L'essentiel à retenir :
- La loi Sapin 2 est la première loi française qui oblige les entreprises à prévenir la corruption, et pas seulement à la sanctionner après coup.
- Promulguée le 9 décembre 2016, elle est entrée en vigueur le 1er juin 2017 pour ses dispositions les plus structurantes (article 17).
- Elle impose aux grandes entreprises de mettre en place un programme anticorruption en huit mesures.
- Une autorité dédiée, l'AFA, est chargée de vérifier leur mise en œuvre et dispose de véritables pouvoirs de sanction.
Loi Sapin 2 : ce que chaque dirigeant doit savoir pour protéger son entreprise
La loi Sapin 2 ne se contente pas de sanctionner la corruption. Elle sanctionne aussi, et c’est là toute sa singularité, le fait de ne pas s’en être prémuni. Une entreprise peut être mise en cause par l’Agence française anticorruption (AFA) pour l’absence même de mesures anticorruption, sans qu’aucun acte répréhensible n’ait été commis. Avant cette loi, rien de tel n’existait en droit français.
Ce guide vous en propose une lecture sans jargon et sans détour. Ce que le texte impose, à qui il s’applique, comment s’y conformer avec l’aide d’un cabinet de conseil en compliance, et ce qu’il en coûte de ne rien faire.
Qu'est-ce que la loi Sapin 2 et pourquoi a-t-elle changé les règles du jeu ?
En évoquant la loi Sapin 2, les juristes parlent souvent d’obligation de moyens, et l’expression résume assez bien l’esprit du texte.
L’entreprise et ses dirigeants, à titre personnel, doivent pouvoir démontrer qu’ils ont mis en place un dispositif sérieux. Surtout, ils doivent prouver, pièces en main, que tout cela fonctionne pour de bon.
De la loi Sapin 1 à la loi Sapin 2 : un tournant dans la lutte anticorruption française
Le bilan de la répression pénale avant 2016
Avant la loi Sapin 2 (2016), la lutte anticorruption en France ne disposait en vérité que d’un seul levier : la répression pénale après les faits.
Un dispositif dont le bilan, selon l’OCDE, était assez désastreux. Depuis la création de l’infraction de « corruption transnationale » en 2000, seules quatre personnes physiques avaient été condamnées en France. Aucune personne morale !
Les acquis et les limites de la loi Sapin 1 (1993)
Pourtant, la loi Sapin 1 (1993) avait posé des premiers jalons convaincants. Elle encadrait le financement politique et créait le Service central de prévention de la corruption (SCPC). Mais ce service ne jouait au mieux qu’un rôle consultatif, sans pouvoir de contrôle ni de sanction.
Une poignée de rapports de terrain de l’OCDE pointait successivement les grosses lacunes du dispositif. Le plus désastreux fut certainement le document de suivi de Phase 3 (2014), dont les constats étaient accablants : sur 33 recommandations, seules 4 avaient été mises en œuvre par la France…
L'extraterritorialité du droit américain
Parallèlement, des entreprises françaises se retrouvaient sanctionnées par le Department of Justice américain au titre du FCPA (Foreign Corrupt Practices Act), faute d’arsenal juridique français équivalent.
L’amende de 772 millions de dollars infligée à Alstom en 2014 agit comme un électrochoc. Il était devenu évident que la France laissait ses propres entreprises à la merci de l’extraterritorialité du droit américain.
Cahuzac, Panama Papers : le point de rupture
L’affaire Cahuzac (un ministre du Budget contraint à la démission pour un compte bancaire non déclaré en Suisse, en 2013), puis les Panama Papers en 2016, ont achevé de convaincre que le dispositif français devait être reconstruit de zéro.
Les 3 grands piliers de la loi Sapin 2 : transparence, anticorruption et modernisation
La loi crée un répertoire des « représentants d’intérêts », à commencer par les lobbyistes. Ceux-ci doivent s’y inscrire et déclarer leurs activités. Le contrôle de ce répertoire est confié à la Haute Autorité pour la transparence de la vie publique (HATVP).
