Compliance et loi Sapin II : guide complet de conformité anticorruption

Loi Sapin II : un tournant dans la lutte anticorruption en France

La loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite loi Sapin II, a profondément transformé le paysage de la compliance anticorruption en France. Pour la première fois, le droit français impose aux entreprises une obligation de prévention de la corruption, là où seule la répression existait auparavant.

L'enjeu est considérable : les entreprises visées par la loi Sapin II doivent mettre en place un programme de conformité anticorruption comprenant huit mesures obligatoires, sous peine de sanctions pouvant atteindre 1 million d'euros pour les dirigeants et 200 millions d'euros — ou 30 % du chiffre d'affaires — pour les personnes morales. L'Agence française anticorruption (AFA), autorité de contrôle créée par la loi, veille à l'effectivité de ces dispositifs et peut infliger des sanctions administratives en cas de manquement.

Ce guide complet vous présente les obligations légales des entreprises, les huit piliers du programme de compliance, les bonnes pratiques de mise en œuvre, les risques et sanctions encourus, et les stratégies concrètes pour construire un dispositif anticorruption efficace et proportionné à votre organisation.

Champ d'application de la loi Sapin II : quelles entreprises sont concernées ?

Les critères de soumission à l'article 17

L'article 17 de la loi Sapin II impose l'obligation de mettre en place un programme anticorruption aux présidents, directeurs généraux et gérants de sociétés répondant à deux critères cumulatifs :

Un effectif d'au moins 500 salariés, ou appartenance à un groupe dont la société mère a son siège social en France et dont l'effectif comprend au moins 500 salariés.

Un chiffre d'affaires supérieur à 100 millions d'euros, ou appartenance à un groupe dont la société mère a son siège social en France et dont le chiffre d'affaires consolidé est supérieur à 100 millions d'euros.

Ces seuils sont appréciés au niveau du groupe, ce qui signifie que même une filiale française de petite taille peut être soumise à l'article 17 si elle appartient à un groupe remplissant les critères. L'AFA a précisé dans ses recommandations publiées en janvier 2021 (mises à jour en 2024) que l'obligation pèse sur les dirigeants personnellement, ce qui constitue un puissant levier d'engagement au plus haut niveau de l'entreprise.

L'application extraterritoriale et les entreprises non directement visées

Si la loi Sapin II ne possède pas de mécanisme d'extraterritorialité comparable au Foreign Corrupt Practices Act (FCPA) américain ou au UK Bribery Act britannique, son impact dépasse largement les seules entreprises directement soumises à l'article 17. En effet, les recommandations de l'AFA constituent un standard de marché qui irrigue l'ensemble du tissu économique :

Les PME et ETI non soumises à l'article 17 sont de plus en plus incitées à adopter des dispositifs anticorruption, notamment dans le cadre de leurs relations avec les grands donneurs d'ordres qui exigent de leurs partenaires des engagements de conformité. Les clauses anticorruption dans les contrats commerciaux se sont généralisées, imposant aux sous-traitants et fournisseurs des obligations de compliance parfois aussi exigeantes que celles de l'article 17.

Les établissements publics industriels et commerciaux (EPIC) et les sociétés d'économie mixte (SEM) employant au moins 500 salariés sont également soumis à l'article 17 depuis 2020. Les associations et fondations reconnues d'utilité publique remplissant les critères de seuil sont aussi concernées.

Pour les entreprises opérant à l'international, la conformité Sapin II s'articule nécessairement avec les dispositifs anticorruption étrangers — FCPA, UK Bribery Act, loi brésilienne anticorruption (Clean Company Act) — nécessitant une approche globale et coordonnée du programme de compliance. Consultez notre article sur le contrat international : guide complet pour les entreprises françaises pour approfondir les enjeux de la compliance internationale.

Les huit piliers du programme de compliance anticorruption

Premier pilier : le code de conduite anticorruption

Le code de conduite est le document fondateur du programme de compliance. L'article 17 exige qu'il définisse et illustre les différents types de comportements à proscrire comme étant susceptibles de caractériser des faits de corruption ou de trafic d'influence. Le code de conduite doit être intégré au règlement intérieur de l'entreprise, ce qui lui confère une valeur contraignante et permet d'engager la responsabilité disciplinaire des salariés en cas de violation.

