La norme ISO 37001 certifie la qualité des dispositifs anticorruption dans les entreprises
Avec des exigences réglementaires de plus en plus importantes, la conformité anticorruption s’impose comme un sujet du quotidien des entreprises. En atteste la popularité croissante de la norme ISO 37001, recherchée par certaines entreprises pour certifier la qualité de leur dispositif de conformité. Zoom sur un phénomène en hausse, mais qui attire inégalement les entreprises selon leur secteur et pays d’implantation.
La norme ISO 37001 a été conçue en 2016, en réponse à un besoin : face à la profusion des lois et réglementations anticorruption dans le monde, il s’agissait de créer un standard unique pour uniformiser le terrain à l’échelle internationale. ISO 37001 a donc été pensée pour être compatible avec les réglementations mondiales, des conventions de l’OCDE au FCPA américain en passant par le UKBA anglais ou la loi Sapin 2.
Cette norme certifie les « systèmes de management anticorruption ». Concrètement, un organisme certificateur examine les mesures anticorruption déployées par l’entreprise, à la lumière d’un certain nombre de critères à satisfaire pour qu’un système anticorruption soit considéré comme efficace. Toute organisation privée ou publique peut effectuer une démarche de certification, quelle que soit sa taille, afin de tester l’efficacité de son dispositif de conformité, et d’en corriger les éventuelles lacunes.
Reconnue par 163 pays, elle est vite devenue le standard de référence en matière de lutte anticorruption. Les chiffres disponibles montrent que fin 2021, pas moins de 2 896 agréments ISO 37001 avaient été enregistrés depuis la création du standard. Certains secteurs y sont particulièrement représentés, comme la construction, les services d’ingénierie, les administrations publiques, les services d’intermédiation financière, l’immobilier, les transports et les communications.
Les données conultées montrent également une grande disparité dans le recours à cette certification d’un pays à l’autre. Trois continents se distinguent par un nombre élevé de certifications : l’Europe, l’Asie et l’Amérique Latine.
En Europe, l’Italie arrive largement en tête avec 825 certifications, suivie par l’Espagne (106), la Grèce (78), la Roumanie (73) et la Slovaquie (64). Côté Asiatique, l’Indonésie occupe la seconde place du podium mondial avec 480 certifications, devant la Corée du Sud (284), la Malaisie (140) et Singapour (69). Enfin, l’Amérique latine est notamment représentée par le Brésil (161), le Pérou (156) et le Mexique (107).
Certaines de ces différences peuvent s’expliquer par l’adoption, par des pays comme le Pérou ou Singapour, de la norme 37001 dans leur propre corpus réglementaire, rendant par exemple cette certification obligatoire pour accéder à certains marchés publics. Dans d’autres pays, comme l’Italie, la réflexion des institutions nationales sur la lutte anticorruption a été étroitement liée à cette norme – la rendant de fait plus visible aux yeux des entreprises italiennes. Enfin, certains pays peuvent imposer la certification à un type spécifique d’organisations, comme l’Indonésie qui a rendu ISO 37001 obligatoire pour toutes ses entités publiques.
En comparaison, on peut être surpris de voir la France à la 18ème place… Avec seulement 18 certifications. Si certaines entreprises comme Alstom ou le Crédit Agricole ont beaucoup communiqué sur leur propre certification, ces chiffres montrent que cette norme reste aujourd’hui peu convoitée par les entreprises françaises.
Les différences de demandes de certification peuvent s’expliquer par différents facteurs, comme les réglementations actives dans un pays ou sa culture des affaires.
Dans les pays où de nombreuses réglementations pèsent déjà sur les entreprises, la peur d’une surcharge administrative peut conduire à surestimer le poids du processus de certification. Ceci est particulièrement vrai pour la France, puisque les mesures ISO 37001 ressemblent à s’y méprendre aux obligations de la loi Sapin 2 : code de conduite, due diligence d’intégrité sur les tiers, signalements internes, contrôles comptables… Ces similitudes peuvent expliquer le faible nombre d’entreprises françaises certifiées ISO 37001. Sans compter que la durée de la certification est limitée à trois ans : la perspective de devoir renouveler cette démarche régulièrement peut aussi en décourager certains.
