluée par un partenaire commercial – par exemple, pour un grand groupe client qui serait lui-même soumis aux exigences Sapin 2, la qualité du dispositif anticorruption peut devenir le critère décisif qui le motive à choisir un fournisseur plutôt qu’un autre. Et c’est précisément là que la certification ISO 37001 peut représenter un avantage concurrentiel décisif.

En se faisant certifier ISO 37001, les entreprises professent leur engagement contre la corruption aux yeux de leurs potentiels partenaires commerciaux. La fondatrice de la PME Acte International, spécialisée dans le Supply Chain Management, explique par exemple que la certification a permis d’augmenter le pouvoir et l’efficacité de sa communication à l’égard de ses clients et de ses fournisseurs.

On peut donc s’attendre à ce que dans les prochaines années, les PME et ETI rejoignent aussi la course à la certification ISO 37001, comme moyen de créer un lien de confiance avec de potentiels partenaires commerciaux, investisseurs ou actionnaires.

Sources

ISO

• ISO : Brochure « ISO 37001 Systèmes de management anti-corruption »

Grands Groupes

• Thales : Anticorruption : Thales 1ère entreprise de son secteur à être certifiée ISO 37001
• Le Monde : La réalisation du tramway de Nice compromise par une affaire de corruption
• Le Monde : Afrique du Sud : Jacob Zuma et la filiale locale de Thales convoqués devant la justice
• Alstom : Alstom obtient la certification mondiale pour son système de Management anti-corruption ISO 37001
• Région Ile-de-France : La Région Île-de-France obtient la norme ISO 37001 pour son système de management anticorruption
• Crédit Agricole : Le groupe Crédit Agricole renforce son dispositif de lutte contre la corruption, un des piliers de son engagement éthique et sociétal
• Skan1 Outlook : Certification 37001 pour Saur, N°3 français de l’eau
• Saur.com : Saur, premier acteur français de l’eau certifié selon la norme internationale ISO 37001 dans la lutte contre la corruption
• Qualitereferences.com : Systra : premier groupe français d’ingénierie certifié pour son système de management anti-corruption
• Les Echos : Lutte anti-corruption : la bataille de la certification se prépare

PME / ETI

• Skan1 Outlook : La due diligence d’intégrité, un visa pour les PME et ETI en quête d’international
• Skan1 Outlook : France : pourquoi les PME et ETI devraient aussi respecter la loi SAPIN 2 (même si elles n’y sont pas soumises)
• Acte International : La certification ISO 37001 pour une PME : pourquoi et comment ?