Contexte : le risque de double condamnation

Les entreprises françaises de grande taille sont soumises à deux régimes de compliance distincts mais complémentaires : la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (dite « Sapin II ») et la loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre.

Ces deux régimes présentent des exigences similaires en matière de cartographie des risques, d'évaluation des tiers et de dispositifs d'alerte. Une coordination efficace de ces obligations permet non seulement d'optimiser les ressources mais aussi de renforcer l'effectivité des dispositifs de prévention.

La loi sur le devoir de vigilance : rappel des obligations

La loi sur le devoir de vigilance impose aux entreprises de plus de 5 000 salariés en France (ou 10 000 dans le monde) d'établir et de mettre en œuvre un plan de vigilance. Ce plan doit comporter :

• Une cartographie des risques d'atteintes graves aux droits humains et aux libertés fondamentales, à la santé et à la sécurité des personnes, et à l'environnement
• Des procédures d'évaluation régulière de la situation des filiales, sous-traitants et fournisseurs
• Des actions adaptées d'atténuation des risques ou de prévention des atteintes graves
• Un mécanisme d'alerte et de recueil des signalements
• Un dispositif de suivi des mesures mises en œuvre et d'évaluation de leur efficacité

L'articulation avec la loi Sapin II

Les entreprises assujetties à la loi Sapin II doivent mettre en place un dispositif anticorruption comprenant huit mesures, dont plusieurs présentent des similitudes avec les exigences du devoir de vigilance :

• La cartographie des risques de corruption
• L'évaluation des tiers (clients, fournisseurs, intermédiaires)
• Le dispositif d'alerte interne
• Les actions de formation
• Le régime disciplinaire

Conseils pratiques pour une coordination efficace

Cartographie des risques coordonnée

Il est recommandé d'élaborer une cartographie des risques unique ou coordonnée intégrant à la fois les risques de corruption et les risques couverts par le devoir de vigilance. Cette approche présente plusieurs avantages :

• Cohérence méthodologique dans l'identification et l'évaluation des risques
• Vision globale des risques de l'entreprise
• Optimisation des ressources dédiées à la cartographie
• Facilitation du reporting aux organes de gouvernance

Évaluation des tiers harmonisée

Les procédures d'évaluation des tiers peuvent être mutualisées pour couvrir à la fois les risques de corruption et les risques liés aux droits humains et à l'environnement. Le questionnaire d'évaluation peut intégrer des questions relatives aux deux domaines, permettant une analyse globale de l'intégrité et de la responsabilité des partenaires commerciaux.

Dispositif d'alerte unique

La mise en place d'un dispositif d'alerte unique, couvrant à la fois les signalements relatifs à la corruption et ceux relatifs aux atteintes aux droits humains ou à l'environnement, présente de nombreux avantages :

• Simplicité d'utilisation pour les collaborateurs et les tiers
• Centralisation du traitement des alertes
• Cohérence des procédures d'investigation
• Conformité avec les exigences de la directive européenne sur les lanceurs d'alerte

Actions d'atténuation coordonnées

Les actions d'atténuation des risques identifiés doivent être coordonnées entre les deux régimes. Une action portant sur un fournisseur à risque peut ainsi couvrir à la fois les préoccupations anticorruption et les préoccupations en matière de droits humains ou d'environnement.

Suivi et évaluation intégrés

Le dispositif de suivi et d'évaluation de l'efficacité des mesures doit être conçu de manière intégrée, permettant de mesurer les progrès réalisés dans les deux domaines et d'identifier les synergies possibles.

Perspectives d'évolution

La proposition de loi Sapin 3 et la directive européenne sur le devoir de vigilance (Corporate Sustainability Due Diligence Directive) devraient conduire à une convergence accrue des deux régimes. Les entreprises ont tout intérêt à anticiper cette évolution en adoptant dès maintenant une approche intégrée de leurs obligations de compliance.