Les recommandations de l'AFA précisent que le code de conduite doit aborder les situations pratiques les plus fréquemment rencontrées par les collaborateurs : cadeaux et invitations, mécénat et sponsoring, facilitation payments, conflits d'intérêts, lobbying, contributions politiques. Il doit être rédigé dans un langage accessible, traduit dans les langues des pays d'implantation du groupe et diffusé à l'ensemble des collaborateurs.

Le code de conduite ne doit pas être un document théorique déconnecté de la réalité opérationnelle. Les entreprises les plus performantes en matière de compliance l'accompagnent de fiches pratiques, de cas concrets illustrés et d'un mécanisme de questions-réponses permettant aux collaborateurs de soumettre des interrogations au service compliance. L'engagement visible de la direction générale — message introductif du président, « tone from the top » — est un facteur clé de crédibilité et d'adhésion.

Deuxième pilier : le dispositif d'alerte interne

L'entreprise doit mettre en place un dispositif d'alerte interne permettant le recueil de signalements de conduites ou de situations contraires au code de conduite. Ce dispositif a été considérablement renforcé par la loi n° 2022-401 du 21 mars 2022 transposant la directive européenne 2019/1937 sur la protection des lanceurs d'alerte.

Le système d'alerte doit garantir la confidentialité de l'identité du lanceur d'alerte et des personnes visées, assurer un traitement diligent des signalements (accusé de réception sous 7 jours, réponse sous 3 mois), et protéger le lanceur d'alerte contre toute mesure de représailles (licenciement, rétrogradation, mise à l'écart). La loi de 2022 a élargi la définition du lanceur d'alerte et renforcé la protection, en supprimant l'obligation de signalement interne préalable et en inversant la charge de la preuve en cas de mesure défavorable.

En pratique, les entreprises ont le choix entre une gestion internalisée du dispositif d'alerte (service compliance, comité d'éthique) et le recours à un prestataire externe spécialisé (plateformes d'alerte telles qu'EthicsPoint, BKMS ou Signalement.net). L'externalisation présente l'avantage de renforcer la perception d'indépendance et de confidentialité par les collaborateurs, ce qui favorise l'utilisation effective du dispositif.

Troisième pilier : la cartographie des risques de corruption

La cartographie des risques est la pièce maîtresse du programme de compliance. Elle consiste en une identification, une analyse et une hiérarchisation des risques de corruption auxquels l'entreprise est exposée, en fonction de ses secteurs d'activité, de ses zones géographiques d'intervention, de ses processus opérationnels et de la nature de ses relations avec les tiers.

L'AFA recommande une méthodologie structurée en trois étapes : l'identification des risques inhérents (risques bruts, avant prise en compte des mesures de prévention existantes), l'évaluation des mesures de maîtrise (contrôles internes, procédures, validations) et la détermination des risques résiduels (risques subsistant après application des mesures de maîtrise). La cartographie doit couvrir l'ensemble des processus à risque : achats, ventes, opérations de croissance externe, recours à des intermédiaires, mécénat et sponsoring, relations avec les agents publics.

La cartographie n'est pas un exercice statique. Elle doit être actualisée régulièrement (l'AFA recommande une révision au moins tous les trois ans, ou plus fréquemment en cas de changement significatif d'activité ou de périmètre) et alimenter directement les autres piliers du programme : le plan de formation, les procédures d'évaluation des tiers et les contrôles comptables sont calibrés en fonction des risques identifiés par la cartographie.

Quatrième pilier : les procédures d'évaluation des tiers

L'entreprise doit mettre en place des procédures d'évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques. Cette évaluation, souvent désignée par le terme de due diligence tiers ou third-party due diligence, vise à identifier les risques de corruption liés aux partenaires commerciaux de l'entreprise.

L'intensité de l'évaluation doit être proportionnée au niveau de risque identifié par la cartographie. Pour les tiers à risque élevé — agents commerciaux dans des pays à fort indice de corruption, intermédiaires dans le cadre de marchés publics, consultants intervenant dans des processus d'obtention d'autorisations administratives —, l'évaluation doit être approfondie et comprendre des recherches dans les bases de données de sanctions internationales, de personnes politiquement exposées (PEP) et de presse négative.

Les outils de due diligence automatisée (Refinitiv World-Check, Dow Jones Risk & Compliance, LexisNexis) facilitent le processus de vérification, mais ne remplacent pas le jugement humain. Les cas de risques élevés ou de signaux d'alerte (red flags) doivent être escaladés au service compliance pour une analyse approfondie et une décision formalisée. Pour en savoir plus sur la due diligence dans un contexte plus large, consultez notre article sur la due diligence juridique : guide complet.

