Publicité
ERP IMPLEMENTATION
Stratégie ERP

Conformité Sapin II et FCPA : automatiser le contrôle anti-corruption dans l'ERP

Comment automatiser les contrôles anti-corruption Sapin II et FCPA dans votre ERP : screening tiers, SoD, piste d'audit, alertes et whistleblowing.

· 10 min de lecture · Stéphane ZÉ-OGIER
Conformité Sapin II et FCPA : automatiser le contrôle anti-corruption dans l'ERP
#ERP #Réglementaire #Conformité #France #Stratégie

La lutte anti-corruption n’est plus un sujet réservé aux juristes. Depuis l’entrée en vigueur de la loi Sapin II en 2017, les entreprises françaises de plus de 500 salariés ou réalisant plus de 100 millions d’euros de chiffre d’affaires doivent mettre en place huit mesures opérationnelles de prévention et de détection de la corruption. Côté américain, le FCPA (Foreign Corrupt Practices Act) s’applique avec une portée extraterritoriale à toute entreprise qui transige en dollars ou dispose d’une filiale aux États-Unis.

Le risque n’est plus théorique. L’Agence Française Anticorruption (AFA) a réalisé 165 contrôles d’acteurs économiques depuis 2017, avec 10 contrôles initiaux rien qu’en 2024. Les signalements ont bondi de 83 % en un an, atteignant 802 en 2024. Côté FCPA, le DOJ et la SEC ont collecté plus de 1,28 milliard de dollars d’amendes en 2024. La question n’est plus « faut-il se mettre en conformité ? » mais « comment automatiser les contrôles dans les outils existants ? ».

L’ERP, par sa position centrale dans les processus achats, comptabilité et gestion des tiers, est le levier naturel pour industrialiser cette conformité. Cet article détaille les obligations légales, les cinq contrôles automatisables dans un ERP et les solutions du marché.

Sapin II et FCPA en 2026 : ce que la loi exige concrètement

Les 8 piliers de la loi Sapin II

La loi n° 2016-1691 du 9 décembre 2016 impose aux entreprises concernées un dispositif structuré autour de huit mesures :

  1. Code de conduite intégré au règlement intérieur, définissant les comportements proscrits avec des cas concrets propres au secteur d’activité.
  2. Dispositif d’alerte interne (whistleblowing) permettant le signalement confidentiel des faits de corruption, renforcé par la loi Waserman du 21 mars 2022 transposant la directive européenne 2019/1937.
  3. Cartographie des risques de corruption, actualisée régulièrement, hiérarchisant les risques par processus métier et zone géographique.
  4. Évaluation des tiers (due diligence fournisseurs, clients, agents commerciaux) avec un screening proportionné au niveau de risque.
  5. Contrôles comptables internes et externes pour détecter des anomalies pouvant masquer des faits de corruption.
  6. Formation des cadres et personnels les plus exposés aux risques.
  7. Régime disciplinaire permettant de sanctionner les manquements au code de conduite.
  8. Contrôle et évaluation interne du dispositif — le « contrôle du contrôle ».

L’AFA structure ces huit mesures autour de trois piliers : l’engagement de l’instance dirigeante, la cartographie des risques et la gestion opérationnelle de ces risques (prévention, détection, sanction, évaluation).

Le FCPA : une portée extraterritoriale qui concerne les entreprises européennes

Le Foreign Corrupt Practices Act américain ne se limite pas aux sociétés américaines. Toute entreprise cotée aux États-Unis, utilisant le dollar dans ses transactions ou ayant une filiale américaine tombe sous sa juridiction. Les sanctions sont massives : Airbus a payé 3,6 milliards d’euros en 2020 dans un accord global avec les autorités française, britannique et américaine — le plus gros règlement anti-corruption de l’histoire.

Pour une ETI française exportatrice, l’exposition au FCPA est souvent sous-estimée. Un paiement en dollars, un contrat impliquant un intermédiaire dans un pays à risque selon l’indice de perception de la corruption de Transparency International (moyenne mondiale tombée à 42/100 en 2025), et l’entreprise entre dans le radar du DOJ.

Les sanctions de l’AFA : un risque croissant

L’AFA dispose d’un pouvoir de contrôle et peut saisir sa commission des sanctions. Si aucune amende n’a été prononcée via la commission jusqu’en 2024, les Conventions Judiciaires d’Intérêt Public (CJIP) se multiplient. Trois examens préliminaires ont été conduits en 2024 et l’AFA a accompagné la validation d’une CJIP par le tribunal de Paris. Les entreprises soumises à l’article 17 de la loi Sapin II doivent s’attendre à des saisines de la commission des sanctions en 2025, selon le rapport d’activité 2024 de l’AFA.

