Lawzana Lawzana Logo
TROUVER UN AVOCAT
Lawzana Logo
Pour les cabinets
Tarifs & offres Sites web pour avocats Services marketing Emplois juridiques Blog
INSCRIPTION GRATUITE

Déjà inscrit ? Se connecter

Comment se mettre en conformité Loi Sapin II en France ?

Éthique et responsabilité professionnelle
France
Mis à jour Feb 27, 2026

  • Seuils d'application : La loi Sapin II impose un programme de conformité anticorruption aux entreprises françaises comptant au moins 500 salariés et dont le chiffre d'affaires consolidé dépasse 100 millions d'euros.
  • Obligation de résultat : Les dirigeants ont la responsabilité personnelle de déployer huit piliers préventifs, la simple intention ne suffisant pas lors d'un contrôle.
  • Rôle de l'AFA : L'Agence Française Anticorruption est l'autorité de tutelle chargée de contrôler l'effectivité de ces mesures et d'imposer des sanctions administratives.
  • Risques financiers : Les manquements peuvent entraîner des amendes allant jusqu'à 1 million d'euros pour la personne morale et 200 000 euros pour les dirigeants.

Checklist de mise en conformité Sapin II

Pour répondre aux exigences légales prévues par la Loi n° 2016-1691 du 9 décembre 2016, la direction générale doit structurer son programme de prévention autour d'étapes actionnables. Ce plan d'action permet de s'assurer qu'aucun pilier obligatoire n'est négligé avant un éventuel contrôle de l'AFA.

Étape Action requise Responsable idéal Statut
1. Cartographie Identifier, évaluer et hiérarchiser les risques de corruption par processus métier et zone géographique. Compliance Officer / Direction [ ]
2. Code de conduite Rédiger un code illustrant les comportements prohibés et l'intégrer au règlement intérieur. DRH / Direction Juridique [ ]
3. Dispositif d'alerte Déployer un canal sécurisé permettant le recueil des signalements (employés et tiers). Compliance / Juridique [ ]
4. Évaluation des tiers Mettre en place un processus de due diligence (KYC) adapté au niveau de risque du partenaire. Achats / Juridique [ ]
5. Contrôles comptables Instaurer des procédures pour s'assurer que les livres ne masquent aucun fait de corruption. Direction Financière [ ]
6. Formation Former les cadres et le personnel particulièrement exposés aux risques identifiés. DRH / Compliance [ ]
7. Régime disciplinaire Prévoir et appliquer des sanctions en cas de violation du code de conduite. DRH [ ]
8. Suivi et évaluation Contrôler annuellement l'efficacité des mesures déployées et mettre à jour la cartographie. Audit Interne / Compliance [ ]

Comment mettre en place le code de conduite intégré au règlement intérieur ?

Frise chronologique des étapes d'intégration du code de conduite au règlement intérieur
Frise chronologique des étapes d'intégration du code de conduite au règlement intérieur

Le code de conduite anticorruption définit et illustre les différents types de comportements à proscrire, spécifiques au secteur d'activité de l'entreprise. Pour être opposable aux salariés, il doit impérativement être formellement intégré au règlement intérieur de l'entreprise après consultation des instances représentatives du personnel (CSE).

La rédaction de ce document ne doit pas être générique. L'AFA exige que le code de conduite soit le reflet direct de la cartographie des risques de l'entreprise. Il doit contenir des scénarios pratiques et des exemples concrets de situations à risque (cadeaux, invitations, conflits d'intérêts, paiements de facilitation) que les employés pourraient rencontrer.

L'intégration au règlement intérieur implique une procédure stricte en droit du travail français :

  1. Consultation du Comité Social et Économique (CSE).
  2. Communication à l'Inspection du Travail.
  3. Dépôt au greffe du Conseil de Prud'hommes.
  4. Affichage et information des salariés au moins un mois avant son entrée en vigueur.

Méthodologie pour la cartographie des risques de corruption

Diagramme en entonnoir de la méthodologie de cartographie des risques de corruption
Diagramme en entonnoir de la méthodologie de cartographie des risques de corruption

La cartographie des risques est la pierre angulaire du programme de conformité, permettant d'identifier, d'évaluer et de hiérarchiser l'exposition de l'entreprise à la corruption. Elle dicte l'ampleur et la nature de toutes les autres mesures de prévention (formations, évaluation des tiers, contrôles comptables).

