Quel impact aura la loi Sapin 2 sur le SI des entreprises

Code de bonne conduite, statut du salarié lanceur d’alerte, cartographie des risques… La loi Sapin 2 qui entre en application le 1er juin comprend un certain nombre de mesures dont certaines auront un impact sur le système d’information.

De 179 et 990 milliards d’euros par an. C’est ce que coûterait la corruption à l’Union européenne selon une étude du think tank Rand Europe publiée en mars 2016 sur le site du parlement européen. La France est relativement épargnée par ce fléau, arrivant à la cinquième place des pays les plus vertueux derrière le Danemark, la Belgique, la Suède et le Luxembourg.

Notre pays s’est doté d’un arsenal juridique pour lutter plus efficacement contre le phénomène. Votée fin 2016, la loi Sapin 2 s’appliquera au 1er juin prochain aux sociétés employant plus de 500 salariés et dont le chiffre d’affaires dépasse les cent millions d’euros. Les grosses PME sont donc concernées.

Une loi qui a un caractère coercitif. L’Agence française anticorruption (AFA) récemment créée peut émettre de simples avertissements, mais aussi prononcer des sanctions s’élevant à 200.000 euros pour une personne physique et à un million d’euros pour une personne morale.

Pour être en conformité, l’entreprise doit rédiger un code de conduite anti-corruption soumis à signature aux salariés. Puis, elle mettra en place un dispositif d’alerte en interne pour recueillir les soupçons de corruption, la loi créant un statut de salarié lanceur d’alerte protégé.

Il s’agira, par ailleurs, de dresser une cartographie des risques. « La gouvernance globale d’entreprise et notamment le service juridique, la DAF, le département RH, l’audit interne… devront analyser les risques d’exposition de la société aux manœuvres frauduleuses », avance Arnaud Audo, expert-comptable associé au cabinet Fideliance.

Cette exposition aux risques dépend de l’activité, du pays ou de la typologie des clients et des fournisseurs. Par exemple, un acheteur peut considérer que les cadeaux font partie des avantages acquis liés à sa fonction. Un commercial qui travaille à 80 % avec un seul client présente également un risque potentiel.

Une norme ISO dédiée

Dans ce combat, les entreprises ne partent pas de zéro. Elles peuvent s’appuyer sur le cadre juridique qui existe déjà en matière de prévention des risques de fraude avec la loi Sarbanes–Oxley (SOX) née aux États-Unis en 2002 et la Loi sur la Sécurité Financière (LSF) adoptée en France en 2003.

« La lutte contre la fraude se base sur la recherche des incohérences, l’analyse de comportements anormaux, note Christian Gabenesch, ingénieur spécialiste des systèmes d’information et de la sécurité informatique chez Fideliance. Ce n’est pas suffisant dans le cas de la corruption, qui peut être couverte par un contrat tout à fait valide. »

Les entreprises compléteront donc le dispositif en s’appuyant sur des référentiels de bonnes pratiques avec la norme ISO 27001 sur la sécurité de l’information, et surtout la norme ISO 37001 dédiée aux systèmes de management anti-corruption, dont la première version est sortie en octobre 2016. Un audit permettra ensuite de démontrer que l’entreprise remplit les obligations de cette norme.

C’est là qu’intervient le système d’information qui va aider à détecter les cas de corruption à partir des risques identifiés lors de la cartographie. « Le SI va mettre en exergue des exceptions qui sortent de la moyenne, des ratios définis », reprend Christian Gabenesch. Comme des tarifs qui sortent du cadre habituellement pratiqué.

Il s’agit aussi de tracer les événements pour les rendre auditables. Un contrat commercial d’un certain montant empruntera ainsi un workflow d’approbation, avec une séparation entre celui qui fait et celui qui valide. Il sera envoyé au responsable hiérarchique du commercial puis à un tiers de confiance qui peut être le service juridique ou la DAF.