5e étape : hiérarchisation des risques nets ou résiduels et élaboration du plan d'actions

406. Une fois les risques « nets » ou « résiduels » évalués, un classement par niveau des scénarios de risques apparaît.
407. Lorsque ces scénarios de risques présentent une évaluation nette de même niveau, et si l'acteur public juge utile de les départager pour prioriser les actions à mettre en œuvre, il convient de les hiérarchiser au moyen d'une méthodologie objective adaptée aux activités spécifiques de l'acteur public, reposant sur la combinaison de plusieurs critères comme la part du budget consacré, la nature et le type de relations avec les tiers.
408. Il s'agit de déterminer, dans le cadre de la stratégie de gestion des risques, les mesures à mettre en œuvre afin de les maîtriser.
409. Sur la base de ces éléments, un plan d'actions est élaboré. Le calendrier et les modalités de mise en œuvre de ce plan d'actions, ainsi que son suivi et les modalités de compte rendu associés, sont confiés à la responsabilité d'acteurs précisément désignés. L'établissement, la formalisation et le suivi de ce plan d'actions constituent une condition de l'efficacité de la cartographie des risques.
410. Les acteurs publics pas ou peu familiers des exercices de cartographie des risques peuvent utilement, dans leur cheminement tendant à se doter d'une cartographie des risques d'atteintes à la probité, telle que proposée dans les précédents paragraphes, débuter leurs travaux en examinant prioritairement trois processus que l'expérience conduit à considérer comme particulièrement exposés aux risques d'atteintes à la probité : la commande publique, la gestion des ressources humaines, le versement des subventions (cf. annexe n° 2).

6e étape : formalisation, mise à jour et archivage de la cartographie des risques d'atteintes à la probité

411. L'ensemble des éléments précités constitue la cartographie des risques. Sa présentation participe de son appropriation comme outil de pilotage des risques d'atteintes à la probité.
412. La nécessité d'une éventuelle actualisation de la cartographie doit être appréciée chaque année.
413. Cette mise à jour doit suivre la méthode ayant conduit à la construction de la cartographie, si celle-ci offre, au regard des modalités et méthodologies d'identification, d'évaluation, de hiérarchisation et de gestion des risques qu'elle prévoit, l'assurance raisonnable qu'elle reflète fidèlement les risques réels auxquels l'acteur public est exposé.
414. Il est recommandé de conserver tous les éléments permettant d'apprécier la mise en œuvre effective des modalités et méthodologies de la cartographie.
415. Les différentes versions des cartographies sont datées, référencées et archivées.

III.3) Troisième pilier : la gestion des risques d'atteintes à la probité
A. - Prévention des risques

1. Règles en matière de déontologie/éthique et code de conduite

Définition et objectifs du code de conduite
416. Le code de conduite, quelle que soit la dénomination retenue, est un document qui manifeste la décision de l'instance dirigeante d'engager l'acteur public dans une démarche de prévention et de détection des atteintes à la probité. Il peut être intégré dans un dispositif « d'éthique » (du type charte éthique) ou de déontologie au périmètre plus large que la stricte prévention des atteintes à la probité, à condition d'en permettre la parfaite lisibilité dans sa présentation et sa diffusion.
417. Le code de conduite définit et illustre, à travers des exemples d'activités de l'acteur public, les différents types de comportements à éviter comme étant susceptibles de constituer des atteintes à la probité.
Champ d'application
418. Le code de conduite est applicable à l'ensemble des personnels et dirigeants de l'acteur public, ainsi que, le cas échéant, sous une forme adaptée, aux autres élus et à leurs collaborateurs.
419. Concernant les autres collaborateurs de l'acteur public (bénévoles, stagiaires), il est recommandé que le code leur soit également applicable, dans le respect des dispositions légales qui les concernent.
Processus d'élaboration et de validation
420. Afin de manifester son engagement, l'instance dirigeante promeut le code de conduite et en applique scrupuleusement les principes. L'exemplarité de l'instance dirigeante est essentielle à la bonne application du code de conduite par les personnels.
421. Le code de conduite, préfacé par l'instance dirigeante, rappelle ses valeurs et son engagement en matière de prévention et de détection des atteintes à la probité. Ce portage favorise le développement d'une culture de la déontologie, de l'éthique, de l'intégrité et de la probité.
422. Pour ce qui concerne les acteurs publics dont les personnels relèvent du statut général des fonctionnaires, le code de conduite est signé par le chef de service. Il requiert la consultation préalable du comité technique ou, à l'avenir, du comité social compétent.
423. Lorsque l'acteur public est doté de règlement(s) intérieur(s), le code de conduite y est intégré, et fait l'objet, le cas échéant, de la procédure de consultation des instances, autorités ou services compétents.
Contenu
424. Le code de conduite a vocation à être rédigé ou mis à jour postérieurement à l'élaboration de la cartographie des risques d'atteintes à la probité, dans la mesure où il décrit les comportements à éviter à partir des risques spécifiques à l'acteur public.
Le code de conduite n'est pas limité à un recueil de bonnes pratiques, mais contient des dispositions sur les types de comportements à éviter auxquels personnels et dirigeants sont susceptibles d'être confrontés du fait de l'activité de l'acteur public. Une structuration en rubriques correspondant aux différents types de comportements à éviter est encouragée.
425. Par ailleurs, le code de conduite rappelle et précise les modalités de mise en œuvre des obligations déontologiques applicables au personnel et aux dirigeants de l'acteur public.
426. Certaines de ces obligations peuvent être d'origine législative ou réglementaire. Le code de conduite peut apporter des précisions quant à leur mise en œuvre opérationnelle. En outre, ces obligations peuvent être utilement complétées par des mesures propres à l'acteur public, en fonction de son profil de risque (11).
427. Le code de conduite traite notamment des cadeaux et invitations, des conflits d'intérêts, des règles d'utilisation des biens du service, des frais de représentation et peut ainsi détailler :

- les obligations d'intégrité et de probité cités à l'article 25 du titre Ier du statut général des fonctionnaires et à l'article 1er de la loi n° 2013-907 du 11 octobre 2013 relative à la transparence de la vie publique, pour les responsables publics ;
- les dispositions spécifiques à certaines catégories d'agents (forces de sécurité intérieure, secteur médico-social), dès lors qu'elles sont représentées au sein de l'acteur public ;
- les dispositions relatives aux déclarations d'intérêts et de situation patrimoniale applicables dans l'acteur public ;
- le cadre applicable en matière de cumul d'activités, de mobilité des agents publics vers le privé et de retour dans le service public d'agents en mobilité dans le secteur privé ;
- toutes règles applicables en matière de prévention des conflits d'intérêts : obligation de déport, voire dispositifs volontaires de déclaration de non-conflit d'intérêts ou de déclaration d'intérêts ;
- l'interdiction des emplois familiaux dans les cabinets des élus, si l'acteur public est concerné ;
- les règles applicables au cumul de fonctions électives et administratives ;
- l'obligation de gestion par un intermédiaire agréé des instruments financiers pour certains emplois ou fonctions ;
- les obligations de transparence et de communicabilité des documents applicables dans la gestion de l'acteur public.

428. Le code de conduite est appuyé d'illustrations pertinentes au regard de l'activité de l'acteur public et des risques définis dans sa cartographie des risques d'atteintes à la probité (par exemple, quel comportement adopter en cas d'invitation par un fournisseur ou par une personne ayant formulé une demande de délivrance de titre ou d'autorisation).

429. Si l'acteur public fait le choix d'un code de conduite renvoyant à des fiches ou procédures « opérationnelles » qui, sans faire partie du code lui-même, définissent, sur la base de la cartographie des risques, le détail opérationnel des comportements à respecter afin de maîtriser les situations à risque, il importe que ces documents constituent un ensemble cohérent, clairement articulé et dont la lisibilité et l'accessibilité soient assurées pour tous les collaborateurs.

430. Le code de conduite mentionne le nom et les coordonnées du référent déontologue (lorsqu'il en existe un) et celles du référent alerte, qui peuvent le cas échéant être les mêmes. Afin d'éviter une confusion entre ces deux instances, le code de conduite précise leurs rôles respectifs et leurs procédures de saisine.

431. Il présente le dispositif d'alerte interne destiné à recueillir les signalements relatifs à l'existence de comportements ou de situations contraires au code de conduite et susceptibles, pour les agents relevant du statut général des fonctionnaires, de constituer un manquement au devoir de probité.

