Anti-Corruption Certification

To get certified

Conduire des due diligences sur les tiers qui travaillent pour ou avec l’entreprise apparait d’entrée prudent et nécessaire. Mais qu’en est-il pour les clients ?

Faut-il conduire des due diligences anti-corruption sur ses clients, et si oui, comment ? C’est l’une des questions qui m’a souvent été posée.

Conduire des due diligences sur les tiers qui travaillent pour ou avec l’entreprise est une précaution utile. Si la tierce partie en question présente un risque de corruption, il est possible d’atténuer ce risque en introduisant des clauses d’anti-corruption dans le contrat, d’ajuster les modalités de travail, de la convier à des formations anti-corruption, de conduire un monitoring plus poussé, d’exercer un droit d’audit, et d’effectuer des contrôles ultérieurs.

Conduire des due diligences sur les clients a-t-il autant de sens ? S’ils présentent un risque de corruption, il parait difficile – pour ne pas dire impossible – d’exiger de leur part des engagements écrits d’intégrité, de les convier à des formations de prévention à la corruption, d’exercer un droit d’audit, ou d’effectuer des contrôles.

Malgré ces difficultés, il est utile - voire dans certains cas nécessaire - de conduire des due diligences anti-corruption sur les clients : c’est une exigence de la norme ISO 37001, une obligation de la loi française Sapin II et une recommandation que l’on retrouve notamment dans les directives du US Department of Justice.

Dans la norme ISO 37001, les clients sont des Partenaires Commerciaux

A divers endroits la norme fait référence aux partenaires commerciaux, notamment lorsqu’il s’agit des risques de corruption auxquels l’organisation risque d’être exposée par le biais des clients. La norme définit les partenaires commerciaux comme des « parties externes avec qui l’organisme entretient, ou prévoit d’établir, une certaine forme de relation commerciale. »

La norme précise que les “Les partenaires commerciaux comprennent notamment les clients, les entreprises communes, les partenaires d’entreprise commune, les partenaires de consortium, les prestataires de services externalisés, les sous-traitants, les consultants, les sous-contractants, les fournisseurs, les vendeurs, les conseillers, les agents, les distributeurs, les représentants, les intermédiaires et les investisseurs. Cette définition est délibérément large et il convient qu’elle soit interprétée conformément au profil de risque (3.12) de corruption de l’organisme à appliquer aux partenaires commerciaux qui peuvent raisonnablement exposer l’organisme à des risques de corruption. 

La norme poursuit en précisant que « Différents types de partenaires commerciaux représentent différent types et degrés de risques de corruption. Un organisme disposera d’un degré d’influence différent pour les différents types de partenaires. Différents types de partenaires commerciaux peuvent être traités de manière différente dans le cadre de l’évaluation des risques de corruption et des procédures de gestion des risques de corruption de l’organisme. » 
L’obligation de conduire des due diligences sur les clients dans la Loi Française Sapin II

Dans son article 17.II.4, la loi Sapin II, entrée en vigueur en juin 2017, impose aux entreprises « des procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie de risque,” aussi exigés dans l’article 17.II.3.


Clairement dans la loi Sapin, les due diligences sur les clients doivent se faire au regard des conduites avec les autres tiers, les due diligences clients doivent être des évaluations graduées selon les risques.

L’identification du risque associé aux clients : une recommandation du US FCPA Resources Guide

Déjà en 2008, l’Opinion Procedure Release (OPR 08-14) des autorités américaines avait identifié le risque posé par les transactions avec des clients gouvernementaux et recommandait de procéder à des due diligences sur ses clients.

Plus tard en 2012, le chapitre 5 du Guide documentaire sur le FCPA publié par les autorités américaines recommandait aux entreprises d’avoir une claire compréhension des risques issus des transactions avec des clients publics ou privés.

Dans le même chapitre, la section « évaluation du risque » recommande de mettre en œuvre une approche graduée selon les risques : « conduire des due diligences (…) indépendamment des facteurs de risques est souvent contreproductif. (…) Si le risque d’infraction au FCPA augmente, l’entreprise doit envisager d’accroitre ses procédures de conformité y compris ses due diligences et ses contrôles internes. »

Comment devrait être organisé une analyse graduée ?

Trois types de clients : trois niveaux de risques

Il est classique de distinguer trois types de relations commerciales : avec des administrations (BtoA), avec d’autres entreprises (BtoB), avec des consommateurs individuels (BtoC). Cette distinction est particulièrement pertinente lorsqu’il s’agit de conduire des due diligences basées selon les risques.

Le client est une administration : risque élevé

Lorsque le client est une administration le risque doit être considéré comme élevé. Non seulement parce que les lois sanctionnent souvent plus sévèrement le délit de corruption d’agent public au niveau national comme au niveau international, mais parce que le risque de corruption est intrinsèquement élevé lors de ces transactions.

