ISO 37001

Face aux nombreuses menaces que constituent la corruption — telles que le maintien des inégalités et de la pauvreté, les atteintes à la libre concurrence ou les impacts sur la démocratie —, les organismes (qu’ils soient privés ou publics, de grande ou de petite taille) « ont la responsabilité de contribuer de façon proactive à la lutte contre la corruption ». Pour ce faire, la norme « définit des exigences et fournit des préconisations pour les systèmes de management conçus pour aider les organismes à prévenir, détecter et lutter contre la corruption, et à respecter les lois anti-corruption et leurs engagements volontaires applicables à leurs activités. »

L’objectif pour les organismes est de bien connaître leur environnement et leurs risques de façon à déployer des procédures efficaces dans le respect des réglementations applicables et dans une logique d’amélioration continue.

La norme ISO 37001 a été établie à partir du British Standards Institution (BSI) qui a développé le « BS 10500 Anti-Bribery Management System»[4] en lien avec la loi anglaise sur la corruption (UK Bribery Act ) dont la dernière section des lignes directrices admet que la certification d’un programme anti-corruption puisse être considérée comme une « affirmative defense » (défense opposable) au regard du délit de défaut de prévention de la corruption.

A l’initiative du BSI, un groupe de rédaction (Project Committee) comprenant 37 pays, 22 pays observateurs, et 8 organisations de liaison a été constitué sous la présidence Neill Stansbury, directeur du Global Infrastructure Anti-Corruption Center (GIACC)[5]. Il a abouti à la rédaction du standard « ISO 37001 - système de management anti-corruption (2016) » publié par l'ISO en 2016.

La norme détaille les étapes auxquelles l’organisme doit répondre pour avoir un système de management anticorruption efficace et notamment :

• la compréhension du contexte de l’organisme (contexte, réglementations applicables et attentes des parties intéressées) ;
• l’élaboration d’un système (définition du périmètre, formalisation, détermination d’indicateurs) ;
• la cartographie des risques de corruption ;
• le leadership (organe de gouvernance et direction) ;
• l’élaboration d’une politique anti-corruption et de procédures dédiées (notamment sur les cadeaux, marques d’hospitalité, dons et avantages similaires) ;
• la définition des rôles et responsabilités, la délégation de la prise de décision ;
• la nomination d'une fonction de conformité anti-corruption ;
• la planification du système (détermination d’objectifs et des actions et ressources nécessaires pour les atteindre) ;
• la sensibilisation et la formation ;
• les procédures RH (engagement contractuel à respecter la politique anticorruption, déclarations de conformité…) ;
• la gestion des tiers et notamment le principe de diligences raisonnables sur les tiers à risques ;
• la communication interne et externe ;
• la documentation du système ;
• les moyens de contrôles (financiers et non financiers) ;
• la mise en place d'un dispositif de signalement (ou d'alerte professionnelle) et les garanties apportées aux auteurs de signalements ou lanceurs d'alerte ;
• les audits internes ;
• les revues périodiques dans une perspective d’amélioration continue.

À noter que dans le cas de la France, les exigences définies dans la norme sont très cohérentes avec les huit exigences définies à l'article 17 de la loi Sapin 2 et détaillées dans les Recommandations de l'Agence française anticorruption[6] :

• un code de conduite, intégré au règlement intérieur, définissant et illustrant les différents types de comportements à proscrire comme étant susceptibles de caractériser des faits de corruption ou de trafic d'influence ;
• un dispositif d'alerte interne destiné à permettre le recueil des signalements émanant d'employés et relatifs à l'existence de conduites ou de situations contraires au code de conduite de la société ;
• une cartographie des risques prenant la forme d'une documentation régulièrement actualisée et destinée à identifier, analyser et hiérarchiser les risques d'exposition de la société à des sollicitations externes aux fins de corruption, en fonction notamment des secteurs d'activités et des zones géographiques dans lesquels la société exerce son activité ;
• des procédures d'évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques ;
• des procédures de contrôles comptables, internes ou externes, destinées à s'assurer que les livres, registres et comptes ne sont pas utilisés pour masquer des faits de corruption ou de trafic d'influence ;
• un dispositif de formation destiné aux cadres et aux personnels les plus exposés aux risques de corruption et de trafic d'influence ;
• un régime disciplinaire permettant de sanctionner les salariés de la société en cas de violation du code de conduite de la société ;
• un dispositif de contrôle et d'évaluation interne des mesures mises en œuvre[7].

Au-delà de la France, l'ISO 37001 est convergente avec les autres législations prévoyant le déploiement de programme anticorruption et notamment le UK Bribery Act[8] et le Foreign Corrupt Practices Act[9] américain[10].

Les normes ISO servent en premier lieu à guider les entreprises dans le déploiement de leurs systèmes de management afin d’obtenir un programme cohérent en ligne avec les bonnes pratiques internationales[11]. À ce titre, l’ISO 37001 propose une méthodologie et un contenu détaillé pour déployer un programme anticorruption exigeant et basé sur les méthodologies éprouvées de l'approche dite de système de management. L'ISO 37001 n'a pas encore été incorporée en tant que norme européenne EN.

Certaines normes ISO, dont l'ISO 37001, permettent en outre une certification par une tierce partie qui apporte une évaluation externe et une légitimité au système mis en œuvre. La démarche de certification permet d’impliquer les personnels, en montrant l’importance apportée au sujet et en fédérant les collaborateurs pour obtenir puis conserver la certification.

La certification consiste généralement en un cycle de trois ans, constitué d’une visite initiale suivie d'une surveillance, généralement annuelle, par un organisme certificateur. Ces audits permettent de vérifier que le système de management de l’organisme est conforme aux exigences de l’ISO 37001 et qu'il est correctement déployé dans la durée. Ils donnent lieu à l'émission d'un certificat utilisable par les entreprises certifiées. Les certificats peuvent alors être valorisés auprès de différentes parties prenantes : actionnaires, clients, institutions financières, assureurs, agences de notation, investisseurs, etc.

Il n'existe pas de liste des entreprises certifiées ISO 37001 mais plusieurs communiquent publiquement sur leur certification. Par exemple en France : Alstom Transport[12], le groupe Crédit Agricole[13], ou encore le groupe GTT[14]. D'autres entreprises sont certifiées à travers le monde, par exemple en Italie : ENI[15] ou Pirelli, ou au Royaume-Uni : Maybey Bridge[16]. D'autres multinationales telles que Microsoft ont eu des prises de position publiques en faveur de l'ISO 37001[17].

À ce jour, un organisme de certification est accrédité par le COFRAC en France pour réaliser des audits de certifications ISO 37001, EuroCompliance[18].