Évaluation des Tiers : Résultats de l’Enquête de l’Agence Française Anticorruption sur les Risques de Corruption

En septembre 2022, soit près de 5 ans depuis l’entrée en vigueur de la loi Sapin 2, l’AFA publiait son second diagnostic national sur les dispositifs anticorruption dans les entreprises. Parmi les répondants, près de 59 % des entreprises considéraient cette mesure comme la plus difficile à mettre en œuvre. Une mise au point s’imposait donc. Et quoi de mieux que de la penser à partir des premiers concernés afin de mettre en lumière les bonnes pratiques mises en œuvre. Près de deux ans après son diagnostic national, l’AFA se concentre sur le dispositif d’évaluation des tiers à travers son enquête « évaluation des tiers au regard du risque de corruption » publiée le 24 mai dernier.

Au total 414 réponses et au moins 46 % des répondants représentent des entreprises de plus de 500 salariés. Pour rappel, l’article 17 (en vertu duquel l’obligation de mettre en place un dispositif d’évaluation des tiers s’impose) de la loi Sapin 2 s’applique aux entreprises employant au moins 500 salariés, et dont le chiffre d’affaires consolidé est supérieur à 100 millions d’euros. Il est donc intéressant de relever que pour des raisons éthiques, réputationnelles ou de bonne administration, des entreprises sous les seuils fixés par la loi Sapin 2 s’imposent des mesures de maitrise du risque de corruption dans leurs relations avec leurs tiers.

A travers son enquête, l’AFA a abordé l’évaluation des tiers en suivant les étapes de l’animation du dispositif d’évaluation de l’intégrité des tiers.

S’agissant de l’identification des tiers, 2 entreprises sur 3 répertorient tous leurs tiers en utilisant principalement des outils comptables, des outils de gestion de la relation client, des outils juridiques ou des entretiens de cartographie des risques, avant de les associer en fonction de risques similaires. Une tâche qui peut s’avérer complexe et demander un effort considérable, surtout lorsque les tiers fournissent des services très occasionnels et à faible valeur, ou lorsque les entreprises se retrouvent dépassées par le flux d’entrée, de présence et de sortie de tiers dans leurs activités. Pour pallier cela, certaines d’entre elles ont mis en place deux procédures distinctes pour gérer le stock (tiers existants) et le flux (nouveaux tiers).

Plusieurs répondants recommandent de mettre régulièrement à jour cette liste de tiers en fonction de la période d’inactivité et de signaler au service conformité toute inactivité ou l’arrivée d’un nouveau tiers.

Une fois les tiers identifiés, la plupart des répondants indiquent regrouper en masses homogènes les tiers en fonction de risques similaires. En majorité, la composition de ces groupes est basée sur des facteurs de risque prédéfinis et sur les scénarii de risques ciblés dans la cartographie des risques de l’entreprise, comme l’AFA le recommande. En opérant de cette manière, les entreprises assurent une véritable approche par les risques afin de se concentrer sur les tiers les plus risqués et de traiter une volumétrie conséquente.

Le questionnaire se penche également sur les évaluations individuelles des risques liés à la corruption d’un tiers. Pour mémoire, les recommandations de l’AFA prévoient que « l’évaluation de l’intégrité des tiers permet à l’entreprise d’apprécier des situations individuelles, ce que ne permet pas la cartographie des risques. Un tiers, considéré comme appartenant à un groupe peu risqué peut être requalifié en tiers risqué à l’issue de son évaluation individuelle ».

En majorité, les répondants se basent sur les recommandations et guide de l’AFA ainsi que sur des données accessibles grâce à des solutions technologiques pour collecter des informations. En effet, deux répondants sur trois affirment avoir recours à une solution digitale dans un premier temps, en s’appuyant sur des facteurs de risques, avant d’effectuer une analyse humaine. Les entreprises qui utilisent ces solutions pour évaluer les tiers prêtent une attention particulière à la qualité des données obtenues, en examinant leur accessibilité, leur fiabilité ainsi que la sécurité des données, etc. Pour ce faire, elles suggèrent de centraliser les données et de les croiser avec celles provenant de différents serveurs informatiques. D’autres éléments, comme le comportement du tiers, constituent un indice clé pour aider et conforter l’entreprise dans son évaluation : sa participation, la multiplicité des acteurs internes impliqués dans le processus et son implication opérationnelle. Malgré ces efforts, une grande majorité de répondants (70%) rencontrent « des difficultés à obtenir les informations nécessaires pour l’évaluation individuelle ».

Une fois l’évaluation du tiers effectuée, les répondants précisent que le principal critère pour renouveler cette évaluation est lié à la durée de vie du contrat, en particulier à sa fin ou à son renouvellement. L’évolution des risques associés aux tiers arrive en second plan dans les sondages, pour déclencher une nouvelle procédure d’évaluation. Néanmoins, pour les entreprises qui renouvellent périodiquement l’évaluation des tiers, plus de la moitié détermine cette fréquence en fonction du niveau de risque du tiers.

Pour renforcer l’évaluation des tiers, il est crucial d’établir des procédures standardisées et robustes, en adaptant ces procédures en fonction du niveau de risque spécifique à chaque tiers. En parallèle, des programmes de formation continue doivent être dispensés pour les employés impliqués dans la procédure, incluant des modules spécifiques sur les risques de corruption et les meilleures pratiques de due diligence.

Pour assurer une surveillance continue, il est essentiel de mettre en place des mécanismes de suivi constant des tiers. Le recours à des outils technologiques est un soutien non négligeable pour automatiser et optimiser cette surveillance. Investir dans des bases de données et les logiciels de gestion des risques, aide à centraliser et analyser les informations sur les tiers de manière plus efficace.

La quasi-totalité des entreprises met en place des mesures de vigilance visant à protéger leurs intérêts. Ces mesures, exigées par la loi Sapin 2, comprennent principalement l’insertion de clauses anticorruption ou de conformité dans leurs relations contractuelles, des audits, la formation des salariés, des mesures de contrôles internes (contrôles comptables, cadeaux et invitations, notes de frais, etc.). La mise en œuvre de contrôles par échantillonnage, d’audits spécifiques ou bien de généraliser à l’échelle du groupe certaines méthodes doivent être déterminées dans le cadre d’une procédure et d’un plan de contrôle formalisé, et l’évaluation des tiers doit nécessairement faire partie du périmètre de ces contrôles.

Lorsqu’elles sont correctement mises en œuvre, ces mesures permettent aux entreprises de contribuer au bon déploiement d’un dispositif d’évaluation des tiers. En pratique, cependant, les entreprises font face à divers facteurs qui rendent cette mise en œuvre très complexe. Les répondants font état de difficultés liées aux ressources disponibles, au niveau de coordination interne et avec les tiers, à l’implication des équipes opérationnelles, ainsi qu’à la volumétrie des tiers à traiter.

Cette enquête de l’AFA montre que, bien que de nombreuses entreprises françaises aient pris des mesures importantes pour évaluer et gérer les risques de corruption liés à leurs tiers, il reste encore beaucoup à faire pour standardiser et renforcer ces pratiques. L’évaluation des tiers demeure une tâche ardue pour les entreprises, mais elle offre une meilleure compréhension des défis à relever et des perspectives pour renforcer les dispositifs des entreprises françaises. La clef réside dans la mobilisation de ressources financières, techniques et humaines. L’AFA conclut que de nombreuses problématiques soulevées feront l’objet de nouvelles publications, bien que certaines, spécifiques à l’environnement de l’entreprise, ne trouveront pas de solution miracle dans ces futures publications.