HomeIco

Home

 InternIco

Intern

 GlobalIco

Global

 ContactIco

Contact
de|fr

Nous utilisons nos propres cookies et ceux de tiers à des fins statistiques et d'amélioration du site web. Veuillez sélectionner ci-dessous les cookies que vous souhaitez accepter ou refuser. Si vous poursuivez votre navigation sans sélectionner de cookies, cela équivaut à refuser les cookies. Pour plus d'informations, veuillez consulter notre politique de confidentialité.
Actualités Affaire «La Poste» : réflexions sur les cartographies des risques vigilance et corruption

Affaire «La Poste» : réflexions sur les cartographies des risques vigilance et corruption

PrintMailRate-it
Introduction

Le jugement du tribunal judiciaire du 5 décembre 2023 enjoignant le groupe La Poste de « compléter le plan de vigilance par une cartographie des risques destinée à leur identification, leur analyse et leur hiérarchisation » a remis la cartographie des risques de vigilance au cœur de l’actualité de la compliance. 


Il s’agit du premier jugement au fond d’un tribunal depuis l’entrée en vigueur de la loi du 27 mars 2017. On se souvient que le même tribunal, statuant le 28 février 2023 en référé dans le dossier TotalEnergies-Ouganda, avait constaté que « faute de décret subséquent, de référentiel, de modus operandi ou encore d’organisme de contrôle indépendant, il ne pouvait s’appuyer que sur la notion standard de « caractère raisonnable des mesures de vigilance contenues dans le plan de vigilance, notion imprécise, floue et souple ».


Or, depuis cette décision, aucune évolution textuelle n’est intervenue, si ce n’est le projet de directive sur le devoir de vigilance des entreprises en matière de durabilité (CS3D), lequel est encore loin de constituer un texte de droit positif pour les entreprises.


Pourtant, le tribunal judiciaire de Paris, statuant au fond, a bien considéré qu’il était en mesure d’apprécier la compatibilité de la cartographie des risques visée par la loi du 27 mars 2017, pour juger que tel n’était pas le cas aux termes d’une analyse circonstanciée de la cartographie des risques exposée par le groupe La Poste dans son document d’enregistrement universel (DEU).


Il nous semble utile de souligner, dans le cadre de cette décision, l’importance croissante pour les entreprises de la notion de cartographie des risques, au travers d’une comparaison avec la cartographie de risques de corruption prescrite par l’article 17 de la loi Sapin II.


Méthodologie de la cartographie des risques de corruption

Dans ses recommandations, sa pratique des contrôles et les décisions de sa commission des sanctions, l’AFA a progressivement imposé un standard qui va au-delà du simple critère de « caractère raisonnable » souligné par le tribunal judiciaire dans son jugement rendu en état de référé.

En principe fondée sur une approche par les risques, critère essentiel et rejoignant celui de « caractère raisonnable », la pratique de l’AFA consiste à déterminer si la cartographie des risques de corruption de l’entreprise constitue effectivement un outil de pilotage et de maitrise des risques de corruption et de trafic d’influence (et au-delà d’atteintes à la probité) du groupe auquel appartient l’entreprise.

Les phases d’identification, d’évaluation et de hiérarchisation des risques sont développées dans les recommandations de l’AFA de manière précise et illustrée.


Identification 

Il s’agit de déterminer, sur la base d’une cartographie des processus et des tiers (clients, fournisseurs, intermédiaires), les familles et les scenarii de risques susceptibles de mettre en cause l’entreprise. Les processus doivent être déclinés en sous-processus afin de permettre une analyse fine des risques au travers d’entretiens avec un grand nombre de personnes exposées.

Tous les types de risques directs ou indirects de corruption active et passive et de trafic d’influence doivent être identifiés de manière objective.


Evaluation

L’évaluation doit d’abord se faire sur la base des risques bruts, sur un axe probabilité/impact. Ce dernier indicateur doit intégrer les dimensions financière, juridique, réputationnelle et commerciale. Ensuite seulement vient le temps d’évaluer les mesures de contrôle (dispositif de maitrise des risques) existantes, puis le risque net résultant de la prise en compte de ces mesures. Cette évaluation des dispositifs de maitrise des risques doit prendre en compte chacun des éléments du dispositif et la société doit pouvoir démontrer la pertinence de la méthode suivie.