Cinquième pilier : les procédures de contrôles comptables

L'article 17 exige la mise en place de procédures de contrôles comptables, internes ou externes, destinées à s'assurer que les livres, registres et comptes ne sont pas utilisés pour masquer des faits de corruption ou de trafic d'influence. Cette exigence vise les paiements irréguliers dissimulés dans la comptabilité : fausses factures, commissions fictives, frais de représentation gonflés, donations déguisées.

Les contrôles comptables anticorruption s'appuient sur plusieurs leviers : la séparation des fonctions (celui qui engage la dépense n'est pas celui qui l'approuve), les seuils de validation hiérarchique (toute dépense au-delà d'un certain montant requiert une double signature), les contrôles automatisés (détection de transactions inhabituelles par des outils d'analyse de données) et les audits ciblés sur les processus à risque identifiés par la cartographie.

Les commissaires aux comptes jouent un rôle complémentaire dans ce dispositif. Depuis la loi Sapin II, ils sont tenus de révéler au procureur de la République les faits délictueux dont ils ont connaissance dans le cadre de leur mission, y compris les soupçons de corruption. Cette obligation renforce l'importance d'un dispositif de contrôles comptables robuste, qui permet à l'entreprise de détecter et traiter les anomalies avant qu'elles ne soient identifiées par les auditeurs externes.

Sixième pilier : le dispositif de formation

L'entreprise doit mettre en place un dispositif de formation destiné aux cadres et aux personnels les plus exposés aux risques de corruption et de trafic d'influence. La formation est le vecteur essentiel de la diffusion de la culture compliance au sein de l'organisation.

L'AFA recommande une approche différenciée de la formation, adaptée au profil de risque des collaborateurs : une sensibilisation générale pour l'ensemble du personnel (e-learning, modules en ligne), un programme approfondi pour les populations exposées (achats, commercial, direction internationale, finance) et des formations spécifiques pour les dirigeants et les membres du comité de direction. La formation doit être récurrente (pas seulement à l'embauche), documentée (attestation de participation, évaluation des acquis) et actualisée en fonction de l'évolution de la cartographie des risques.

Les formats les plus efficaces combinent e-learning (pour la couverture de masse et la traçabilité), ateliers présentiels (pour l'étude de cas pratiques et les mises en situation) et communications régulières (newsletter compliance, flash éthique). L'intégration de la compliance dans le parcours d'onboarding des nouveaux collaborateurs et dans les programmes de mobilité internationale est également recommandée.

Septième pilier : le régime disciplinaire

Le programme de compliance doit prévoir un régime disciplinaire permettant de sanctionner les collaborateurs qui violent le code de conduite ou les procédures anticorruption. L'intégration du code de conduite au règlement intérieur est le mécanisme juridique privilégié, car elle confère au code une force contraignante et permet l'engagement de sanctions disciplinaires allant de l'avertissement au licenciement pour faute grave.

L'AFA insiste sur l'importance de l'effectivité du régime disciplinaire : un dispositif qui ne donne jamais lieu à des sanctions est perçu comme un exercice de façade et perd toute crédibilité. Les entreprises doivent documenter les sanctions prononcées (tout en respectant la confidentialité des personnes concernées) et communiquer sur leur existence pour asseoir la crédibilité du programme.

Huitième pilier : le dispositif de contrôle et d'évaluation interne

Le dernier pilier consiste en un dispositif de contrôle et d'évaluation interne des mesures mises en œuvre. Il s'agit d'un mécanisme d'audit et de monitoring permettant de vérifier que le programme de compliance est effectivement mis en œuvre, qu'il est adapté aux risques de l'entreprise et qu'il produit les résultats attendus.

Ce dispositif peut prendre plusieurs formes : audit interne dédié à la compliance anticorruption, revue annuelle du programme par le comité d'audit ou le comité d'éthique, tests de conformité (vérification aléatoire de l'application des procédures), indicateurs de performance (KPI compliance : taux de formation, nombre d'alertes traitées, délai de traitement des due diligences). L'audit de la compliance peut également être confié à des cabinets spécialisés pour bénéficier d'un regard externe et indépendant.

