Loi Sapin 2 Evaluation des tiers : comment mettre en œuvre une démarche raisonnée ?

Evaluation des tiers : comment mettre en œuvre une démarche raisonnée ?
Loi Sapin 2 Evaluation des tiers : comment mettre en œuvre une démarche raisonnée ?

Des huit mesures de la loi « Sapin 2 » (article 17 de la loi n° 2016-1691 du 9 décembre 2016), l’évaluation des tiers est sans doute celle qui impacte le plus en profondeur les processus opérationnels des entreprises assujetties. Plus de 3 ans après la parution des textes, nous constatons encore des interrogations persistantes des entreprises et ce, malgré la multitude de points de vue d’ores et déjà publiés sur le sujet.

L’évaluation des tiers au sens de la Loi Sapin 2 : de quoi s’agit-il ?

Tout d’abord, il convient de préciser que cette mesure de la loi Sapin 2 revêt une importance vitale car les actes de corruption s’effectuent très souvent au travers d’intermédiaires ou de tiers de différentes natures (ex : agent commercial ou apporteur d’affaires, donation à une fondation, etc.)

Cette mesure préventive d’évaluation des tiers prend ainsi tout son sens avant l’entrée en relation : comment détecter des signaux faibles ou « red flags » quand à la nature de la relation d’affaire ?

La loi et les recommandations de l’Agence Française Anticorruption (« AFA ») encouragent ainsi les entreprises à mettre en œuvre des évaluations proportionnées permettant de recueillir des informations et des documents sur un tiers afin d’apprécier les risques de corruption auquel s’expose l’entreprise en contractualisant avec ce dernier.

Il s’agit donc de définir des natures de vérifications et de diligences pertinentes et adaptées afin de détecter ces risques de corruption en gardant en tête que ces évaluations doivent être effectuées au travers du prisme du risque de corruption. Ce risque de corruption reste en effet spécifique bien que proche d’autres sujets de conformité tels que le risque de blanchiment de capitaux ou bien le risque de violation de régimes de sanctions économiques.

Une démarche intégrée ne signifie pas uniformisée

Le plus souvent, les entreprises qui nous consultent possèdent d’ores et déjà des processus d’évaluation de leurs fournisseurs sur certains critères (on citera par exemple la qualité des produits, la solidité financière, la continuité d’activité, voire le contrôle interne – ISAE 2402).

Néanmoins, comme pour les piliers de la cartographie des risques ou bien des contrôles comptables, rares sont celles qui possèdent une procédure d’évaluation complète et formalisée au regard du risque spécifique de corruption en tant que tel (à l’exception de certaines entreprises opérant sur des secteurs sensibles ou ayant déjà engagé des programmes de remédiations suite à des amendes FCPA).

Il s’agit ici d’éviter le premier écueil qui consisterait à superposer de manière hasardeuse un dispositif n’adressant pas les véritables problématiques posées par l’évaluation des tiers vis-à-vis du risque de corruption.

Ainsi, il n’est pas rare de constater que nombres d’entreprises considèrent avoir achevé l’exercice avec le déploiement d’une solution externe (base de données) de consultation des listes de sanctions, de vérification de réputation (« Adverse media ») ou d’envoi de questionnaires massifs interrogeant leurs tiers sur leur dispositif de conformité, sans passer par une réflexion plus fine et un exercice de cartographie des catégories de tiers « à risque ».

Cette approche uniforme de type « one size fits all », bien que pratique car souvent facile à expliquer en interne, peut se révéler au mieux inefficace voire contreproductive en terme et de ressource consommées versus les gains estimés.

L’approche par les risques, encore et toujours…

Au-delà de ce postulat, il importe en effet de revenir au risque de corruption en tant que tel, prisme de l’évaluation des tiers au sein de la loi Sapin 2.

Sur la base de la cartographie, et bien que ces éléments demandent à être confirmés à l’aune de la future jurisprudence de l’AFA, il est à notre sens possible de classifier les scénarios de risques en trois catégories afin d’affiner l’exposition à des tiers « à risque » et de concentrer les efforts sur les catégories plus plus critiques:

 
La première, la plus « risquée », concerne les scénarios actifs dans lesquels l’entreprise pourrait solliciter un avantage indu auprès d’une autorité, d’un client, etc. en passant par un tiers jouant le rôle d’« intermédiaire », agissant ou non au nom de l’entreprise.
 
Ces catégories de tiers sont bien entendu les plus « risquées » et doivent à notre sens être identifiées dès l’exercice de cartographie des risques de corruption, au sein des différents scénarios, puis retracés au sein de vos bases de données, majoritairement fournisseurs mais parfois aussi clients (distributeurs) ou autres (JV, consortium, co-actionnaires, dons et mécénats, etc.)
 
La seconde typologie de risques concerne les sollicitations dont peuvent faire l’objet les salariés de l’entreprise, par exemple dans le cadre de leur rôle de donneurs d’ordres vis-à-vis de fournisseurs ou sous-traitants (mais aussi de clients dans certains cas de figure afin d’obtenir des conditions tarifaires plus avantageuses).
 
