ISO 37001

1
L’ISO 37001 est une norme provenant de l'Organisation internationale de normalisation relative à la lutte contre la corruption . Elle a été adoptée le 14 octobre 2016
2
sur la base d’un travail collaboratif conduit par des délégations de vingt pays . Elle appartient aux corpus des normes dites de systèmes de management, comme
3
l’ISO 9001 ou l’ISO 14001. À ce titre, elle est construite selon la structure HLS (High Level Structure) : cette structure permet d’aborder la norme de façon
autonome ou intégrée dans un système de management plus large.

Sommaire
Objectifs
Origines
Exigences
Utilisation
Certification
Histoire
Notes et références

Objectifs
Face aux nombreuses menaces que constituent la corruption — telles que le maintien des inégalités et de la pauvreté, les atteintes à la libre concurrence ou les impacts
sur la démocratie —, les organismes (qu’ils soient privés ou publics, de grande ou de petite taille) « ont la responsabilité de contribuer de façon proactive à la lutte
contre la corruption ». Pour ce faire, la norme « définit des exigences et fournit des préconisations pour les systèmes de management conçus pour aider les organismes
à prévenir, détecter et lutter contre la corruption, et à respecter les lois anti-corruption et leurs engagements volontaires applicables à leurs activités. »

L’objectif pour les organismes est de bien connaître leur environnement et leurs risques de façon à déployer des procédures efficaces dans le respect des
réglementations applicables et dans une logique d’amélioration continue.

Origines
La première norme touchant à la compliance en général a été conçue en 1998 en Australie par l’Agence «Standards Australia» sous le nom de «AS 3806 –
Compliance Programme» et a été à l’origine de la norme « ISO 19600 – systèmes de management de la compliance » élaborée sous la présidence de Martin Tolar et
publiée en 2014. La norme ISO 19600 peut couvrir tous les champs de la compliance : blanchiment d’argent, sanctions à l’exportation, données personnelles,
corruption… Cette norme est présentée sous la forme de « lignes directrices » et non « d’exigences », ce qui en fait un référentiel non certifiable.

En réalisant, à partir de 2006, les premières certifications des programmes anti-corruption sur la base d’un référentiel conçu par son fondateur Philippe Montigny,
4
l’agence de certification ETHIC Intelligence a montré qu’il était possible d’utiliser un référentiel certifiable. La reconnaissance de la certification d’un programme
5
anti-corruption dans le cadre d’un jugement de 2011 en Suisse à l’encontre d’ALSTOM a montré qu’une certification anti-corruption pouvait constituer une défense
6
opposable .
7
Cette idée a été reprise par le British Standards Institution (BSI) qui a développé le « BS 10500 Anti-Bribery Management System» en lien avec la loi anglaise sur la
corruption (UK Bribery Act ) dont la dernière section des lignes directrices admet que la certification d’un programme anti-corruption puisse être considérée comme
une « affirmative defense » (défense opposable) au regard du délit de défaut de prévention de la corruption.

A l’initiative du BSI, un groupe de rédaction (Project Committee) comprenant 37 pays, 22 pays observateurs, et 8 organisations de liaison a été constitué sous la
8
présidence Neill Stansbury, directeur du Global Infrastructure Anti-Corruption Center (GIACC) . Il a abouti à la rédaction du standard « ISO 37001 - système de
management anti-corruption (2016) » publié par l'ISO en 2016.

Exigences
La norme détaille les étapes auxquelles l’organisme doit répondre pour avoir un système de management anticorruption efficace et notamment :

la compréhension du contexte de l’organisme (contexte, réglementations applicables et attentes des parties intéressées) ;
l’élaboration d’un système (définition du périmètre, formalisation, détermination d’indicateurs) ;
la cartographie des risques de corruption ;
le leadership (organe de gouvernance et direction) ;
l’élaboration d’une politique anti-corruption et de procédures dédiées (notamment sur les cadeaux, marques d’hospitalité, dons et avantages
similaires) ;
la définition des rôles et responsabilités, la délégation de la prise de décision ;
la nomination d'une fonction de conformité anti-corruption ;
la planification du système (détermination d’objectifs et des actions et ressources nécessaires pour les atteindre) ;
la sensibilisation et la formation ;
les procédures RH (engagement contractuel à respecter la politique anticorruption, déclarations de conformité…) ;
la gestion des tiers et notamment le principe de diligences raisonnables sur les tiers à risques ;
la communication interne et externe ;
la documentation du système ;
les moyens de contrôles (financiers et non financiers) ;
 la mise en place d'un dispositif de signalement (ou d'alerte professionnelle) et les garanties apportées aux auteurs de signalements ou
lanceurs d'alerte ;
les audits internes ;
les revues périodiques dans une perspective d’amélioration continue.