C’est le cœur du dispositif, confié à l’Agence française anticorruption (AFA). Il organise les obligations anticorruption des entreprises ainsi que la protection des lanceurs d’alerte.
Le troisième volet rassemble des dispositions sur la rémunération des dirigeants, les marchés publics, les pouvoirs de l’AMF et de l’ACPR. C’est ce volet qui donne à Sapin 2 un périmètre extrêmement large.
Qui est concerné par la loi Sapin 2 ? Les critères précis à connaître
Environ 1 600 entreprises sont directement concernées en France. Mais à bien y regarder, le périmètre en compte davantage, en raison de l’effet d’entraînement du texte : les clients, les fournisseurs, les partenaires étrangers, etc.
| Type d'entité | Assujettie ? | Condition |
|---|---|---|
| Grandes entreprises privées | Oui | ≥ 500 salariés et CA > 100 M€ |
| EPIC (RATP, SNCF, CEA) | Oui | Mêmes seuils |
| Sociétés d'économie mixte | Oui | Mêmes seuils |
| PME et ETI sous les seuils | Non, mais concernées de facto | Clauses anticorruption imposées par les donneurs d'ordres |
| Toute entité ≥ 50 salariés | Oui, pour le volet lanceurs d'alerte | Obligation de dispositif de signalement |
Les seuils d'application pour les entreprises privées : effectifs et chiffre d'affaires
Il y a deux seuils à retenir pour une entreprise
- Au moins 500 salariés,
- Un chiffre d'affaires supérieur à 100 millions d'euros.
Dès que les deux conditions sont réunies, simultanément, l’entreprise est assujettie.
Un autre point important est que ces seuils s’apprécient au niveau du groupe. Autrement dit, si votre société mère française coche les deux cases, l’ensemble de ses filiales sont tenues de déployer le programme anticorruption. Y compris une filiale de 50 salariés.
La loi vise aussi les dirigeants à titre personnel, et c’est un point que beaucoup sous-estiment. La sanction peut aller jusqu’à 200 000 euros d’amende pour le dirigeant lui-même, indépendamment de celle de l’entreprise.
Secteur public, associations, PME : qui d'autre est visé par la loi Sapin 2 ?
Les établissements publics à caractère industriel et commercial (EPIC), ces entités publiques qui exercent une activité commerciale (la RATP, la SNCF ou le CEA, par exemple), sont assujettis dès qu’ils franchissent les seuils.
Il en va de même pour les sociétés d’économie mixte (SEM), ces structures à capitaux majoritairement publics que l’on retrouve dans l’aménagement urbain, les transports locaux ou la gestion de l’eau.
Les PME et ETI en deçà des seuils ne sont pas assujetties en tant que telles. Cependant, l’effet de cascade est réel, si bien qu’elles sont concernées de facto. Il est courant que les grands donneurs d’ordres, conscients de l’importance de la due diligence, imposent des clauses anticorruption à leurs fournisseurs.
Si vous travaillez avec un groupe du CAC 40, vous avez probablement déjà rempli un questionnaire anticorruption. C’est la loi Sapin 2 qui en est à l’origine.
ℹ️ Bon à savoir : L'Agence française anticorruption (AFA) a publié un guide pratique pensé pour les PME et petites ETI, reconnaissant que la conformité anticorruption les concerne de facto, même si elles ne sont pas assujetties aux obligations de l'article 17.
Les 8 obligations de la loi Sapin 2 que votre entreprise doit mettre en place
Lors de ses contrôles, l’AFA recherche des preuves tangibles de l’existence (et du fonctionnement !) de huit dispositifs :
Un code de conduite ...
… qui dit clairement ce qui est interdit, exemples concrets à l’appui.
Un canal d'alerte ...
