La directive européenne anti-corruption vient d'être publiée. Ce que les responsables de la conformité doivent faire dès maintenant.

Voici ce que les responsables de la conformité doivent savoir au sujet de la directive européenne anti-corruption et par où commencer.

Image décorative

La directive européenne anti-corruption a été publiée au Journal officiel de l'Union européenne. Ce moment, que de nombreux responsables de la conformité attendaient avec impatience depuis que la Commission avait proposé pour la première fois, en 2023, une législation harmonisée en matière de lutte contre la corruption, est désormais passé.

La directive entre en vigueur 20 jours après sa publication. Les États membres disposent de 24 mois pour la transposer dans leur législation nationale, avec un délai prolongé de 36 mois pour les obligations liées aux stratégies nationales de lutte contre la corruption et aux évaluations des risques. Le compte à rebours a commencé.

Pour les organisations opérant dans l'ensemble de l'UE, il ne s'agit pas d'une obligation future en matière de surveillance, mais d'une obligation actuelle à laquelle il faut se conformer dès maintenant.

Contenu
  1. Ce qu'exige réellement la directive
  2. La défense du programme de conformité et pourquoi elle revêt aujourd’hui une importance particulière
  3. Le problème de la complexité que personne n'a encore entièrement cerné
  4. Par où commencer dès maintenant ?

Ce qu'exige réellement la directive

La directive établit un cadre harmonisé pour les infractions pénales liées à la corruption dans l’ensemble des 27 États membres de l’Union européenne. Tel est son objectif fondamental : combler les lacunes en matière d’application de la loi que la fragmentation des législations nationales a permis pendant des décennies. Elle définit des notions communes relatives aux infractions de corruption, notamment la corruption active et passive, le détournement de fonds, l’entrave à la justice, le trafic d’influence, l’exercice illicite de fonctions, l’enrichissement illicite lié à la corruption, la dissimulation et la corruption dans le secteur privé.

L'infraction relative au trafic d'influence mérite une attention particulière. Il s'agit d'une notion nouvelle dans de nombreux États membres. Toute organisation qui emploie des lobbyistes, des conseillers en relations gouvernementales ou des intermédiaires amenés à interagir avec des agents publics sur les marchés de l'UE doit examiner attentivement ces relations et consigner les résultats de cet examen.

Pour les personnes morales, le champ d’application de la responsabilité est large. Les organisations peuvent être tenues pour responsables lorsqu’une infraction a été commise à leur profit par une personne occupant un poste de direction, ou lorsqu’un manquement à l’obligation de surveillance ou de contrôle a rendu cette infraction possible. C’est ce deuxième cas de figure qui devrait retenir toute l’attention des dirigeants. L’absence de surveillance adéquate constitue en soi un motif de responsabilité, et non pas simplement un élément atténuant.

Les sanctions reflètent cette intention et sont lourdes. Les amendes maximales pour corruption et détournement de fonds doivent atteindre au moins 5 % du chiffre d’affaires mondial total ou 40 millions d’euros, le montant le plus élevé étant retenu. Pour le trafic d’influence et les infractions connexes, le seuil est fixé à 3 % du chiffre d’affaires mondial ou 24 millions d’euros. Au-delà des sanctions financières, les mesures peuvent inclure l’exclusion des marchés publics, le retrait des autorisations, l’interdiction d’exercer des activités commerciales et le placement sous contrôle judiciaire. Pour une multinationale, il ne s’agit pas seulement d’un risque de conformité. Il s’agit d’un risque pour la continuité de l’activité.

La défense du programme de conformité et pourquoi elle revêt aujourd’hui une importance particulière

Voici un aspect qui est souvent négligé lors de la première lecture d'une nouvelle réglementation. La directive n'impose pas formellement aux organisations du secteur privé de former leur personnel, mais la mise en place de programmes de conformité efficaces, qui comprennent généralement des formations, constitue un facteur atténuant officiel. L'absence d'un programme de formation bien documenté pourrait donc entraîner une augmentation des amendes en cas de poursuites judiciaires.

Cette reconnaissance ne constitue pas un moyen de défense complet contre la responsabilité, mais elle est tout de même un élément important. Les autorités de régulation et les tribunaux feront la distinction entre les organisations capables de démontrer qu’elles disposent d’un programme structuré et opérationnel et celles qui ne le peuvent pas.