Les 5 contrôles anti-corruption automatisables dans un ERP

L’ERP ne remplace pas un programme de conformité — il l’opérationnalise. Voici les cinq contrôles que tout ERP moderne peut et doit automatiser.

1. Screening des tiers (KYC / due diligence fournisseurs)

Le référentiel tiers de l’ERP est le point de départ naturel de la due diligence. L’objectif : vérifier chaque fournisseur, client ou intermédiaire avant toute transaction.

Ce que l’ERP automatise :

  • Vérification automatique contre les listes de sanctions internationales (UE, OFAC, UK HM Treasury) à la création ou modification d’une fiche tiers.
  • Scoring de risque intégré au référentiel : score composite basé sur le pays d’implantation, le secteur d’activité et le volume transactionnel.
  • Blocage automatique des commandes vers un tiers non évalué ou en anomalie.

Point d’attention : l’AFA attend une évaluation « basée sur le risque » — un screening uniforme de tous les tiers n’est ni exigé ni réaliste. Concentrez les vérifications approfondies sur les tiers à risque élevé (agents commerciaux, intermédiaires dans des pays sensibles, fournisseurs de prestations intellectuelles).

2. Contrôle des achats et séparation des tâches (SoD)

La séparation des tâches (Segregation of Duties) est le contrôle numéro un audité par l’AFA. Le principe : aucune personne ne doit pouvoir à la fois initier, approuver et payer une dépense.

Ce que l’ERP automatise :

  • Matrice SoD paramétrable avec incompatibilités de rôles (demandeur ≠ approbateur ≠ comptable ≠ trésorier).
  • Workflow d’approbation à seuils : en dessous de 5 000 euros, validation N+1 ; au-dessus, double validation direction + conformité.
  • Détection des achats fractionnés (splitting) : l’ERP identifie les commandes multiples au même fournisseur sur une période courte, juste en dessous du seuil d’approbation — signal classique de contournement.

Exemple concret : un collaborateur passe trois bons de commande de 4 800 euros au même fournisseur en une semaine pour éviter le seuil de 5 000 euros. L’ERP déclenche une alerte automatique et bloque la troisième commande en attente de validation renforcée.

3. Piste d’audit et traçabilité des transactions

La piste d’audit est la colonne vertébrale de tout programme anti-corruption. L’AFA exige une traçabilité complète : qui a fait quoi, quand, dans quel contexte.

Ce que l’ERP automatise :

  • Log immutable de toutes les modifications sur les données sensibles (fiches tiers, commandes, factures, paiements) avec horodatage, identifiant utilisateur et valeur avant/après.
  • Export structuré pour les contrôles AFA : les auditeurs demandent des extractions sur des périodes et des périmètres précis — l’ERP doit pouvoir les produire en quelques clics.
  • Lien avec la piste d’audit fiable (PAF) requise pour la facturation électronique : les mêmes mécanismes de traçabilité servent les deux obligations réglementaires.

Ce point de convergence entre Sapin II, facturation électronique et RGPD (traçabilité des accès aux données personnelles) justifie un investissement dans une piste d’audit robuste : un seul dispositif couvre trois obligations.

4. Alertes sur les transactions atypiques

L’ERP est le seul système qui voit passer l’intégralité des flux financiers de l’entreprise. Il est donc le candidat naturel pour la détection des anomalies.

Règles métier paramétrables :

  • Cadeaux et invitations dépassant un seuil défini (par exemple 150 euros par bénéficiaire et par an).
  • Frais de représentation anormalement élevés par rapport à la moyenne du service.
  • Paiements vers des pays à risque élevé (score Transparency International inférieur à 40).
  • Notes de frais avec des montants ronds répétitifs (signal statistique de falsification).

Tableaux de bord compliance : un dashboard avec indicateurs rouge/orange/vert permet au Compliance Officer de piloter le dispositif sans consulter chaque transaction. Les indicateurs rouges déclenchent une investigation ; les oranges alimentent les contrôles de second niveau.

5. Dispositif d’alerte interne (whistleblowing)

Depuis la transposition de la directive européenne 2019/1937 par la loi Waserman (1er septembre 2022), toute entreprise de plus de 50 salariés doit disposer d’un canal de signalement interne confidentiel.

Deux approches dans l’ERP :

  • Module intégré : certains ERP (SAP, Oracle) proposent un module de signalement avec gestion des flux d’investigation, anonymisation et piste d’audit dédiée.
  • Connecteur vers une plateforme spécialisée : pour les ERP qui n’ont pas de module natif, l’intégration avec des plateformes dédiées (EQS Integrity Line, Whispli, Signalement.net) permet de centraliser les alertes tout en garantissant la confidentialité requise.