… pour que les collaborateurs puissent signaler un problème en toute confidentialité.
Une cartographie des risques ...
… qui identifie où l’entreprise est la plus exposée, pays par pays, métier par métier.
Une vérification des tiers ...
… avant de s’engager avec un fournisseur, un intermédiaire ou un partenaire.
Des contrôles comptables ...
… ciblés sur les postes sensibles (commissions, cadeaux, honoraires de conseil).
Un régime de sanctions internes ...
… pour que les manquements au code de conduite aient des conséquences.
Un dispositif de suivi ...
… qui vérifie que l’ensemble fonctionne, pas seulement sur le papier.
Code de conduite et cartographie des risques : les fondements du dispositif Sapin 2
Le code de conduite fixe les règles, la cartographie des risques détermine où elles doivent être appliquées en priorité. Ces deux mesures constituent la base sur laquelle va reposer tout le reste du programme.
Le code de conduite
Il doit définir et illustrer concrètement les comportements proscrits :
- La politique de cadeaux et invitations (avec des seuils chiffrés),
- Les conflits d’intérêts,
- Le mécénat,
- Les paiements de facilitation.
Il est intégré au règlement intérieur, ce qui suppose que le CSE soit consulté. Attention, ce « code » n’est pas un document de principes généraux. L’AFA attend des illustrations concrètes, adaptées aux métiers de l’entreprise. Un groupe industriel opérant en Afrique subsaharienne n’aura pas le même code de conduite qu’un éditeur de logiciels parisien.
La cartographie des risques
Elle est qualifiée de « pierre angulaire » du dispositif par l’AFA. Elle recense, analyse et hiérarchise l’ensemble des risques de corruption auxquels l’entreprise est exposée.
Tout dépend donc de ses secteurs d’activité, de ses implantations géographiques et de ses processus opérationnels.
La mise à jour est exigée au moins une fois par an, et à chaque changement significatif (acquisition, entrée sur un nouveau marché).
Protection des lanceurs d'alerte : ce que la loi Sapin 2 garantit concrètement
Tout collaborateur d’une entreprise assujettie doit pouvoir signaler un problème sans craindre pour sa carrière. C’est la garantie posée par la loi Sapin II. La loi Waserman (2022) a poussé le curseur plus loin : un salarié peut saisir directement une autorité, sans être tenu de passer par le canal interne de l’entreprise.
Les protections sont solides, et elles ont été pensées pour l’être. L’identité du lanceur d’alerte reste confidentielle. Toute mesure de représailles (licenciement, mise au placard, refus de promotion) est interdite.
La loi couvre aussi les « facilitateurs » : le collègue qui aide à rassembler les preuves, le délégué syndical qui accompagne la démarche, le proche qui conseille.
Côté entreprise, cela se traduit par la mise en place d’une plateforme de signalement sécurisée, typiquement une solution clé en main comme :
- Whispli,
- WhistleB/NAVEX,
- Whistleblower Software,
- FaceUp,
- Ou encore IntegrityLine.
Un référent dédié traite les alertes et voit s’il y a matière à donner suite. Si ce n’est pas le cas, les données doivent être détruites dans les deux mois qui suivent.
ℹ️ Bon à savoir : Le législateur a voulu que ces protections aient du mordant. Divulguer l'identité d'un lanceur d'alerte expose à 2 ans d'emprisonnement et 30 000 euros d'amende. Entraver un signalement, à un an d'emprisonnement et 15 000 euros d'amende.
Évaluation des tiers, formation et contrôles comptables : les obligations souvent négligées
Ce sont les trois mesures les moins bien déployées selon le diagnostic national 2024 de l’AFA, et c’est là-dessus que les contrôles se concentrent en priorité.
En d’autres termes : quand une entreprise assujettie affiche un code de conduite et une cartographie propres, mais néglige sa due diligence tiers ou ses contrôles comptables, le signal envoyé est celui d’un programme de façade.
