Cartographie des risques de corruption : méthode pas à pas
.png)
La cartographie des risques de corruption est le pilier de tout dispositif anticorruption. C'est sur elle que reposent l'évaluation des tiers, le code de conduite, le plan de formation et, plus largement, l'ensemble des mesures que la loi n°2016-1691 du 9 décembre 2016 dite Sapin II impose aux entreprises assujetties à l'article 17. C'est aussi le premier document que demandent l'Agence française anticorruption (AFA) lors d'un contrôle, le Parquet national financier (PNF) dans le cadre d'une enquête, ou encore l'auditeur externe lorsqu'il évalue le dispositif.
Pour autant, la cartographie demeure, pour beaucoup de directeurs des risques et de dirigeants d'ETI, un exercice intimidant : par où commencer, avec quels moyens, selon quelle méthode, comment éviter qu'elle ne devienne un document figé, déconnecté de la réalité des opérations ? Le présent article se propose de dérouler, étape par étape, la méthode recommandée par l'AFA, en l'illustrant par les bonnes pratiques observées dans les entreprises qui ont franchi le cap.
Pourquoi la cartographie est un passage obligé
L'article 17 de la loi Sapin II érige la cartographie des risques de corruption en obligation pour les sociétés et groupes français employant au moins 500 salariés et réalisant un chiffre d'affaires d'au moins 100 millions d'euros. Au-delà de cette obligation légale, l'AFA, dans ses recommandations publiées au Journal officiel le 12 janvier 2021 et dans son Guide pratique anticorruption à destination des PME et ETI de novembre 2021, recommande à toutes les entreprises, quelle que soit leur taille, de réaliser une cartographie adaptée à leur exposition.
Trois raisons fondent cette priorité. La cartographie permet d'identifier les situations à risque que l'entreprise ne soupçonne pas : l'AFA donne ainsi l'exemple d'un responsable industriel qui verse un pot-de-vin à un expert externe pour valider un lot de produits défectueux, situation à laquelle un dirigeant ne penserait pas spontanément. Elle conditionne ensuite la pertinence de tout le dispositif : sans cartographie, les mesures de maîtrise sont calibrées au hasard, parfois surdimensionnées, parfois insuffisantes. Elle constitue enfin, dans le cadre d'une CJIP (Convention judiciaire d'intérêt public), un élément central de la démonstration de bonne foi de l'entreprise et de la robustesse de son programme de conformité.
Il convient de distinguer la cartographie des risques de corruption stricto sensu de la cartographie des risques de l'entreprise (risque industriel, risque cyber, risque de conformité bancaire). Si certaines briques peuvent être mutualisées, la cartographie anticorruption doit être identifiable comme telle, structurée selon les processus et scénarios spécifiques aux atteintes à la probité : corruption active et passive, trafic d'influence, prise illégale d'intérêt, favoritisme, détournement de fonds publics, concussion.
Avant de commencer : poser le cadre
La phase de cadrage est trop souvent négligée. Elle conditionne pourtant la qualité de l'exercice et l'adhésion des équipes. Plusieurs choix structurants doivent être opérés dès l'amont : sponsor, pilote, périmètre et maille d'analyse.
Désigner un sponsor au plus haut niveau
Le dirigeant joue un rôle clé. L'AFA insiste sur la nécessité d'un message clair adressé à l'ensemble du personnel pour annoncer le lancement de la démarche, en expliquer les objectifs et inviter chacun à y contribuer en toute transparence. Sans portage visible de la direction, les opérationnels resteront prudents, voire silencieux, lors des entretiens.
Confier le pilotage au responsable conformité
La cartographie est réalisée par la personne en charge des mesures anticorruption. Dans une ETI, il s'agit souvent du directeur juridique, du directeur des risques ou d'un compliance officer dédié. Le recours à un conseil externe est utile pour structurer la démarche ; il peut également, selon les entreprises, permettre aux salariés de mieux s'exprimer.
