La cartographie des risques de corruption est le pilier 3 du programme anticorruption obligatoire sous la loi Sapin 2. Sans elle, le programme est incomplet aux yeux de l'Agence Française Anticorruption (AFA). Ce guide détaille la méthode en 5 étapes recommandée par l'AFA, les typologies de risques à couvrir et les erreurs à éviter pour passer un contrôle sans encombre.
Ce guide s'inscrit dans notre série sur la loi Sapin 2 et les 8 piliers du programme anticorruption.
Pourquoi la cartographie est au coeur de Sapin 2
Pilier 3 : une obligation explicite de l'article 17
L'article 17 de la loi Sapin 2 impose aux entreprises de plus de 500 salariés et 100 millions d'euros de chiffre d'affaires (ou appartenant à un groupe dépassant ces seuils) de mettre en place un programme anticorruption comprenant 8 mesures. La cartographie des risques de corruption constitue le pilier 3 de ce programme.
Cette cartographie a une fonction précise : identifier, hiérarchiser et documenter les risques de corruption et de trafic d'influence auxquels l'entreprise est exposée, au regard de ses activités, de sa taille et de sa présence géographique. Ce n'est pas une liste générique de risques - c'est une analyse propre à chaque entreprise, révisée régulièrement.
Depuis la révision des recommandations AFA en 2021 (actualisées en 2024), la cartographie doit également couvrir le risque de trafic d'influence, pas seulement la corruption stricto sensu.
Ce que l'AFA vérifie lors d'un contrôle
Lors de ses contrôles, l'AFA évalue la cartographie sur quatre critères principaux :
- La méthodologie utilisée : cotation documentée, sources identifiées, approche par les risques réelle et non purement formelle
- La couverture des processus à risque : achats, commercial, dons, lobbying, agents commerciaux à l'international
- L'actualisation régulière : au minimum tous les 2 ans, et à chaque événement significatif (acquisition, nouveau marché géographique, nouvelles fonctions exposées)
- L'utilisation effective comme fondement des autres piliers : code de conduite, formation, contrôles internes, évaluation des tiers
Une cartographie figée depuis 3 ans ou copiée d'un template générique sans adaptation aux activités réelles de l'entreprise est systématiquement signalée dans les rapports de contrôle AFA.
Méthodologie en 5 étapes
La méthode recommandée par l'AFA dans ses recommandations de 2021 (actualisées en 2024) suit un processus structuré en 5 étapes, applicable quelle que soit la taille de l'entreprise assujettie.
Étape 1 : Identifier les processus exposés
La première étape consiste à lister l'ensemble des processus de l'entreprise susceptibles de présenter un risque de corruption ou de trafic d'influence. Cette identification s'appuie sur :
- L'analyse des relations avec des tiers : clients, fournisseurs, sous-traitants, agents commerciaux, intermédiaires, partenaires institutionnels
- Le recensement des zones géographiques d'activité : indice de perception de la corruption (IPC de Transparency International) pour chaque pays couvert
- L'identification des fonctions sensibles en interne : acheteurs, commerciaux export, responsables RH, chargés de relations institutionnelles, responsables dons et mécénat
- L'examen des secteurs d'activité les plus exposés au regard des pratiques du marché (défense, BTP, énergie, services publics)
Les processus typiquement à risque : achats (grands comptes fournisseurs, appels d'offres), commercial dans des pays à risque, gestion des dons et du mécénat, agents commerciaux à l'international, lobbying et relations avec des décideurs publics.
Étape 2 : Identifier les scénarios de corruption
Pour chaque processus à risque, il faut décrire les scénarios concrets par lesquels une corruption pourrait survenir. Un scénario se formule ainsi : quel tiers pourrait offrir ou recevoir un avantage indu, à quelle occasion, pour obtenir quel bénéfice ?
Exemples de scénarios documentés par l'AFA :
- Un acheteur reçoit des cadeaux d'un fournisseur pour orienter l'attribution d'un marché en sa faveur
- Un commercial verse des commissions occultes à un agent pour décrocher un contrat public dans un pays à risque
- Un responsable RH favorise une candidature en échange d'un avantage personnel de la part de l'entreprise candidate
- Une entreprise finance le mécénat d'une association liée à un décideur public pour obtenir un avantage contractuel implicite
L'objectif n'est pas d'établir une liste exhaustive mais de couvrir les scénarios les plus plausibles compte tenu du contexte spécifique de l'entreprise - ses marchés, ses partenaires, sa géographie.