432. Le code de conduite rappelle que les violations de ses dispositions sont susceptibles de faire l'objet de sanctions disciplinaires dans le respect des dispositions applicables.

433. Pour ce qui concerne les personnels relevant du statut général des fonctionnaires, les manquements aux mesures d'organisation du service et de son activité prévues dans le code de conduite sont susceptibles de donner lieu à une sanction disciplinaire. Les manquements aux obligations déontologiques légales rappelées par le code de conduite sont également susceptibles de donner lieu à une sanction disciplinaire. Enfin, les manquements aux préconisations du code de conduite intervenant dans le domaine statutaire sont eux aussi susceptibles de donner lieu à une sanction disciplinaire dès lors qu'ils sont constitutifs d'un manquement aux devoirs de probité et d'intégrité des agents publics. Le manquement aux préconisations du code de conduite est un indice de l'existence d'un manquement aux devoirs de probité et d'intégrité.
     Formalisation et accessibilité du code de conduite

434. Le code de conduite, rédigé en des termes qui le rendent intelligible et accessible à des non spécialistes est clair, sans réserve et sans équivoque.

435. Le code de conduite est communiqué en interne et constitue l'un des éléments auxquels sont formés les personnels et les dirigeants de l'acteur public.

436. Le code de conduite sert également d'outil de communication externe dans les relations avec les usagers, les fournisseurs, et, plus généralement, les partenaires de l'acteur public concerné.
     Mise à jour

437. Le code de conduite est mis à jour régulièrement, notamment après la mise à jour de la cartographie des risques d'atteintes à la probité. Il comporte à cette fin une indication de sa date d'établissement.

438. Formation et sensibilisation

Définition et objectifs
438. Vecteur de la culture d'intégrité au sein de l'acteur public, un dispositif de sensibilisation et de formation efficace et adapté favorise une large diffusion des engagements en matière de lutte contre les atteintes à la probité par l'instance dirigeante, leur appropriation par les collaborateurs et la constitution d'un socle de connaissances commun aux différents personnels.
439. Une action de sensibilisation permet aux participants d'être mieux informés et réceptifs sur les sujets qui leur sont présentés.
440. Une action de formation consiste à procurer les connaissances et les compétences nécessaires à l'exercice d'une activité ou d'un métier. Elle s'intègre dans le plan de formation général de l'acteur public.
441. Le dispositif de sensibilisation et de formation doit :

- être coordonné avec les autres mesures et procédures du dispositif anticorruption. Par exemple : formation au contenu du code de conduite, formation prioritaire des personnes identifiées comme à risque sur le fondement de la cartographie des risques, formation et sensibilisation à l'utilisation des dispositifs d'alerte… ;
- tenir compte des risques spécifiques auxquels sont exposées les différentes catégories de personnels.

Le dispositif de sensibilisation destiné à tous les personnels
442. Si le dispositif de formation aux risques s'adresse prioritairement aux cadres et aux personnels les plus exposés, il est recommandé d'organiser une sensibilisation de l'ensemble des personnels.
443. Les actions de sensibilisation, destinées à tous les personnels, portent notamment sur :

- le code de conduite ;
- les atteintes à la probité en général, leurs enjeux, leurs formes et les sanctions y afférentes, qu'elles soient disciplinaires ou pénales ;
- le comportement à adopter face à des faits d'atteintes à la probité, le rôle et les responsabilités de chacun ;
- le dispositif d'alerte interne.

444. Quelles que soient les modalités d'organisation retenues, ces actions de sensibilisation visent à favoriser la prise de conscience des enjeux inhérents aux atteintes à la probité au sein de l'acteur public et son environnement.
     Formation obligatoire destinée aux personnes les plus exposées
445. La formation de l'instance dirigeante, des élus et de leurs collaborateurs, des cadres et personnels les plus exposés permet de les alerter à la fois sur la nécessaire vigilance dont ils devront faire preuve dans l'exercice de leurs activités, mais également sur les comportements qu'ils devront adopter face aux situations à risque.
446. Cette formation vise à ce que les personnes concernées s'approprient le dispositif anticorruption de l'acteur public.
447. A terme, elle a pour effet de limiter les risques identifiés dans la cartographie des risques d'atteintes à la probité.
448. Sur le fondement de celle-ci, le responsable des ressources humaines identifie, avec l'aide de l'éventuel responsable ou service en charge du dispositif anticorruption (ou tout autre responsable désigné), les personnes les plus exposées aux risques d'atteintes à la probité, c'est-à-dire les personnes en charge ou participant aux processus à risque.
449. Il peut s'agir, en particulier :

- de l'instance dirigeante et des élus (notamment ceux titulaires d'une délégation) ;
- des cadres et des personnels en relation avec des tiers exposés (acheteurs, instructeurs de demandes de subventions ou d'autorisations, etc.) ;
- des personnels qui participent à la mise en œuvre du dispositif anticorruption.

450. D'autres éléments, comme les fiches de poste, peuvent servir de base à l'identification des cadres et personnels exposés.
451. Le contenu des formations varie selon qu'elles s'adressent aux cadres et aux personnels les plus exposés aux risques d'atteintes à la probité ou à d'autres catégories de personnes.
452. Ce contenu est adapté à la nature des risques, aux fonctions exercées et aux territoires sur lesquels intervient l'acteur public. Il est actualisé régulièrement, en lien avec la mise à jour de la cartographie des risques.
453. La formation a pour objet d'améliorer la compréhension et la connaissance :

- des processus et des risques induits ;
- des infractions d'atteintes à la probité ;
- des diligences à accomplir et des mesures à appliquer pour réduire ces risques ;
- des comportements à adopter face à une sollicitation indue ;
- des sanctions disciplinaires encourues en cas de pratiques non conformes.

454. Le tronc commun de ces formations porte sur :

- le code de conduite ;
- les atteintes à la probité en général, leurs enjeux et leurs formes ;
- les obligations juridiques applicables et les sanctions y afférentes ;
- le dispositif anticorruption ;
- le comportement à adopter, le rôle et les responsabilités de chacun face à des faits d'atteintes à la probité ;
- le dispositif d'alerte interne.

455. En complément, des thématiques spécifiques sont traitées, selon les fonctions exercées par les participants et les risques spécifiques auxquels ils sont confrontés. Les outils de détection des atteintes à la probité peuvent être une thématique couverte par la formation à destination des personnels chargés d'une fonction de contrôle.
456. Les personnes les plus exposées sont formées dès leur prise de fonction. Les formations sont régulièrement dispensées tout au long de l'exercice de leur fonction.
457. Les formations sont mises en œuvre avec des outils adaptés. Elles doivent être accessibles et adaptées aux publics auxquels elles s'adressent.
458. Les formations sont pragmatiques et pédagogiques. A l'instar du code de conduite, elles s'appuient notamment sur des cas pratiques et des scénarios personnalisés par public et adaptés aux risques identifiés dans la cartographie des risques d'atteintes à la probité.
459. Des membres de l'acteur public peuvent être invités à partager leur expérience en la matière, leurs réactions et les conclusions qu'ils en ont tirées, donnant ainsi lieu à des échanges au plus près des contraintes opérationnelles. Les mises en situation peuvent être utiles pour favoriser une appropriation des règles dans l'exercice quotidien des fonctions.
460. La mise en place d'outils permettant de vérifier la bonne compréhension des formations comme, par exemple, un contrôle de connaissances, est à encourager. Ce contrôle de connaissance peut être effectué au cours de la formation ou après un certain délai, afin de s'assurer que les connaissances ont été assimilées.
461. Les formations peuvent être assurées par des personnels en interne ou être dispensées par un prestataire extérieur.
462. Dans l'hypothèse d'une externalisation, il est nécessaire que l'acteur public participe à la conception et à la mise en œuvre de la formation afin que ses spécificités soient prises en compte et que le contenu de la formation soit en cohérence avec la politique déployée en la matière (ex. : éléments relatifs au code de conduite, à la cartographie des risques…).
463. Enfin, les atteintes à la probité peuvent également être abordées dans le cadre de formations plus générales (commande publique, management, prise de poste à responsabilité, formation des élus…).
     Contrôle et suivi du dispositif de formation
464. La mise en place d'indicateurs permet d'assurer le suivi du dispositif de formation y compris dans l'hypothèse d'une externalisation des formations. Ces indicateurs peuvent inclure les items suivants :

- taux de couverture de la formation au regard du public visé ;
- nombre d'heures de formation sur le dispositif de prévention et de détection des atteintes à la probité.