L’évaluation des tiers
Avant de signer avec un fournisseur ou un intermédiaire, l’entreprise doit s’assurer qu’elle sait à qui elle a affaire. C’est le principe de la due diligence anticorruption : passer au crible les tiers avec lesquels vous travaillez, en proportion du risque qu’ils représentent.
Un intermédiaire dans un pays à fort indice de corruption ne sera donc pas évalué avec le même niveau de diligence qu’un apporteur d’affaires en France.
En pratique, cela passe par plusieurs vérifications :
- Vérifier l’identité et l’actionnariat réel du tiers, (et/ou bénéficiaires effectifs)
- Rechercher d’éventuelles condamnations ou informations défavorables,
- Détecter la présence de personnes politiquement exposées (PPE),
- S’assurer que la rémunération versée est proportionnée à la prestation effective.
Le dispositif de formation
La formation est menée à deux niveaux. Le premier cible les collaborateurs les plus exposés au risque : commerciaux qui négocient avec des partenaires étrangers, acheteurs qui sélectionnent des fournisseurs, cadres en contact régulier avec des agents publics.
Pour eux, l’AFA attend des sessions concrètes, avec des mises en situation tirées de la réalité de leur métier :
- Que faire quand un intermédiaire propose de « faciliter » l’obtention d’un permis ?
- Comment réagir face à une demande de commission inhabituellement élevée ?
Le second niveau est une sensibilisation plus large, destinée à l’ensemble du personnel, afin que chacun connaisse le code de conduite et sache comment utiliser le canal d’alerte.
Les contrôles comptables anticorruption
Ils sont là pour empêcher que la comptabilité ne masque aucune opération douteuse. Dans la pratique, cela passe par :
- passer en revue régulièrement les postes les plus exposés, comme les frais de représentation, honoraires de conseil, commissions d’intermédiaires, dons et sponsoring,
- séparer très clairement les tâches de tenue de comptes et de contrôle des comptes,
- mettre sur pied un circuit de validation hiérarchique pour les dépenses à risque.
Deux mesures complètent le dispositif. Le régime disciplinaire, intégré au règlement intérieur, prévoit des sanctions graduées en cas de violation du code de conduite.
Le dispositif de contrôle et d’évaluation interne vérifie, quant à lui, que l’ensemble du programme tourne et alimente bien un reporting à la direction.
ℹ️ Bon à savoir : Un dispositif de conformité solide sert aussi de levier pour lutter contre la fraude interne. Les mécanismes d'alerte et de contrôle profitent bien au-delà du périmètre anticorruption.
Sanctions loi Sapin 2 : quels risques en cas de non-conformité ?
Sur le volet administratif, la commission des sanctions de l’AFA dispose d’une échelle graduée de sanctions, allant de l’avertissement à l’amende. Mais c’est le volet pénal qui est le plus à craindre en cas de non-conformité.
Sanctions administratives de l'AFA : avertissement, injonction et amendes
La commission des sanctions de l’AFA dispose de trois leviers, et ce n’est pas le plus évident qui fait le plus mal :
L'injonction de mise en conformité
Avec un délai pouvant aller jusqu’à trois ans pour corriger le tir. C’est l’outil le plus utilisé à ce stade,
Mais dans les faits, c’est un quatrième mécanisme qui concentre les inquiétudes : la publication de la décision. Une sanction publiée reste visible en ligne par quiconque tape le nom de votre entreprise sur Google.
Un prospect, un partenaire, un investisseur qui tombe sur une décision de la commission avant un rendez-vous ne l’oubliera pas de sitôt.