Nous avons déjà observé ce phénomène par le passé, que ce soit dans le cadre de la loi britannique sur la corruption (UK Bribery Act), de la loi américaine sur les pratiques de corruption à l'étranger (FCPA) ou de l'application du RGPD. Les organisations qui s'en sortent le mieux sont systématiquement celles qui ont investi dans la mise en place de leur programme avant l'inspection, et non celles qui se sont empressées de le documenter après coup.

La question à se poser aujourd’hui n’est pas de savoir si votre programme passerait un audit théorique. La question est de savoir si vous pourriez présenter les preuves relatives à ce programme devant une autorité nationale compétente et faire en sorte qu’elles résistent à un examen minutieux (dossiers de formation, attestations de conformité aux politiques, documentation relative à la diligence raisonnable des tiers, données de signalement des incidents, résultats des évaluations des risques), le tout étant interconnecté, vérifiable et à jour dans toutes les juridictions où vous exercez vos activités. Le coût en termes de réputation d’une poursuite pour corruption, même si elle n’aboutit pas à une condamnation, est considérable. Le coût en termes de réputation lié à l’incapacité de démontrer que vous avez pris cette obligation au sérieux est encore plus grave.

Je constate régulièrement une tendance commune à toutes les organisations, quelles que soient leur taille et leur secteur d’activité : les différents piliers du GRC (éthique et conformité, risques liés aux tiers, gestion des politiques, signalement des incidents) sont gérés de manière isolée les uns des autres. Cette directive est un signe supplémentaire indiquant qu’une approche fragmentée ne résistera pas à un examen approfondi. Lorsqu’une autorité compétente demande des preuves de l’efficacité d’un programme, elle n’examine pas chaque élément séparément. Elle cherche à savoir si le programme est cohérent, interconnecté et fondé sur des données probantes. Les organisations qui continuent d’utiliser des systèmes déconnectés auront beaucoup plus de mal à répondre à cette question.

Le problème de la complexité que personne n'a encore entièrement cerné

La période de transposition de 24 mois semble gérable jusqu’à ce que l’on examine ce qu’elle engendre concrètement : 27 transpositions nationales, chacune avec sa propre interprétation de concepts tels que « l’avantage indu », les seuils minimaux applicables aux cadeaux et aux marques d’hospitalité, ainsi que les limites précises de l’infraction de trafic d’influence. La directive établit une harmonisation minimale, les États membres pouvant aller plus loin, ce que certains pourraient bien faire. Ce qui relève du lobbying légal dans un État membre peut apparaître très différemment du point de vue de l’application de la loi dans un autre.

Pour les multinationales, il ne s'agit pas d'un simple défi en matière de conformité. Il s'agit en réalité de 27 défis qui se recoupent, régis par une norme unique de responsabilité au niveau du groupe qui s'applique à l'ensemble de ces défis. Un manquement sur un marché d'activité donné peut donner lieu à une procédure coercitive au niveau du groupe.

Se tenir informé de l'évolution de la transposition au niveau national dans toutes les juridictions où l'entreprise exerce ses activités exigera en soi un effort soutenu, compte tenu de l'approche d'harmonisation minimale adoptée par la directive.

Gérer cette complexité à l'aide de processus manuels, de tableurs pays par pays ou de solutions ponctuelles isolées ne constitue pas un programme de conformité. Il s'agit d'un simple exercice de documentation qui ne tiendra pas la route en cas de contrôle.

En route vers 2028 : la directive européenne contre la corruption

Pourquoi les programmes de conformité les plus résilients entament leur transformation dès aujourd’hui.

Obtenir le guide

Par où commencer dès maintenant ?

Si votre organisation exerce des activités dans l’Union européenne, compte des clients dans l’Union européenne ou dispose de chaînes d’approvisionnement au sein de l’Union européenne, cette directive s’applique à vous. La bonne nouvelle, c’est que de nombreuses organisations disposent déjà d’une base solide sur laquelle s’appuyer. La loi britannique sur la corruption (UK Bribery Act ) et la loi américaine sur les pratiques de corruption à l’étranger (FCPA) ont favorisé la mise en place de véritables programmes de lutte contre la corruption, le blanchiment d’argent et le financement du terrorisme au cours de la dernière décennie. Il s’agit désormais d’évaluer dans quelle mesure ces programmes répondent aux exigences de la directive et où ils présentent des lacunes.

