L’entreprise vigilante

11 juillet 2017

Suite à un épisode 1 sur les Achats Vigilants, Des Enjeux et des Hommes, C3, BuyYourWay et Affectio Mutandi ont présenté dans un épisode 2 le détail de leur méthodologie pour la prise en compte par les entreprises des exigences normatives et réglementaires en matière d’éthique et de devoir de vigilance.

Cette matinale du 23 mai au 3 rue du Louvre sur le thème de l’Entreprise vigilante était articulée autour des trois étapes : IdentifierTraiter et Rendre compte. Nous avons présenté les nouvelles exigences de la loi Sapin 2 et comment réaliser et mettre en œuvre un plan de vigilance en restant cohérent, transparent et raisonnable. La valeur ajoutée de l’engagement des parties prenantes et des exemples de modalités de leur implication ont également été introduits aux participants.

De multiples Directions d’entreprise au rendez-vous

Pourquoi privilégier une approche globale en réponse à ces exigences ?

De nombreuses entreprises réfléchissent au meilleur moyen de répondre aux exigences de la loi portant sur la transparence et sur la lutte contre la corruption du 9 décembre 2016, dite Sapin 2, entrée en application le 1er juin 2017. Un défi qui s’ajoute aux exigences d’autres lois visant à la maîtrise des risques éthiques et RSE, dans un cadre normatif de plus en plus robuste.

On note qu’avant même l’apparition en droit français d’exigences de vigilance en matière de droits humains, d’environnement ou encore de lutte contre la corruption, certaines entreprises avaient déjà fait l’objet de condamnations. Raison de plus pour anticiper la réalisation de ces risques, grâce à une approche globale permettant à l’entreprise de les identifier, de les traiter, et de rendre compte des actions mise en œuvre, idéalement dans le cadre d’un dialogue parties prenantes.

Focus sur la loi Sapin 2

La loi Sapin 2 contient des « must have » visant à prévenir les risques de corruption et de trafic d’influence :

– un code de conduite et des sanctions disciplinaires

– une cartographie des risques

– un dispositif de formation destiné aux cadres et aux personnels les plus exposés aux risques

– des procédures d’évaluation de la situation des partenaires d’affaires, et de contrôles comptables

– un dispositif d’alerte interne

Ces mesures sont semblables à celles introduites par la loi sur le devoir de vigilance. Pour rappel, le plan de vigilance qui doit être mis en œuvre par les entreprises visées comporte des mesures visant à prévenir les atteintes graves aux droits humains, à la santé et à la sécurité des personnes ainsi qu’à l’environnement. Il doit contenir :

– une cartographie des risques

– des procédures d’évaluation régulière de la situation des filiales, des sous-traitants ou fournisseurs

– des actions adaptées d’atténuation des risques ou de prévention

– un mécanisme d’alerte et de recueillement des signalements, établi en concertation avec les organisations syndicales

– un dispositif de suivi des mesures mise en œuvre et d’évaluation de leur efficacité

La loi Sapin 2 présente néanmoins quelques particularités : elle crée l’Agence française anticorruption, dédiée à la détection et à la prévention des atteintes à la probité avec une mission de sanction en cas de manquement d’une part, et d’aide et de contrôle préventif d’autre part. La loi Sapin 2 crée aussi le statut particulier de « lanceur d’alerte » dont pourra bénéficier une personne qui révèle ou signale, de manière désintéressée et de bonne foi, un crime, délit (…) ou une menace ou un préjudice grave pour l’intérêt général, dont elle a eu personnellement connaissance. Les notions de menace ou de préjudice grave pour l’intérêt général n’étant pas définies par la loi, elles seront soumises à l’interprétation du juge. En pratique, donc, si un employé répond à ces critères et divulgue des informations sur des faits non-éthiques auparavant « protégées » par leur caractère confidentiel, il pourra être qualifié de lanceur d’alerte et bénéficier de la protection civile et pénale face à son entreprise. Les entreprises doivent donc s’interroger sur ce qui constitue, dans leurs activités, des agissements non-éthiques.

Une chose est sûre : l’utilisation d’un dispositif d’alerte interne, et la nécessité d’une protection du lanceur d’alerte ne sont utiles que lorsque le plan de vigilance de l’entreprise n’a pas permis d’empêcher la réalisation d’un risque. La tendance actuelle est au traitement des différents risques par l’entreprise de façon isolée, par différentes directions. Nous pensons au contraire que tous les risques éthiques et RSE doivent être traités en cohérence. C’est pourquoi nous proposons une démarche globale consistant à identifier, traiter et rendre compte de tous les types de risques éthiques et RSE pris par les collaborateurs d’une entreprise.

