Tout ce que les organisations françaises doivent savoir sur la conformité Sapin II en 2026. Exigences de l'article 17, audits de l'AFA, cartographie des risques, amendes et bonnes pratiques.
Le paysage français de la lutte contre la corruption des entreprises a changé de manière permanente depuis 2016. Pour les organisations opérant en France aujourd'hui, la conformité Sapin II n'est pas un exercice de gouvernance facultatif ou une formalité administrative. C'est une obligation légale contraignante, étayée par des audits, des sanctions administratives, des poursuites pénales et des amendes pouvant atteindre des millions d'euros.
En 2026, l'application est plus sophistiquée, les attentes des régulateurs sont plus élevées, et la coopération internationale entre le Parquet National Financier (PNF), le ministère de la Justice des États-Unis et le Serious Fraud Office du Royaume-Uni n'a jamais été aussi active. Les organisations qui considèrent la conformité comme une simple formalité n'ont plus d'endroit où se cacher.
La loi Sapin II, promulguée le 9 décembre 2016, représente l'effort complet de la France pour réformer son cadre anti-corruption, l'alignant sur les normes internationales établies par des législations telles que le US Foreign Corrupt Practices Act (FCPA) et le UK Bribery Act. Elle a durci les sanctions en matière de corruption, introduit de nouvelles procédures de résolution négociée, imposé des obligations de conformité strictes aux grandes entreprises, et créé l'Agence Française Anticorruption (AFA) pour superviser les efforts dans les secteurs privé et public.
Ce guide est conçu pour les responsables de la conformité, les conseillers juridiques, les directeurs financiers et les cadres supérieurs des entreprises soumises à la loi Sapin II. Il couvre tout ce que vous devez savoir : à qui la loi s'applique, les huit exigences obligatoires de l'article 17, la cartographie des risques, la diligence raisonnable des tiers, les audits de l'AFA, les sanctions, les pièges courants et une liste de contrôle pratique pour la conformité en 2026.
Que vous construisiez un programme à partir de zéro, que vous vous prépariez à un audit de l'AFA ou que vous révisiez votre cadre existant, ce guide vous donnera une vision complète.
Le 9 décembre 2016, le Parlement français a adopté la loi n° 2016-1691 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, connue sous le nom de "Sapin II", reconnaissant les contributions de l'ancien ministre des Finances français, Michel Sapin, qui a été largement responsable de son adoption.
La loi n'est pas apparue dans le vide. Avant son adoption, le cadre juridique français de lutte contre la corruption et le trafic d'influence avait pris un retard considérable par rapport à plusieurs de ses homologues européens, suscitant des appels généralisés à une réforme nationale visant à aligner la capacité française de lutte contre la corruption et le trafic d'influence sur les normes internationales en vigueur. Des scandales d'entreprise très médiatisés et la pression internationale d'organismes tels que l'OCDE ont rendu la réforme inévitable.
Sapin II s'est appuyée sur la loi Sapin de 1993 (Sapin I), qui avait introduit des règles de base en matière de transparence des marchés publics et de financement politique. La loi Sapin II est allée considérablement plus loin, établissant un régime anti-corruption moderne, exécutoire et complet pour la France.
Sapin II a fait trois choses qui étaient auparavant absentes du droit français : elle a créé une obligation contraignante pour les grandes entreprises de prévenir activement la corruption ; elle a établi l'Agence Française Anticorruption (AFA) pour superviser et faire appliquer cette obligation ; et elle a introduit un cadre juridique général pour la définition et la protection des lanceurs d'alerte.
En termes pratiques, cela signifie que les organisations éligibles ne sont plus simplement interdites de commettre des actes de corruption. Elles sont affirmativement tenues de construire, de mettre en œuvre et d'améliorer continuellement un programme de conformité documenté, qu'un acte de corruption ait effectivement eu lieu ou non. L'obligation est proactive, pas réactive.