Définir le périmètre
Le périmètre doit couvrir l'ensemble des entités du groupe (filiales françaises et étrangères, joint-ventures contrôlées), tous les pays d'implantation et tous les processus susceptibles de générer un risque de corruption. Pour une première cartographie ou pour une PME-ETI, si l'exercice complet paraît trop difficile à mettre en œuvre, il peut être décidé de procéder en deux temps : prioriser une première année les entretiens avec les fonctions et les pays les plus exposés (commerciaux, acheteurs, salariés en contact avec des administrations, audit interne, finance, dans les pays présentant un indice de perception de la corruption élevé selon Transparency International), puis étendre l'exercice, l'année suivante, à l'ensemble des services et des géographies.
Choisir la maille d'analyse
L'analyse se fait par processus (vente, achat, ressources humaines, finance, production, direction générale) et par sous-processus (référencement d'un fournisseur, négociation des conditions annuelles, recrutement, paie, établissement des comptes). Cette granularité permet d'ancrer la cartographie dans le réel et d'éviter le piège des risques génériques, copiés-collés d'une entreprise à l'autre, qui ne déclenchent aucune action concrète.
Étape 1 : identifier les scénarios de risque
L'identification se fait essentiellement par entretiens avec les opérationnels qui maîtrisent les processus réellement appliqués : directeurs de fonction, responsables, mais aussi personnels de terrain qui sont souvent ceux qui ont accès à des données pratiques. C'est cette confrontation au réel qui distingue une cartographie utile d'un document théorique.
Les fonctions à interroger en priorité
Les commerciaux et les acheteurs occupent les deux extrémités de la chaîne d'échange avec les tiers. Les salariés en contact avec des administrations pour des autorisations, agréments ou avis (douanes, urbanisme, environnement, fiscalité) sont également exposés, tout comme ceux qui sont en relation avec des intermédiaires commerciaux (agents, apporteurs d'affaires, distributeurs). La fonction finance et la comptabilité voient passer les flux et peuvent identifier les anomalies ; l'audit interne et le contrôle interne, lorsqu'ils existent, jouent un rôle complémentaire. Les ressources humaines doivent être entendues, en particulier sur les processus de recrutement et d'évaluation. Enfin, les équipes M&A, communication, mécénat et sponsoring, dont les opérations sont par nature exposées, complètent ce panel.
Les questions à poser
Les entretiens doivent être structurés autour de questions concrètes. Avec quels tiers (fournisseurs, clients, intermédiaires, agents publics, personnes politiquement exposées) la fonction est-elle en relation ? Dans quels pays opère-t-elle et quel est leur niveau d'exposition ? Quelles sont les situations dans lesquelles un avantage indu pourrait être sollicité ou offert : cadeaux, invitations, recrutement de complaisance, facilitation de paiements, sponsoring, embauche de proches d'un décideur public ? Quelles décisions sont prises par une seule personne, sans contrôle ? Quelles mesures de maîtrise existent déjà dans la fonction : séparation des tâches, règle des quatre yeux, seuils d'autorisation, contrôles informatiques ?
Documenter chaque scénario
Pour chaque situation à risque identifiée, il convient de rédiger un libellé précis, lié à un processus ou sous-processus, et formulé de manière à pouvoir être coté. Un libellé du type « risque de corruption commerciale » est trop vague ; un libellé du type « un commercial accorde un rabais excessif à un client en échange d'un avantage personnel » permet, lui, d'évaluer une probabilité, un impact et des dispositifs de maîtrise.
Étape 2 : évaluer les risques bruts
Le risque brut, ou risque inhérent, est le risque tel qu'il existerait en l'absence de toute mesure de maîtrise. La cotation repose classiquement sur deux dimensions : la probabilité de survenance et la gravité de l'impact. L'AFA distingue une troisième dimension : les facteurs aggravants.
