Loi Sapin 2 : les entreprises ont intérêt à se conformer aux nouvelles recommandations

Christine Artus, avocate associée en droit social,

Claude-Etienne Armingaud, CIPP/E, avocat associé en droit des nouvelles technologies & propriété intellectuelle,

Natacha Meyer, collaboratrice en droit social

Clara Schmit, CIPP/E, collaboratrice en droit des nouvelles technologies & propriété intellectuelle, du cabinet K&L Gates

La loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite loi « Sapin 2 » (1), a instauré un principe général de prévention et de détection des risques de corruption sous le contrôle de l’Agence française anticorruption (AFA). Après trois ans de pratique dans le cadre de ses activités de conseil et de contrôle, l’AFA a publié de nouvelles recommandations entrées en vigueur le 13 janvier 2021. Ces recommandations renforcent la connaissance du phénomène anticorruption et s’articulent autour des piliers indissociables que sont l’engagement de l’instance dirigeante, la cartographie des risques et la gestion des risques.

L’AFA encourage toutes les entités à se doter d’un dispositif de lutte contre la corruption, indépendamment des seuils indiqués par la loi Sapin 2, tout en précisant qu’une adaptation des recommandations reste nécessaire. Elle conseille aux entreprises privées assujetties à l’obligation de prévention de l’article 17 de la loi Sapin 2 d’appréhender dans leur dispositif un ensemble d’infractions pénales et alimente également ses recommandations pour les acteurs publics. Formalisation du dispositif Afin d’encourager les acteurs à combler certaines insuffisances relevées et à respecter les procédures instaurées, le maître-mot de l’AFA est la formalisation. C’est dans cette perspective que devront être affinées les méthodes de cartographie des risques, ainsi que la procédure d’enquête interne où il doit être prévu a minima les critères nécessaires à son déclenchement, ses modalités de réalisation et la mise en place d’un comité dédié pour établir le rapport. L’AFA ne manque pas de souligner les enjeux afférents à l’application du règlement général sur la protection des données (RGPD) (2), sans toutefois s’être concertée avec la Commission nationale de l’informatique et des libertés (Cnil) pour proposer un cadre de conformité clé en main. Les acteurs devront veiller, lors de l’évaluation de l’intégrité des tiers et de l’instance dirigeante, à ne collecter que les données strictement nécessaires pour atteindre la finalité fixée par la loi Sapin 2. Ils devront aussi informer les personnes concernées par l’évaluation de leur intégrité, des caractéristiques des traitements mis en œuvre sur leurs données et des droits dont elles disposent sur celles-ci (3). La vérification de l’honorabilité des tiers pouvant s’effectuer du fait de leur présence ou de leur absence sur des listes de sanctions, les entreprises devront apporter une protection particulière à cette catégorie de données à caractère personnel dites « sensibles ». Le même soin devra être apporté aux données personnelles relatives aux sanctions disciplinaires recensées par les acteurs concernés. L’AFA a également cherché à concilier la nécessité de prévoir une conservation limitée des données à caractère personnel (4) à l’impératif de ces acteurs de pouvoir justifier leurs décisions en cas de contrôle ou d’audit. Les recommandations n’ont pas de valeur obligatoire ou contraignante pour ceux à qui elles s’adressent, mais sont opposables à l’AFA dans ses activités de contrôle. L’AFA se référera aux recommandations pour les contrôles ouverts à compter du sixième mois suivant celui de leur entrée en vigueur, soit à partir du 13 juillet 2021. Volonté d’uniformisation Les entités qui indiquent avoir suivi les recommandations bénéficient d’une présomption de conformité. Il est de toute façon de l’intérêt de chaque acteur de les suivre puisque l’AFA est compétente pour prononcer des sanctions une fois la commission des sanctions saisie, pouvant aller d’une mise en demeure à une sanction pécuniaire de l’ordre de 200.000 euros pour les personnes physiques et d’un million d’euros pour les personnes morales, ainsi que la publication, la diffusion ou l’affichage de la décision aux frais du condamné sans préjudice d’éventuelles sanctions additionnelles de la Cnil. Cet appel à la mise en conformité de l’AFA s’inscrit d’ailleurs dans la volonté d’uniformisation des dispositifs anticorruption des Etats membres par l’Union européenne et la transposition imminente de la directive sur les lanceurs d’alerte avant le 17 décembre 2021. (1) Entrée en vigueur le 10 décembre 2016 (JORF n°0287 du 10 décembre 2016).
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
(3) Article 5 du RGPD.
(4) Articles 12 et 13 du RGPD.