Loi "Sapin 2" et Compliance : des réalisations, mais encore du chemin à parcourir…

S’il y a bien un sujet qui agite beaucoup les directions juridiques ces derniers temps, c’est la loi Sapin 2 du 9 décembre 2016, qui impose de nouvelles obligations en matière d’éthique, de compliance et de lutte contre la corruption. Mais les entreprises sont-elles prêtes ? Ont-elles mis en place les processus nécessaires au respect de la loi ? C’est l’objet de l’enquête menée par l’AFJE et ethicorp.org durant le premier semestre 2017 auprès de 7.500 juristes d’entreprise.

Des outils de compliance encore insuffisants dans les entreprises.

La loi Sapin vise d’abord les entreprises de plus de 500 salariés et de plus de 100 millions d’euros de chiffre d’affaires, auxquelles elle impose de mettre en place un système complet de compliance à travers le respect de 8 sortes d’obligations (cartographie des risques, un code de conduite, un dispositif d’alerte…).
Au moment de l’enquête, 63% des entreprises dispose d’un système de compliance avec comme attentes principales :
-  Prévenir les risques de manquements ou infractions (95%)
-  Eviter des poursuites ou contentieux (86%)
-  Protéger ou renforcer l’image de l’entreprise (85%)
-  Améliorer les process dans l’entreprise (49%)
-  Améliorer la gestion de l’information dans l’entreprise (35%)
-  Fluidifier les relations internes et externes (24%)
-  Assurer le bien-être des équipes (19%) …

On distingue donc 3 grandes priorités (les 3 premières) dans la mise en place d’un tel système, puis les chiffres chutent sur les autres attentes. Pourtant, comme l’a souligné William Feugère, Avocat et Président d’ethicorp.org « ce sont les plus intéressantes une fois qu’un programme de compliance est en place ».

69% ont mis en place une charte éthique mais seules 36% pensent qu’une mise à jour est nécessaire.

61 % ont établi une cartographie des risques qui couvre les risques liés aux fournisseurs (90,8%, aux clients (86,2%) aux salariés (73,7%), aux intermédiaires (71,7%), aux nouvelles technologies (59,9%) … Parmi ces d’entreprises, 61% sont visées par l’obligation de la loi Sapin 2, ce qui signifie qu’il reste encore un certain nombre qui ne se conforme pas à la loi. Or, une cartographie des risques nécessite du temps et mobilise des ressources humaines (Voir nos articles sur la cartographie : Directions juridiques : comment concevoir votre cartographie des risques juridiques et Directions juridiques : comment utiliser votre cartographie des risques juridiques ?). Si ces chiffres peuvent sembler surprenants, ceux concernant sa mise à jour le sont d’autant plus. Seules 13% mettent leur cartographie à jour tous les 6 mois, contre 50% tous les ans, 15% tous les 2 ans, 7 % tous les 5 ans… Pourtant, toutes évoluent dans le même environnement à risques.

Plus de la moitié des entreprises n’ont pas encore de système de lanceur d’alertes.

Alors que la loi Sapin 2 impose aux entreprises de plus de 50 salariés de mettre en place à compter du 1er janvier 2018 un système d’alerte, avec comme condition impérative la confidentialité absolue, 56 % des répondants ont déclaré qu’il était inexistant au sein de leur entreprise.

Or, selon l’étude de 2016 précitée, le signalement est le moyen de détection le plus efficace (40,9%) suivi de loin par l’audit interne (16,4%). 51,5% des lanceurs d’alerte sont des salariés, 17,8% des clients et 14 % des anonymes…

Dans 80% des entreprises le système d’alerte a été mis en place au niveau du groupe.
Les principales attentes des juristes sont :
- Protéger ou renforcer l’image de l’entreprise (78,67%),
- Fluidifier les relations internes et externes (77,73%),
- Améliorer la productivité de l’entreprise (72,99%),
- Réduire les risques pour l’entreprise (62,09),
- Confidentialité pour l’entreprise (53,08%).

L’alerte est traitée en majorité par le responsable compliance (43%), le responsable juridique arrivant en 4ème position à égalité avec le responsable éthique ou déontologie (tous deux à 20,3%).

Autre information intéressante mettant en lumière un manque de confiance dans l’utilisation d’un tel système (70,5%) : le nombre d’alertes reçues par an. 74% répondent entre 0 et 10, 17% entre 11 et 50 sachant que la majorité porte sur des questions simples de compliance et non sur des risques de manquements ou infractions. Or, la loi vise tout crime ou délit sans distinction, toute violation grave ou manifeste de la loi ou du règlement ou une menace ou un préjudice graves pour l’intérêt général. Et dans les entreprises où il y a entre 0 et 10 alertes par an, « le système n’a aucun intérêt  » commente William Feugère.

Rappelons que beaucoup d’entreprises étaient en cours de réflexion ou dans l’attente des recommandations de l’AFA (Agence Française Anti-corruption) au moment de l’enquête. Aujourd’hui, les résultats seraient certainement différents mais il reste encore des progrès à accomplir. Si la confidentialité absolue est l’élément clé d’un système d’alerte utile et efficace pour l’entreprise, c’est la cohérence du dispositif de compliance qui en fera un véritable outil positif de croissance. La loi Sapin 2 est « une opportunité pour les juristes d’entreprise et une façon de changer la culture de la déontologie dans l’entreprise » affirme Stéphanie Fougou, Présidente de l’AFJE.
C’est donc à eux de transformer la mise en place des processus imposés par la loi en vraie valeur ajoutée pour l’entreprise et de ne pas le vivre uniquement comme une sanction.

Téléchargez les résultats complets de l’enquête ici.

Laurine Tavitian.

Article initialement publié sur Le Village de la Justice.

Rédaction du site des Experts de l’entreprise.