Exigence clé : le dispositif doit être ouvert aux salariés, collaborateurs externes et partenaires commerciaux. La protection du lanceur d’alerte contre les représailles est une obligation légale — le canal de signalement ne peut pas être un simple formulaire RH interne.

Quels ERP couvrent nativement la conformité anti-corruption ?

Tous les ERP ne se valent pas sur le terrain de la conformité. Voici un panorama des principales solutions.

SAP GRC (Governance, Risk, Compliance) reste le leader historique. Le module Access Control gère la SoD de manière fine, Process Control automatise les contrôles comptables, et le module Business Integrity Screening vérifie les tiers contre les listes de sanctions. Revers de la médaille : la complexité et le coût de déploiement le réservent aux grands groupes et aux ETI déjà dans l’écosystème SAP.

Oracle Risk Management Cloud, intégré à Oracle Fusion, propose une approche nativement cloud avec gestion des risques, contrôles automatisés et analyse des transactions. L’intégration avec le module Procurement facilite le screening des fournisseurs.

Sage Intacct, positionné sur le mid-market, offre des contrôles d’approbation multi-niveaux et une piste d’audit complète. Les fonctionnalités GRC avancées passent toutefois par des modules complémentaires ou des intégrations tierces.

Microsoft Dynamics 365 propose des workflows d’approbation et de la SoD via les rôles de sécurité, complétés par des solutions partenaires (Fastpath, par exemple) pour l’analyse SoD avancée et le screening des tiers.

Odoo ne dispose pas de module anti-corruption natif. La conformité Sapin II nécessite un développement spécifique ou l’intégration de connecteurs tiers. Pour une PME en croissance approchant les seuils Sapin II, c’est un point de vigilance à anticiper dans la feuille de route.

Intégrer la conformité anti-corruption dans un ERP existant

La bonne nouvelle : il n’est pas nécessaire de changer d’ERP pour se mettre en conformité Sapin II. L’approche par couches permet d’ajouter les contrôles sur le système en place.

Prioriser les trois piliers les plus audités par l’AFA

Les contrôles AFA se concentrent sur trois domaines en priorité :

  1. Séparation des tâches (SoD) — le plus fréquemment audité. Si votre ERP permet de paramétrer des matrices de conflits de rôles, commencez par là.
  2. Screening des tiers — l’évaluation des tiers est le deuxième point de contrôle systématique. Un connecteur vers une base de données de sanctions (Dow Jones, World-Check, OpenSanctions) peut être déployé en quelques semaines.
  3. Piste d’audit — vérifiez que les logs de votre ERP sont immutables et exportables. Si ce n’est pas le cas, activez les fonctionnalités d’audit trail disponibles dans la plupart des ERP modernes.

Budget indicatif

Pour un ERP mid-market existant, le déploiement d’un module GRC ou d’une couche de contrôles anti-corruption représente typiquement entre 30 000 et 80 000 euros, incluant :

  • Paramétrage de la matrice SoD et des workflows d’approbation.
  • Intégration d’un service de screening tiers.
  • Activation et configuration de la piste d’audit.
  • Formation de l’équipe conformité.

Ce budget est à mettre en perspective avec le coût d’une non-conformité. Les CJIP françaises se chiffrent en millions d’euros, et les sanctions FCPA atteignent des montants bien supérieurs — rappelons les 3,6 milliards d’euros payés par Airbus.

Approche projet recommandée

  1. Audit de l’existant (2-4 semaines) : cartographier les contrôles déjà en place dans l’ERP, identifier les écarts avec les 8 piliers Sapin II.
  2. Quick wins (4-6 semaines) : activer la SoD, configurer les alertes sur les achats fractionnés, vérifier l’immutabilité des logs.
  3. Phase structurante (2-4 mois) : déployer le screening tiers automatisé, mettre en place les tableaux de bord compliance, connecter le dispositif d’alerte interne.
  4. Amélioration continue : actualiser la cartographie des risques annuellement, tester les contrôles via des audits internes, former les nouveaux collaborateurs.

Pour aller plus loin

La conformité anti-corruption ne fonctionne pas en silo. Elle s’inscrit dans un écosystème réglementaire plus large où l’ERP joue un rôle central. Pour compléter votre vision :

Publicité

📧 Ne manquez aucun de nos guides ERP

Recevez nos conseils d'experts pour réussir votre projet ERP et éviter les pièges coûteux.

Articles liés