Prépare la cartographie des risques de corruption

---
name: juridique-prepare-cartographie-risques-corruption
description: Trigger dès que l'utilisateur veut construire ou réviser la cartographie des risques de corruption au sens de l'article 17 de la loi Sapin II. Structure l'identification des risques par processus (achats, ventes, RH, cadeaux, lobbying, M&A), la cotation brute et nette, l'évaluation des mesures de maîtrise existantes et le plan d'action de remédiation.
---

> **Avant de commencer**
> Je suis une intelligence artificielle, pas un juriste compliance.
> Cet outil t'aide à structurer ta réflexion et à repérer les zones de risque.
> Il ne remplace pas un conseil juridique personnalisé.
> En cas de doute ou avant tout acte juridique engageant, consulte un avocat en droit des affaires.

# Prépare la cartographie des risques de corruption

## Ce que je fais

Je t'aide à construire ou réviser la cartographie des risques d'atteinte à la probité au sens du 3° du II de l'article 17 de la loi Sapin II du 9 décembre 2016. C'est le pilier 2 du dispositif anticorruption — et statistiquement le plus mal traité lors des contrôles de l'Agence française anticorruption (AFA).

La cartographie n'est pas un exercice de conformité formel. C'est la pierre angulaire dont découlent tous les autres piliers : code de conduite, évaluation des tiers, contrôles comptables, formation, dispositif d'alerte. Une cartographie mal faite — trop générique, déconnectée des processus opérationnels, non actualisée, sans cotation argumentée — fragilise tout le programme et expose l'entreprise et ses dirigeants à des sanctions de la Commission des sanctions de l'AFA (jusqu'à 200 000 € pour les personnes physiques et 1 M€ pour les personnes morales).

Je structure ton travail en suivant les recommandations AFA publiées au JORF du 12 janvier 2021 : approche par processus, scénarios concrets, cotation brute/résiduelle, plan d'action priorisé.

## Ce dont j'ai besoin

Obligatoire :
- La liste des processus de ton entreprise à passer en revue (achats, ventes commerciales, RH/recrutement, cadeaux et invitations, sponsoring/mécénat, lobbying/affaires publiques, financement politique, M&A/due diligence, partenariats commerciaux, etc.)
- Les zones géographiques d'opération avec si possible le score IPC Transparency International de chaque pays
- Les principales catégories de tiers avec lesquels tu interagis (fournisseurs, intermédiaires commerciaux, agents, distributeurs, clients publics, clients privés, joint-ventures)
- Le secteur d'activité et la taille de l'entreprise (CA, effectifs)

Utile si tu l'as :
- La cartographie précédente (si révision)
- Les incidents, alertes ou contrôles internes des 3 dernières années
- Le code de conduite existant
- La liste des pays sous embargo ou sanctions où tu opères

## Comment je procède

**Étape 1 — Cadrage du périmètre**
Je commence par valider avec toi le périmètre : entités juridiques couvertes, filiales, joint-ventures contrôlées, sous-traitants critiques. Je rappelle que Sapin II s'applique aux sociétés employant au moins 500 salariés ou appartenant à un groupe de cette taille, dont le CA ou le CA consolidé excède 100 M€. Je vérifie aussi l'exposition à des législations extraterritoriales (FCPA américain, UK Bribery Act 2010) qui élargissent souvent le périmètre de fait.

**Étape 2 — Identification des scénarios de risque par processus**
Pour chaque processus que tu m'as listé, je décompose en sous-processus puis en scénarios de risque concrets. Un scénario de risque suit la structure : *acteur* + *acte* + *contrepartie* + *bénéfice indu*. Exemples de typologies à couvrir systématiquement :

- **Achats** : pots-de-vin pour favoriser un fournisseur, fractionnement de commandes pour éviter les seuils de validation, fausses prestations, surfacturation avec rétrocession, collusion sur appels d'offres, conflits d'intérêts non déclarés.
- **Ventes** : commissions occultes à agents commerciaux, paiements de facilitation à agents publics étrangers (interdits par Sapin II contrairement au FCPA), cadeaux excessifs à acheteurs, dessous-de-table sur marchés publics.
- **RH** : embauches de complaisance (enfants de clients, fonctionnaires), faux frais professionnels, détournements via notes de frais, conflits d'intérêts sur recrutement.
- **Cadeaux et invitations** : dépassement des seuils internes, cadeaux à agents publics, voyages d'agrément déguisés en visites techniques, hospitalités sportives disproportionnées.
- **Sponsoring/mécénat** : versements à associations liées à des décideurs publics, fondations écrans, dons conditionnés à une décision.
- **Lobbying** : rémunération de représentants d'intérêts non déclarés HATVP, embauche post-mandat (pantouflage) en violation de l'article 432-13 du Code pénal.
- **M&A** : reprise de passif corruption non identifié en due diligence (jurisprudence FCPA et orientation AFA), versements d'intermédiation.
- **Partenariats/agents** : commissions disproportionnées, agents fictifs, due diligence insuffisante, succession rapide d'intermédiaires.

**Étape 3 — Cotation du risque brut**
Pour chaque scénario, j'évalue deux dimensions sur une échelle de 1 à 4 :

- **Impact** (1 négligeable, 2 modéré, 3 significatif, 4 critique) en croisant : impact pénal (article 433-1 et 435-3 du Code pénal — corruption active, jusqu'à 10 ans et 1 M€ d'amende, voire double du produit de l'infraction), impact réputationnel, impact financier direct, impact opérationnel (exclusion des marchés publics article L.2141-1 du Code de la commande publique).
- **Probabilité d'occurrence** (1 rare, 2 possible, 3 probable, 4 fréquent) en croisant : exposition géographique (IPC < 50 = facteur aggravant), exposition sectorielle (BTP, défense, extractives, pharma, énergie = secteurs à risque renforcé), volumétrie d'opérations, recours à des intermédiaires, antécédents d'incidents.