Ce risque de deuxième espèce sera à notre sens plus difficile à traiter via l’évaluation des tiers (comment prévenir et détecter un comportement individuel via l’évaluation d’une organisation ?).
 
Enfin, il existe un troisième type de risque, encore plus complexe à traiter ; celui d’entrer en relation d’affaire avec un tiers ayant des pratiques corruptives indépendamment de la dite relation d’affaire.
 
Pour cette troisième et dernière catégorie, le champ des tiers peut se révéler encore plus ambitieux à traiter (notamment lorsque le programme de l’entreprise peut impacter ses relations clients)

 

Bien que cette hiérarchie de risques (et de tiers associés) ne soit pas explicitement reconnue par l’AFA, on notera que cette dernière invite les organisations, au sein de ses recommandations, à agir « en priorité sur ceux identifiés dans la cartographie des risques comme présentant un risque de corruption ». On suivra donc avec attention la jurisprudence qui sera issue des conclusions des premiers contrôles et le cas échéant, des saisines de la commission des sanctions.

Des natures et des niveaux de diligences basés sur les risques

Une fois cette cartographie des tiers effectuée au regard du risque de corruption, il est à notre sens possible de pondérer ces premiers critères par d’autres éléments tels que le pays de résidence du tiers, son secteur d’activité, etc. Cependant, on notera qu’une approche intégrant des seuils de matérialité ou bien des ratios de couverture d’un périmètre de tiers de type « 80/20 » pourrait se révéler particulièrement hasardeuse concernant la première catégorie de tiers.

C’est sur la base de cette classification « inhérente » du profil de tiers que les entreprises peuvent décliner des niveaux et des techniques différenciées de diligences et vérifications, et ce, avant l’entrée en relation d’affaires.

Ainsi, le recours à une base de données pour évaluer l’ensemble des tiers d’une entreprise sur le risque d’exposition à des programmes de « sanctions économiques » (OFAC, ONU, UE, etc.) peut s’avérer un outil indispensable en tant que tel, mais sûrement insuffisant pour adresser le risque de corruption concernant la première catégorie de tiers. De même, l’envoi d’un questionnaire pour interroger un intermédiaire sur la complétude de son programme anticorruption ne sera sans doute pas l’outil le plus efficace dans l’optique de l’évaliation des tiers.

On peut ainsi schématiser de manière suivante les natures de « diligences » qu’il pourrait être utile de mettre en œuvre en fonction des différentes catégories de risques.

CORRUPTION ACTIVE D’UN CLIENT, D’UNE AUTORITE, D’UN FOURNISSEUR, ETC.

Information Interne à collercter auprès du « TPO » (Third Party Owner ):

  • Recommandation du tiers par un client / une autorité ?
  • Interaction connue (familiale ?) avec un client / une autorité publique ?
  • Expérience pour le service à effectuer ?
  • Schéma de rémunération ?​
  • Cohérence compte bancaire / paradis fiscal ?

Questionnaire externe à adresser au tiers:​

  • Information sur les UBOs – Ultimate Benefical Owners
  • Existence de PEPs – Politically Exposed People

Base de donnée spécialisée - Information pertinente à vérifier:

  • Recherche d’UBOs (en complément des questionnaires)
  • Existence de PEPs (en complément des questionnaires)
  • Liste de sanctions (sur l’entreprise et les individus identifiés supra)
  • Adverse Media et Condamnations

Investigation approfondie – sur site

Complétés par la mise en œuvre de diligences spécifiques en cas d’appels d’offres publics, de projet en Joint-Venture ou de projets de Fusions & Acquisitions.

 
RISQUE MAJEUR,
FORTE EFFICACITE DE LA MESURE

CORRUPTION PASSIVE D’UN DE VOS SALARIE PAR UN TIERS (CLIENT, FOURNISSEUR, ETC.)

Information Interne à collecter auprès du « TPO »:

  • Critères de choix,
  • Historique de relation,
  • Refus d’adhérer à certaines clauses ou code de conduite fournisseurs

Questionnaire externe à adresser au tiers:

  • Existence de programme anticorruption
  • Formation
  • Code de conduite fournisseurs et Politiques cadeaux

Base de donnée spécialisée - Information pertinente à vérifier:

  • Adverse Media
  • Condamnations
  • Indirectement, présence sur liste de Sanctions
 
RISQUE INTERMEDIAIRE,
FAIBLE EFFICACITE DE LA MESURE

CORRUPTION EFFECTUEE PAR UN TIERS (CLIENT, FOURNISSEUR, ETC.) INDEPENDAMMENT DE VOS OPERATIONS

Questionnaire externe à adresser au tiers:

  • Existence de programme anticorruption
  • Formation
  • Code de conduite fournisseurs et Politiques cadeaux

Base de donnée spécialisée - Information pertinente à vérifier:

  • Adverse Media
  • Condamnations
  • Indirectement, présence sur liste de Sanctions
 
RISQUE <<AMBITIEUX>> A TRAITER, EFFICACITE MODEREE DE LA MESURE

Ce schéma simplifié devra bien entendu être adapté à chaque entreprise selon son profil de risques, mais on y constatera, parfois avec bonheur, que les questions les simples trouvent souvent leur réponse au sein même de l’organisation, auprès de « Third-Party Owners » et ce, même pour les cas les plus risqués. Ceci pourra simplifier grandement les processus mis en place par une Direction de la Conformité et les moyens associés.

