15 novembre 2016
La loi Sapin II, adoptée le 8 novembre 2016 par le Parlement, comportent plusieurs dispositions visant à lutter contre la corruption. Certaines de ces dispositions nécessitent une adaptation des procédures internes des entreprises dès 50 salariés.
Mise en place d’une procédure de recueil des signalements des lanceurs d’alerte
La loi Sapin II (la « Loi ») prévoit des mesures spécifiques encadrant la façon dont un lanceur d’alerte doit procéder à un signalement pour pouvoir bénéficier de la protection qui lui ait accordé par cette même loi.
Un lanceur d’alerte est défini par l’article 6 de la loi comme :
« une personne physique qui révèle ou signale, de manière désintéressée et de bonne foi, un crime ou un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général, dont elle a eu personnellement connaissance. ».
En principe, le lanceur d’alerte doit porter le signalement d’une alerte d’abord à la connaissance de son supérieur hiérarchique, direct ou indirect, de son employeur ou d’un référent désigné par celui-ci (article 8-I). Ce n’est qu’en cas de « danger grave et imminent ou en présence d’un risque de dommages irréversibles », qu’il peut, en principe, directement porter le signalement hors de la société (article 8-II).
Pour faciliter ces alertes, il est fait obligation aux entreprises d’au moins 50 salariés d’établir une procédure de recueil des signalements « émis par les membres de leur personnel ou par des collaborateurs extérieurs et occasionnels » (article 8-III).
Les conditions dans lesquelles ces procédures devront être mises en place seront fixées par décret en Conseil d’Etat. Cependant, la Loi précise déjà, en son article 9, que cette procédure devra garantir « une stricte confidentialité de l’identité des auteurs du signalement, des personnes visées par celui-ci et des informations recueillies par l’ensemble des destinataires du signalement. »
Les entreprises devront également veiller au respect de la règlementation relative à la protection des données à caractère personnel. En effet, la mise en œuvre de ces procédures implique nécessairement que des données à caractère personnel seront traitées, au moins celle des auteurs du signalement et des personnes visées. Une demande d’autorisation préalable à la CNIL sera nécessaire de même qu’une information des salariés.
La loi ne prévoit pas de sanction spécifique si une entreprise ne met pas en place une procédure de recueil des signalements.
Cependant, il doit être relevé que :
- des sanctions pourront être prévues dans le décret en Conseil d’Etat fixant les conditions de mise en place de la procédure de licenciement ;
- il ne peut être exclu que cela soit considéré comme entrant dans le champ d’application de la nouvelle infraction prévue à l’article 13 de la Loi qui dispose que « toute personne qui fait obstacle, de quelque façon que ce soit, à la transmission d’un signalement aux personnes et organismes mentionnés aux deux premiers alinéas du I l’article 8 est punie d’un an d’emprisonnement et de 15 000 € d’amende »; conformément aux principes de la procédure pénale, le montant maximal de l’amende encourue par les personnes morales sera de 75.000 €.
Ces dispositions seront en vigueur dès publication du décret en Conseil d’Etat, qui pourra cependant prévoir un délai d’application.
Mise en place d’un programme de conformité
L’article 17 de la Loi prévoit l’obligation pour certaines entreprises de mettre en place un programme de conformité dont le contenu est fixé par le texte.
Ces différentes dispositions seront applicables dans un délai de 6 mois à compter de la promulgation de loi.
1. Personnes concernées
Les obligations prévues à l’article 17 de la Loi pèsent sur les présidents, les directeurs généraux, et les gérants de toute société qui remplit les deux critères suivants :
- la société, ou la société-mère du groupe auquel elle appartient et qui a son siège social en France, emploie au moins cinq cents salariés;
- le chiffre d’affaires de la société, ou son chiffre d’affaires consolidé, est supérieur à 100 millions d’euros.
Elles peuvent s’étendre aux membres du directoire des sociétés anonymes remplissant les mêmes conditions.
Il s’agit donc d’une obligation pesant directement sur les mandataires sociaux, qui sont responsables à titre personnel s’il s’agit de personnes physiques. La société dont les dirigeants auraient failli à leurs obligations est également responsable en tant que personne morale.
En présence d’un groupe de sociétés établissant des comptes consolidés, les obligations portent sur la société-mère du groupe et l’ensemble des filiales et sociétés qu’elle contrôle (au sens des articles L.233-1 et L.233-3 du code de commerce), quelle que soit leur taille.
Enfin, ces obligations sont réputées satisfaites pour l’ensemble des entités d’un groupe dès lors qu’elles sont mises en œuvre au niveau de la société-mère et que les mesures et procédures prévues s’appliquent effectivement à l’ensemble du groupe.
2. Contenu du programme de conformité
Conformément au II de l’article 17 de la Loi, les personnes concernées doivent mettre en œuvre les mesures et procédures suivantes :
1° Un code de conduite définissant et illustrant les différents types de comportements à proscrire comme étant susceptibles de caractériser des faits de corruption ou de trafic d’influence. Ce code de conduite est intégré au règlement intérieur de l’entreprise et fait l’objet, à ce titre, de la procédure de consultation des représentants du personnel prévue à l’article L. 1321-4 du code du travail ;
2° Un dispositif d’alerte interne destiné à permettre le recueil des signalements émanant d’employés et relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société ;
3° Une cartographie des risques prenant la forme d’une documentation régulièrement actualisée et destinée à identifier, analyser et hiérarchiser les risques d’exposition de la société à des sollicitations externes aux fins de corruption, en fonction notamment des secteurs d’activités et des zones géographiques dans lesquels la société exerce son activité ;
4° Des procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques ;
5° Des procédures de contrôles comptables, internes ou externes, destinées à s’assurer que les livres, registres et comptes ne sont pas utilisés pour masquer des faits de corruption ou de trafic d’influence ;
6° Un dispositif de formation destiné aux cadres et aux personnels les plus exposés aux risques de corruption et de trafic d’influence ;
7° Un régime disciplinaire permettant de sanctionner les salariés de la société en cas de violation du code de conduite de la société ;
8° Un dispositif de contrôle et d’évaluation interne des mesures mises en œuvre.
Les mêmes précautions relatives au respect de la règlementation des données à caractère personnel que celles applicables à la procédure de recueil des signalements des lanceurs d’alerte devront être prises par les entreprises (cf. supra).
3. Sanctions
Le contrôle du respect de ces obligations sera assuré par la nouvelle Agence française anticorruption.
Cette Agence comprendra une commission des sanctions qui, si elle est saisie par le dirigeant de l’agence, pourra prononcer des sanctions pécuniaire pouvant s’élever à 200.000 euros pour les personnes physiques et 1 millions d’euros pour les personnes morales (article 17-V). Une peine de publication pourra également être prononcée.
La Loi prévoit cependant également un mécanisme de simple avertissement ou d’injonction laissant aux personnes contrevenantes la possibilité de se mettre en conformité avec leurs obligations, avant qu’une sanction ne soit prononcée.