Étape 3 : Coter les risques (probabilité x impact)
Chaque scénario est coté selon deux axes :
- Probabilité d'occurrence : de 1 (improbable) à 4 (quasi-certain), en tenant compte de l'historique du secteur, du niveau de contrôle existant et de l'exposition géographique
- Impact potentiel : de 1 (minime) à 4 (critique), en évaluant les conséquences financières, réputationnelles, pénales et opérationnelles pour l'entreprise
Le score brut (probabilité x impact, de 1 à 16) donne une criticité théorique avant mesures de contrôle. Le score net est calculé après prise en compte des dispositifs existants en place. L'écart entre score brut et score net mesure l'efficacité réelle de vos contrôles actuels.
La criticité nette oriente les priorités d'action : les risques avec un score net supérieur à 12 nécessitent un plan d'action immédiat. Entre 6 et 12, une surveillance renforcée s'impose. En dessous de 6, les dispositifs existants sont jugés suffisants pour la période.
Étape 4 : Évaluer les dispositifs de maîtrise existants
Pour chaque risque identifié, l'entreprise doit recenser les contrôles déjà en place :
- Procédures formalisées et leur niveau d'application réel (pas seulement leur existence documentaire)
- Formations dispensées aux équipes exposées, avec la date de dernière actualisation et les équipes couvertes
- Contrôles internes : validations hiérarchiques, double signature obligatoire, audit des dépenses de représentation
- Outils de tiers-évaluation : vérification des partenaires commerciaux via bases de données (Sanctions, PEP), due diligence fournisseurs
Cette évaluation est critique : elle distingue les dispositifs formellement existants des dispositifs réellement opérationnels. L'AFA vérifie les deux dimensions lors de ses contrôles - un code de conduite signé mais jamais lu n'est pas un dispositif effectif.
Étape 5 : Plan d'action et révision périodique
Sur la base des risques nets les plus élevés, établir un plan d'action priorisé comprenant :
- Les mesures correctives à mettre en place, classées par ordre de criticité nette
- Les responsables désignés pour chaque action, avec reporting à la direction
- Un calendrier de mise en oeuvre avec jalons intermédiaires mesurables
- Les indicateurs de suivi et les critères de révision de la cotation
La cartographie doit être révisée régulièrement. L'AFA recommande une révision au minimum tous les 2 ans, et à chaque événement significatif : acquisition d'une nouvelle entité, ouverture dans un pays à risque, création d'une nouvelle ligne métier, changement de direction générale ou d'actionnariat.
Typologies de risques à cartographier
Le guide AFA identifie 7 domaines principaux à couvrir dans la cartographie. Chaque domaine présente des scénarios spécifiques à adapter au contexte de l'entreprise :
- Achats : risques de favoritisme, collusion avec fournisseurs, surfacturation, commissions occultes. Particulièrement critiques lors d'appels d'offres importants ou de relations avec des fournisseurs en situation de monopole de fait.
- Commercial : corruption pour l'obtention de marchés publics ou privés, paiements de facilitation dans des pays à risque élevé. Risque amplifié lorsque les commerciaux opèrent avec peu de supervision directe.
- Dons, mécénat et sponsoring : vecteurs classiques de corruption indirecte quand ils sont accordés à des entités liées à des décideurs ou en échange d'avantages commerciaux implicites non documentés.
- Lobbying et relations institutionnelles : trafic d'influence auprès de décideurs publics, échanges d'informations confidentielles contre des avantages, financement de partis politiques via des structures tierces.
- Ressources humaines : recrutement sous influence (embauche de proches de décideurs en échange de marchés), avantages en nature accordés à des salariés pour orienter leurs décisions professionnelles.
- Fusions-acquisitions : risques liés aux pratiques anticorruption des cibles d'acquisition, responsabilité potentielle de l'acquéreur pour des faits antérieurs à la transaction (due diligence insuffisante).
- Agents et intermédiaires commerciaux : l'un des vecteurs les plus fréquents de corruption internationale. Nécessite une vérification préalable des antécédents et un encadrement contractuel strict des commissions et modalités de paiement.
Outils et supports pour votre cartographie
Les ressources AFA
L'AFA met à disposition plusieurs ressources pratiques sur son site : un guide méthodologique détaillé sur la cartographie des risques de corruption, des fiches pratiques sectorielles (banque, immobilier, défense, collectivités territoriales) et des exemples de grilles de cotation. Ces ressources constituent la référence opposable lors des contrôles - les utiliser comme base de travail démontre une démarche sérieuse.