Construire des échelles claires
Une échelle à quatre niveaux (faible, modéré, fort, majeur) est généralement suffisante et permet de mieux distinguer les niveaux de risques qu'une échelle à trois niveaux. Chaque niveau doit être défini par des critères objectifs : pour la probabilité, la fréquence d'occurrence du processus, le nombre de tiers concernés, l'historique d'incidents, la pratique observée chez les concurrents. Pour l'impact, on combinera les conséquences financières (amendes, dommages-intérêts), juridiques (poursuites pénales contre l'entreprise et les dirigeants), réputationnelles (médias, perte de clients, exclusion d'appels d'offres) et opérationnelles (suspension d'activité, retrait d'agrément). Pour les facteurs aggravants, un coefficient de gravité doit être déterminé au regard de l'activité de l'entreprise et de son exposition à ces risques.
Coter scénario par scénario
Chaque scénario fait l'objet d'une cotation argumentée, idéalement validée collégialement (responsable conformité, responsable de la fonction concernée, et le cas échéant audit interne). Les hypothèses retenues sont consignées par écrit : c'est cette traçabilité qui permettra, lors d'une mise à jour ou d'un contrôle, de comprendre la logique d'évaluation.
Étape 3 : recenser les dispositifs de maîtrise existants
Il est rare qu'une entreprise ne dispose d'aucun dispositif de maîtrise. Le contrôle interne, la séparation des tâches, les délégations de pouvoir, les politiques achats, les chartes éthiques constituent autant de mesures qui, sans avoir été conçues spécifiquement pour la lutte anticorruption, contribuent à réduire le risque.
Pour chaque scénario, on identifiera donc les dispositifs de prévention (politique cadeaux et invitations, gestion des conflits d'intérêts, évaluation de l'intégrité des tiers, formation, code de conduite), les dispositifs de détection (contrôle comptable, dispositif d'alerte interne, audit interne, contrôles informatiques bloquants) et les dispositifs de remédiation (procédure d'enquête interne, sanctions disciplinaires, autodénonciation aux autorités).
Chaque dispositif est apprécié au regard de sa conception (existe-t-il, est-il documenté ?) et de son effectivité (est-il connu, appliqué, contrôlé ?). Une politique cadeaux non communiquée et non contrôlée n'est pas un dispositif de maîtrise effectif.
Étape 4 : coter le risque net et hiérarchiser
Le risque net, ou risque résiduel, est le risque qui subsiste après prise en compte des dispositifs de maîtrise existants. Sa cotation se fait au regard de l'efficacité de chacune des mesures existantes. La différence entre risque brut et risque net traduit donc cette efficacité : une différence importante signale un dispositif robuste, une différence faible alerte sur des mesures insuffisantes ou peu effectives.
La hiérarchisation des risques nets permet de produire la matrice de cartographie : les scénarios à risque résiduel élevé deviennent prioritaires, les scénarios à risque résiduel faible peuvent être surveillés sans action immédiate. Cette hiérarchisation est l'outil de pilotage majeur du dirigeant et du conseil d'administration : elle leur dit, en une page, où l'entreprise est exposée et où elle doit investir.
Étape 5 : élaborer le plan d'actions
Le plan d'actions transforme la cartographie en un document opérationnel. Pour chaque risque jugé insuffisamment maîtrisé, il définit les mesures complémentaires à mettre en œuvre.
Un plan d'actions efficace comporte, pour chaque action, une description précise de la mesure (par exemple : « insérer une validation formalisée par le responsable commercial pour tout écart de prix supérieur à X % détecté lors de la saisie de la commande »), un pilote ou propriétaire officiellement nommé et responsable de la mise en œuvre, une échéance réaliste, un indicateur de suivi (taux de complétude, nombre de contrôles réalisés) et le risque résiduel cible une fois la mesure déployée.
Le plan d'actions doit être présenté à l'instance dirigeante et, lorsqu'il existe, à l'organe de contrôle (conseil d'administration, comité d'audit). Sa validation formelle est essentielle : elle engage la gouvernance et donne au responsable conformité les leviers nécessaires pour sa mise en œuvre.
Étape 6 : formaliser, documenter, communiquer
La cartographie n'est pas seulement une photographie, c'est aussi un dossier. L'AFA insiste, dans ses recommandations comme dans ses contrôles, sur la nécessité de conserver la trace écrite de l'exercice.