ℹ️ Bon à savoir : La commission des sanctions n'a encore prononcé aucune amende pécuniaire effective. Elle privilégie pour l'instant une approche pédagogique, en usant surtout d'injonctions. Mais cette indulgence ne durera pas indéfiniment. Plus de la moitié des entreprises assujetties ont déployé l'ensemble des huit mesures (diagnostic national 2024). Plus le niveau général monte, moins les retardataires pourront plaider l'ignorance…
Risques pénaux et réputation : ce que les dirigeants n'anticipent pas toujours
Les sanctions administratives de l’AFA sont une chose. Les poursuites pénales en sont une autre, d’une tout autre ampleur. Un dirigeant reconnu coupable de corruption risque jusqu’à 10 ans d’emprisonnement et 1 million d’euros d’amende.
Pour la personne morale, l’addition peut monter à 5 millions d’euros, voire dix fois le profit tiré de l’infraction. Sans compter les peines complémentaires, comme l’exclusion des marchés publics.
Un des mécanismes clés est celui de la convention judiciaire d’intérêt public (CJIP). Il s’agit d’une forme de résolution négociée, qui permet d’arriver à un accord à l’amiable… sans admettre de culpabilité.
L’avantage est réel, mais le prix l’est tout autant : l’amende peut atteindre 30 % du chiffre d’affaires moyen des trois derniers exercices.
ℹ️ Bon à savoir : La CJIP a déjà permis de résoudre plus de 25 affaires de corruption depuis 2017, pour un montant cumulé d'environ 4 milliards d'euros d'amendes. Des entreprises majeures ont signé des CJIP, telles qu'Airbus (plus de 2 milliards d'euros), HSBC, Société Générale, ou encore Bolloré.
Comment se mettre en conformité avec la loi Sapin 2 : la méthode pas à pas
Donnée importante
- 12 à 18 mois : c'est le temps moyen nécessaire pour une mise en conformité Sapin 2. En règle générale, le projet est mené en trois phases.
Diagnostic initial, cartographie et déploiement : les 3 phases d'une mise en conformité réussie
Phase 1. Diagnostic
- (≅ 2 à 3 mois)
Avant de construire quoi que ce soit, il faut savoir d’où l’on part. Cette première phase consiste à poser un diagnostic lucide : qu’avez-vous déjà en place, et qu’est-ce qui manque ? En pratique, cela revient à :
- Vérifier l'assujettissement (seuils cumulatifs),
- Cartographier les dispositifs déjà en place (charte éthique, procédures achats, règlement intérieur),
- Les confronter aux recommandations de l'AFA,
- Identifier les lacunes prioritaires,
- Nommer un responsable conformité disposant de l'accès direct à la direction générale et de moyens dédiés.
Phase 2. Structuration
- (≅ 6 à 10 mois)
C’est la phase la plus dense, et la plus déterminante. La cartographie des risques, construite lors du diagnostic, sert de colonne vertébrale. C’est elle qui dicte le contenu du code de conduite, le périmètre de la due diligence tiers, les publics à former en priorité et les contrôles comptables à renforcer. Chaque mesure est ensuite déployée :
- Rédiger un code de conduite et l'intégrer au règlement intérieur (avec consultation du CSE),
- Cartographier les dispositifs déjà en place (charte éthique, procédures achats, règlement intérieur),
- Les confronter aux recommandations de l'AFA,
- Identifier les lacunes prioritaires,
- Nommer un responsable conformité disposant de l'accès direct à la direction générale et de moyens dédiés.
Phase 3. Pilotage
- (en continu)
Avant de construire quoi que ce soit, il faut savoir d’où l’on part. Cette première phase consiste à poser un diagnostic lucide : qu’avez-vous déjà en place, et qu’est-ce qui manque ? En pratique, cela revient à :
- Vérifier l'assujettissement (seuils cumulatifs),
- Cartographier les dispositifs déjà en place (charte éthique, procédures achats, règlement intérieur),
- Les confronter aux recommandations de l'AFA,
- Identifier les lacunes prioritaires,
- Nommer un responsable conformité disposant de l'accès direct à la direction générale et de moyens dédiés.