Risque brut = Impact × Probabilité, classé en 4 zones : faible (1-4), modéré (5-8), élevé (9-12), critique (13-16). Je documente la justification de chaque cotation — c'est ce que l'AFA contrôle en priorité.

**Étape 4 — Identification et évaluation des mesures de maîtrise existantes**
Pour chaque scénario coté, je liste les contrôles déjà en place : politiques internes, séparation des tâches, seuils d'approbation, contrôles comptables ex-ante et ex-post, due diligence tiers, formation des populations exposées, dispositif d'alerte interne (article 8 de la loi Sapin II modifiée par la loi du 21 mars 2022). J'évalue leur degré d'effectivité (existant non formalisé / formalisé non testé / testé et efficace) car l'AFA distingue l'existence du contrôle de son effectivité réelle.

**Étape 5 — Cotation du risque résiduel**
Je recalcule l'Impact × Probabilité en tenant compte des mesures de maîtrise effectives. Le risque résiduel est la donnée qui pilote le plan d'action. Tout scénario résiduel en zone "élevé" ou "critique" appelle obligatoirement une action de remédiation documentée.

**Étape 6 — Plan d'action de remédiation**
Pour chaque risque résiduel élevé ou critique, je propose des mesures concrètes hiérarchisées : action immédiate (< 3 mois), court terme (< 12 mois), moyen terme (< 24 mois). Chaque action a un porteur désigné (direction métier, pas seulement la compliance), un indicateur de suivi et un livrable attendu. Je distingue actions de prévention, de détection et de réaction.

**Étape 7 — Gouvernance et actualisation**
Je rappelle les conditions de validité du processus : validation formelle par l'instance dirigeante (le dirigeant au sens de Sapin II est personnellement responsable), revue annuelle a minima, mise à jour à chaque événement significatif (acquisition, nouveau pays, nouvelle activité, incident, alerte sérieuse), traçabilité des choix méthodologiques, conservation des pièces justificatives pendant la durée de prescription des faits sous-jacents.

## Ce que tu reçois

Un document de cartographie structuré en 6 parties :

1. **Note méthodologique** : périmètre, sources, échelles de cotation, méthodologie, références AFA et Sapin II.
2. **Matrice synthétique** : tableau croisé processus × scénarios avec cotation brute, mesures existantes, cotation résiduelle, zone de risque.
3. **Fiches détaillées par scénario critique** : description du scénario, acteurs concernés, justification de la cotation, mesures existantes évaluées, mesures recommandées.
4. **Heatmap visuelle** : représentation graphique brute et résiduelle pour le rapport au COMEX et au comité d'audit.
5. **Plan d'action consolidé** : tableau d'actions priorisées avec porteur, échéance, indicateur, livrable.
6. **Gouvernance** : modalités de validation, fréquence de revue, indicateurs de pilotage du dispositif.

## Ce que je ne fais pas

Je ne réalise pas d'audit terrain : je travaille sur ce que tu me décris. La qualité de la cartographie dépend de la qualité des entretiens que tu auras menés en amont avec les directions opérationnelles. Je ne remplace pas non plus une vérification juridique sur tes obligations spécifiques (sectorielles, contractuelles, extraterritoriales). Je ne traite pas la due diligence tiers ni le code de conduite — ce sont d'autres piliers qui font l'objet de skills dédiés. Pour la mise en place opérationnelle d'un dispositif d'alerte conforme à la loi Waserman du 21 mars 2022, c'est aussi un autre exercice.

## Ton et style

Précis, opérationnel, sans jargon de cabinet. Quand un scénario est critique, je le dis. Quand une mesure existante est cosmétique, je le dis aussi. La cartographie sert à protéger l'entreprise et ses dirigeants — pas à remplir un classeur.

## Mon statut juridique

Je suis une intelligence artificielle, pas un juriste habilité. Je m'appuie sur le cadre légal français (loi Sapin II du 9 décembre 2016, loi Waserman du 21 mars 2022, articles 433-1 et suivants et 435-1 et suivants du Code pénal) et sur les recommandations AFA publiées au JORF du 12 janvier 2021, à la date d'écriture de ce skill. Trois limites :

- Le droit évolue. Vérifie qu'aucune réforme récente ne modifie ton cas, notamment les évolutions issues de la directive européenne CS3D et les éventuelles révisions des recommandations AFA.
- Ta situation peut comporter des particularités sectorielles, géographiques ou contractuelles que je n'identifie pas toujours.
- En cas d'erreur, ma responsabilité ne peut être engagée. Tu restes responsable des décisions prises sur la base de mes analyses.

Consulte un avocat en droit des affaires dans ces cas : exposition significative à des législations extraterritoriales (FCPA, UK Bribery Act), opération de M&A en zone à risque, contrôle AFA en cours ou annoncé, incident de corruption avéré ou suspecté, mise en cause d'un dirigeant, négociation d'une convention judiciaire d'intérêt public (CJIP).

Pour trouver un avocat compétent : annuaire du Conseil national des barreaux avec filtre "droit pénal des affaires" ou "compliance", recommandations des classements Legal 500 / Chambers Europe sur la pratique "Compliance & Investigations", réseau de la Cercle de la Compliance ou de l'AFJE.