En synthèse, il nous semble que les natures d’outils à disposition des Directions de la Conformité se doivent d’être utilisées à bon escient. Les entreprises (hors secteurs régulées) pourront difficilement mettre en œuvre des recherches systématiques de bénéficiaires effectifs (UBOs) et de personnes politiquement exposées (PEPs) sur l’ensemble de leurs tiers, bien que cette information puisse se révéler essentielle dans la détection du risque de corruption. De même, l’absence d’élément de presse négative (« adverse média ») concernant une entreprise ne donnera pas de garantie sur le comportement d’un de ses collaborateurs en contact avec vos services achats (et réciproquement).

Au-delà des considérations méthodologiques, les défis de la mise en pratique

Pour les entreprises ayant passé avec succès le premier défi de la conception d’un dispositif robuste et efficace, la question de la mise en pratique peut encore receller quelques sueurs froides.

  • Les entreprises qui ont fait le choix de modèles d’achats décentralisés ou d’une stratégie de croissance externe sans phase d’intégration feront face à un chantier plus complexe. Comment dans ce cadre mettre en œuvre de tels dispositifs d’évaluation des tiers avec des systèmes et processus hétérogènes, décentralisés sans possibilité de contrôle? Un véritable défi attend le Directeur de la Conformité. Il pourra devenir l’allié d’un Directeur des Achats souhaitant profiter de ces nouvelles règlementations pour engager un projet de refonte (ou à minima de lisibilité) de ses achats.
  • L’épreuve ne s’arrête toutefois pas là. Le défi suivant consistera à absorber la question des relations d’affaires historiques et pré-existantes. Comment absorber la charge supplémentaire liée au surcroît d’activitié engendré par la mise à niveau de ces dossiers, au-delà des nouveaux tiers? Sans mentionner l’éventualité, parfois probable, de soulever des sujets qui serait de nature à interrompre des relations d’affaire existantes.
  • Il importe également de garder en mémoire que l’évaluation des tiers ne se limite malheureusement pas à l’entrée en relation. Outre la gestion de la vie de la relation d’affaire et la terminaison de celle-ci, la question de l’actualisation des diligences occupera tôt ou tard l’agenda du Directeur de la Conformité, avec une charge non négligeable.
  • Enfin, comment ne pas évoquer la question du contrôle de second niveau effectué par le Directeur de la Conformité? L’AFA évoque dans ses recommandations que ce dernier doit « accompagner les opérationnels dans l’appréciation des cas les plus risqués ». Cette tâche pourra être réalisée sous réserve d’avoir contourné l’écueil de processus ou de bases décentralisées décrit ci-dessus. Mais le contrôle de second niveau ne saurait se limiter à ce rôle « transactionnel » en continu. Il conviendra de prévoir, au sein du plan de contrôle de second niveau, et y compris pour des systèmes décentralisés, une revue périodique de la classification des tiers, des réponses recuillies lors des différentes phases de diligence pour les cas jugés moins risqués et des décisions prises en matière d’entrée en relation.

Conclusion : l’appel à la mise en œuvre d’une démarche raisonnée

L’objet de ce point de vue n’est en rien de décourager les Directeurs de la Conformité dans la tâche qui les attend.

Il s’agit plutôt d’appeler à la mise en œuvre de démarches raisonnées afin de recentrer les travaux et les approches d’évaluation des tiers sur les catégories réellement​ à risques, notamment pour les entreprises disposant de moyens limités dans un contexte intrinsèque complexe (ex : décentralisation des opérations et des systèmes).

Les défis posés par l’évaluation des tiers sous l’angle corruption sont suffisamment nombreux, sans même aborder les autres critères d’évaluation - devoir de vigilance, données privées, cyber sécurité,…- qui pourraient nécessiter une approche intégrée à 360°. Nous avons d’ailleurs d’ores et déjà publié un point de vue à ce sujet.

Vouloir dans ce cadre adresser tous les tiers avec des approches indifférenciées et uniformes au prix d’une apparente facilité de mise en œuvre se révélera sans doute peu efficace, si ce n’est contre-productif sur le long terme.

Nos consultants peuvent vous accompagner dans cette démarche, contactez-nous.

Contacts

 

Télécharger

 

Ready to work with us?

Bernard Drui
Bernard Drui
Managing Director
+33.1429.64116
Linked
Arnaud-Floquet
Arnaud Floquet
Managing Director
+33.1429.67234
Linked