465. La qualité du dispositif de formation et son suivi, ainsi que l'identification des participants font l'objet d'un contrôle.

466. Dans l'hypothèse d'une externalisation de tout ou partie du dispositif de formation, le collaborateur ou le service responsable du dispositif anticorruption (ou tout autre responsable désigné) doit non seulement être informé du calendrier des formations et de leur contenu pédagogique, mais doit aussi contrôler le déploiement effectif du dispositif et les indicateurs associés.

467. L'évaluation de l'intégrité des tiers

Définition et objectifs de l'évaluation de l'intégrité des tiers
467. Les évaluations sont réalisées à partir de la cartographie des risques d'atteintes à la probité. Elles peuvent concerner notamment les catégories de tiers suivantes : les fournisseurs et les sous-traitants, les entités que l'acteur public subventionne, les bénéficiaires d'aides individuelles, les bénéficiaires d'autorisations, les partenaires ou mécènes, les usagers du service public, tout acteur privé ou public avec lequel l'acteur public est en relation dans le cadre de ses missions, y compris les entités avec lesquelles il entretient des relations régulières sans toutefois exercer sur elles un contrôle de fait ou de droit (comme les sociétés d'économie mixte dans lesquelles elle détient une participation minoritaire).
468. Elles visent à permettre de décider d'entrer en relation avec un tiers, de poursuivre une relation en cours, le cas échéant avec des mesures de vigilance renforcées, ou d'y mettre fin (12).
Définition des modalités d'évaluation des tiers
469. Le recensement exhaustif des tiers, à travers le cas échéant une base existante, est de nature à faciliter la réalisation et la gestion de leur évaluation.
470. Cette dernière doit être actualisée et sécurisée. Cette démarche suppose notamment l'adoption de procédures formalisées et sécurisées de création, validation, modification et suppression des tiers enregistrés dans la base, avec un respect strict de la répartition des tâches et des habilitations.
471. L'acteur public doit recenser de manière exhaustive ses catégories de tiers. Cette approche a pour objet de déterminer ex ante, sur le fondement de la cartographie des risques, les groupes de tiers qui l'exposent aux risques d'atteintes à la probité.
472. La nature et la profondeur des évaluations à réaliser et des informations à recueillir sont déterminées en fonction des différents groupes homogènes de tiers présentant des profils de risques comparables, tels que la cartographie des risques permet de les identifier. Ainsi, les groupes de tiers jugés pas ou peu risqués pourront ne pas faire l'objet d'une évaluation ou faire l'objet d'une évaluation simplifiée tandis que les groupes les plus risqués nécessiteront une évaluation approfondie. L'analyse des groupes de tiers pour déterminer ceux qui pourront ne faire l'objet d'aucune évaluation est particulièrement opportune pour les services publics accessibles à de très nombreux usagers.
473. Au sein de chaque groupe de tiers qui nécessite une évaluation, le tiers est évalué individuellement, en fonction de ses particularités. Les procédures d'évaluation des tiers visent en effet à apprécier le risque spécifique induit par la relation entretenue ou qu'il est envisagé d'entretenir avec un tiers donné.
474. L'évaluation de l'intégrité des tiers permet à l'acteur public d'apprécier des situations individuelles, ce que ne permet pas la cartographie des risques (et éventuellement la cartographie des tiers). Un tiers, considéré comme appartenant à une catégorie peu risquée dans la cartographie des risques, peut être requalifié en tiers risqué à l'issue de son évaluation individuelle. De même, un incident, une alerte, une condamnation concernant un tiers dont la catégorie est jugée peu risquée ou dont le comportement évolue au cours de la relation peuvent conduire l'acteur public à réaliser une évaluation plus poussée ou à l'évaluer en priorité.
Modalités d'évaluation de l'intégrité des tiers
475. Trois niveaux d'acteurs participent aux évaluations :

- le personnel en charge des évaluations et qui en est responsable, collecte les informations et documents utiles à l'évaluation des tiers avec lesquels il est ou est appelé à être en relation. Il émet une première appréciation. Cette appréciation vaut décision dans les cas considérés comme peu risqués ;
- le collaborateur ou le service en charge du dispositif anticorruption (ou tout autre responsable désigné) apporte son expertise et ses conseils au personnel en charge des évaluations. Il accompagne le niveau opérationnel dans l'appréciation des cas les plus risqués et dans la prise de décision ;
- l'instance dirigeante décide des suites à donner aux cas les plus risqués que lui communiquent les services concernés.

476. La procédure d'évaluation de l'intégrité des tiers est formalisée.
477. Les informations et documents utiles à l'évaluation des tiers sont déterminés par l'acteur public sur le fondement de sa cartographie des risques. Dans bien des cas, une partie des données listées infra à titre indicatif est déjà demandée dans le cadre des procédures administratives d'instruction en vigueur.
478. A titre indicatif, les évaluations peuvent inclure :

- la collecte d'informations au moyen de la consultation de listes internes à l'acteur public ;
- la collecte d'informations en sources ouvertes, de documents publics ou à disposition du public (par exemple : articles de presse, états financiers, décisions de justice lorsqu'elles sont publiées, rapports de contrôle ou d'inspection…) ;
- la vérification de la présence du tiers ou de ses bénéficiaires effectifs, tels que définis par les articles R. 561-1 et R. 561-2 du code monétaire et financier, de ses dirigeants ou de ses administrateurs, sur les listes des personnes physiques et morales sanctionnées (notamment la liste des personnes exclues des marchés publics financés par la banque mondiale, les banques de développement ainsi que la liste des personnes sous sanctions financières et internationales des ministères économiques et financiers) ;
- la collecte d'informations et de documents auprès du tiers, au moyen par exemple d'un questionnaire, d'un entretien, d'un audit, d'un processus interne d'agrément ou de certification.

479. Les informations sont obtenues dans le respect des réglementations applicables, notamment celles relatives à la protection des données personnelles.
480. L'acteur public recense les principaux éléments d'identité du tiers : nom, raison ou dénomination sociale, nature juridique de la structure, date de création, effectifs, chiffre d'affaires, capital, secteur(s) d'activité, domaines de compétences (notamment pour les prestataires de services), implantation géographique.
481. L'acteur public s'assure que le tiers dispose de l'expérience, des qualifications et des compétences nécessaires à la réalisation de sa mission. A ce titre, il peut demander au tiers de lui communiquer les références professionnelles qu'il jugera nécessaires en fonction des données déjà recueillies (date de constitution, date du lancement de l'activité, etc.). Le manque de qualification ou d'expérience peut être défini comme un facteur aggravant lors de l'évaluation du niveau de risque du tiers. Pour ce qui concerne les tiers ayant la qualité de pouvoir adjudicateur, ces vérifications s'effectuent dans le respect du code de la commande publique.
482. La collecte de données personnelles relatives à l'intégrité du tiers, qui peuvent porter sur d'éventuelles poursuites ou condamnations pour atteintes à la probité, doit respecter les normes régissant la protection des données.
483. L'acteur public peut également s'assurer que le tiers a mis en œuvre un dispositif anticorruption. Le fait que le tiers ne communique pas sur la mise en place d'un tel dispositif lorsqu'il y est contraint par la loi et ne le documente pas peut être considéré comme un facteur de risque.
     Appréciation du niveau du risque du tiers
484. L'acteur public apprécie le niveau de risque du tiers à partir des informations et documents collectés d'une part, et de l'analyse des conditions dans lesquelles s'inscrit la relation envisagée (ou de l'analyse de la nature et de l'objet de la relation), d'autre part.
485. Certaines relations comportent un risque aigu d'atteintes à la probité comme, par exemple, le cas d'un tiers ayant pour mission d'assister l'acteur public dans l'obtention de contrats. Il peut inciter le tiers à se livrer à des pratiques non conformes de façon à contourner son dispositif anticorruption.
486. L'établissement d'une relation financière de longue durée ou à forte valeur peut constituer un facteur de risque lors de l'évaluation du niveau de risque du tiers. De la même manière, le niveau de dépendance économique de l'acteur public vis-à-vis du tiers ou du tiers vis-à-vis de l'acteur public peut constituer un risque.
487. L'acteur public vérifie que le coût de la prestation est cohérent avec la nature et le volume des biens ou services vendus par le tiers et conforme au prix du marché. Une incohérence peut constituer un signal d'alerte et nécessite d'en justifier les raisons.
488. Le versement de commissions liées à l'obtention de contrats constitue un facteur de risque lors de l'évaluation du niveau de risque du tiers.
489. Le comportement du tiers est pris en compte dans l'évaluation du risque : le fait par exemple que le tiers refuse de fournir ou tarde à fournir les informations ou documents qui lui sont demandés peut être considéré comme un facteur de risque lors de son évaluation.
     Conclusions à tirer des évaluations
490. A la suite de l'évaluation du niveau de risque, il peut être décidé :

- d'approuver la relation - avec ou sans mesures de vigilance renforcée ;
- de mettre un terme à la relation ou de ne pas l'engager (13) ;
- de reporter la prise de décision (pour cause d'évaluations complémentaires, par exemple).

