Entreprises françaises : l’évaluation des tiers Sapin 2 entre avancées et défis persistants selon l’enquête AFA

Entreprises françaises : l’évaluation des tiers Sapin 2 entre avancées et défis persistants selon l’enquête AFA 2024
L’évaluation des tiers par les entreprises présente des progrès réels mais encore insuffisants

L’Agence Française Anticorruption (AFA) publie régulièrement des enquêtes afin d’évaluer la prise en main des mesures anticorruption imposées par la loi Sapin 2 aux entreprises françaises. Un diagnostic publié en septembre 2022 rapportait que parmi ces mesures (obligatoires pour entreprises de plus de 500 salariés et réalisant un chiffre d’affaires supérieur à 100 millions d’euros), l’évaluation des tiers était considérée comme la plus difficile à mettre en œuvre par 59% des entreprises.

Cela pour plusieurs raisons : multiplicité des prestataires externes, opacité des chaînes d’approvisionnement, relations avec des partenaires à l’étranger, coordination des équipes de contrôle… Fin 2023, l’AFA a diffusé un nouveau questionnaire afin de sonder les entreprises sur leurs pratiques d’évaluation des tiers et tenter d’identifier a mieux les difficultés qu’elles peuvent rencontrer. Les résultats de cette enquête, publiés en mai dernier, font apparaître une généralisation de certaines bonnes pratiques, mais aussi des difficultés persistantes dans la mise en œuvre de ce pilier incontournable des dispositifs anticorruption Sapin 2.

Un recensement des tiers parfois incomplet

Afin de connaître précisément l’étendue des vérifications à mener, l’entreprise doit d’abord dresser un tableau d’ensemble des tiers avec lesquels elle intéragit. Toutefois, seulement 70% des entreprises affirment recenser l’intégralité de leurs tiers. Celles qui ne le font pas à l’heure actuelle invoquent plusieurs obstacles, notamment la difficulté à identifier des tiers n’effectuant que des transactions occasionnelles et de faibles montants, ainsi que les problèmes liés à une intégration imparfaite des données ou encore le manque de ressources dans les équipes de conformité.

Les tiers les mieux recensés sont les catégories prévues par la loi Sapin 2 : les fournisseurs, prestataires, clients et intermédiaires. Cependant, on observe des pratiques plus variables de recensement pour d’autres catégories, qui peuvent présenter tout autant de risques d’atteinte à la probité, comme les sous-traitants (recensés par 71% des entreprises), les consultants (69%), les distributeurs (62%) ou les agents (59%). Autre fait problématique : les pratiques de recensement s’affaissent sensiblement dès lors qu’il n’existe pas de lien juridique ou transactionnel avec l’entreprise, à l’instar des agents publics délivrant des autorisations ou des titres (22%), des syndicats (26%) ou encore des lobbyistes (31,5%).

Gérer une multiplicité de tiers

Parmi les bonnes pratiques identifiées, de nombreuses entreprises recommandent d’élaborer deux procédures distinctes pour le « stock » de tiers existants, et le « flux » de nouveaux tiers. Cette pratique peut notamment être utile pour les entreprises qui n’étaient pas encore assujetties au moment de l’adoption de la loi Sapin II, et qui doivent désormais évaluer leurs tiers historiques. Elle permet également d’actualiser la liste des tiers, en « désactivant » facilement les anciens tiers après un délai d’inactivité.

90% des entreprises regroupent leurs tiers en groupes homogènes de profils comparables, déterminés soit selon les scénarios de risque établis par la cartographie des risques, soit selon une liste de critères prédéfinis. Les critères de risque les plus retenus sont le risque pays et le secteur d’activité, suivis par le volume d’affaires et la nature des opérations. La plupart des entreprises valident l’efficacité de cette approche, mais soulignent que cette pondération peut s’avérer problématique si elle occulte les spécificités de certains tiers, qui cumulent parfois  plusieurs profils de risque (par exemple : secteur d’activité à risque et relations avec des personnalités politiquement exposées ou « PEP ») ou dont la situation évolue dans le temps. 9 entreprises sur 10 rapportent que ce niveau de risque, défini en amont plutôt qu’au cas par cas, détermine ensuite les informations individuelles qu’elles collectent sur chaque tiers… Cependant, en pratique, la majorité semble collecter les mêmes informations quel que soit le profil de risque du tiers.

La collecte d’informations

Les informations les plus recueillies sont celles recommandées par l’AFA et les plus aisément accessibles, comme des détails sur l’identité du tiers (nom, raison sociale, forme juridique, etc.) ainsi que sa présence sur des listes de sanctions nationales ou internationales. D’autres informations pourtant essentielles comme l’existence de liens avec des PEP, la localisation du compte bancaire ou l’existence d’un dispositif anticorruption sont recueillies par seulement 50 à 70% des entreprises interrogées. Globalement, les sources d’information les plus utilisées sont les sources ouvertes et les questionnaires internes (à destination des équipes concernées)et externes (à destination du tiers). Par ailleurs, près de la moitié déclare avoir recours à des enquêtes externes,menées par des experts en conformité anticorruption et évaluation de tiers, pour effectuer ces due diligences sur certains partenaires ciblés.