Tableau comparatif

L'Agence française anticorruption (AFA) : rôle, contrôles et sanctions

Missions et pouvoirs de l'AFA

L'Agence française anticorruption (AFA), créée par l'article 1er de la loi Sapin II, est un service à compétence nationale placé auprès du ministre de la Justice et du ministre chargé du Budget. Elle est dirigée par un magistrat nommé pour six ans, inamovible, garantissant son indépendance.

L'AFA exerce trois missions principales. Premièrement, une mission de conseil et d'assistance : elle publie des recommandations destinées à aider les acteurs publics et privés à prévenir et détecter les faits de corruption. Ces recommandations, régulièrement actualisées, constituent le référentiel de conformité sur lequel l'AFA s'appuie pour évaluer les programmes anticorruption des entreprises. Deuxièmement, une mission de contrôle : l'AFA vérifie que les entreprises soumises à l'article 17 ont effectivement mis en place les huit mesures obligatoires. Troisièmement, une mission de suivi des conventions judiciaires d'intérêt public (CJIP), mécanisme transactionnel permettant aux entreprises poursuivies pour corruption de négocier un accord avec le parquet.

Le déroulement d'un contrôle AFA

Le contrôle AFA est un processus structuré qui se déroule en plusieurs phases. L'entreprise reçoit d'abord une notification de contrôle (généralement 15 jours avant le début des opérations), accompagnée d'une demande de transmission de documents. La phase de recueil documentaire s'étend sur plusieurs semaines et porte sur l'ensemble des huit piliers : code de conduite, cartographie des risques, procédures de due diligence, supports de formation, rapports d'audit interne, etc.

La phase de vérifications sur place comprend des entretiens avec les responsables compliance, les dirigeants, les opérationnels exposés et les fonctions support (audit interne, direction juridique, ressources humaines). L'AFA vérifie non seulement l'existence des mesures, mais aussi leur qualité, leur effectivité et leur adaptation aux risques spécifiques de l'entreprise. Un programme formel mais non mis en œuvre dans les faits sera jugé insuffisant.

À l'issue du contrôle, l'AFA établit un rapport contenant ses observations et recommandations. Si des manquements sont constatés, la commission des sanctions de l'AFA peut être saisie et prononcer des sanctions administratives : injonction de mettre en conformité le programme, assortie d'une amende pouvant atteindre 200 000 euros pour les personnes physiques et 1 million d'euros pour les personnes morales. La décision de sanction peut être publiée, ce qui constitue un risque réputationnel majeur.

La convention judiciaire d'intérêt public (CJIP)

La CJIP, introduite par l'article 22 de la loi Sapin II et codifiée à l'article 41-1-2 du Code de procédure pénale, est un mécanisme de justice négociée inspiré des Deferred Prosecution Agreements (DPA) anglo-saxons. Elle permet à une personne morale mise en cause pour des faits de corruption, de trafic d'influence ou de blanchiment de conclure un accord avec le procureur de la République, sans reconnaissance de culpabilité.

La CJIP peut comporter une amende d'intérêt public (proportionnée au chiffre d'affaires et aux avantages tirés des manquements), un programme de mise en conformité sous le contrôle de l'AFA (d'une durée maximale de trois ans) et la réparation du préjudice des victimes identifiées. Depuis son entrée en vigueur, plusieurs CJIP de grande envergure ont été conclues, dont celles de Société Générale (2018, 250 millions d'euros), Airbus (2020, 2,08 milliards d'euros au total dans le cadre d'un accord multilatéral), et McDonald's France (2022, 1,25 milliard d'euros pour fraude fiscale).

Mettre en œuvre un programme de compliance : stratégies et bonnes pratiques

Le rôle du compliance officer et de la gouvernance anticorruption

La mise en œuvre effective d'un programme de compliance anticorruption repose sur une gouvernance dédiée. La nomination d'un responsable de la conformité (compliance officer ou directeur de la compliance) est une étape fondamentale. Ce responsable doit disposer de l'autorité, des ressources et de l'accès à la direction générale nécessaires pour exercer efficacement sa mission.

L'AFA recommande que le compliance officer soit rattaché à la direction générale ou au comité exécutif, et qu'il dispose d'une ligne de reporting directe vers le conseil d'administration ou le comité d'audit. Cette position hiérarchique garantit son indépendance vis-à-vis des directions opérationnelles et sa capacité à alerter les organes de gouvernance en cas de risque avéré.