Le dossier de cartographie comprend le document de cartographie lui-même (généralement un tableau structuré recensant les processus, les scénarios, les cotations brute et nette, les dispositifs et le plan d'actions), la note méthodologique qui explique le périmètre, les échelles, les hypothèses et la gouvernance de l'exercice, les comptes rendus d'entretiens (anonymisés si nécessaire pour libérer la parole), les procès-verbaux de validation par la direction et par l'organe de contrôle, ainsi que le plan d'actions et son tableau de suivi.
Une communication interne adaptée doit accompagner la diffusion. Il ne s'agit pas de publier la cartographie dans son intégralité, ce qui pourrait fournir une feuille de route à un collaborateur mal intentionné, mais de partager avec chaque fonction les risques qui la concernent et les mesures associées.
La mise à jour : un exercice continu
« Penser que l'on fait une cartographie une fois pour toutes » figure parmi les pièges signalés par l'AFA. La cartographie est un document vivant, qui doit refléter en permanence la réalité de l'entreprise et de son exposition. Cette dynamique se traduit par une mise à jour périodique, une mise à jour événementielle, et une articulation permanente avec l'évaluation des tiers.
Une mise à jour périodique
La pratique converge vers une mise à jour annuelle ou bisannuelle, selon la taille et la complexité de l'organisation. Elle ne consiste pas à refaire l'exercice intégralement : il s'agit de revisiter chaque scénario, de vérifier la pertinence des cotations, de mesurer l'avancement du plan d'actions et d'intégrer les évolutions de l'environnement (nouvelles réglementations, nouvelles jurisprudences, nouveaux schémas de fraude observés dans le secteur).
Une mise à jour événementielle
Certains événements imposent une mise à jour immédiate, sans attendre l'échéance régulière. Une opération de croissance externe (acquisition d'une cible, joint-venture, prise de participation) doit être précédée d'une due diligence anticorruption et suivie de l'intégration de la cible dans la cartographie. L'entrée sur un nouveau marché géographique ou sectoriel, le lancement d'un nouveau produit ou service susceptible de modifier les flux ou les contreparties, une réorganisation interne (création ou suppression de directions, externalisation, internalisation), ou encore un incident significatif (alerte interne avérée, enquête judiciaire, sanction prononcée par une autorité, défaillance du dispositif détectée par l'audit interne) appellent une révision sans délai.
L'articulation avec l'évaluation des tiers
La cartographie alimente directement la procédure d'évaluation des tiers (clients, fournisseurs, intermédiaires, cibles d'acquisition) : elle détermine les catégories de tiers à évaluer, les niveaux de diligence à appliquer (light, standard, renforcée) et les seuils de déclenchement. Réciproquement, les anomalies détectées lors des due diligences nourrissent la révision de la cartographie. C'est cette circularité qui rend le dispositif vivant.
Les facteurs clés de succès
L'expérience montre que les cartographies réussies partagent un petit nombre de caractéristiques. Un portage visible et constant du dirigeant, qui ne se limite pas à la signature d'un message d'introduction mais se prolonge dans l'allocation des moyens et la validation du plan d'actions, constitue le premier facteur. La cartographie doit ensuite avoir un ancrage opérationnel : elle est construite avec ceux qui font, pas seulement avec ceux qui pilotent. Une méthode documentée et stable permet de comparer dans le temps et de défendre les choix devant un auditeur, l'AFA ou un juge. Un plan d'actions tenu et suivi vaut mieux qu'une cartographie exhaustive qui resterait sans suite. Une mise à jour régulière, intégrée au calendrier de gouvernance de l'entreprise au même titre que la clôture comptable ou la revue stratégique, garantit la pérennité du dispositif. Enfin, une articulation explicite avec les autres dispositifs (code de conduite, formation, évaluation des tiers, alerte interne, contrôle comptable) renforce la cohérence d'ensemble.
À l'inverse, les cartographies qui échouent sont presque toujours celles qui n'ont pas reçu le soutien effectif de la direction, qui reposent sur une liste de risques génériques copiée d'une autre entreprise, ou qui ne donnent pas lieu à un plan d'actions opérationnel.