En revanche, les entreprises ont plus rarement recours à d’autres sources, comme les entretiens (33%) ou les inspections sur site (15%). Cette limitation des moyens utilisés pour approfondir l’enquête explique les lacunes généralisées dans la collecte de certaines informations susceptibles de générer des « red flags », comme l’historique des incidents, les références professionnelles et le comportement du tiers, ainsi que les facteurs de risque plus difficiles à évaluer, tels que les modalités de rémunération, le degré de dépendance économique et la pression concurrentielle.

Au total, 70% indiquent rencontrer des difficultés à obtenir les informations nécessaires, notamment pour les tiers de petite taille, ceux qui ne sont pas répertoriés dans des bases de données ouvertes, les tiers publics… Ou encore ceux qui ne coopèrent pas. Au-delà de l’accès aux données, leur traitement et leur vérification posent aussi parfois problème, notamment en raison de leur qualité variable ou de la volumétrie à traiter. Sur ce problème, les principales bonnes pratiques partagées sont la centralisation et le croisement de données issues de différents SI.

Apprécier le niveau de risque

Suite à la collecte d’informations pour évaluer le niveau de risque de corruption présenté par un tiers, deux entreprises sur trois déclarent utiliser d’abord une solution digitale pour effectuer une première analyse basée sur la pondération de plusieurs facteurs de risque, avant de procéder à une analyse humaine pour ajuster cette évaluation initiale.

Le renouvellement et à la mise à jour de ces évaluations ne sont généralement pas automatiques, mais plutôt déterminés par la durée de vie du contrat avec le tiers, notamment sa date de renouvellement. Néanmoins, un tiers des entreprises prévoit une mise à jour plus fréquente si l’évaluation initiale du tiers a fait ressortir un risque de corruption élevé. Seulement 16,7% effectuent une revue annuelle de leurs tiers, et 6% maintiennent une surveillance en continu pour les tiers les plus risqués.

Les suites à donner et mesures de vigilance

La quasi-totalité des entreprises a mis en place des mesures de vigilance à l’égard de ses tiers, quel que soit leur niveau de risque. Ces mesures sont d’abord contractuelles : 100% incluent une clause anti-corruption dans leurs contrats, 80% une clause de conformité, 70% une clause d’audit et 65% une clause encadrant les conflits d’intérêts. En revanche, les clauses de sous-traitance sont plus rares (57%), ainsi celles liées aux cadeaux et invitations (47%) et à l’externalisation (25%).

Les mesures de vigilance incluent également la sensibilisation et la formation des salariés concernés (82%), mais plus rarement celle des tiers (34,7%). En revanche, la communication sur le dispositif de conformité auprès du tiers s’est généralisée.

Plus de 70% des entreprises ont recours à des mesures structurelles comme les contrôles internes, notamment les contrôles comptables, les contrôles sur les cadeaux et invitations, et les notes de frais. Environ 61% effectuent des contrôles internes sur les conflits d’intérêts. Les contrôles sont moins fréquents, cependant, sur des éléments plus difficiles à identifier, comme les représentants d’intérêts (37%).

Enfin, plus de 65% des entreprises ont recours à des missions ponctuelles d’audit.

La généralisation de ces « garde-fous », imposés à tous les tiers sans distinction de niveau de risque, reflète bien l’approche structurelle de la loi Sapin 2 et son intégration dans la culture d’entreprise en France. Cependant, cette prévention structurelle ne peut être efficace sans l’approche complémentaire de l’évaluation des tiers, qui permet justement « d’apprécier les situations individuelles, ce que ne permet pas la cartographie des risques ». L’AFA met ainsi en garde contre la tentation d’appliquer les diligences d’intégrité de manière trop uniforme : une stratégie de contrôle efficace repose sur l’identification des risques spécifiques à chaque tiers, une collecte d’informations approfondie et un suivi régulier de leur évolution.

Sources

Skan1 a été fondée sur une idée forte : démocratiser l’accès à l’évaluation des tiers en relation d’affaires, en particulier sur le sujet de l’intégrité et l’éthique.

Nous proposons aux PME et ETI comme aux Banques, Grands Groupes ou encore fonds d’investissement, de pouvoir commander rapidement et facilement une due diligence simple, renforcée ou approfondie sur un tiers de leur choix.

Nous vous conseillons aussi

Mots clés

Avertissement

Le contenu de cette publication n’est fourni qu’à titre de référence. Il est à jour à la date de publication. Ce contenu ne constitue pas un avis juridique et ne doit pas être considéré comme tel. Vous devriez toujours obtenir des conseils juridiques au sujet de votre situation particulière avant de prendre toute mesure fondée sur la présente publication.