Au-delà du compliance officer, l'efficacité du programme repose sur un réseau de correspondants compliance dans les différentes entités du groupe (filiales, business units, zones géographiques) et sur l'implication active de l'ensemble des fonctions de contrôle : audit interne, direction juridique, direction financière, ressources humaines. Cette approche transversale est qualifiée de modèle des trois lignes de défense : les opérationnels (première ligne), les fonctions de support et de contrôle (deuxième ligne) et l'audit interne (troisième ligne).

Adapter le programme à la taille et aux risques de l'entreprise

L'AFA insiste sur le principe de proportionnalité : le programme de compliance doit être adapté à la taille de l'entreprise, à la nature de ses activités et à son profil de risque. Une PME industrielle opérant exclusivement en France n'a pas les mêmes besoins qu'un groupe international présent dans des pays à risque élevé de corruption.

Pour les ETI et PME non directement soumises à l'article 17 mais souhaitant se doter d'un programme de compliance (par anticipation, par obligation contractuelle de leurs donneurs d'ordres ou par choix stratégique), l'AFA a publié un guide pratique proposant une approche simplifiée et progressive. Les priorités doivent être définies en fonction de la cartographie des risques : commencer par les mesures les plus urgentes (code de conduite, procédure d'alerte, évaluation des tiers les plus à risque) et enrichir progressivement le dispositif.

La digitalisation du programme de compliance facilite sa mise en œuvre à moindre coût. Des plateformes intégrées (SAP GRC, ServiceNow GRC, OneTrust) permettent de centraliser la cartographie des risques, les dossiers de due diligence, les attestations de formation et les indicateurs de suivi. Ces outils sont particulièrement utiles pour les groupes décentralisés qui doivent assurer la cohérence et le contrôle du programme à travers de multiples entités. Pour approfondir les bonnes pratiques contractuelles, consultez notre article sur la rédaction de contrats commerciaux : les clauses essentielles.

Intégrer la compliance dans les opérations de croissance externe

Les opérations de fusions-acquisitions constituent un moment critique pour la compliance anticorruption. L'acquéreur hérite des risques de corruption de la cible, y compris des faits antérieurs à l'acquisition. La jurisprudence américaine (doctrine du successor liability sous le FCPA) et la pratique de l'AFA imposent une due diligence anticorruption approfondie dans le cadre des opérations de M&A.

Cette due diligence doit couvrir l'historique de compliance de la cible (existence d'un programme anticorruption, antécédents d'enquêtes ou de sanctions), la qualité de ses relations avec les tiers à risque (agents, intermédiaires, partenaires publics) et la robustesse de ses contrôles internes. Les red flags identifiés doivent être intégrés dans la négociation : garanties de passif spécifiques, conditions suspensives de mise en conformité, plan d'intégration compliance post-acquisition.

Après l'acquisition, l'intégration compliance de la cible dans le programme du groupe est une priorité. L'AFA attend des entreprises qu'elles déploient leur programme anticorruption dans les entités nouvellement acquises dans un délai raisonnable, généralement évalué entre 12 et 24 mois. Pour les enjeux spécifiques de la garantie de passif dans les opérations de M&A, consultez notre article sur la garantie de passif : guide complet pour les dirigeants.

Les infractions de corruption et de trafic d'influence : risques pénaux

Les qualifications pénales en droit français

Le droit pénal français distingue plusieurs infractions liées à la corruption, chacune répondant à des conditions spécifiques :

La corruption active (article 433-1 du Code pénal) est le fait de proposer, promettre ou offrir un avantage indu à une personne investie d'une fonction publique pour qu'elle accomplisse ou s'abstienne d'accomplir un acte de sa fonction. La peine est de 10 ans d'emprisonnement et 1 million d'euros d'amende, montant pouvant être porté au double du produit de l'infraction.

La corruption passive (article 432-11 du Code pénal) est le pendant côté agent public : le fait de solliciter ou d'accepter un avantage indu. Les peines sont identiques.

Le trafic d'influence (articles 432-11 et 433-1 du Code pénal) se distingue de la corruption en ce que l'avantage indu est offert ou sollicité en contrepartie d'un usage d'influence auprès d'une autorité ou d'une administration, et non d'un acte propre de la fonction.

La corruption d'agent public étranger (article 435-3 du Code pénal) a été considérablement renforcée par la loi Sapin II. Les poursuites sont désormais facilitées par l'extension de la compétence extraterritoriale des juridictions françaises (article 435-6-2) et par le renforcement des moyens d'investigation du Parquet national financier (PNF).

