Conformité : la Ficime fait le point sur la loi Sapin II
Depuis le 1er juillet 2017, les entreprises de plus de 500 salariés et dont le chiffre d’affaires dépasse 100 millions d’euros doivent mettre en place un code de conduite ou d’éthique où sont recensés les comportements interdits et susceptibles de caractériser des faits de corruption.
Les programmes de conformité impliquent aussi l’élaboration d’une cartographie des risques, « c’est-à-dire l’identification, la description et le recensement de faits de corruption potentiels ». Sont également prévues des actions de contrôles comptables, des programmes de formation ou encore des procédures d’évaluation des clients, fournisseurs et intermédiaires.
Ces dispositifs impactent grandement les entreprises et les différents métiers au sein de ces structures. « Ces dernières années, les entreprises ont, au-delà du droit de la concurrence, de plus en plus d’obligations, qui pèsent sur elles, pour se mettre en conformité avec telle ou telle législation », note ainsi la Fédération des Entreprises Internationales de la Mécanique et de l’Electronique.
Lanceurs d’alerte, protection des données : quelles évolutions en 2018 ?
« Le raz de marée des programmes de conformité » ne s’arrête pas là. La Ficime rappelle en effet que dès le 1er janvier 2018, « les entreprises dont l’effectif est d’au moins 50 salariés, pendant 12 mois sur les 3 dernières années, doivent mettre en place une procédure, confidentielle mais libre dans ses modalités, de recueil des signalements des salariés. L’alerte doit être envoyée vers un supérieur hiérarchique, l’employeur ou une personne extérieure à l’entreprise désignée par elle ».Pour rappel, la loi « Sapin II » a introduit pour la première fois dans la législation française une définition et un statut commun du lanceur d’alerte qui pourra « révéler des frais répréhensibles dont il a eu personnellement connaissance et être protégé ».
En matière de protection, le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dès le 25 mai 2018. Adopté par le Parlement Européen, le texte doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique. Il vise à renforcer les droits des personnes, à responsabiliser les acteurs traitant des données et à crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection de données. En France, sa mise en œuvre est placée sous l’autorité du CNIL.
Ce dispositif concerne la quasi-totalité des entreprises. « Le système déclaratif auprès de la CNIL est remplacé par un système dit d’accountability. En effet, les entreprises devront réaliser une documentation détaillée sur les procédures adoptées pour respecter leurs nouvelles obligations », précise la Ficime.
« Il en ressort qu’elles devront par exemple justifier de l’obtention du consentement des personnes en fonction de l’usage fait des données visées, de leur accessibilité pour permettre leur rectification, voir leur effacement par les titulaires ou encore des mesures de sécurité mises en œuvre », poursuit-elle.
« On le voit bien au travers de ces exemples, tous sont concernés au sein de l’entreprise par la conformité ou compliance, de la fabrication jusqu’à la commercialisation en passant par les métiers supports ; informatique, finance, juridique ou encore RH. C’est un nouveau défi à relever pour les entreprises qui doivent se mettre en conformité et justifier, dans le respect des textes, des « bonnes pratiques » utilisées dans l’exercice de leur activité, au travers d’une documentation précise, détaillée et tenue à jour, qui devra être présentée, lors de contrôle, à l’autorité compétente, sous peine que les entreprises ne soient sanctionnées ».
« Une tendance de fond de transférer la charge de la preuve de la conformité, des autorités de contrôle vers les entreprises, est engagée par le législateur; reste à voir si les entreprises transformeront cette contrainte en opportunité ? », conclut la Ficime.
R.C