Une cartographie efficace ne s'achète pas "sur étagère" : elle nécessite des entretiens approfondis avec les opérationnels (ventes, achats, finance, direction). La méthodologie recommandée par l'AFA suit ces étapes :

  • Identification : Lister les processus de l'entreprise et les scénarios de risques associés (ex: obtention de permis, sponsoring, recours à des agents commerciaux).
  • Évaluation du risque brut : Noter l'impact et la probabilité d'occurrence de chaque scénario avant toute mesure de mitigation.
  • Identification des moyens de maîtrise : Lister les procédures internes déjà existantes pour limiter ce risque.
  • Évaluation du risque net : Recalculer le risque en tenant compte de l'efficacité réelle des moyens de maîtrise.
  • Plan d'action : Définir des actions correctives pour les risques nets jugés inacceptables, avec des responsables et des délais.

Ce document doit être vivant. Une mise à jour annuelle, ou lors de tout changement majeur (acquisition, ouverture d'un nouveau marché), est exigée par les autorités.

Procédure d'alerte interne et protection des lanceurs d'alerte

Le dispositif d'alerte interne permet aux employés et aux collaborateurs extérieurs de signaler de manière sécurisée et confidentielle une violation du code de conduite ou un délit. Depuis la loi Waserman de 2022, la protection des lanceurs d'alerte en France a été considérablement renforcée, interdisant toute forme de représailles.

L'entreprise doit mettre à disposition un canal de signalement technique (souvent une plateforme numérique externalisée) garantissant un anonymat total ou une stricte confidentialité de l'identité de l'émetteur. La procédure doit clairement indiquer :

  • Les personnes habilitées à utiliser le dispositif (salariés, anciens salariés, candidats, fournisseurs).
  • Le type de faits pouvant être signalés.
  • Les garanties de confidentialité et d'absence de représailles.
  • Les délais de retour d'information au lanceur d'alerte (accusé de réception sous 7 jours, retour sur les suites données sous 3 mois).

L'externalisation de la réception des alertes à un cabinet d'avocats ou à un prestataire spécialisé est souvent privilégiée pour garantir l'indépendance et rassurer les utilisateurs.

Critères d'évaluation des tiers (clients et fournisseurs)

L'évaluation des tiers consiste à vérifier l'intégrité des partenaires commerciaux (fournisseurs, clients, intermédiaires, cibles d'acquisition) avant et pendant la relation d'affaires. L'intensité de cette vérification doit être proportionnelle au niveau de risque identifié dans la cartographie.

L'entreprise doit classer ses tiers en différentes catégories de risques (faible, moyen, élevé). Pour un fournisseur stratégique ou un agent commercial opérant dans un pays à risque, le processus de Due Diligence (ou KYC - Know Your Customer/Supplier) inclut :

  • La collecte d'informations via un questionnaire de conformité rempli par le tiers.
  • L'identification des bénéficiaires effectifs (UBO).
  • Le criblage (screening) du tiers et de ses dirigeants sur des bases de données internationales (personnes politiquement exposées, listes de sanctions financières).
  • L'analyse de la réputation médiatique (recherches en sources ouvertes).
  • L'intégration de clauses d'audit et de résiliation pour non-conformité anticorruption dans les contrats.

Tout dossier d'évaluation doit être documenté, tracé et validé par un décideur hiérarchique approprié en cas d'alerte.

Quelles sont les sanctions de l'AFA en cas de non-conformité ?

En cas de contrôle révélant un manquement aux obligations de l'article 17 de la loi Sapin II, la Commission des sanctions de l'AFA peut prononcer des injonctions de mise en conformité et des sanctions pécuniaires administratives. Ces sanctions visent l'absence de procédures préventives, indépendamment de la commission d'un acte de corruption avéré.

Les sanctions financières s'élèvent jusqu'à 200 000 euros pour les personnes physiques (le président, le directeur général ou le gérant) et jusqu'à 1 million d'euros pour la personne morale. Ces montants peuvent être assortis d'une publication de la décision, créant un risque réputationnel majeur pour l'entreprise.

Au-delà des sanctions de l'AFA, si des faits de corruption sont effectivement découverts, l'entreprise s'expose à des poursuites pénales par le Parquet National Financier (PNF). Celles-ci peuvent mener à des amendes pénales colossales, souvent résolues via une Convention Judiciaire d'Intérêt Public (CJIP), plafonnée à 30 % du chiffre d'affaires moyen annuel des trois dernières années.

Idées reçues sur la conformité Sapin II

  • "La loi ne s'applique qu'aux très grands groupes cotés en bourse." La loi s'applique à toute société, cotée ou non, employant au moins 500 salariés et réalisant 100 millions d'euros de chiffre d'affaires. De plus, les filiales françaises de groupes étrangers franchissant ces seuils sont également assujetties.
  • "Copier le code de conduite d'une autre entreprise suffit pour être en règle." L'AFA sanctionne systématiquement les codes de conduite génériques. Le code doit obligatoirement découler de la cartographie des risques spécifique à l'entreprise et inclure des exemples tirés de la réalité opérationnelle des salariés.
  • "La conformité est uniquement la responsabilité de la direction juridique." La loi Sapin II impose une obligation personnelle aux dirigeants (mandataires sociaux). L'engagement de l'instance dirigeante ("Tone at the top") est le premier critère évalué par l'AFA lors d'un contrôle.