Les organisations qui, à l’heure actuelle, se préparent efficacement ne se contentent pas de cocher une liste de contrôle de conformité. Elles utilisent cette directive comme point de départ pour mettre en place une structure GRC plus intégrée, dans laquelle les données sur les risques, la conformité aux politiques, la surveillance des tiers et le signalement des incidents sont interconnectés plutôt que de fonctionner en parallèle. La mise en place d’une telle infrastructure nécessite du temps. Les organisations qui s’y attelleront dès 2026 l’auront rendue opérationnelle et testée avant l’entrée en vigueur de la réglementation. Celles qui attendront jusqu’en 2028 devront la mettre en place sous la pression, et les autorités de régulation sauront faire la différence.

Le point de départ concret consiste en une analyse des lacunes dans cinq domaines programmatiques clés :

  1.  Canaux de signalement anonymes : la directive prévoit la mise en place de mécanismes accessibles et confidentiels permettant aux salariés et aux tiers de signaler des soupçons de corruption. Si votre infrastructure actuelle de signalement ne répond pas à cette exigence sur l'ensemble des marchés de l'UE, il s'agit là d'une première lacune à combler.
  2. Formation du personnel : comme indiqué, la formation n’est pas officiellement obligatoire, mais son absence sera remarquée. Les registres de formation doivent exister, être à jour et couvrir les populations concernées, y compris toute personne en contact avec des agents publics ou des intermédiaires tiers.
  3. Politiques documentées et certifiées : les politiques doivent refléter le champ d'application de la directive, y compris l'infraction relative au trafic d'influence. Les documents de certification revêtent une grande importance. Une politique qui existe mais qui n'a pas fait l'objet d'une communication active n'offre qu'une protection limitée.
  4. Vérification préalable des tiers : la norme de responsabilité en cas de manquement au devoir de surveillance fait du risque lié aux tiers une exposition directe pour l'entreprise. Les processus de vérification préalable d'ABC doivent être documentés, proportionnés au risque et appliqués de manière cohérente.
  5. Risques d'entreprise et contrôle des programmes : c'est dans ce domaine que la plupart des organisations ont le plus de travail à accomplir. La directive exige que les fonctions chargées de la conformité démontrent non seulement que des politiques existent, mais aussi que le programme est réellement mis en œuvre et fait l'objet d'un contrôle au niveau approprié.

La législation européenne de la Commission européenne en matière de lutte contre la corruption et l’analyse de la directive réalisée par le groupe de réflexion du Parlement européen méritent toutes deux d’être lues dans leur intégralité. Elles exposent l’intention réglementaire qui sous-tend le texte et s’avèrent utiles pour affiner l’évaluation des lacunes.

Pour la plupart des organisations, au moins l’un de ces domaines ne répondra pas aux exigences de la directive. Celles qui combleront ces lacunes d’ici 2026 se trouveront dans une position nettement plus solide lorsque les États membres commenceront à appliquer la réglementation en 2028. Celles qui attendront devront mettre en place leur programme sous la pression réglementaire plutôt que de prendre les devants.

Un dernier point que je suivrai de près : la manière dont les États membres transposeront cette directive dans leur droit national. L’harmonisation minimale a toujours donné lieu à des divergences. Le RGPD, la directive sur la dénonciation et les directives successives sur la lutte contre le blanchiment d’argent ont toutes entraîné, au fil du temps, des divergences importantes entre les mises en œuvre des différents États membres. Il en ira de même ici. L’écart entre les exigences minimales de la directive et ce que chaque État membre choisira d’imposer dans la pratique aura une incidence considérable sur la manière dont les organisations multinationales adapteront leurs programmes.

Je publierai ici mes analyses au fur et à mesure de l'avancement des transpositions nationales. D'ici à ce que la directive entre en vigueur en 2028, le contexte sera déjà bien plus complexe que ne le laisse supposer le texte de la directive à lui seul.

La directive vient d'être publiée. La compilation du programme commence dès maintenant.

Ne mettez pas en place votre programme de conformité sous la pression des autorités réglementaires

Découvrez comment Mitratech peut vous aider.

Commencer