Inspirée par le FCPA américain et le UK Bribery Act, Sapin II impose des réglementations strictes, notamment une transparence organisationnelle accrue, des systèmes de surveillance interne renforcés, des protections robustes pour les lanceurs d'alerte et une diligence raisonnable efficace en matière de gestion des risques de la chaîne d'approvisionnement.
|
Caractéristique |
Sapin II (France) |
FCPA (États-Unis) |
UK Bribery Act |
|
Organisme de mise en application |
AFA + PNF |
DOJ + SEC |
SFO |
|
Programme de conformité requis |
Oui (Article 17) |
Encouragé (bénéfice de la peine) |
Défense des procédures adéquates |
|
Seuils |
500 employés + 100M € de chiffre d'affaires |
Pas de seuil de taille |
Pas de seuil de taille |
|
Protection des lanceurs d'alerte |
Oui (Loi Waserman 2022) |
Limitée |
Limitée |
|
Portée extraterritoriale |
Oui |
Oui |
Oui |
Pour les organisations déjà conformes au FCPA ou au UK Bribery Act, le cadre de Sapin II leur sera familier. Les huit piliers reflètent globalement les éléments de conformité que ces lois encouragent, bien que le régime français introduise des obligations légales spécifiques qui sont plus strictes dans plusieurs domaines.
Début 2026, Sapin III n'a pas été promulguée. La Loi Waserman de 2022 a abordé la dimension lanceur d'alerte que Sapin III devait couvrir. Les mesures proposées par Sapin III visaient à étendre les obligations de l'Article 17 aux filiales des grands groupes et à renforcer le régime des CJIP. Les organisations devraient suivre les développements législatifs via les publications officielles de l'AFA et le portail Légifrance, mais le cadre opérationnel actuel reste Sapin II tel que mis à jour par la loi sur les lanceurs d'alerte de 2022.
Conformément à l'article 17 de la loi Sapin II, les entreprises ayant plus de 500 salariés, leur siège social en France et un chiffre d'affaires dépassant 100 millions d'euros sont tenues de mettre en œuvre un programme anti-corruption basé sur les risques.
Le seuil de 500 employés s'applique de deux manières. Il peut être atteint par une seule entité française, ou par un groupe de sociétés dont la société mère est basée en France et dont l'effectif consolidé atteint 500. Cela signifie que même une filiale française relativement petite d'un grand groupe peut être concernée par le nombre d'employés de la société mère.
Cette obligation s'étend aux filiales et aux sociétés contrôlées par ces groupes, tant en France qu'à l'étranger. L'obligation de conformité n'est donc pas limitée à l'entité mère française. Elle se répercute sur l'ensemble de la structure de l'entreprise.
Oui, et c'est l'un des aspects les plus fréquemment mal compris de la loi.
La portée de Sapin II s'étend au-delà des entreprises dont le siège est en France. Toute organisation ayant un lien professionnel avec la France, y compris les filiales étrangères opérant en France ou les multinationales dont les opérations françaises atteignent les seuils pertinents, peut être concernée. La loi établit également une portée extraterritoriale pour les délits de corruption : les tribunaux français peuvent poursuivre les actes de corruption commis à l'étranger lorsque l'entreprise ou les individus ont une activité économique en France.
Cela signifie qu'une multinationale américaine, britannique ou allemande ayant une filiale française d'une taille suffisante ne peut pas simplement se fier à son programme de conformité national. Elle doit s'assurer que ses opérations françaises disposent d'un programme conforme à Sapin II.
Même si votre organisation se situe en dessous des seuils de l'article 17, la loi Sapin II s'applique toujours à vous d'une manière significative. Toute entreprise d'au moins 50 employés est tenue d'établir des mécanismes juridiques appropriés pour la mise en œuvre de procédures de dénonciation. Suite à la Loi Waserman du 21 mars 2022, les protections des lanceurs d'alerte ont été considérablement renforcées et élargies, transposant la directive européenne sur les lanceurs d'alerte en droit français.
Empêcher un lanceur d'alerte de faire un signalement est en soi un délit pénal en droit français, passible de deux ans d'emprisonnement et d'une amende de 30 000 €. La divulgation de l'identité d'un lanceur d'alerte sans son consentement est passible des mêmes peines.
Vous ne savez pas si la loi Sapin II s’applique à votre organisation ? Comprendre la loi Sapin II : guide pratique du manager pour la conformité anticorruption explique clairement son champ d’application, les seuils concernés et ses implications concrètes, dans un langage simple et accessible aux dirigeants et responsables à tous les niveaux.
