Entreprise, Sapin 2 et Compliance
14 septembre 2017
Présentation des résultats de l’enquête nationale AFJE/ethicorp.org
Intervenant dans le cadre de la lutte internationale contre la corruption, la loi Sapin 2 oblige depuis le 1er juin 2017, les entreprises ou groupes de plus de 500 salariés et 100 millions de chiffre d’affaires à mettre en place des systèmes structurés de compliance : code d’éthique, systèmes d’alertes, cartographie des risques,… sous le contrôle de la nouvelle Agence Française Anticorruption.
À compter du 1er janvier 2018, ce sont toutes les entreprises de plus de 50 salariés qui devront mettre en place un système d’alerte, garantissant la confidentialité du lanceur d’alerte, de la personne éventuellement visée et des informations objets de l’alerte (article 8).
Comment les entreprises perçoivent-elles ces règles de compliance ? Sont-elles prêtes ?
L’AFJE et ethicorp.org ont précisément organisé une grande enquête nationale auprès de plus de 7.500 juristes d’entreprise, établissant pour la première fois un véritable observatoire de la prévention des risques, dressant un état des lieux complet sur les codes d’éthique, la cartographie des risques, les systèmes d’alertes et, de manière générale, la perception et l’organisation de la compliance.
Synthèse
- État des lieux sur la compliance
Une très large majorité de juristes ayant répondu appartiennent à une entreprise ayant mis en place une charte éthique (69%) ou une cartographie des risques (61%). Les systèmes d’alertes sont en revanche bien moins fréquents (seulement 44%). Plus du tiers (36%) des juristes considère que la charte éthique devrait être révisée. Les cartographies des risques sont actualisées plus régulièrement (tous les ans pour plus de 59%), même si dans certaines entreprises cela va jusqu’à deux ans (18%) voire 5 ans (8%). La révision est également annuelle pour les processus comptables et financiers (47%), pour les processus commerciaux (38%) ou l’évaluation des pratiques en matière de ressources humaines (35%).
- Attentes des juristes sur les systèmes de compliance
En tête : la prévention des risques de manquements ou d’infractions (95%), le fait d’éviter des contentieux ou poursuites (86%) et la protection ou le renforcement de l’image de l’entreprise (84%). Ensuite, des effets fondamentaux de la compliance, comme l’amélioration de la gestion de l’information (34%) ou l’amélioration des processus comptables ou commerciaux (49). Rares sont les juristes qui y voient un moyen d’améliorer le bien-être des équipes (19%) ou la productivité (17%) alors que des systèmes de compliance efficaces peuvent pourtant avoir ces vertus.
- Risques auxquels les entreprises sont confrontées
Les risques qui préoccupent le plus les juristes sont en premier lieu, les questions de protection des données personnelles (53%) et les intrusions informatiques (51%).
Les risques auxquels l’entreprise a été effectivement confrontée sont également en majorité les questions de protection des données personnelles (51%) et les intrusions informatiques (43%). S’y ajoutent la procédure collective d’un client est un risque important (47%) et les « fraudes au président » (45%).
- Enjeux stratégiques des systèmes d’alertes
Les systèmes d’alertes sont au coeur de l’efficacité de la prévention des risques. Adoptés par 44% seulement des entreprises sondées, ont été mis en place à 80% au niveau du groupe. 20% des entreprises ont un système distinct, peut-être plus adapté au droit local. Les systèmes sont ouverts aux salariés (100%), parfois aux clients (23,9%), aux prestataires externes (23,9%), aux fournisseurs (22,7%), voire aux ONG (12,5%).
Pour les entreprises qui en sont dépourvues, le premier objectif d’un système d’alerte est la réduction des risques (76%), suivi de la protection du lanceur d’alertes (73%) et la confidentialité pour l’entreprise (71%), puis l’opportunité d’identifier et traiter les risques de manière proactive (65%) et protéger ou renforcer l’image de l’entreprise (60%).
Pour les entreprises bénéficiant d’un système d’alerte, la protection du lanceur d’alertes passe largement en tête (83,5%) puis la proactivité (81%), la confidentialité pour l’entreprise (74,7%), et ensuite la protection de l’image (65,9%) et la réduction des risques (64,8%).
Ces chiffres sont à comparer avec les limites des systèmes d’alertes en place identifiées dans l’enquête : le manque de confiance dans le suivi réel (71%) et la peur de rétorsions contre le lanceur d’alertes (52%). Il faut y ajouter le manque d’information sur le système, écueil fréquent empêchant l’utilisation du système.
De fait, la conscience des besoins en matière de confidentialité et de confiance est évidente et correspond en effet à un élément fondamental d’un système d’alerte efficace. Rappelons que la loi Sapin exige la protection de la confidentialité du lanceur d’alerte, de l’information objet de l’alerte et de la personne visée, sous peine d’un délit puni de deux ans de détention et 30.000 € d'amende (150.000 euros pour les personnes morales). Or les systèmes le plus souvent en place présentent justement des risques élevés de violation de confidentialité et de diffusion des faits dénoncés. Ils ne sont donc pas conformes aux exigences de la loi Sapin 2. Il s’agit en effet d’emails internes (37,77%), hautement volatils et diffusables, de numéros de téléphone (30,32%), voire de boites aux lettres (6,38%)… Ces systèmes inquiètent et rebutent les lanceurs d’alertes, et ce manque de confiance les incite à se taire donc à laisser l’entreprise dans l’ignorance et l’exposer à des poursuites et atteintes à son image qu’elle n’aura pu anticiper ou éviter.
- La compliance outil d’économies et de croissance
Les juristes ont une vive conscience de l’utilité des outils de compliance et notamment des systèmes d’alertes. Le coût moyen d’un litige, estimé par les sondés, est de 286.000 euros (comprenant la mobilisation des équipes internes, les frais de procédure, et l’éventuelle condamnation). La mise en place d’un système efficace détectant les difficultés en amont est un moyen fondamental d’économies autant que de prévention.
- Conclusion
La loi Sapin 2 peut, au-delà des contraintes qu’elle semble ajouter, devenir une valeur ajoutée pour l’entreprise. Mais les entreprises françaises ont un important travail à réaliser pour être en phase avec la nouvelle réglementation. Bien conçus, les outils de compliance, et notamment les systèmes d’alerte qui en sont le système nerveux central, puisqu’ils permettent le transfert d’information, sont une force pour l’entreprise. Ils peuvent diminuer les risques, favoriser le bien-être des équipes, augmenter la productivité.