491. Les personnes à l'origine de la décision sont clairement identifiées au sein de l'acteur public.
492. L'absence de facteurs de risque à la suite d'une évaluation ne garantit pas que la relation avec le tiers soit absolument dénuée de risque. A l'inverse, l'identification de facteurs de risque n'interdit pas la relation, mais doit conduire l'acteur public à prendre les mesures de vigilance appropriées pendant la relation.
     Mesures de vigilance et de prévention à déployer en cours de relation avec un tiers
493. Les mesures de prévention et de détection des atteintes à la probité devant être adaptées à l'environnement de chaque acteur public, il revient à ce dernier de définir les mesures qu'il juge cohérentes avec ses spécificités.
494. Dans ce cadre, l'acteur public peut utilement envisager l'une ou plusieurs des options suivantes :

- informer le tiers de l'existence de son dispositif anticorruption en communiquant, par exemple, le code de conduite ;
- former ou sensibiliser le tiers au risque ;
- renforcer la collégialité dans la prise de décision ;
- renforcer le contrôle interne (notamment la validation hiérarchique) ;
- exiger du tiers un engagement écrit de lutte contre les atteintes à la probité ou insérer une clause permettant à l'acteur public de mettre un terme à la relation conventionnelle en cas de manquement à la probité si la nature juridique de la relation avec le tiers le permet.

Suivi de la relation contractuelle avec le tiers
495. La relation contractuelle doit être clairement établie afin d'en contrôler la bonne exécution.
496. A cet égard, l'acteur public doit avoir une visibilité complète sur les paiements reçus de tiers ou effectués à leur profit afin de s'assurer que le prix de la prestation et les modalités de paiement sont conformes aux dispositions contractuelles.
Evaluation des tiers et commande publique
497. L'évaluation de l'intégrité des tiers par les acteurs publics appliquant le code de la commande publique doit être menée dans le respect des principes fondamentaux de la commande publique : liberté d'accès à la commande publique, égalité de traitement des candidats et transparence des procédures.
498. Cette évaluation intègre les vérifications prévues par le code de la commande publique ; l'acteur public vérifie en particulier l'existence d'éventuelles mesures d'exclusion des procédures de marchés publics dont l'opérateur économique, candidat à un marché, est susceptible de faire l'objet :

- exclusion pour les entreprises ayant fait l'objet d'une condamnation définitive pour un certain nombre d'infractions, dont la corruption ;
- exclusions laissées à l'appréciation de l'acheteur :
- en cas de candidature créant une situation de conflit d'intérêts et lorsqu'il ne peut y être remédié par d'autres moyens ;
- en cas de tentative d'influence sur la décision ;
- en cas de tentative d'obtention d'informations confidentielles.

499. L'évaluation des opérateurs économiques permet, au regard du risque identifié, d'adapter la relation entre le pouvoir adjudicateur et le ou les tiers. Ainsi, dans le cas d'un tiers risqué ou d'un secteur identifié dans la cartographie des risques comme sensible, l'acteur public peut prendre des mesures de prévention comme par exemple :

- renforcer la collégialité dans la prise de décision ;
- former les agents chargés de la préparation ou du suivi du marché ;
- organiser, le cas échéant, le retrait des personnes susceptibles d'intervenir dans la passation du marché et qui se trouvent en situation de conflits d'intérêts ;
- renforcer le contrôle interne (notamment les cas de validation hiérarchique) ;
- maintenir une vigilance élevée tout au long de l'exécution d'un marché conclu avec un tiers évalué comme risqué.

500. Dans la mesure où les critères d'analyse des offres doivent avoir un lien avec l'objet du marché ou ses conditions d'exécution, l'introduction de critères relatifs à l'engagement anticorruption des entreprises candidates ne paraît envisageable que dans des cas résiduels. L'ajout de tels critères pourrait exposer le pouvoir adjudicateur à des reproches de favoritisme.
     Renouvellement et mise à jour des évaluations des tiers
501. Le processus d'évaluation est reconduit de manière périodique, en fonction de la catégorie et du niveau de risque du tiers. A ce titre, il est utile de fixer, lors de toute entrée en relation, une date de renouvellement.
502. Les informations sur la situation du tiers qui n'impactent pas le niveau de risque de l'acteur public donnent lieu à une mise à jour des informations sur le tiers. En revanche, si ces informations portent sur un changement significatif dans la situation du tiers comme, par exemple, un changement de bénéficiaire effectif, une fusion de deux entités ou l'acquisition d'une nouvelle entité, alors une nouvelle évaluation du tiers est conduite.
503. Le processus de renouvellement sera l'occasion de s'assurer que le tiers a respecté ses engagements anticorruption tout au long de la relation.
     Conservations des informations sur les tiers
504. L'intégralité du dossier d'évaluation du tiers ainsi que l'historique des modifications sont à conserver pendant 5 ans après la cessation de la relation (ou après la date d'une opération occasionnelle), sous réserve d'une législation plus exigeante.

