L’Agence française anticorruption (AFA) a publié de nouvelles recommandations le 20 juillet 2021 visant à orienter les acteurs publics vers une prévention et une détection des risques auxquels ils seront susceptibles de faire face.
L’actualisation recommandations de l’AFA pour les acteurs publics
La loi Sapin II a donné pour mission à l’AFA d’élaborer des « recommandations destinées à aider les personnes morales de droit public et de droit privé à élaborer les fats de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêts, de détournement de fonds publics et de favoritisme ».
La dernière actualisation de ces recommandations permet la mise à jour et l’enrichissement des recommandations émises, pour la première fois, en décembre 2017.
Dans ce guide, l’AFA rappelle que ses recommandations ne créent pas d’obligation juridique. Cependant, elles indiquent la bonne pratique à suivre qui favorise la recherche de conformité des acteurs publics. Dès lors, en cas de manquement, tout acteur public qui choisirait de ne pas les suivre devra être en mesure de démontrer que la méthode suivie satisfait aux exigences de la loi.
Afin que ces recommandations puissent servir à la prévention des différents profils de risques de chaque organisation, l’AFA rappelle qu’elles sont à adapter.
Les paramètres suivants sont alors à prendre en considération :
- Gouvernance ;
- Organisation ;
- Implantation géographique ;
- Taille ;
- Catégorie de tiers ;
- Domaine d’activité.
L’actualisation des recommandations apporte des précisions méthodologiques en matière de cartographie et gestion des risques, ainsi que sur l’articulation des dispositifs anticorruption.
Afin d’orienter au mieux les acteurs publics dans leurs démarches, l’AFA a aligné son dispositif de prévention et détection des atteintes à la probité sur les mesures définies à l’article 17-II de la loi Sapin II.
Ainsi, les recommandations de l’AFA pour les acteurs publics sont scindées en trois piliers indissociables :
- L’engagement de l’instance dirigeante ;
- La cartographie des risques ;
- La gestion des risques.
1. L’engagement de l’instance dirigeante
Selon l’AFA, il est nécessaire que les instances dirigeantes fassent preuve d’un comportement exemplaire pour que les recommandations puissent être légitimement applicables aux entités publiques.
Par conséquent, l’Agence française anticorruption procède à l’identification de l’instance dirigeante comme étant « les personnes -élues ou nommées- disposant du pouvoir de gérer une personne morale publique ».
L’instance dirigeante doit alors veiller au respect d’un ensemble réglementaire concourant à la probité telles que notamment es obligations :
- anticorruption prévues par la loi Sapin II et le décret du 19 avril 2017 ;
- déontologiques ;
- issues du code général des collectivités territoriales, des règles de la commande publique, du décret GBCP.
L’instance dirigeante étant responsable de l’entité, la décision de mettre en place un dispositif anticorruption lui incombe. Elle doit alors :
- Adopter un comportement personnel exemplaire ;
- Respecter les lois et décrets instaurant des dispositifs concourant à la probité ;
- Diffuser la culture de la conformité anticorruption ;
- Faire de la lutte contre la corruption une priorité.
L’AFA rappelle qu’il est possible pour les entités dirigeantes de déléguer la mise en place du dispositif à un collaborateur ou à un service (tout en restant personnellement responsable). Dans ce cas, cette délégation devra faire l’objet d’un communiqué à l’ensemble des personnels sous forme de lettre de mission.
2. La cartographie des risques
Afin d’être maîtriser au mieux, les risques d’atteintes à la probité doivent être connus. C’est en ce sens que l’AFA recommande de cartographier ces risques.
Cette cartographie permet donc d’identifier, d’évaluer et de hiérarchiser les risques d’atteintes à la probité auxquels l’acteur public pourrait être exposé.
Pour ce faire, l’AFA recommande de respecter 6 étapes.