Les peines complémentaires et la responsabilité des personnes morales

Outre les peines principales, les personnes physiques condamnées pour corruption ou trafic d'influence encourent des peines complémentaires particulièrement dissuasives : interdiction d'exercer une fonction publique, interdiction de gérer, confiscation du produit de l'infraction et des biens ayant servi à la commettre, exclusion des marchés publics pour une durée pouvant atteindre cinq ans.

Les personnes morales sont pénalement responsables des infractions de corruption commises pour leur compte par leurs organes ou représentants (article 121-2 du Code pénal). Les peines encourues comprennent l'amende (quintuple du montant prévu pour les personnes physiques, soit 5 millions d'euros), la dissolution, le placement sous surveillance judiciaire, l'exclusion des marchés publics, l'interdiction de faire appel public à l'épargne et la confiscation.

Compliance Sapin II et enjeux sectoriels

Le secteur de la défense et de l'armement

Le secteur de la défense et de l'armement est historiquement l'un des plus exposés aux risques de corruption, en raison de la nature étatique des clients, du recours fréquent à des intermédiaires et de l'opacité relative des marchés. Les entreprises du secteur sont soumises à des obligations de compliance renforcées et font l'objet d'une attention particulière de l'AFA et des autorités étrangères (notamment le Serious Fraud Office britannique et le Department of Justice américain).

Le secteur des infrastructures et de la construction

Le BTP et les infrastructures constituent un autre secteur à risque élevé, en raison de la prédominance des marchés publics, de la complexité des chaînes de sous-traitance et de l'intervention fréquente dans des pays en développement. Les risques spécifiques incluent les facilitation payments pour l'obtention de permis de construire, les pratiques de soumission concertée dans les appels d'offres et le recours à des agents locaux pour faciliter les démarches administratives.

Le secteur pharmaceutique et des dispositifs médicaux

Le secteur de la santé présente des risques spécifiques liés aux relations avec les professionnels de santé et les établissements publics. La loi relative au renforcement de la sécurité sanitaire du médicament (loi Bertrand) et le dispositif anti-cadeaux encadrent strictement les avantages pouvant être consentis aux professionnels de santé. La compliance dans ce secteur doit articuler les exigences de la loi Sapin II avec les réglementations sectorielles spécifiques.

Actualités et évolutions de la compliance anticorruption

Le renforcement continu du cadre réglementaire

Le cadre de la compliance anticorruption ne cesse d'évoluer. Parmi les évolutions récentes les plus significatives, la directive européenne sur le devoir de vigilance (CSDDD), adoptée en 2024, impose aux grandes entreprises européennes un devoir de vigilance en matière de droits humains et d'environnement qui complète les obligations anticorruption. La loi française sur le devoir de vigilance (loi n° 2017-399 du 27 mars 2017) avait ouvert la voie en imposant aux sociétés mères et entreprises donneuses d'ordres un plan de vigilance couvrant notamment les risques de corruption dans la chaîne de valeur.

L'AFA a également renforcé ses contrôles et ses recommandations. La mise à jour de 2024 des recommandations insiste sur la nécessité d'une approche par les risques (risk-based approach), d'une amélioration continue du programme et d'une documentation exhaustive des mesures mises en œuvre. L'AFA attend des entreprises qu'elles démontrent non seulement l'existence des huit piliers, mais aussi leur efficacité réelle dans la prévention de la corruption.

Les tendances de la compliance en 2025-2026

Plusieurs tendances structurantes se dessinent pour les années à venir. L'intelligence artificielle est de plus en plus mobilisée dans les programmes de compliance : analyse automatisée des données de transactions pour détecter des anomalies, screening continu des tiers en temps réel, chatbots compliance pour répondre aux questions des collaborateurs. L'utilisation de ces outils soulève toutefois des questions de protection des données personnelles (RGPD) et de biais algorithmiques qui doivent être anticipées.

La convergence des programmes de compliance — anticorruption, anti-blanchiment, sanctions internationales, protection des données, ESG — conduit les entreprises à adopter des plateformes intégrées de gestion de la conformité. Cette approche permet de mutualiser les ressources, d'éviter les doublons et d'offrir une vision consolidée des risques. Pour approfondir les enjeux de conformité dans les relations contractuelles, consultez notre article sur le secret des affaires : protection juridique et stratégies.