Hiérarchisation

Les risques doivent être classés par ordre de priorité et faire l’objet de plans d’actions afin de renforcer ou mettre en place les mesures de contrôle.

La cartographie est nécessairement évolutive en fonction des évènements qui entourent la vie de l’entreprise.

Les contrôles de l’AFA la conduisent à développer une pratique de plus en plus exigeante, au-delà même des recommandations publiques, sur la manière de réaliser et d’actualiser cette cartographie, en imposant des « standards » de plus en plus élevés.   


Cartographie des risques vigilance et corruption : quelles différences ?

La loi du 27 mars 2017 énumère les trois critères d’identification, d’analyse et de hiérarchisation des risques sans toutefois que la mise en œuvre de ces critères n’ait jamais fait l’objet de précisions.
Depuis le jugement du 5 décembre dernier, les entreprises sont en mesure de mieux cerner ce que le juge exige d’elles.

Champ d’application de la cartographie vigilance


Il convient d’abord de rappeler que le champ d’application de la cartographie vigilance est assez différent de celui de la cartographie des risques de corruption.

Elle concerne les activités de l’entreprise et de ses filiales ainsi que de sa chaine de sous-traitants et fournisseurs avec lesquels une relation commerciale est établie (à la différence de la cartographie Sapin II tournée vers les fournisseurs, les clients et les intermédiaires).


Elle trouve son origine dans les objectifs de développement durable (ODD) et le Pacte mondial des Nations Unies, fondés sur le respect des droits de l’homme et de l’environnement tandis que l’origine de loi Sapin II visait surtout la mise en conformité de la loi française avec la convention OCDE sur la corruption d’agents publics étrangers de 1997.  


Elle impose la prise en compte des avis des parties prenantes externes, à la différence de la cartographie Sapin II.


Elle donne lieu à une publication au sein du plan de vigilance à la différence de la cartographie des risques de corruption Sapin II (mentionnée, s’agissant des sociétés cotées, dans la rubrique « facteurs de risques » du Document d’Enregistrement Universel mais non détaillée).


Elle devra intégrer l’analyse dite de double matérialité (ou double importance) prévue par la directive CSRD dont l’entrée en vigueur à compter de l’exercice 2024 dépend de seuils de matérialité, notion qui n’existe pas dans la loi Sapin II. Par analyse de double matérialité, il faut entendre les enjeux de durabilité susceptibles d’impacter leur performance financière et les impacts négatifs et positifs de leurs activités sur leur environnement économique, social et naturel.


Dès lors, si la méthodologie de l’AFA, déjà très mature, peut inspirer les entreprises, elle doit nécessairement être adaptée aux enjeux de la cartographie en matière de vigilance. Ainsi, si nombre de sociétés s’inspirent des recommandations de l’AFA pour établir leur méthodologie d’établissement de la cartographie des risques vigilance, elles ne sont nullement tenues de l’appliquer.

Quelques principes définis par le jugement du tribunal judiciaire du 5 décembre


Le jugement du tribunal judiciaire du 5 décembre sur la cartographie des risques en matière de vigilance définit ainsi quelques principes reproduits ci-après, visant à combler le vide constaté par le même tribunal lors du jugement TotalEnergies-Ouganda.

La cartographie des risques des activités revêt un caractère fondamental dans la mesure où ses résultats conditionnent les étapes ultérieures et donc l’effectivité du plan de vigilance.


Toutes les actions d’atténuation des risques et de prévention des atteintes doivent par construction découler et être adaptées aux résultats de la cartographie des risques, notamment les procédures d’évaluation régulières de la situation des filiales, des sous-traitants et fournisseurs avec lesquels l’entreprise entretient une relation commerciale établie.