Questions fréquentes

Combien de temps dure un contrôle de l'AFA ?

Un contrôle classique de l'AFA dure plusieurs mois. Il commence par l'envoi d'un questionnaire exhaustif nécessitant la production de dizaines de documents, suivi d'entretiens sur site (ou en visioconférence) avec la direction, les fonctions de contrôle et les opérationnels, pour se terminer par un rapport définitif.

Les entreprises sous les seuils doivent-elles appliquer la loi Sapin II ?

Les entreprises n'atteignant pas les seuils (500 salariés / 100M€) n'ont pas d'obligation légale de déployer les huit piliers. Toutefois, l'AFA les encourage vivement à adopter ces mesures, notamment car leurs grands donneurs d'ordres l'exigent désormais lors de l'évaluation de leurs propres tiers.

Une filiale étrangère d'un groupe français est-elle concernée ?

Oui. Les obligations de la loi Sapin II s'appliquent à la société mère française atteignant les seuils, mais le périmètre du programme de conformité doit obligatoirement s'étendre à l'ensemble de ses filiales, y compris celles situées à l'étranger.

Le dispositif d'alerte peut-il être mutualisé au sein d'un groupe ?

Oui, la loi permet la mutualisation du dispositif de recueil des alertes au niveau du groupe. Cependant, chaque entité légale de plus de 50 salariés doit informer ses propres instances représentatives et s'assurer que le traitement local des alertes respecte la réglementation.

Quand consulter un avocat et prochaines étapes

La structuration d'un programme anticorruption expose directement la responsabilité pénale et administrative des dirigeants. Faire appel à des avocats spécialisés en conformité et éthique en France garantit que vos procédures répondent aux exigences mouvantes de la jurisprudence et de l'AFA. Le secret professionnel de l'avocat (legal privilege) offre également un cadre sécurisé pour discuter des vulnérabilités de l'entreprise lors des audits de risques.

Prochaines étapes recommandées :

  1. Désigner un responsable : Nommer formellement un Compliance Officer bénéficiant de l'indépendance et des ressources nécessaires.
  2. Lancer un audit initial : Évaluer l'existant par rapport aux 8 piliers de la loi pour identifier les lacunes.
  3. Initier la cartographie : Planifier les entretiens avec les responsables opérationnels pour bâtir la matrice des risques, socle de l'ensemble de la démarche.

Articles similaires

France Dec 11, 2025

Procédure de sauvegarde et mandat ad hoc en France pour PME

Le mandat ad hoc et la conciliation sont des outils confidentiels de prévention, alors que la sauvegarde et le redress...

Lire l'article
France Dec 11, 2025

Enquête Autorité de la concurrence en France : quels sont vos droits ?

L'Autorité de la concurrence peut intervenir très rapidement (perquisition, demandes d'informations) dès qu'elle soupç...

Lire l'article
France Dec 11, 2025

Sanctions internationales : comment vérifier ses clients en France

En France, toute entreprise, même une TPE, doit respecter les sanctions internationales et les contrôles à l'exp...

Lire l'article

Besoin d'un avis juridique ?

Échangez avec des avocats expérimentés près de chez vous pour un conseil personnalisé.

Aucune obligation d'embauche. Service 100% gratuit.

Connectez-vous avec des avocats experts

Obtenez des conseils juridiques personnalisés de professionnels vérifiés dans votre région

Orier Avocats Logo
Depuis 2018
10 avocats
Affaires Droit des sociétés et commercial Banque et finance +1 de plus
Cabinet d'avocats Goffin van Aken Logo
Depuis 2004
1 avocat
Affaires Droit des sociétés et commercial Banque et finance +1 de plus

Tous les avocats sont des professionnels vérifiés et agréés avec des antécédents prouvés

Trouver des avocats

Éthique et responsabilité professionnelle in France

Avertissement :
Les informations fournies sur cette page ont une vocation purement informative et ne constituent pas un conseil juridique. Malgré nos efforts pour garantir l'exactitude et la pertinence des contenus, les informations juridiques peuvent évoluer et les interprétations diffèrent. Vous devez toujours consulter un professionnel qualifié pour obtenir un avis adapté à votre situation.

Nous déclinons toute responsabilité pour les actions prises ou non sur la base de ces contenus. Si vous pensez qu'une information est erronée ou obsolète, veuillez nous contacter afin que nous la vérifiions et la mettions à jour.