Questions fréquentes
Quelles entreprises sont tenues de réaliser une cartographie des risques de corruption ?
L'article 17 de la loi Sapin II impose la cartographie aux sociétés et groupes français employant au moins 500 salariés et réalisant un chiffre d'affaires d'au moins 100 millions d'euros. L'AFA recommande toutefois à toutes les entreprises, quelle que soit leur taille, de réaliser une cartographie adaptée à leur exposition, position confirmée par son Guide pratique à destination des PME et ETI de novembre 2021.
Quelles fonctions de l'entreprise faut-il interroger en priorité ?
Les commerciaux et les acheteurs, les salariés en contact avec des administrations, ceux en relation avec des intermédiaires commerciaux, la fonction finance et comptabilité, l'audit et le contrôle interne, les ressources humaines, ainsi que les équipes M&A, communication, mécénat et sponsoring. Ce sont les fonctions les plus exposées aux situations de corruption et celles qui détiennent l'information opérationnelle nécessaire à l'identification des scénarios.
Quelle est la différence entre risque brut et risque net ?
Le risque brut, ou risque inhérent, est le risque tel qu'il existerait en l'absence de toute mesure de maîtrise. Le risque net, ou risque résiduel, est celui qui subsiste après prise en compte des dispositifs existants. La différence entre les deux traduit l'efficacité du dispositif de maîtrise : une différence importante signale un dispositif robuste, une différence faible alerte sur des mesures insuffisantes.
À quelle fréquence faut-il mettre à jour la cartographie ?
La pratique converge vers une mise à jour annuelle ou bisannuelle, selon la taille et la complexité de l'organisation. Cette mise à jour périodique ne dispense pas d'une révision événementielle immédiate en cas d'acquisition, d'entrée sur un nouveau marché, de réorganisation interne ou d'incident significatif tel qu'une alerte avérée ou une enquête judiciaire.
Que doit contenir le dossier documentaire de la cartographie ?
Le dossier comprend le document de cartographie lui-même, une note méthodologique expliquant le périmètre, les échelles et la gouvernance de l'exercice, les comptes rendus d'entretiens (anonymisés si nécessaire), les procès-verbaux de validation par la direction et par l'organe de contrôle, ainsi que le plan d'actions et son tableau de suivi. Cette traçabilité est exigée par l'AFA lors de ses contrôles.
Comment la cartographie s'articule-t-elle avec l'évaluation des tiers ?
La cartographie détermine les catégories de tiers à évaluer, les niveaux de diligence à appliquer (light, standard, renforcée) et les seuils de déclenchement. Réciproquement, les anomalies détectées lors des due diligences nourrissent la révision de la cartographie. Cette circularité est l'un des marqueurs d'un dispositif vivant et effectif.
La cartographie peut-elle servir devant les autorités en cas d'enquête ?
Oui. Dans le cadre d'une CJIP, la cartographie constitue un élément central de la démonstration de bonne foi de l'entreprise et de la robustesse de son programme de conformité. C'est aussi le premier document que demandent l'AFA lors d'un contrôle, le PNF dans le cadre d'une enquête, ou l'auditeur externe lorsqu'il évalue le dispositif.
Conclusion
La cartographie des risques de corruption n'est ni un exercice académique, ni une formalité réglementaire. C'est, pour le directeur des risques et le dirigeant d'ETI, l'outil central de pilotage du dispositif anticorruption : elle dit où sont les vulnérabilités, ce qui est en place, ce qui manque et ce qu'il faut faire. Construite avec rigueur et entretenue avec discipline, elle protège l'entreprise, ses dirigeants et ses collaborateurs. Construite à la hâte ou laissée à l'abandon, elle laisse l'entreprise vulnérable et expose ses dirigeants. Les études montrent que les entreprises progressent, mais que la mise à jour de la cartographie reste l'un des points faibles, souvent du fait de l'ampleur de la tâche. C'est précisément sur ce terrain que se joueront, dans les prochaines années, la maturité des programmes de conformité et la crédibilité des entreprises face aux autorités.
Pour toute question, écrivez-moi : mlancri@squairlaw.com
.png)