À noter que dans le cas de la France, les exigences définies dans la norme sont très cohérentes avec les huit exigences définies à l'article 17 de la loi Sapin 2 et
9
détaillées dans les Recommandations de l'Agence française anticorruption :

un code de conduite, intégré au règlement intérieur, définissant et illustrant les différents types de comportements à proscrire comme étant
susceptibles de caractériser des faits de corruption ou de trafic d'influence ;
un dispositif d'alerte interne destiné à permettre le recueil des signalements émanant d'employés et relatifs à l'existence de conduites ou de
situations contraires au code de conduite de la société ;
une cartographie des risques prenant la forme d'une documentation régulièrement actualisée et destinée à identifier, analyser et hiérarchiser
les risques d'exposition de la société à des sollicitations externes aux fins de corruption, en fonction notamment des secteurs d'activités et des
zones géographiques dans lesquels la société exerce son activité ;
des procédures d'évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des
risques ;
des procédures de contrôles comptables, internes ou externes, destinées à s'assurer que les livres, registres et comptes ne sont pas utilisés
pour masquer des faits de corruption ou de trafic d'influence ;
un dispositif de formation destiné aux cadres et aux personnels les plus exposés aux risques de corruption et de trafic d'influence ;
un régime disciplinaire permettant de sanctionner les salariés de la société en cas de violation du code de conduite de la société ;
10
un dispositif de contrôle et d'évaluation interne des mesures mises en œuvre .

Au-delà de la France, l'ISO 37001 est convergente avec les autres législations prévoyant le déploiement de programme anticorruption et notamment le UK Bribery
11 12 13
Act et le Foreign Corrupt Practices Act américain .

Utilisation
Les normes ISO servent en premier lieu à guider les entreprises dans le déploiement de leurs systèmes de management afin d’obtenir un programme cohérent en ligne
14
avec les bonnes pratiques internationales . À ce titre, l’ISO 37001 propose une méthodologie et un contenu détaillé pour déployer un programme anticorruption
exigeant et basé sur les méthodologies éprouvées de l'approche dite de système de management. L'ISO 37001 n'a pas encore été incorporée en tant que norme
européenne EN.

Certaines normes ISO, dont l'ISO 37001, permettent en outre une certification par une tierce partie qui apporte une évaluation externe et une légitimité au système mis
en œuvre. La démarche de certification permet d’impliquer les personnels, en montrant l’importance apportée au sujet et en fédérant les collaborateurs pour obtenir
puis conserver la certification.

Certification
La certification consiste généralement en un cycle de trois ans, constitué d’une visite initiale suivie d'une surveillance, généralement annuelle, par un organisme
certificateur. Ces audits permettent de vérifier que le système de management de l’organisme est conforme aux exigences de l’ISO 37001 et qu'il est correctement
déployé dans la durée. Ils donnent lieu à l'émission d'un certificat utilisable par les entreprises certifiées. Les certificats peuvent alors être valorisés auprès de
différentes parties prenantes : actionnaires, clients, institutions financières, assureurs, agences de notation, investisseurs, etc.

Il n'existe pas de liste des entreprises certifiées ISO 37001 mais plusieurs communiquent publiquement sur leur certification. Par exemple en France : Alstom
15 16 17 18
Transport , le groupe Crédit Agricole , la société Eurotradia International ou encore le groupe GTT . D'autres entreprises sont certifiées à travers le monde, par
19 20
exemple en Italie : ENI ou Pirelli, ou au Royaume-Uni : Maybey Bridge . D'autres multinationales telles que Microsoft ont eu des prises de position publiques en
21
faveur de l'ISO 37001 .
22
À date, un organisme de certification est accrédité par le COFRAC en France pour réaliser des audits de certifications ISO 37001, EuroCompliance .

Histoire
Année Description
2016 ISO 37001 (1re édition)