B. - Détection

1. Dispositif d'alerte interne

Définition et objectifs
505. Le dispositif d'alerte interne est la procédure mise en œuvre par les acteurs publics afin de permettre à leurs personnels de porter à la connaissance d'un référent dédié, un comportement ou une situation potentiellement contraire au code de conduite ou susceptibles de constituer des atteintes à la probité, afin d'y mettre fin et de prendre les sanctions appropriées, le cas échéant (cf. annexe 1).
506. Les administrations de l'Etat (administrations centrales, services à compétence nationale, services déconcentrés), les communes de plus de 10 000 habitants, les départements et les régions, les collectivités mentionnées à l'article 72-3 de la Constitution ainsi que les établissements publics en relevant et les établissements publics de coopération intercommunale à fiscalité propre regroupant au moins une commune de plus de 10 000 habitants, les autorités publiques indépendantes d'au moins cinquante agents et les autorités administratives indépendantes ainsi que toute autre personne morale de droit public ou de droit privé d'au moins cinquante agents ou salariés (établissements publics, groupement d'intérêt public, etc.) ont l'obligation de mettre en place des procédures appropriées de recueil des signalements émis par les membres de leur personnel ou par des collaborateurs extérieurs et occasionnels (article 8 de la loi).
507. Ces procédures doivent notamment permettre le signalement de délits (article 6 de la même loi) et concernent donc les situations de commission d'une atteinte à la probité.
508. Les agents affectés dans une collectivité, un établissement public ou un organisme non soumis à l'obligation de mettre en place une procédure de recueil des signalements peuvent également réaliser le signalement d'un délit, en respectant la procédure prévue au I de l'article 8 de la loi. Ils peuvent ainsi s'adresser à leur supérieur hiérarchique direct ou indirect.
509. Le statut général des fonctionnaires et le code du travail prévoient un régime protecteur en faveur des auteurs de l'alerte, dès lors qu'ils ont respecté les prévisions de la loi pour effectuer leur signalement (domaines susceptibles de faire l'objet d'une alerte et procédure).
510. Les agents relevant du statut général des fonctionnaires peuvent également effectuer un signalement concernant une situation de conflit d'intérêts, soit auprès de leur autorité hiérarchique, soit auprès de leur référent déontologue, en bénéficiant du même régime protecteur. Des situations qui, sans être constitutives du délit de prise illégale d'intérêts, apparaissent néanmoins comme contraires aux obligations déontologiques des agents publics, car constitutives d'un conflit d'intérêts peuvent ainsi faire l'objet d'un signalement.
511. Au regard des dispositifs d'ores et déjà applicables et dans l'attente de la transposition de la directive (UE) 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 sur la protection des personnes qui signalent des violations du droit de l'Union, l'AFA recommande la mise en place d'un dispositif d'alerte unique, non spécifique à l'anticorruption.
512. Toutefois, lorsqu'un signalement révèle une potentielle atteinte à la probité, une enquête interne doit être diligentée.
Articulation des différents dispositifs d'alerte
513. Différents dispositifs d'alerte professionnelle coexistent, il est conseillé, dans un souci de lisibilité, lorsque c'est juridiquement possible, la mise en place d'un dispositif technique unique de recueil des signalements, qui feront l'objet de traitement approprié.
514. La mise en place d'un dispositif technique unique de recueil suppose d'ouvrir la possibilité de signalement non seulement aux personnels, mais aussi aux collaborateurs extérieurs et occasionnels (14), ou aux ordres professionnels. Il peut également être rendu public.
Organisation du dispositif d'alerte
515. Le dispositif d'alerte interne doit être adapté au profil de risque de l'acteur public.
516. La gestion de ce dispositif (y compris la fonction de référent) peut être réalisée au sein de l'acteur public ou sous-traitée à un tiers.
517. Le dispositif d'alerte interne précise le rôle du supérieur hiérarchique, qui doit pouvoir orienter et conseiller ses collaborateurs, sauf dans l'hypothèse où il serait lui-même l'auteur du comportement incriminé.
518. L'acteur public veille à la formation des personnes en charge du traitement de l'alerte, au respect de la confidentialité de son traitement et à l'absence de tout conflit d'intérêts ; il veille également à la formation des supérieurs hiérarchiques.
519. Le dispositif d'alerte interne est présenté sans délai aux collaborateurs venant de rejoindre l'acteur public.
520. La gestion de ce dispositif (y compris la fonction de référent défini ci-dessous) peut être sous-traitée à un tiers, sous réserve que ce tiers dispose des compétences nécessaires au bon traitement des alertes et des moyens permettant d'en garantir la confidentialité. Les prestations fournies dans ce cadre devront faire l'objet de contrôles réguliers. L'acteur public veillera à donner au tiers retenu les moyens de traiter les alertes, notamment en veillant à lui faciliter l'accès aux services internes concernés de l'acteur public.
521. Le dispositif d'alerte interne est à déployer sur l'ensemble du périmètre de l'acteur public. Il est à adapter aux spécificités des entités qui le composent (activité, taille, législation locale…).
Traitement des alertes
522. La procédure d'alerte interne doit préciser les différentes étapes à suivre pour effectuer un signalement, les modalités de traitement par celui qui en est destinataire, le droit des personnes concernées (et notamment leur protection), et les mesures de sécurité et de conservation des données à caractère personnel.
523. Le dispositif d'alerte interne indique :

- le référent fonctionnellement désigné pour recueillir les alertes au sein de l'acteur public et, s'il est différent, le référent en charge de leur traitement ;
- les dispositions prises pour garantir la confidentialité de l'identité de l'auteur du signalement, des faits objets du signalement et des personnes visées par le signalement, y compris lorsque des vérifications ou lorsque le traitement du signalement nécessitent la communication avec des tiers. La violation de la confidentialité doit être susceptible d'entraîner des sanctions disciplinaires.

524. Le dispositif d'alerte est sécurisé et, le cas échéant, ses droits d'accès sont limités aux seuls personnels autorisés à recueillir les alertes ou à les traiter.
525. Dans l'hypothèse d'une mise en cause d'une ou plusieurs personnes, l'acteur public doit être vigilant lors de la réunion de preuves ou documents, notamment lorsque les personnes mises en cause dans l'alerte sont susceptibles de se concerter ou de détruire des données ou documents les incriminant.
526. Le dispositif d'alerte interne précise les modalités d'accès au dispositif et d'échange d'informations avec l'auteur de l'alerte, notamment :

- les canaux pour effectuer une alerte : il peut s'agir d'une adresse électronique dédiée, d'un logiciel de gestion voire d'une plateforme éthique spécifique. L'alerte peut aussi emprunter la voie hiérarchique. En tout état de cause, ces canaux doivent être aisément accessibles aux utilisateurs ;
- les conditions de transmission, par l'auteur du signalement, des informations ou documents remis à l'appui de son signalement ;
- en cas d'enquête interne, les informations et documents professionnels transmis par l'auteur de l'alerte et susceptibles d'être exploités dans ce cadre ;
- les dispositions prises pour informer sans délai l'auteur du signalement de la réception de son alerte et du délai nécessaire à l'examen de sa recevabilité. Il est à ce titre recommandé de mentionner que l'accusé de réception ne vaut pas recevabilité du signalement ;
- les dispositions prises pour informer l'auteur du signalement et, le cas échéant, les personnes visées par celui-ci, de la clôture de la procédure.

527. Si un traitement automatisé des alertes est mis en place, la procédure doit indiquer les dispositions prises pour en assurer la conformité aux dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et à celles relatives à la protection des données personnelles. Une donnée à caractère personnel désigne toute information se rapportant à une personne physique identifiée ou identifiable.
528. Face à une multiplication croissante des obligations en matière de recueil des alertes, la CNIL a publié une délibération n° 2019-139 du 18 juillet 2019 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d'un dispositif d'alertes professionnelles.
529. Les alertes peuvent être adressées de manière anonyme. Le dispositif doit permettre une poursuite des échanges avec le lanceur d'alerte tout en lui conservant le bénéfice de l'anonymat (il est par exemple envisageable de demander à l'auteur de l'alerte de fournir une adresse électronique qui ne permette pas son identification ou l'adresse d'une boîte postale)
530. Il est essentiel de définir et formaliser la procédure d'enquête interne préalablement à son lancement, tout en étant vigilant tant sur le choix des acteurs de l'enquête que sur son déroulé. La procédure d'enquête pourra prévoir notamment :

- les critères nécessaires au déclenchement d'une enquête ;
- les modalités de réalisation de l'enquête.

531. Les personnes chargées de mener l'enquête doivent être soumises à de très strictes obligations de confidentialité, qui doivent être formalisées.
532. En cas d'externalisation de l'enquête interne, la conformité des services fournis par le prestataire sélectionné doit faire l'objet de contrôles réguliers au regard notamment du respect des règles de confidentialité et de protection des données.
533. Toute enquête interne est diligentée par une ou plusieurs personnes qualifiées, désignées par l'instance dirigeante de l'acteur public.
534. L'instance dirigeante est systématiquement informée des enquêtes ouvertes relatives aux situations les plus sensibles, à l'exception de celles où elle est visée.
535. A la suite d'une enquête interne, la rédaction formelle d'un rapport d'enquête est destinée à consigner l'ensemble des faits et preuves recueillis, à charge et à décharge, de nature à établir ou à lever le soupçon, ainsi que la méthode suivie. Le rapport d'enquête interne conclut sur la suite à donner au signalement.
536. Lorsque les soupçons apparaissent suffisamment étayés, ce rapport est communiqué à l'instance dirigeante (ou à l'organe de contrôle lorsqu'elle est visée) qui décide des suites à y donner.
537. La démonstration, par l'enquête interne, d'un comportement contraire au code de conduite doit donner lieu à l'application des sanctions disciplinaires prévues en tel cas, décidées par l'instance dirigeante.
538. Enfin, une action judiciaire peut être diligentée à l'encontre de la personne physique concernée si l'acteur public décide de porter les faits à la connaissance de l'autorité judiciaire par le moyen d'une plainte ou d'un simple signalement. Elle est tenue de le faire si elle relève des autorités énumérées à l'article 40 du code de procédure pénale.
539. Ces signalements doivent permettre d'actualiser la cartographie des risques, en respectant la confidentialité garantie par le dispositif, et d'en tirer les conséquences sur les améliorations à apporter aux éléments du dispositif anticorruption (plan de formation, code de conduite, évaluation de l'intégrité des tiers).
     Mise en œuvre du dispositif d'alerte interne
540. Les étapes suivantes peuvent utilement être observées :