Créer une culture de vigilance et changer les pratiques

Mettre en place un plan de vigilance, ce n’est pas seulement faire du reporting. L’exigence de mise en œuvre d’actions d’atténuation ou de prévention des risques (loi sur le devoir de vigilance), et l’exigence de mise en œuvre d’un dispositif de formation destiné aux cadres et aux personnels les plus exposés aux risques de corruption et de trafic d’influence (loi Sapin 2) vont en effet bien plus loin que cela.

Pour répondre efficacement à ces exigences, notre quatuor de cabinets experts propose aux entreprises, après une phase d’identification des risques, d’agir sur le traitement de ces risques éthiques et RSE en créant une culture de vigilance et en agissant sur les pratiques professionnelles et prises de décisions de leurs collaborateurs.

Notre méthodologie de travail

    1. Identifier

Il s’agit ici d’apprendre à connaître l’entreprise (ses enjeux, ses métiers, sa culture), et d’identifier ses principaux risques éthiques et RSE via la cartographie, pour pouvoir ensuite prioriser les risques à traiter par degré d’importance et cibler les « collaborateurs exposés » qui feront l’objet d’une attention particulière dans la démarche de traitement des risques.

L’implication des parties prenantes à cette étape peut se traduire, par exemple, par un apport d’expertise, une aide à l’élaboration ou à l’alimentation de la cartographie des risques ou par un avis sur celle-ci une fois produite, voire un travail de priorisation collaborative via le consensus.

2. Traiter

Il s’agit de construire et déployer un plan de vigilance et de déploiement définissant les changements souhaités et leviers d’accompagnement adaptés. L’entreprise peut par exemple souhaiter créer un « réflexe éthique » en couvrant les thèmes les plus pertinents pour chacun de ses métiers.

L’implication des parties prenantes à cette étape peut se traduire ici par un appui au design ou l’obtention d’un avis sur le plan de vigilance et de déploiement de l’entreprise, un apport d’idées de solutions pour traiter les risques prioritaires identifiés ou un partage d’expérience. Notons que pour embarquer et « garder à bord » les parties prenantes, il faut leur donner le statut de contributeurs et leur proposer des moyens de contribuer.

3. Rendre compte

Rendre compte, c’est évaluer les résultats de ce que l’on a mis en œuvre, et rendre accessible cette information aux parties prenantes intéressées.

Nous pensons que les parties prenantes de l’entreprise sont les mieux placées pour authentifier les intentions et progrès réalisés par l’entreprise. Les remontées de cas, le traitement des signalements et anomalies, l’évolution de la perception interne et externe et les gains business sont autant d’indices qui pourront témoigner de l’efficacité des mesures.

Conclusion

Parce que chaque risque qui se réalise est la conséquence d’une mauvaise décision prise par un – ou plusieurs – de ses collaborateurs, la dimension humaine et la culture d’entreprise sont des éléments cruciaux pour l’entreprise qui souhaite répondre aux nouvelles exigences en matière d’éthique et de devoir de vigilance.

Nous pensons que la confiance et l’implication de tous les collaborateurs d’une entreprise sont nécessaires pour répondre aux exigences normatives et réglementaires en matière d’éthique et de devoir de vigilance. Tout en formulant sa stratégie de vigilance, la direction de l’entreprise doit donc rassurer ses collaborateurs sur le fait qu’ils seront protégés par elle s’ils décident de remonter des informations sur des sujets sensibles. Elle doit les encourager et les accompagner dans une démarche cohérente, qui permettra la création d’une culture de vigilance et l’évolution des pratiques.

Pour que les collaborateurs sachent que le plan de vigilance est porté par le haut, cette démarche devrait idéalement être portée par la Direction Générale de l’entreprise. Dans tous les cas, son engagement est fondamental. On peut imaginer la création d’un « organe collectif » (Direction Juridique, DRH, Direction RSE ou DD, etc) ou encore d’un « comité de vigilance » rassemblant toutes les Directions clefs. Enfin, n’oublions pas que les initiatives de réponse aux exigences réglementaires en matière de vigilance figureront obligatoirement dans le rapport de gestion de l’entreprise, qui engage ses organes de gouvernance.

 

Pour obtenir plus d’informations sur cette offre, contactez Olivier Classiot : olivier.classiot@desenjeuxetdeshommes.com