Les recommandations AFA 2021, actualisées en 2024, introduisent notamment une approche plus granulaire des scénarios de trafic d'influence et une exigence renforcée sur la documentation de l'évaluation des dispositifs existants.
Du tableur à la solution dédiée
Pour les entreprises qui démarrent leur cartographie, un tableur reste la solution la plus accessible : une ligne par scénario de risque, des colonnes pour la cotation brute, les dispositifs existants, la cotation nette et le plan d'action. L'essentiel est que la cartographie soit structurée, traçable et actualisée.
Pour les organisations plus avancées ou les groupes multi-entités, un outil dédié présente trois avantages opérationnels :
- Consolidation des risques à l'échelle du groupe avec vue par entité, par ligne métier et par zone géographique
- Suivi de l'avancement des plans d'action avec alertes automatiques sur les jalons et les révisions planifiées
- Génération des reportings direction attendus lors des contrôles AFA, avec traçabilité complète des mises à jour
Erreurs fréquentes selon l'AFA
L'AFA documente dans ses rapports annuels et retours de contrôle les erreurs les plus fréquentes observées dans les cartographies soumises :
- Cartographie générique non adaptée : copier un modèle sectoriel sans l'adapter aux activités réelles de l'entreprise. L'AFA vérifie que les scénarios reflètent la réalité concrète des opérations - pas un template standardisé.
- Cotation uniquement brute : fournir une cotation brute (avant mesures de contrôle) sans score net. L'AFA attend un score net qui oriente les priorités d'action et reflète l'efficacité réelle des dispositifs en place.
- Absence de révision régulière : une cartographie datée de plus de 3 ans sans révision intermédiaire lors d'événements significatifs est systématiquement signalée - y compris quand le programme global est par ailleurs satisfaisant.
- Cartographie non utilisée comme fondement : la cartographie existe mais le code de conduite, les formations et les contrôles internes ne sont pas construits sur ses conclusions. L'AFA considère alors l'exercice purement formel et non opérationnel.
- Processus d'agents commerciaux omis : les risques liés aux intermédiaires commerciaux à l'international (agents, distributeurs, consultants) sont régulièrement sous-évalués ou absents des cartographies, notamment dans les ETI ayant des activités export dans des zones à risque.
Pour aller plus loin sur la mise en conformité globale, consultez notre guide complet sur l'article 17 de Sapin 2 et les obligations du programme anticorruption.
Questions fréquemment posées
Qui est obligé de réaliser une cartographie des risques de corruption ?
Les entreprises de plus de 500 salariés et 100 millions d'euros de chiffre d'affaires (ou appartenant à un groupe dépassant ces seuils) sont soumises à l'obligation de la loi Sapin 2 (article 17). La cartographie s'applique aux sociétés françaises et aux filiales françaises de groupes internationaux. Les collectivités territoriales et établissements publics ont des obligations similaires.
A quelle fréquence doit-on actualiser la cartographie des risques de corruption ?
L'AFA recommande une révision au minimum tous les 2 ans. Une révision est également nécessaire lors de tout événement significatif : acquisition, ouverture dans un nouveau pays à risque, création d'une nouvelle ligne métier, changement de direction générale. En pratique, la cartographie devrait être un document vivant, actualisé incrementalement plutôt que refondu entièrement.
Peut-on sous-traiter la cartographie des risques à un prestataire externe ?
Oui, l'AFA admet le recours à des prestataires externes (cabinets d'audit, consultants spécialisés). La responsabilité reste entière sur l'entreprise assujettie. L'AFA vérifie que la cartographie reflète les activités réelles de l'entreprise et que celle-ci est capable de l'expliquer et de la défendre lors d'un contrôle.
Quelle est la différence entre la cotation brute et la cotation nette dans la cartographie ?
La cotation brute évalue le risque de corruption avant toute mesure de contrôle (probabilité x impact, de 1 à 16). La cotation nette prend en compte l'efficacité des dispositifs existants (code de conduite, formations, contrôles internes). L'AFA attend les deux : le score brut identifie l'exposition théorique, le score net mesure l'exposition résiduelle après mitigation.
Comment articuler la cartographie avec les autres piliers Sapin 2 ?
La cartographie est le pilier fondateur du programme anticorruption. Elle doit servir de base au code de conduite (pilier 1), au calibrage des formations (pilier 5), à la détermination des procédures de contrôle comptable (pilier 7) et à l'évaluation des tiers (pilier 4). Un programme Sapin 2 cohérent s'articule autour des conclusions de la cartographie.
.svg)