- établissement d'une procédure formalisée qui peut notamment prévoir la désignation d'un référent alerte et la mise en place d'un comité intégrant des personnes qualifiées, soumises à des obligations de confidentialité. Ce comité assure une prise de décision collégiale sur les suites à réserver aux alertes reçues ;
- insertion d'un chapitre sur le dispositif d'alerte dans le code de conduite renvoyant à ladite procédure ;
- diffusion de la procédure d'alerte interne à l'ensemble des personnels par tous moyens (courrier de la direction, affichage, site intranet, remise en main propre…) permettant de s'assurer que chaque personne concernée en a connaissance et y a accès. Dans le cas d'un dispositif d'alerte commun à l'alerte anticorruption et à d'autres dispositifs légaux, la procédure doit être également diffusée aux collaborateurs occasionnels. L'acteur public peut décider d'ouvrir son dispositif d'alerte aux tiers. Il peut choisir de mettre à profit ses outils de communication externes pour mentionner l'existence de son dispositif d'alerte (par exemple son site internet, les documents remis à ses tiers…) ;
- présentation du dispositif d'alerte dans le cadre des actions de sensibilisation de l'ensemble des personnels ;
- formation des personnels amenés à recueillir, gérer et traiter les alertes, notamment sur les obligations de confidentialité, et formation des personnels les plus exposés ;
- mise en place des contrôles de premier et second niveaux sur la procédure d'alerte interne et intégration du dispositif d'alerte dans le plan de contrôle de l'audit interne au titre du contrôle de troisième niveau. Pour éviter toute situation de conflit d'intérêts ou d'autocontrôle, les trois niveaux de contrôles rappelés ci-dessus peuvent être adaptés. Il importe, le cas échéant, que le personnel qui traite l'alerte soit différent de celui qui en contrôle le bon traitement et qu'un contrôle a posteriori soit effectué ;
- mise en place d'indicateurs afin d'apprécier la qualité et l'efficacité du dispositif d'alerte (nombre d'alertes reçues, classées sans suite ou traitées, délais de traitement, problématiques soulevées, etc.). Ces indicateurs sont transmis à l'instance dirigeante.

Archivage des alertes et de leur traitement
541. La durée de conservation et d'archivage des données personnelles relatives à une alerte va différer suivant que l'alerte est ou non suivie d'effet.
542. Si le responsable du traitement décide de donner suite (15) à une alerte, ou qu'une action disciplinaire ou judiciaire est engagée, l'ensemble des données à caractère personnel collectées à l'occasion de l'instruction peut être conservé jusqu'au terme de la procédure, jusqu'à acquisition de la prescription (six ans) ou épuisement des voies de recours.
543. Dans le cas où l'instruction de l'alerte ne débouche sur aucune suite, les données à caractère personnel doivent être supprimées dans les deux mois suivant la clôture de l'instruction.
544. Pour les alertes recueillies par le biais d'un dispositif technique unique de recueil, et ne concernant pas des faits susceptibles d'être qualifiés d'atteintes à la probité, les durées de conservation sont encadrées, par le décret n° 2017-564 du 19 avril 2017 relatif aux procédures de recueil des signalements émis par les lanceurs d'alerte au sein des personnes morales de droit public ou de droit privé ou des administrations de l'Etat.
545. La procédure d'alerte interne (articles 8 ou 17 de la loi) est distincte du signalement au procureur de la République prévu par l'article 40 du code de procédure pénale (16).
546. Plusieurs conditions sont exigées pour recourir à ce mode de signalement externe prévu à l'article 40 :

- les faits doivent être constitutifs d'un crime ou d'un délit ;
- ils doivent être « suffisamment établis » ;
- l'agent doit en avoir connaissance dans l'exercice de ses fonctions.

2. Le contrôle interne des risques d'atteintes à la probité

La contribution du dispositif de contrôle interne et d'audit interne à la prévention et à la détection des atteintes à la probité
547. Au sein des acteurs publics qui sont déjà dotés d'un dispositif de contrôle interne et d'audit interne non spécifique aux risques d'atteintes à la probité, celui-ci peut comprendre jusqu'à trois niveaux :

- les contrôles de premier niveau (17) visent à s'assurer que les tâches inhérentes à un processus opérationnel ou support ont été effectuées conformément aux procédures et aux finalités édictées par l'acteur public. Ils peuvent être opérés par les équipes opérationnelles ou support ou par leurs responsables hiérarchiques ;
- les contrôles de deuxième niveau (18) visent à s'assurer, selon une fréquence prédéfinie ou de façon aléatoire, de la bonne exécution des contrôles de premier niveau sur les processus opérationnels ou support. Ils sont réalisés par un service distinct de ceux qui gèrent et font fonctionner au quotidien chaque processus opérationnel ou support, comme les services en charge de la maîtrise des risques, du contrôle qualité, du contrôle de gestion, de la conformité, etc.

Les contrôles de premier et de deuxième niveaux, constitutifs du contrôle interne, sont formalisés au sein d'une procédure qui précise notamment les processus et situations à risque identifiés, la fréquence des contrôles et leurs modalités, les responsables de ces contrôles et les modalités de transmission de leurs résultats à l'instance dirigeante.

- les contrôles de troisième niveau, également appelés « audits internes », visent à s'assurer que le dispositif de contrôle interne est conforme aux exigences de l'acteur public, efficacement mis en œuvre et tenu à jour.

548. Le dispositif visant à maîtriser les risques d'atteintes à la probité fait partie du dispositif de contrôle interne de l'acteur public. Il s'appuie sur les dispositifs de maîtrise des risques préexistants (risques financiers et risques opérationnels, en particulier) qui permettent d'ores et déjà de prévenir, détecter et maîtriser certains risques d'atteintes à la probité. L'AFA recommande aux acteurs publics de compléter, sur la base de la cartographie des risques d'atteintes à la probité, les procédures de contrôle interne afin qu'elles prennent en compte de manière pertinente ces risques.
549. La cartographie des risques d'atteintes à la probité, le plan d'actions, le plan de contrôle et le plan d'audit associés enrichissent ainsi le dispositif de contrôle interne et d'audit interne non spécifique aux risques d'atteintes à la probité de l'acteur public.
550. Le contrôle interne comptable, qui préexiste bien souvent au dispositif spécifique de maîtrise des risques d'atteintes à la probité, joue un rôle particulier dans la prévention et la détection des atteintes à la probité. Il convient donc, dans cette perspective, de veiller à son correct déploiement.
     Les contrôles comptables
551. La fiabilité des comptes publics est un principe fondateur des finances publiques (19). De même, le principe de séparation des ordonnateurs et des comptables constitue une caractéristique propre aux acteurs publics, en application duquel l'ordonnateur prescrit les opérations financières tandis que le comptable exécute, après contrôle de régularité, l'opération comptable. Lui seul manie les fonds. Il assure par ailleurs un contrôle sur les régies. Cette incompatibilité des fonctions d'ordonnateur avec celles de comptable public vise à assurer une bonne gestion des deniers publics et à garantir la probité, les contrôles du comptable public étant destinés à repérer les erreurs ou irrégularités avant paiement. Les comptables publics ont un rôle de premier plan à jouer dans la détection des atteintes à la probité. Ce risque doit être pris en compte dans la détermination de la méthodologie du contrôle hiérarchisé de la dépense et du contrôle allégé en partenariat.
552. Parmi les procédures de contrôle et d'audit internes, les procédures de contrôle interne et d'audit comptable de l'ordonnateur, qui participent à la maîtrise des risques des organisations, constituent un instrument privilégié de prévention et de détection des atteintes à la probité. Le déploiement de systèmes d'information financière fiables et faciles à manier constitue un facteur clé de leur efficacité.
553. Le contrôle interne comptable permet de donner ainsi une assurance raisonnable sur la qualité des comptes, c'est-à-dire, leur fidélité à la réalité économique, patrimoniale et financière. Le contrôle interne intègre un audit interne comptable et financier, à la charge d'un service distinct, permettant d'évaluer périodiquement l'efficacité du dispositif de contrôle interne.
554. Le recours éventuel à la certification des comptes par un tiers indépendant (comme les juridictions financières) ne dispense pas les acteurs publics concernés de concevoir et de mener les contrôles internes visant à s'assurer de la fiabilité des informations financières et à maîtriser leurs risques.
     Définition et objectifs
555. Les contrôles comptables, ci-après « contrôles comptables anticorruption », ont pour objectif de s'assurer que les comptes ne sont pas utilisés pour masquer des faits d'atteintes à la probité.
     Articulation avec les contrôles comptables en place
556. Les acteurs publics disposent de procédures de contrôles comptables générales qui permettent d'avoir l'assurance raisonnable de la qualité de l'information comptable. Elles garantissent la régularité, la sincérité et la fidélité des opérations comptables et financières.
557. Les contrôles comptables anticorruption :

- garantissent in fine le respect des mêmes principes que les contrôles comptables généraux (régularité, sincérité et fidélité des opérations comptables et financières) ;
- reposent sur les mêmes méthodes que les contrôles comptables généraux et comportent par exemple des contrôles par sondages, par revue de cohérence, par confrontation avec la réalité physique (inventaire) ou par confirmation par un tiers.