Du côté nord-américain, les demandes sont encore moins nombreuses. Aux États-Unis, malgré quelques exemples importants comme Microsoft, seulement 11 entreprises ont obtenu la certification ISO 37001. Contrairement à la France, les raisons sont plutôt à chercher du côté de la culture des affaires. Aux États-Unis et au Canada, les entreprises peuvent avoir tendance à se fier davantage aux conseils de leurs avocats qu’à des certifications délivrées par des organismes tiers. Et surtout, dans une culture des affaires très judiciarisée, certains se demandent peut-être l’intérêt d’une certification qui n’a pas de valeur légale…
Ces arguments sont légitimes, et relèvent même d’un certain pragmatisme pour des entreprises soumises à de nombreuses injonctions de reporting. Mais le défaut de cette approche, dans le cas français comme nord-américain, est d’abord de sous-estimer l’importance qu’une certification peut avoir aux yeux des autorités régulatrices.
En cas de poursuites FCPA, les mesures anticorruption déployées par l’entreprise sont scrutées à la loupe par les autorités. Lors de son enquête, le DoJ (Department of Justice) détermine si le programme est bien structuré, s’il est réellement appliqué et incorporé dans la culture de l’entreprise. Un véritable engagement anticorruption sera mis au crédit de l’entreprise lors du calcul de l’amende FCPA. Dans ce contexte, la certification ISO est loin d’être anodine : elle est reconnue par les autorités américaines et permet de montrer que l’entreprise a effectué des démarches au-delà des simples exigences réglementaires.
La même logique s’applique en France, lorsqu’une entreprise règle des poursuites pour corruption via une CJIP (Convention Judiciaire d’Intérêt Public). Récemment, les critères déterminant le montant des amendes ont été précisés avec, à l’instar du FCPA, un système de « bonus/malus » qui récompense les systèmes anticorruption bien structurés et appliqués.
Mais s’en arrêter là, c’est encore réduire la conformité anticorruption à une simple contrainte légale – et ne pas comprendre la véritable valeur ajoutée de la norme ISO 37001 pour la stratégie globale de l’entreprise.
ISO 37001 prend tout son sens lorsqu’on l’intègre à une réflexion plus globale sur la performance d’entreprise. La plupart des entreprises savent les conséquences désastreuses qu’une affaire de corruption peut avoir sur leur santé financière et leur réputation. La peur de se retrouver associé à un scandale a ainsi décuplé les précautions face à de potentiels partenaires ou en amont de grands projets d’investissement. Il y a donc un enjeu économique croissant à fournir à ses interlocuteurs en affaires des gages d’un engagement éthique fort – et ce d’autant plus avec la montée en puissance de la RSE et du devoir de vigilance.
Dans ce contexte, ISO 37001 peut devenir un véritable argument commercial. Reconnue par 163 pays, la certification rassure et traduit l’engagement éthique de l’entreprise dans un cadre lisible pour des partenaires étrangers qui ne sont pas forcément familiers, par exemple, des normes anticorruption françaises.
Ceci est d’autant plus vrai pour les PME et ETI qui, si elles ne sont pas assujetties aux obligations Sapin 2, présentent un profil plus risqué pour les autres parties prenantes. Ces entreprises ont, plus que les autres, besoin d’éléments tangibles pour montrer à de potentiels partenaires, clients et investisseurs qu’elles déploient des mesures anticorruption efficaces. Une entreprise qui n’a qu’un code de conduite à présenter sera considérée plus à risque qu’une PME certifiée ISO 37001. La certification permet ainsi à ces PME de « combler leur retard » par rapport aux entreprises assujetties.
En résumé, ISO 37001 peut faire la différence entre une entreprise qui se contente de respecter les mesures anticorruption imposées par la loi, et une entreprise qui fait de la conformité un domaine stratégique. Ou, comme le résume Thomas Savare, PDG du groupe français d’imprimerie sécurisée Oberthur Fiduciaire, l’une des premières entreprises au monde à obtenir la certification ISO 37001 : « les normes ISO que nous avons mises en place sont, à mon avis, des arguments beaucoup plus pertinents que toutes les déclarations que nous pourrions faire ».
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.