Questions fréquentes sur la compliance Sapin II

Quelles entreprises sont soumises à la loi Sapin II ?

L'article 17 de la loi Sapin II s'applique aux sociétés employant au moins 500 salariés et réalisant un chiffre d'affaires supérieur à 100 millions d'euros, ou appartenant à un groupe remplissant ces critères avec siège social en France. Les EPIC et SEM remplissant ces seuils sont également concernés. En pratique, environ 1 600 entreprises sont directement visées, mais l'effet d'entraînement touche des milliers de PME et ETI via leurs relations commerciales.

Quelles sanctions encourt une entreprise qui ne respecte pas la loi Sapin II ?

Les sanctions sont de deux ordres. Sur le plan administratif, la commission des sanctions de l'AFA peut prononcer une injonction de mise en conformité assortie d'une amende de 200 000 euros pour les dirigeants et 1 million d'euros pour les personnes morales. Sur le plan pénal, les infractions de corruption sont punies de 10 ans d'emprisonnement et 1 million d'euros d'amende pour les personnes physiques, et de 5 millions d'euros pour les personnes morales, montants pouvant être portés au double du produit de l'infraction.

Qu'est-ce que la convention judiciaire d'intérêt public (CJIP) ?

La CJIP est un mécanisme de justice négociée permettant à une personne morale mise en cause pour corruption de conclure un accord avec le procureur de la République sans reconnaissance de culpabilité. L'accord comporte généralement le paiement d'une amende d'intérêt public, la mise en place d'un programme de mise en conformité sous contrôle de l'AFA et la réparation du préjudice. La CJIP est validée par le tribunal judiciaire et sa décision est publique.

Comment se déroule un contrôle de l'AFA ?

Le contrôle AFA se déroule en plusieurs étapes : notification (15 jours avant), recueil documentaire (transmission des documents relatifs aux huit piliers), vérifications sur place (entretiens avec les responsables compliance, dirigeants et opérationnels), rapport de contrôle avec observations et recommandations. En cas de manquements, la commission des sanctions peut être saisie. La durée totale du contrôle varie de 6 à 12 mois.

Les PME sont-elles concernées par la compliance anticorruption ?

Les PME ne sont pas directement soumises à l'article 17 de la loi Sapin II si elles ne remplissent pas les seuils de 500 salariés et 100 millions d'euros de chiffre d'affaires. Cependant, elles sont de plus en plus incitées à adopter des mesures anticorruption par leurs donneurs d'ordres (clauses contractuelles), par les exigences de certains marchés publics et par la nécessité de se prémunir contre les risques pénaux de droit commun. L'AFA a publié un guide spécifique pour les accompagner.

Quel est le rôle du compliance officer ?

Le compliance officer est le responsable de la mise en œuvre et du pilotage du programme anticorruption. Il conçoit et déploie les huit piliers, forme et sensibilise les collaborateurs, gère le dispositif d'alerte, supervise les due diligences tiers et assure le reporting vers la direction générale et les organes de gouvernance. L'AFA recommande qu'il soit rattaché directement à la direction générale avec un accès au conseil d'administration.

Comment articuler la compliance Sapin II avec le FCPA et le UK Bribery Act ?

Les entreprises opérant à l'international doivent construire un programme de compliance global et harmonisé couvrant les exigences de la loi Sapin II, du FCPA américain et du UK Bribery Act britannique. Le socle commun est large : cartographie des risques, code de conduite, due diligence tiers, formation, contrôles comptables. Les différences portent principalement sur les facilitation payments (interdits par le UK Bribery Act, tolérés dans certaines limites par le FCPA, non expressément traités par Sapin II) et sur l'extraterritorialité (plus large pour le FCPA et le UK Bribery Act).

Quelle est la durée de mise en place d'un programme de compliance ?

La mise en place d'un programme de compliance anticorruption complet et opérationnel requiert généralement 12 à 24 mois, selon la taille de l'entreprise, la complexité de son organisation et son niveau de maturité compliance initial. Les entreprises partant de zéro doivent d'abord réaliser la cartographie des risques (3 à 6 mois), puis déployer progressivement les autres piliers. L'AFA n'attend pas un programme parfait dès le premier jour, mais une démarche sincère et documentée d'amélioration continue.

Article rédigé par Guillaume Leclerc, avocat d'affaires à Paris. Cabinet Victoris Avocats, 34 Avenue des Champs-Élysées, 75008 Paris.