558. Ils sont établis, parmi les contrôles généraux existants, par approfondissement ou en complément de ceux-ci, pour cibler les situations à risques mises en évidence dans la cartographie des risques d'atteintes à la probité de l'acteur public.
559. Peuvent, par exemple, représenter des situations à risque et ainsi être traités les frais de représentation et de déplacement, le traitement des appels de fonds, la gestion des actifs immobiliers et des stocks, le fonctionnement des régies, les produits des services et du domaine, les éventuels engagements hors bilan.
     Formalisation des contrôles comptables anticorruption
560. Les modalités des contrôles comptables anticorruption sont formalisées au sein d'une procédure rappelant notamment :

- l'objet et le périmètre des contrôles ;
- les rôles et responsabilités dans leur mise en œuvre ;
- les modalités d'échantillonnage des opérations à contrôler, le cas échéant ;
- la définition d'un plan de contrôle ;
- les modalités de gestion des incidents ;
- les critères de seuils ou de matérialité devant entraîner un contrôle.

Contenu des contrôles comptables anticorruption
561. Les contrôles comptables anticorruption de premier niveau sont généralement effectués par les personnes en charge de la saisie et de la validation des écritures comptables. Ces personnes s'assurent que les écritures sont convenablement justifiées et documentées (en particulier les écritures manuelles).
562. Afin de limiter le risque lié à l'autocontrôle, il est recommandé de s'assurer que les écritures comptables à risque soient examinées et validées par un collaborateur indépendant de celui qui en a effectué la saisie.
563. Une validation croisée entre collaborateurs est satisfaisante pour des écritures inférieures à un seuil défini. Les écritures supérieures à ce seuil nécessitent une validation par la hiérarchie.
564. Les contrôles comptables anticorruption de deuxième niveau, réalisés par des personnes indépendantes de celles ayant réalisé les contrôles de premier niveau, sont répartis tout au long de l'année.
565. Ils visent à s'assurer de la bonne exécution des contrôles comptables anticorruption de premier niveau. Ainsi, lors des contrôles par sondage, l'échantillon retenu doit être représentatif des risques inhérents aux opérations traitées (écritures manuelles, niveau d'habilitation et séparation des tâches notamment). Les modalités de l'échantillonnage sont définies en fonction d'une analyse préalable des différentes écritures et risques concernés pour en permettre la représentativité.
566. Dans l'hypothèse où des contrôles comptables anticorruption de premier niveau sont automatisés, les contrôles comptables anticorruption de deuxième niveau sont corrélativement adaptés.
567. Les résultats des contrôles comptables anticorruption de deuxième niveau donnent lieu à une synthèse conclusive incluant, en cas d'anomalies, la définition d'actions correctives dans le cadre d'un plan d'actions.
568. L'efficacité des procédures de contrôles comptables anticorruption est évaluée régulièrement dans le cadre de contrôles comptables de troisième niveau, également appelés « audits comptables ».
569. Ces audits comptables couvrent l'ensemble des dispositifs comptables afin de s'assurer que les contrôles comptables anticorruption sont conformes aux exigences de l'acteur public, efficacement mis en œuvre et tenus à jour.
570. Dans ce cadre, les audits comptables apprécieront la pertinence et l'efficacité :

- de la gouvernance et des ressources allouées aux procédures de contrôles comptables anticorruption ;
- de la méthode d'élaboration (notamment de la prise en compte de la cartographie des risques d'atteintes à la probité) et de l'application des contrôles comptables anticorruption de premier niveau et de deuxième niveaux.

Traitement des anomalies constatées
571. Le constat d'une anomalie peut amener à compléter certaines procédures comptables existantes pour y remédier.
572. Les cas d'anomalies alimentent également une mise à jour de la cartographie des risques d'atteintes à la probité et peuvent faire l'objet d'illustrations complémentaires dans le code de conduite et les supports de formation dédiés à leur prévention.
573. Si l'anomalie relève d'un manquement dans la mise en œuvre des procédures ou du dispositif de prévention et de détection des atteintes à la probité, le responsable hiérarchique peut envisager des mesures envers l'auteur du manquement allant du simple rappel de la règle à la sanction, suivant l'importance du manquement constaté.
574. Si l'anomalie fait ressortir des soupçons ou des faits d'atteintes à la probité, elle doit être portée à la connaissance de l'instance dirigeante qui peut décider de diligenter une enquête administrative.

C. - Contrôle et évaluation interne du dispositif anticorruption

1. Objectifs et modalités

2. Afin de s'assurer de l'adéquation et de l'efficacité des procédures de prévention et détection des atteintes à la probité, l'acteur public les contrôle et les évalue.

3. Ce dispositif répond à quatre objectifs :

- contrôler la mise en œuvre des mesures et procédures du dispositif de prévention et de détection et tester leur efficacité ;
- identifier et comprendre les manquements dans la mise en œuvre des mesures et procédures ;
- définir si nécessaire des recommandations ou autres mesures correctives adaptées, en vue d'améliorer l'efficacité du dispositif ;
- détecter, le cas échéant, des atteintes à la probité.

577. Pour chacun des contrôles doivent être précisés :

- l'objet et le périmètre des contrôles ;
- le ou les responsables en charge du contrôle ;
- la méthode de contrôle (type de mesure, de pièces justificatives, d'analyse et d'évaluation), le cas échéant, les modalités d'échantillonnage fondées sur une analyse des risques, la fréquence du contrôle, la formalisation attendue ;
- la communication des résultats du contrôle et des mesures correctives pouvant être mises en place ;
- les modalités de conservation des pièces afférentes aux contrôles.

578. La pertinence et l'efficacité des mesures et procédures composant le dispositif anticorruption sont régulièrement évaluées par des contrôles de troisième niveau. Ces audits internes visent à s'assurer que le dispositif anticorruption est conforme aux exigences de l'acteur public, efficacement mis en œuvre et tenu à jour. L'audit interne est également invité à s'assurer que les situations de risque identifiées par la cartographie des risques d'atteintes à la probité sont couvertes par des mesures de prévention efficaces.

579. Typologie de contrôles à déployer

580. Pour chaque mesure et procédure constitutive du dispositif anticorruption, des contrôles sont mis en œuvre.

581. L'AFA recommande que ces contrôles portent notamment sur les éléments suivants :

| Procédure | Points d'attention | |--------------------------------------------------|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| |Cartographie des risques d'atteintes à la probité | - s'assurer régulièrement de la pertinence du périmètre de la cartographie, de la méthodologie mise en œuvre, du déploiement des plans d'actions afférents ;
- analyser les insuffisances constatées et notamment les incidents survenus afin de mettre à jour la cartographie. | |Code de conduite et politiques/procédures annexées|- s'assurer de la mise en œuvre effective des procédures (par exemple, en matière d'acceptation de cadeaux et invitations), par des contrôles a priori et des contrôles a posteriori sur échantillons ;
- s'assurer de la diffusion du code de conduite et de sa connaissance par les personnes concernées ;
- s'assurer de manière régulière de la pertinence du code de conduite et des exemples de situations et comportements décrits dans le code (notamment si des incidents ont été constatés et en cas d'actualisation de la cartographie des risques).| | Formation | - s'assurer que les formations prévues ont bien été réalisées et suivies par les personnes concernées (notamment les personnes particulièrement exposées et les personnes chargées de mettre en œuvre les procédures de lutte contre les atteintes à la probité) ;
- s'assurer de la cohérence entre les publics ciblés dans la formation, le contenu de la formation et les risques auxquels ils peuvent être exposés tels qu'identifiés dans la cartographie. | | Évaluation des tiers | - s'assurer de la mise en œuvre effective des mesures de vigilance par des contrôles a priori et des contrôles a posteriori sur échantillons ;
- vérifier régulièrement l'adéquation du dispositif d'évaluation des tiers au regard des risques identifiés dans la cartographie. | | Alerte interne | - contrôler le déploiement et la correcte application de la procédure d'alerte ;
- réaliser une analyse qualitative et quantitative des signalements reçus sur la période (quels canaux utilisés ? Des signalements sont-ils remontés par d'autres canaux non identifiés ? Quels sujets visés ? …) ;
- contrôler la pertinence des réponses apportées aux signalements reçus ;
- contrôler les modalités d'archivage des signalements. | | Contrôle interne et contrôles comptables | - s'assurer de la formalisation des procédures de contrôle ;
- contrôler la mise en œuvre effective des contrôles prévus et leur traçabilité ;
- vérifier régulièrement l'adéquation du dispositif de contrôle interne au regard des risques identifiés dans la cartographie. | | Régime disciplinaire | - s'assurer que tout manquement au code de conduite et toute atteinte à la probité fait l'objet d'une sanction adaptée. |