Il s’agit, en concertation avec les parties prenantes, d’identifier et d’analyser l’impact potentiel des activités de l’entreprise sur les droits fondamentaux des personnes, leur santé et leur sécurité ou sur l’environnement en prenant concrètement en compte, sur l’ensemble de la chaine de valeur, des facteurs précis susceptibles d’engendrer la réalisation des risques tel que le secteur et la nature de l’activité, sa localisation, le mode de relation commerciale et le cadre juridique lui servant de support, la dimension, la structure ou les moyens des filiales ou des partenaires ainsi que les conditions matérielles de production ou de réalisation de la prestation.  


Les risques ainsi identifiés doivent nécessairement être hiérarchisés selon leur gravité, afin de fixer, dans le cadre d’une dynamique d’autorégulation certes contrôlée, mais néanmoins active et évolutive, des priorités d’actions raisonnables.


Ces mesures adéquates propres à mieux prévenir et atténuer les risques doivent donc nécessairement être précédées de la phase d’identification, d’analyse et de hiérarchisation.


Le plan de vigilance doit permettre de mesurer réellement si la stratégie d’évaluation est conforme à la gravité des atteintes, ce qui suppose que la cartographie précise les facteurs de risques et leur hiérarchisation.


Les mesures d’atténuation des risques doivent nécessairement découler et être en lien avec les risques prioritaires de la cartographie des risques. 

 
En l’espèce, le jugement retient que la cartographie des risques qui lui est soumise :
  • reste à un très haut niveau de généralité et l’analyse des risques et leur hiérarchisation se réalise à un niveau particulièrement global ;
  • ne permet pas de déterminer les facteurs de risques précis liés à l’activité et à son organisation qui engendrent une atteinte aux valeurs protégées ;
  • ne fait pas suffisamment émerger de domaines de vigilance prioritaires (…), en particulier avec la présentation des mesures adéquates de vigilance qui paraissent en réalité déjà prises en compte lors de l’état des lieux pour apprécier les risques nets ;
  • ne permet pas de connaitre, même de façon synthétique, les facteurs liés à l’activité ou l’organisation pouvant concrètement faire naitre les risques, la hiérarchisation à un niveau très général en intégrant d’ores et déjà les mesures déjà en vigueur ne permettant pas plus d’identifier les actions devant être instaurées ou renforcées prioritairement ;
  • conduit à l’établissement de procédures d’évaluation des sous-traitants et fournisseurs insuffisamment fondées sur des risques précis identifiés dans la cartographie des risques. 


 Des principes généraux compatibles avec la méthodologie de l'AFA


Ce jugement pose quelques principes essentiels à même de renforcer la sécurité juridique des entreprises en cas de contentieux.

La méthodologie prescrite est cohérente avec celle de l’AFA, même si le tribunal se garde bien d’exposer le détail de sa mise en œuvre, ce qui n’est pas l’office du juge (notamment les modalités d’identification et de cotation des risques, la prise en compte de la temporalité – fréquence/probabilité dans le calcul de la cotation, la prise en compte de scénarios lors de la phase d’identification, le déploiement au sein du groupe, etc.).

Elle semble exiger que la cartographie des risques identifie d’abord les risques bruts puis les risques nets, ce qui permet de mettre en exergue les mesures existantes ou à renforcer pour prioriser les risques. En effet, si la cartographie des risques n’identifie pas les risques bruts, « la prise en compte des mesures d’ores et déjà appliquées a pour effet de niveler l’ensemble des risques nets à un niveau de faible intensité ».  

Le jugement ne précise pas le format du plan de vigilance devant faire l’objet de la publication dans le document d’enregistrement universel (DEU). De fait, ces publications sont généralement assez hétérogènes et difficilement comparables.


La nécessaire prise en compte des secrets d'affaires


Le jugement nous semble critiquable dans la mesure où rien ne devrait obliger les entreprises à présenter les risques identifiés sur la base des risques bruts, une présentation en risques nets uniquement nous paraissant compatible avec l’objectif de la loi.

La reconnaissance de l’importance de la protection des secrets d’affaires est essentielle, dans la mesure notamment où seules les entreprises françaises (et allemandes en vertu de la loi dite « Lieferkettensorgfaltspflichtengesetz », entrée en vigueur le 1er janvier 2023), sont jusqu’à présent tenues de publier un plan de vigilance basé sur une telle cartographie.