Les administrations disposent d’un budget annuel qui est le fruit automatique de la collecte des impôts et des taxes. Les agents publics bénéficient généralement d’un emploi à vie sans possibilité de licenciement même si leur administration connait un déficit majeur. Le contrôle de la dépense publique est donc de facto beaucoup moins rigoureux que dans le secteur privé et les sanctions y sont rares. De surcroit, les collusions qui peuvent exister entre l’administration et le pouvoir politique peuvent générer des possibilités de financement occulte de partis ou d’hommes politiques.

Pour toutes ces raisons, les entreprises qui ont des administrations publiques comme clients doivent considérer ces transactions comme présentant apriori un risque élevé. Ce risque peut ensuite être pondéré par des indicateurs pays, comme l’indice de Transparency International, qui indiquent si l’environnement politico-social est plus ou moins propice à la corruption.

Le client est une entreprise : risque moyen

Lorsque le client est une entreprise le risque peut être considéré comme moyen. Non que les possibilités de corruption y soient intrinsèquement moindres que dans le secteur public mais parce que l’entreprise cliente a un intérêt majeur à prévenir la corruption dans sa chaîne logistique.

Le but économique d’une entreprise est de générer des bénéfices. Les bénéfices résultent pour une grande partie de l’écart entre le prix de ce qu’elle achète d’un côté (biens et services) et le prix auquel elle les vend de l’autre. Il est donc fondamental pour la rentabilité d’une entreprise de contrôler très strictement le coût de ses achats. Or si un acheteur est corrompu par un fournisseur, l’entreprise n’achètera pas au meilleur rapport qualité/prix. L’entreprise contrôle donc très strictement l’intégrité dans ces processus d’achat pour assurer sa compétitivité. La corruption lors d’une transaction avec une autre entreprise est certes possible mais est donc plus difficile à réaliser qu’avec une administration.

La vigilance permanente de l’entreprise acheteuse est un obstacle important à la corruption qui permet de considérer que les relations commerciales avec une autre entreprise peuvent être classées comme moyenne. Ce risque peut ensuite être pondéré selon d’autres critères : le risque pays comme évoqué précédemment (TI IPC), ou la complexité de la transaction. Si le client est une entreprise publique, il sera nécessaire de se poser la question de son type de gouvernance pour décider s’il faut la considérer comme une « administration » (BtoA) ou une « entreprise » (BtoB).

Le client est un consommateur : risque inexistant

Si le client est un consommateur le risque est inexistant.  Pour qu’il y ait un acte de corruption, il faut qu’il y ait une possibilité de conflit d’intérêt entre l’individu et l’organisation qu’il représente. Cette possibilité de conflit d’intérêt existe dans le cadre des relations BtoA ou BtoB. Elle est absente dans le cadre des relations BtoC.

Cela ne veut pas dire qu’une entreprise ne vendant qu’à des clients individuels n’a aucun risque de corruption. Cela signifie simplement qu’elle n’a aucun risque de corruption active dans ses opérations de vente avec ses clients. Elle peut bien sûr être confrontée à des risques de corruption, par exemple dans des relations avec l’administration à l’occasion par exemple d’obtention de permis, de contrôle réglementaire, ou fiscaux. Elle peut également être confrontée à des risques de corruption passive, en interne, dans le cadre de sa propre chaîne logistique.

Due diligences clients, quelles conséquences pour l’entreprise ?

Les due diligences qu’une entreprise met en œuvre à l’égard des tierces parties qui travaillent avec elle ou pour elle lui permettent d’évaluer le risque de corruption et d’en tirer des conséquences quant à la relation contractuelle et à la modalité de travail que l’entreprise va établir avec ces tiers.

Les due diligences qu’une entreprise met en œuvre à l’égard des clients ont un objectif différent. L’entreprise n’aura aucune – ou pratiquement aucune – capacité d’influence sur la modalité de travail avec ses clients, surtout si ce dernier est un client public qui a toute autorité pour imposer ses propres conditions.

En revanche, le risque identifié dans la relation avec le client va permettre à l’entreprise de définir des procédures de prévention en amont plus ou moins robustes en fonction du risque de corruption identifié. Ainsi, si l’entreprise a comme client une administration qui présente, en soit, un risque élevé et qui de surcroit opère dans un pays mal noté dans le classement de Transparency International, elle devra faire preuve d’une vigilance amont et d’un contrôle aval plus important que si son client est une entreprise réputée pour son intégrité dans un pays bien noté par TI.

Tierces parties ou clients, l’entreprise doit dans tous les cas conduire des due diligences graduées sur les risques en gardant simplement à l’esprit que les conséquences à en tirer seront différentes : les mesures de prévention seront axées sur les tierces parties dans le premier cas, axées sur l’entreprise elle-même dans le second.

You want to share an idea:

Search

Follow Experts

Give us your email to be notified of the latest posts.