Risque fournisseurs: comment répondre aux exigences des lois Sapin 2 et Devoir de vigilance ?
Cartographie des risques, travail de la donnée, plan d'amélioration... Comment répondre aux risques de corruption et à l'obligation de vigilance imposée par la loi ? Voici un début de méthodologie préconisé par Bureau Van Dijk, spécialiste de l'information financière des entreprises, et Synertrade.
Volkswagen, Lafarge, Lidl... Les affaires liées à la RSE et impliquant de grandes entreprises ont explosé ces derniers mois. Quand les fournisseurs sont directement responsables, à l'instar de ceux de BP dans le golfe du Mexique, l'opinion ne retient que la responsabilité des donneurs d'ordres. Ces derniers sont donc soumis depuis 2012 à une obligation de vigilance, à distinguer du devoir de vigilance : c'est l'obligation de récupérer certains documents pour lutter contre le travail dissimulé. Le devoir de vigilance quant à lui impose des bonnes pratiques sociales et environnementales plus larges, concernant les fournisseurs et filiales de certaines entreprises françaises, partout dans le monde. C'est la première disposition à aller aussi loin en incluant l'ensemble de la chaîne d'approvisionnement, même il pourrait lui être reproché de relever de la soft law, là où la loi Sapin II (prévention et détection des faits de corruption et de trafic d'influence) prévoit des sanctions beaucoup plus coercitives.
Rappel
La loi Sapin II du 9 décembre 2016 concerne les entreprises de plus de 500 salariés et 100 millions d'euros CA, soit environ 1600 entreprises françaises.
La loi relative au devoir de vigilance du 27 mars 2017 concerne les entreprises de plus de 5000 salariés en France ou 10 000 salariés en comptant les filiales françaises et étrangères, soit environ 250 entreprises en France, responsables aux deux tiers des exportations françaises.
Qu'encourent les entreprises ?
Si la loi relative au devoir de vigilance relève plutôt de la soft law par rapport à Sapin II, c'est d'abord parce que les sanctions qu'elle imposait (une amende civile allant de 10 à 30 millions d'euros) ont été invalidées par le Conseil constitutionnel suite à sa promulgation. Même si n'importe quelle organisation, syndicat, association, ONG, peut demander des comptes et obtenir d'un juge le versement de dommages-intérêts, la charge de la preuve de la défaillance incombe à ces associations. De plus, les entreprises concernées par la loi ont une obligation de moyen et non de résultat. Ce qui signifie que, si une marée noire survient alors que l'entreprise a bien mis en place un plan conforme à la loi, elle ne sera pas responsable sur la base du devoir de vigilance. "Le risque encouru n'est pas mesurable à l'heure actuelle", résume Sébastien Dumas, VP Marketing & Business Development chez Synertrade. Un premier compte rendu du plan devra être délivré en janvier 2019, date à partir de laquelle les sanctions commenceront à tomber. Pour Sapin II c'est une autre histoire, puisque les entreprises doivent être en conformité depuis le 11 juin 2017. L'Afa, Agence française anticorruption créée par la loi du 9 décembre 2016, "a déjà entamé son travail d'investigation", prévient Sébastien Dumas.
Lire la suite en page 2: Identifier les fournisseurs à risque et travailler la donnée
Sur le même thème
Voir tous les articles Risques