- 1ère étape – Répartir les rôles et responsabilités entre :
- L’instance dirigeante ;
- Le collaborateur ou le service responsable ;
- Les responsables processus ;
- Le responsable risques et ;
- Les personnels.
- 2ème étape – Recensement des processus et scénarios de risques en :
- Recensant sur base des activités exercées sans opérer de sélection a priori de processus jugés risqués ;
- Échangeant sur chaque processus par des ateliers, entretiens, questionnaires avec tous les personnels qui maîtrisent les processus ;
- Listant les scénarios de risques spécifiques à l’acteur public.
- 3ème étape – Évaluation des risques bruts ayant pour objectif d’évaluer le niveau de vulnérabilité de l’acteur public pour chaque scénario de risque par une méthodologie homogène. Cette méthodologie homogène permet alors l’agrégation entre les différents métiers, filiales, zones géographiques.
- 4ème étape – Évaluation des risques nets ou résiduels
- 5ème étape – Hiérarchisation des risques nets ou résiduels et élaboration du plan d’actions
- 6ème étape – Formalisation, mise à jour et archivage de la cartographie des risques : l’AFA rappelle la nécessité éventuelle d’actualiser annuellement la cartographie.
Pour que cette cartographie des risques soit utile, il est nécessaire que les acteurs publics soient en mesure de gérer ces risques.
3. La gestion des risques
Dans ses recommandations pour les acteurs publics, l’AFA juge nécessaire que ces derniers gèrent les risques auxquels ils pourraient faire face en :
- Les prévenant ;
- Les détectant ;
- Remédiant aux manquements.
Prévenir des risques
Les entités dirigeantes doivent alors élaborer un code de conduite qui permet de définir en les illustrant les comportements (susceptibles de constituer des atteintes à la probité) à éviter.
Les chefs de service de l’entité doivent alors signer code de conduite et l’intégrer au règlement intérieur.
L’AFA préconise aux acteurs publics de former et sensibiliser les équipes aux risques auxquels ils pourraient être confrontés.
Par ailleurs, afin de prévenir des risques auxquels des tiers pourraient exposer les entités publiques, il faut que ces dernières procèdent à une évaluation de l’intégrité des tiers fondée sur la cartographie des risques.
Dans ses recommandations, l’AFA détaille comment l’évaluation de l’intégrité des tiers devrait avoir lieu. Elle conseille, à cet effet, aux acteurs publics d’élaborer « une base de données interne consacrée aux tiers, conforme à la réglementation, actualisée et sécurisée ».
Pour éviter au maximum la survenance de risques, il est primordial de pouvoir les détecter.
Détecter les risques
Afin de maximiser les chances de détecter un risque avant sa survenance, les entités doivent mettre en place un dispositif d’alerte interne.
Ce dispositif a pour but de faire porter à la connaissance d’un référent dédié les comportements ou situations pouvant exposer l’entité à un risque de d’atteinte à la probité.
Pour qu’il soit efficace, le dispositif devra être adapté au profil de risque de l’acteur public. Sa gestion pourra être sous-traitée à un tiers disposant des compétences nécessaires et garantissant le respect de la confidentialité. Le sous-traitant devra alors faire l’objet de contrôles réguliers.
L’AFA conseille aux acteurs publics d’avoir recours à des contrôles internes, et notamment à des contrôles comptables.
Remédier aux manquements
Lorsque des manquements aux dispositifs mis en place ont lieu, ils sont analysés afin d’en identifier l’origine et d’y remédier.
L’acteur public peut prononcer des sanctions disciplinaires à l’encontre d’un collaborateur qui a fauté.
En conclusion, dans ses recommandations pour les acteurs publics, l’AFA indique comment éviter la survenance des risques d’atteintes à la probité. En suivant scrupuleusement ces recommandations, les acteurs publics sont donc censés être protégés de ces risques.
Virginie Bensoussan-Brulé
Lexing Contentieux numérique
Naomi Melki, Stagiaire
École HEAD – M2 Droit du numérique et propriété intellectuelle