Le tribunal judiciaire rappelle d’ailleurs la décision n°2017-750 DC du Conseil constitutionnel ayant dit pour droit que la loi sur le devoir de vigilance ne portait pas atteinte à la liberté d’entreprendre dans la mesure où elle n’imposait pas aux sociétés de « rendre publiques des informations relatives à leur stratégie industrielle ou commerciale » pour écarter la demande de publication de la liste des sous-traitants et fournisseurs. Selon nous, le même raisonnement aurait dû être suivi pour limiter le champ de la publication du plan de vigilance.

Le plan de vigilance publié dans le document d’enregistrement universel (DEU) devrait donc pouvoir n’inclure qu’une version synthétique et expurgée des motivations qui fondent le passage des risques bruts en risques nets et le plan de priorisation des risques, ces informations pouvant être accessibles aux parties prenantes impliquées dans la démarche.

A titre d’indication, les entreprises soumises à l’article 17 de la loi Sapin II n’ont nullement l’obligation de publier le détail de leur cartographie des risques de corruption (notamment la matrice de risques qui contient des informations extrêmement sensibles et constituent des secrets d’affaires au sens des articles L 151-1 à L 151-4 du code de commerce). On ne voit pas en quoi il devrait en aller différemment de la cartographie des risques en matière de devoir de vigilance. Ce point devra être clarifié par la cour d’appel.

Les limites du contrôle des plans de vigilance par le juge


Si le juge ne s’arroge pas le pouvoir de contrôler la pertinence de la cartographie des risques, il relève la non-prise en considération de certains risques (liés au travail illégal) pour enjoindre La Poste d’établir des procédures d’évaluation des sous-traitants et fournisseurs en fonction des risques précis identifiés dans la cartographie des risques.

Néanmoins, le jugement rappelle que l’article L 125-102-4 II du code de commerce ne permet pas au juge d’enjoindre aux entreprises de prendre des mesures adéquates spécifiques, le juge ne pouvant se substituer aux entreprises et aux parties prenantes pour exiger d’elles l’instauration de mesures précises et détaillées.

Il s’agit donc bien d’un contrôle de la cohérence et de l’efficacité du dispositif, non des choix effectués par l’entreprise de retenir ou non tel ou tel risque ou d’évaluer le risque ou l’efficacité des mesures de contrôle existantes. A défaut, cela reviendrait à substituer l’appréciation des régulateurs ou des juges à celle de l’instance dirigeante dans ce qui constitue un outil essentiel et stratégique du modèle d’affaires de l’entreprise. 

Bientôt un cadre harmonisé au niveau européen ?

Dans l’élaboration de la cartographie devoir de vigilance, les entreprises pourront utilement compléter ces principes avec certaines des recommandations de l’AFA, même si ce référentiel n’est pas opposable au juge et ne saurait donc constituer une présomption de conformité à l’instar des cartographies en matière de prévention de la corruption.

On est en droit d’espérer que l’autorité de régulation qui se verra confier le soin de réguler « le droit du devoir de vigilance » après l’éventuelle entrée en vigueur de la directive CS3D permette aux entreprises de disposer d’un cadre harmonisé au niveau européen, cohérent avec le cadre de la loi Sapin II et soucieux de la protection de leur compétitivité et leurs secrets d’affaires.  

Ce dernier point nous semble crucial, les entreprises françaises ne pouvant être tenues de publier des informations stratégiques relevant de leurs secrets d’affaires.


Cet artlicle a été publié sur le site d’ActuEL Direction Juridique (Editions Législatives) le 04/03/2024.

Contact

Contact Person Picture

Jean-Yves Trochon

Avocat au barreau de Paris

Senior Counsel

+33 6 13 88 57 52

Envoyer la demande

Contact Person Picture

Hugues Boissel Dombreval

Avocat, Attorney-at-law

Associate Partner

+33 6 12 50 47 17

Envoyer la demande

Nous aimons vous conseiller !
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu