Analyse│Les enjeux informationnels de Sapin II : vers une compliance 2.0

[socialpug_share]

Pierre MemheldDirecteur Général de Global Risk Profile France, Responsable du Master Intelligence Economique et Gestion du Développement International à l’Université de Strasbourg

La loi Sapin II sur l’anti-corruption oblige désormais les entreprises à vérifier l’intégrité de leurs tierces parties : clients, fournisseurs, sous-traitants, partenaires commerciaux. Une telle contrainte va les amener à systématiser leurs démarches de renseignement économique. Pierre Memheld, expert dans le domaine de la due diligence, nous éclaire sur les enjeux de cette compliance 2.0.

La France a mis en œuvre dans le cadre de la loi Sapin II, l’un des dispositifs anti-corruption les plus ambitieux au monde. Cette loi crée l’obligation, pour toutes les entreprises faisant plus de 100 millions d’euros de chiffre d’affaires et ayant au moins 500 salariés, de mettre en place des procédures anti-corruption impliquant le développement d’un système d’information interne et externe. Parmi les huit piliers du dispositif figure notamment l’obligation pour l’entreprise de vérifier l’intégrité des tierces parties – clients, fournisseurs, sous-traitants, partenaires commerciaux – avec lesquelles elle traite. L’entreprise doit être en mesure de démontrer qu’elle a accompli, en amont de la relation commerciale, toutes les démarches d’évaluation du risque de corruption lié à ces tierces parties.

Cette obligation est lourde de conséquences du point de vue de la gestion et de la structuration de la data « conformité » au sein des entreprises. Elle va en effet contraindre les acteurs économiques à mettre en œuvre de véritables bases de données anticorruption en interne et à déployer des systèmes de veille et d’investigation de leur information commerciale. Comment les entreprises peuvent-elles gérer cette nouvelle donne ?

huit piliers loi sapin 2
Crédit : © GORON

Les enjeux informationnels de la compliance

L’intelligence économique – comme outil de management de l’information et de coordination des actions – peut servir dans ce cadre, en l’appliquant à l’activité spécifique d’évaluation des risques définis par la loi. Elle a en effet un rôle stratégique du fait de sa connaissance approfondie des compétences internes et des risques éventuels ou encore du jeu des acteurs de l’environnement concurrentiel. Le principal défi qui se pose au management de l’information de et par l’entreprise est celui de la distribution des tâches entre ce qui peut (et doit) être effectué en interne et les missions annexes externalisables. En effet, si la veille juridique ou certaines investigations peuvent être externalisées, il n’en va pas de même pour l’interface avec les fonctions opérationnelles ou financières, ou encore la préservation de la confidentialité des objectifs stratégiques ou technologiques de l’entreprise. D’autres fonctions, nécessairement liées à la conformité, sont externalisées comme la certification des comptes ou la formation continue des personnels. L’analyse et la cartographie des risques de corruption, qui constituent la pierre angulaire de Sapin II, représentent le préalable à la délimitation du périmètre informationnel du système de veille et à la répartition de ses acteurs, internes et externes.

Le principal défi qui se pose au management de l’information de et par l’entreprise est celui de la distribution des tâches entre ce qui peut (et doit) être effectué en interne et les missions annexes externalisables.

S’il est facile d’identifier un concurrent, un groupe criminel est lui, moins visible. D’autant que les groupes criminels plus organisés investissent souvent dans des affaires légales, voire dans le lobbying politique à haut niveau. L’entreprise doit donc être capable d’anticiper et d’appréhender les évolutions de l’environnement. Cette anticipation, de nature stratégique, passe l’acquisition de méthodes d’analyse et le déploiement d’un système de veille interne à l’entreprise.

Le risk management étant par nature transverse et pluridisciplinaire, c’est en combinant ces différentes approches que l’entreprise peut construire une grille d’évaluation qui lui est propre et qui prend en compte les problématiques propres à son secteur et à ses pays d’activité (notamment les lois et régimes applicables dans le domaine anticorruption), les analyses et l’historique des risques disponibles. Enfin un management de l’information n’est efficace que si le système de veille repose sur un cross-checking systématique et actualisé des sources d’information.

Les rapports d’investigations (due diligence)

Trouver de l’information n’est plus aujourd’hui un défi mais un problème compte tenu de la masse d’informations à traiter. Si les « masses de données » (big data), la cartographie relationnelle ou encore les outils de veille nous aident à exploiter l’information collectée, ils ne nous aident pas à l’analyser. Dans le cas particulier des due diligence – concept anglo-saxon qui désigne l’ensemble des procédures de vérification – il s’agit d’agréger dans un document synthétique correspondant aux exigences informatives de la loi et aux standards ISO internationaux, l’ensemble des informations pouvant constituer un risque pour l’entreprise concernée. L’ensemble des tierces parties contractuelles sont concernées : fournisseurs, prestataires, intermédiaires, partenaires, investisseurs mais aussi clients !

Une due diligence peut être faite dans le cadre d’un investissement, comme une fusion/acquisition, ou d’un partenariat, pour évaluer la santé financière et les capacités industrielles d’une entreprise. Mais il s’agit ici d’évaluer les risques de tous les co-contractants : peut-on remettre en question la réputation d’un client ? Oui si l’on considère certains cas récents. D’autant que la majeure partie des sollicitations de corruption ont pour origines les autorités et clients publics, en particulier dans le cadre des appels d’offres. Les éléments à identifier sont donc : le risque pays, l’existence de dossiers juridiques et de la réputation de la tierce partie.

Les éléments à identifier sont donc : le risque pays, l’existence de dossiers juridiques et de la réputation de la tierce partie.

A partir d’une requête, la procédure à suivre est relativement « simple » : recherches sur les sources ouvertes (l’internet « de surface » et le « deep web » comme les bases de données payantes), les sources officielles et spécialisées (registres du commerce, décisions de justice, listes de sanctions). Il faut évidemment vérifier toutes les informations, les rapports pouvant être utilisés en justice : homonymies, incohérences, plausibilité (seules les informations vérifiées étant intégrées).

Selon les cas, l’entreprise peut vouloir utiliser une méthode d’analyse du risque – chacune ayant sa propre grille ou utilisant une méthode générique (Heat Map, COSO, ISO 37001) – ou au contraire exploiter l’information brute (un article négatif sur la réputation ou une décision de justice ancienne peuvent suffire à impacter la relation contractuelle).

Cette évaluation doit être objective. Comme pour le processus d’alerte interne décrit par la loi, le risque est que le dirigeant commanditaire de l’évaluation soit lui-même impliqué dans un processus visant à corrompre. Ce scénario n’est pas fréquent mais pose la question du « juge et partie ». L’information permettant de prendre une décision, investir dans tel pays avec tel partenaire, doit être la plus impartiale possible aux yeux de la loi. En cas d’enquête judiciaire, le procureur, et en dernier lieu le juge, prendra en compte la qualité du processus dans sa décision.

On le voit, les enjeux informationnels et organisationnels ont donc désormais un impact majeur sur la manière dont les entreprises mènent leurs opérations et se développent.