581. Les contrôles de premier niveau sont formalisés et documentés.

582. Les contrôles de deuxième niveau font l'objet d'un plan de contrôle formalisé décrivant notamment le périmètre des contrôles, les rôles et responsabilités, la fréquence, les modalités d'échantillonnage, la formalisation attendue, le suivi des anomalies et les plans d'actions associés.

583. Les contrôles de troisième niveau font l'objet d'un programme d'audit formalisé décrivant notamment le périmètre des contrôles, les modalités d'échantillonnage, la formalisation attendue, le suivi des anomalies et les plans d'actions associés.

584. Gestion des insuffisances constatées et suivi des recommandations

585. Ces manquements peuvent conduire l'instance dirigeante à décider la mise en œuvre de sanctions disciplinaires (adaptées et proportionnées) envers leurs auteurs.

D. - Remédiation

1. Gestion et suivi des insuffisances constatées

2. Les manquements liés à la mise en œuvre des procédures - et potentiellement signalés par les contrôles et audits - sont analysés afin d'en identifier l'origine et d'y remédier.

3. Régime disciplinaire

Définition
586. Le régime disciplinaire correspond aux sanctions qu'un acteur public est susceptible de prendre à l'encontre d'un collaborateur dont le comportement est fautif.
587. Sont notamment considérés comme une faute de nature à justifier une sanction disciplinaire, des comportements constitutifs d'une atteinte à la probité, un manquement au code de conduite (20) ou un manquement au devoir de probité.
Principe de gradation des sanctions
588. La sanction disciplinaire doit être proportionnée à la faute commise. Elle relève de l'échelle des sanctions prévues par le régime disciplinaire applicable.
Mécanisme
589. L'engagement de l'instance dirigeante dans la maîtrise des risques d'atteintes à la probité implique, en cas de comportements constitutifs d'une atteinte à la probité, d'un manquement au code de conduite (21) ou d'un manquement au devoir de probité, d'engager une procédure disciplinaire et de mettre en œuvre des sanctions disciplinaires proportionnées.
590. Selon les cas, un dépôt de plainte ou un signalement au procureur de la République sur le fondement de l'article 40 du code de procédure pénale peuvent être réalisés parallèlement au lancement de la procédure disciplinaire.
591. L'instance dirigeante n'est pas tenue d'attendre la décision pénale pour mettre en œuvre des sanctions disciplinaires si les faits sont avérés et que leur gravité le justifie. La mise en œuvre de ces sanctions peut en effet s'appuyer sur les constatations d'une enquête interne circonstanciée, permettant d'établir avec rigueur la matérialité des faits reprochés à la personne concernée.
592. Dans le cas du code de conduite applicable aux élus, il appartient à l'instance dirigeante de tirer les conséquences du non-respect par l'un d'eux des dispositions de ce code. Cela peut, le cas échéant, conduire à, d'une part, modifier le périmètre de la délégation confiée à l'élu en question, voire à la lui retirer, d'autre part, à l'exclure de certaines instances comme la commission d'appel d'offres.
Mise en place d'un registre des sanctions
593. Le recensement des sanctions disciplinaires prononcées à l'encontre des personnels de l'entité favorise le renforcement des mécanismes de maîtrise des risques d'atteintes à la probité.
594. Quel que soit le support utilisé pour effectuer ce recensement, l'acteur public veillera à la stricte confidentialité de son contenu et l'établira dans le respect des règles de protection des données personnelles.
Communication interne
595. La diffusion, sous un format garantissant la totale anonymisation, des sanctions disciplinaires peut être demandée par l'instance dirigeante, afin de rappeler la politique de tolérance zéro à l'égard de tout comportement contraire à l'intégrité et à la probité.

(1) Sous réserve du respect des dispositions encadrant le processus considéré pour les acteurs publics.

(2) Dans le cadre des présentes recommandations, la notion de processus s'entend d'un ensemble de tâches corrélées ou en interaction qui visent à la satisfaction d'un besoin managérial, opérationnel ou support.

(3) Collaborateur extérieur ou occasionnel (personnel intérimaire, stagiaire, prestataire de service, salarié des entreprises sous-traitantes, etc.)

(4) « L'expression “suites” désigne toute décision prise par l'organisme pour tirer des conséquences de l'alerte. Il peut s'agit de l'adoption ou de la modification des règles internes (règlement interne, charte éthique, etc.) de l'organisme, d'une réorganisation des opérations ou des services de la société, du prononcé d'une sanction ou de la mise en œuvre d'une action en justice ». Cf. Guide pratique de la CNIL sur les durées de conservation.

(5) Il s'agit de contrôles préventifs réalisés avant que la décision ou l'opération ne soient mises en œuvre.

(6) Il s'agit de contrôles détectifs conduits sur tout ou partie des décisions prises ou des opérations réalisées.

(7) Articles 3 et 8 de la loi et décret n° 2017-564 du 20 avril 2017 relatif aux procédures de recueil des signalements émis par les lanceurs d'alerte au sein des personnes morales de droit public ou de droit privé ou des administrations de l'Etat.

(8) Notamment la loi n° 2013-907 du 11 octobre 2013 relative à la transparence de la vie publique ; la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires, modifiée par la loi n° 2016-483 du 20 avril 2016 relative à la déontologie et aux droits et obligations des fonctionnaires et par la loi n° 2019-828 du 6 août 2019 de transformation de la fonction publique, le décret n° 2020-69 du 30 janvier 2020 relatif aux contrôles déontologiques dans la fonction publique.

(9) Dans le cadre des présentes recommandations, la notion de processus s'entend d'un ensemble de tâches corrélées ou en interaction qui visent à la satisfaction d'un besoin managérial, opérationnel ou support.

(10) Un scénario de risque correspond à une situation susceptible de donner lieu à la commission d'une atteinte à la probité. Par exemple, la non déclaration d'un conflit d'intérêts par l'agent chargé de l'instruction d'une décision d'octroi de subvention concernant une association dont son conjoint est le président ou encore la non-réalisation de vérifications sur place de la part de l'agent chargé de certifier le service fait à réception de livraisons de la part d'un fournisseur.

(11) S'agissant des services dont les personnels relèvent du statut général des fonctionnaires, le chef de service fait alors application de la compétence qui lui est reconnue par l'article 25 de la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires : « Tout chef de service peut préciser, après avis des représentants du personnel, les principes déontologiques applicables aux agents placés sous son autorité, en les adaptant aux missions du service ».

(12) Sous réserve du respect des dispositions encadrant le processus considéré.

(13) Cf. Note 12.

(14) Collaborateur extérieur ou occasionnel (personnel intérimaire, stagiaire, prestataire de service, salarié des organisations sous-traitantes, etc.)

(15) Cf. Note 4.

(16) L'article 40 du code de procédure pénale : « Toute autorité constituée, tout officier public ou fonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un crime ou d'un délit est tenu d'en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs. »

(17) Cf. Note 5.

(18) Cf. Note 6.

(19) L'article 47-2 de la Constitution consacre les principes de sincérité, de régularité et d'image fidèle pour toutes les administrations publiques.

(20) Sous réserve, pour les personnels relevant du statut général des fonctionnaires, des précisions apportées au § 433 supra.

(21) Cf. Note 20.