Notes et références
1. « ISO 37001 » (https://www.iso.org/fr/iso-37001-anti-bribery-manage 5. (en) Ministère public de la Confédération, « Criminal proceedings
ment.html) against Alstom entities are brought to a close » (https://www.bundesa
2. Australie, Autriche, Allemagne, Brésil, Canada, Chine, Danemark, nwaltschaft.ch/mpc/en/home/medien/archiv-medienmitteilungen/news
Égypte, Équateur, Espagne, États-Unis, France, Guatemala, Malaisie, -seite.msg-id-42300.html), sur www.bundesanwaltschaft.ch,
Mexique, Royaume-Uni, Singapour, Suisse, Suède et Tunisie. 22 novembre 2011 (consulté le 29 août 2020)
3. 1. Domaine d’application ; 2. Références normatives ; 3. Termes et 6. (en) Office of the Swiss Attorney General, Order to dismiss
définitions ; 4. Contexte de l’organisme ; 5. Leadership ; 6. proceedings, Office of the Swiss Attorney General/ALSTOM SA,
Planification ; 7. Support ; 8. Réalisation des activités Bern, 22 November 2011., Bern, Office of the Attorney General,
opérationnelles ; 9. Évaluation des performances et 10. Amélioration. 22 novembre 2011, 12 p., page 10
4. (en) Tyler McBrien - Researcher Princeton University, « Developing a 7. (en) GIACC, « British Standard BS 10500 Anti-bribery Management
management standard to prevent bribery: ISO 37001 offers a new System Standard » (https://giaccentre.org/certification-bs10500/), sur
approach 2012-2019 » (https://successfulsocieties.princeton.edu/site giaccenter.org, 10 avril 2020 (consulté le 29 août 2020)
s/successfulsocieties/files/ISO_37001_Final%20RV1.pdf), sur 8. (en) GIACC, « International Standard ISO 37001 Anti-Bribery
successfulsocieties.princeton.edu, juillet 2020 (consulté le Management Systems Standard » (https://giaccentre.org/certification-i
29 août 2020) so37001/), sur giaccentre.org, 10th april 2020 (consulté le
29 août 2020)
 9. AFA, 15. « ISO 37001, la parade d’Alstom contre les risques de corruption »,
https://www.economie.gouv.fr/files/files/directions_services/afa/2017_ Le Mag Certification, 18 septembre 2017 (lire en ligne (https://lemagc
-_Recommandations_AFA.pdf, 2017 (lire en ligne (https://www.econo ertification.afnor.org/blog/iso-37001-alstom-parade-risques-de-corrupt
mie.gouv.fr/files/files/directions_services/afa/2017_-_Recommandatio ion/), consulté le 15 octobre 2018)
ns_AFA.pdf)) 16. « Certification ISO 37001 Crédit agricole » (https://www.credit-agricol
10. Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la e.com/le-groupe/ethique-et-conformite/lutte-contre-la-corruption), sur
lutte contre la corruption et à la modernisation de la vie économique, credit-agricole.com
9 décembre 2016 (lire en ligne (https://www.legifrance.gouv.fr/affichTe 17. « Ethique et certifications - Eurotradia », Eurotradia, 15 octobre 2018
xte.do?cidTexte=JORFTEXT000033558528&categorieLien=id)) (lire en ligne (http://www.eurotradia.fr/nos-forces/ethique-et-certificatio
11. (en) « UK Bribery Act guidance document » (https://www.justice.gov.u ns/), consulté le 15 octobre 2018)
k/downloads/legislation/bribery-act-2010-guidance.pdf), 2010 18. « Actualités Q3 2018 » (https://www.gtt.fr/sites/gtt/files/ir-cp_q32018-2
(consulté le 15 octobre 2018) 6102018_fr.pdf)
12. (en) « The FCPA Guide », DOJ, 9 juin 2015 (lire en ligne (https://ww 19. « Eni becomes the first Italian company to obtain the ISO 37001:2016
w.justice.gov/criminal-fraud/fcpa-guidance), consulté le Antibribery Management Systems certificate of conformity for its Anti-
15 octobre 2018) Corruption Compliance Program » (https://www.eni.com/en_IT/media/
13. Lire en ligne (https://www.justice.gov/criminal-fraud/foreign-corrupt-pr 2017/01/eni-becomes-the-first-italian-company-to-obtain-the-iso-3700
actices-act), sur justice.gov. 12016-antibribery-management-systems-certificate-of-conformity-for-it
14. À noter que l’ISO 37001 n’est pas le premier outil à donner des s-anti-corruption-compliance-program), sur eni.com (consulté le
indications sur ce que doit être un programme anti-corruption. De 15 octobre 2018)
façon non exhaustive, on peut également citer : 20. (en) « Mabey certified to ISO 37001 » (https://www.mabey.com/uk/ne
ws-and-media/news/Mabey-certified-to-ISO-37001), sur mabey.com
http://www.transparency.org/whatwedo/tools/business_principle (consulté le 15 octobre 2018)
s_for_countering_bribery ;
21. « Microsoft fait barrage à la corruption » (https://www.iso.org/fr/news/r
http://www.iccwbo.org/about-icc/policy-commissions/corporate- ef2238.html)
responsibility-anti-corruption/ ;
22. « Accréditation EuroCompliance » (http://www.cofrac.fr/annexes/sect
http://www.justice.gouv.fr/include_htm/pub/lignes_directrices.pdf 4/4-0599.pdf), sur cofrac.fr
;
https://www.justice.gov.uk/downloads/legislation/bribery-act-
2010-guidance.pdf

Ce document provient de « https://fr.wikipedia.org/w/index.php?title=ISO_37001&oldid=178812164 ».

La dernière modification de cette page a été faite le 15 janvier 2021 à 01:04.

Droit d'auteur : les textes sont disponibles sous licence Creative Commons attribution, partage dans les mêmes conditions ; d’autres conditions peuvent s’appliquer. Voyez les
conditions d’utilisation pour plus de détails, ainsi que les crédits graphiques. En cas de réutilisation des textes de cette page, voyez comment citer les auteurs et mentionner la
licence.
Wikipedia® est une marque déposée de la Wikimedia Foundation, Inc., organisation de bienfaisance régie par le paragraphe 501(c)(3) du code fiscal des États-Unis.