Risque fournisseurs: comment répondre aux exigences des lois Sapin 2 et Devoir de vigilance ?

Volkswagen, Lafarge, Lidl... Les affaires liées à la RSE et impliquant de grandes entreprises ont explosé ces derniers mois. Quand les fournisseurs sont directement responsables, à l'instar de ceux de BP dans le golfe du Mexique, l'opinion ne retient que la responsabilité des donneurs d'ordres. Ces derniers sont donc soumis depuis 2012 à une obligation de vigilance, à distinguer du devoir de vigilance : c'est l'obligation de récupérer certains documents pour lutter contre le travail dissimulé. Le devoir de vigilance quant à lui impose des bonnes pratiques sociales et environnementales plus larges, concernant les fournisseurs et filiales de certaines entreprises françaises, partout dans le monde. C'est la première disposition à aller aussi loin en incluant l'ensemble de la chaîne d'approvisionnement, même il pourrait lui être reproché de relever de la soft law, là où la loi Sapin II (prévention et détection des faits de corruption et de trafic d'influence) prévoit des sanctions beaucoup plus coercitives.

Qu'encourent les entreprises ?

Si la loi relative au devoir de vigilance relève plutôt de la soft law par rapport à Sapin II, c'est d'abord parce que les sanctions qu'elle imposait (une amende civile allant de 10 à 30 millions d'euros) ont été invalidées par le Conseil constitutionnel suite à sa promulgation. Même si n'importe quelle organisation, syndicat, association, ONG, peut demander des comptes et obtenir d'un juge le versement de dommages-intérêts, la charge de la preuve de la défaillance incombe à ces associations. De plus, les entreprises concernées par la loi ont une obligation de moyen et non de résultat. Ce qui signifie que, si une marée noire survient alors que l'entreprise a bien mis en place un plan conforme à la loi, elle ne sera pas responsable sur la base du devoir de vigilance. "Le risque encouru n'est pas mesurable à l'heure actuelle", résume Sébastien Dumas, VP Marketing & Business Development chez Synertrade. Un premier compte rendu du plan devra être délivré en janvier 2019, date à partir de laquelle les sanctions commenceront à tomber. Pour Sapin II c'est une autre histoire, puisque les entreprises doivent être en conformité depuis le 11 juin 2017. L'Afa, Agence française anticorruption créée par la loi du 9 décembre 2016, "a déjà entamé son travail d'investigation", prévient Sébastien Dumas.

Identifier les fournisseurs à risque

La loi Sapin II a dans son champ d'application les fournisseurs de rang 1 (de biens et services en rapport direct avec l'activité de l'entreprise). Mais elle inclut aussi les clients de l'entreprise, ainsi que toutes les contreparties c'est-à-dire certaines relations avec des tiers (un investisseur par exemple). Toutefois, la loi ne cadre pas les fournisseurs qui doivent être évalués. "Il va y avoir des seuils et une tolérance limitée aux grands fournisseurs", rassure Daniel Pinazo, manager des solutions compliance chez Bureau Van Dijk.

C'est là que la cartographie des risques, imposée par les deux lois, intervient, car elle permet de comparer les données aux risques. En matière de devoir de vigilance, elle peut par exemple révéler le taux de dépendance de chaque fournisseur au groupe (et non à chaque filiale). Logiquement, une plateforme internet BtoC ne faisant appel qu'à des sous-traitants français est moins exposée au risque RSE qu'une entreprise d'extraction minière présente dans des pays à risque et travaillant avec des sous-traitants locaux.

Harmoniser et croiser la donnée

Certains outils vont permettre de mettre en regard les fournisseurs par rapport à des critères de risques identifiés. Mais pour faire ressortir les fournisseurs qui doivent être analysés, il convient au préalable d'harmoniser les bases de données dans toutes les filiales de son entreprise. Pour des filiales qui travaillent entre elles, il faut ainsi vérifier les données au niveau du groupe. Il est également fondamental d'avoir une bonne connaissance des différents liens capitalistiques pour identifier les bénéficiaires effectifs de chaque entreprise sous-traitante, en établissant des arborescences capitalistiques. "Les taux de détention très complexes servent souvent à dissimuler le bénéficiaire effectif d'une entreprise. 10% des sociétés de notre base de données mettent ainsi en oeuvre un montage type d'auto-détention pour cacher le détenteur réel, ce qui représente près de 25 millions d'entreprises", souligne Daniel Pinazo.

Ensuite, ces outils vont croiser ces données avec d'autres données pour les enrichir : base Orbis (qui rassemble des informations économiques, financières et d'identification sur 200 millions d'entreprises dans le monde), indicateurs Ecovadis ou Acesia de l'Afnor... Et révéler, par exemple, un risque de corruption accru dans le cas où un chef d'entreprise ou un membre du board est politiquement exposé dans sa zone. "Si une personne est politiquement exposée chez un fournisseur, ce n'est pas rédhibitoire pour les affaires, mais le fait d'en prendre conscience prouve que le donneur d'ordres est capable d'identifier un risque potentiel. Pour les autorités de régulation, il suffit de le savoir", précise Daniel Pinazo. Dans la même logique, il n'y a pas de règle imposant de ne pas travailler avec des entreprises déjà sanctionnées. Les entreprises soumises aux lois Sapin II et Devoir de vigilance doivent seulement démontrer au régulateur qu'elles possèdent ces informations et qu'elles ont développé un plan d'action en réaction.

Lire la suite en page 3: Que faire quand certains documents ne peuvent pas être obtenus ? Quels plans d'amélioration établir ?

Si certains documents administratifs sur les fournisseurs ne peuvent pas être obtenus, ce qui est le cas dans de nombreux pays où les contraintes environnementales sont moindres, il peut être opportun de faire appel aux nouvelles de presse et rechercher des "negative news" pour appréhender une première notion du risque. Dans la cartographie il sera ainsi mentionné que tel fournisseur est cité dans la presse en des termes négatifs, par exemple quand des ouvriers sont en grève car ils n'ont pas de protection au travail.

Quels plans d'amélioration ?

Au vu des risques établis, un process doit être mis en place, qui peut consister, par exemple, en des contrôles comptables renforcés. Si un acheteur note un risque important de corruption, le dossier doit passer impérativement par le service juridique ou le service compliance, ou les factures doivent être lancées par un responsable comptable et non un comptable. Il existe autant de process que d'entreprises. Faire une action, choisir qui la valide, c'est un process et c'est ce qui sera audité par la suite. L'Afa vérifie ces process et peut faire condamner des entreprises pour manquement à la vérification, même si aucune corruption n'a été avérée.

Enfin, il faudra vérifier l'efficacité de ces mesures, que les plans d'action avancent... Le travail le plus difficile demeurant le choix des fournisseurs à inclure dans sa cartographie. "Établir une liste exhaustive est impossible. L'Afa a aussi un rôle pédagogique et peut aider les entreprises à ce sujet", explique Sébastien Dumas.

La loi relative au devoir de vigilance est une première au monde. Pour ses détracteurs, elle constitue un obstacle supplémentaire à la compétitivité des entreprises françaises. Un argument à mettre en perspective puisque la loi est en passe d'être discutée à l'ONU et pourrait s'appliquer à toutes les entreprises mondiales par le biais d'un traité international.

À lire aussi:

Devoir de vigilance et loi Sapin 2: les nouvelles dispositions

Devoir de vigilance : les sanctions invalidées, le périmètre en question

Loi sur le devoir de vigilance : comment prendre les devants