C'est le cœur opérationnel de la conformité Sapin II. L'obligation générale de prévenir et de détecter la corruption et le trafic d'influence consiste en l'élaboration et l'application effective de huit mesures : un code de conduite ; un système d'alerte interne ; une cartographie des risques ; une diligence raisonnable des tiers ; des procédures de contrôle comptable ; un programme de formation pour les cadres et le personnel les plus exposés aux risques de corruption ; un système de suivi et d'évaluation interne ; et un régime disciplinaire.
Chaque pilier doit être documenté, mis en œuvre dans la pratique et capable de résister à un examen minutieux lors d'un audit de l'AFA. Avoir une politique sur papier ne suffit pas. L'AFA évalue l'efficacité opérationnelle de votre programme, et non pas seulement son existence.
Le code de conduite doit définir et illustrer spécifiquement les différents types de comportements à interdire susceptibles de caractériser la corruption ou le trafic d'influence. Il doit aller au-delà des déclarations génériques. Il doit aborder les politiques en matière de cadeaux et d'hospitalité, les conflits d'intérêts, les paiements de facilitation et les risques spécifiques au secteur pertinents pour votre organisation.
Le code doit être intégré au règlement intérieur de l'entreprise, ce qui le rend opposable. Il doit être approuvé par la direction générale et communiqué à tous les employés concernés. Le guide de l'AFA reconnaît que le code de conduite peut être intégré dans un système d'éthique et de conformité plus large et suggère comment il pourrait fonctionner en synergie avec des documents relatifs à la cartographie des risques et aux politiques et procédures internes.
Un système d'alerte interne confidentiel doit permettre aux employés de signaler les violations du code de conduite en toute sécurité et anonymement. Ce système doit être accessible, clairement communiqué et protégé contre les représailles.
Les procédures de dénonciation établies par Sapin II sont conçues pour fonctionner en tandem avec la directive européenne sur la protection des lanceurs d'alerte, en vigueur depuis décembre 2021, en interdisant les représailles à l'encontre des lanceurs d'alerte. Il est important de noter que si Sapin II exige des organisations qu'elles disposent d'un système d'alerte, elle n'exige pas qu'elles lancent une enquête interne pour chaque alerte reçue. Cependant, vos procédures de tri et de réponse doivent être documentées et proportionnées.
Des cartographies des risques régulièrement mises à jour sont nécessaires pour identifier, analyser et hiérarchiser l'exposition de l'entreprise aux risques de corruption, en tenant compte de facteurs tels que le secteur d'activité et la situation géographique.
La cartographie des risques est la colonne vertébrale structurelle de votre programme de conformité. L'AFA a confirmé le rôle essentiel de la cartographie des risques, qui doit être la première étape de tout programme de conformité et imprégner les autres mesures, y compris le code de conduite, la formation et les contrôles comptables, en fonction des risques de corruption qu'elle identifie.
L'un des huit piliers de Sapin II est l'obligation pour les entités concernées d'adopter un programme de diligence raisonnable des tiers concernant leurs clients, leurs fournisseurs de premier rang et leurs intermédiaires. L'AFA encourage les entreprises à étendre volontairement le champ de la diligence raisonnable pour inclure tout tiers avec lequel une entité concernée interagit.
L'AFA a publié en 2025 un guide actualisé sur la diligence raisonnable des tiers pour aider les entreprises à mettre en œuvre cette exigence. Ce guide actualisé reflète la sophistication croissante attendue des processus de sélection des tiers.
Les contrôles comptables internes et externes doivent garantir que les livres, registres et comptes de l'entreprise ne sont pas utilisés pour dissimuler des actes de corruption ou de trafic d'influence.
Les contrôles doivent être basés sur les risques et proportionnés au profil d'exposition de l'entreprise. Cela signifie que la portée et l'intensité de vos contrôles comptables doivent être éclairées par votre cartographie des risques. Les juridictions, les lignes d'activité et les types de transactions à risque plus élevé devraient faire l'objet d'un examen plus approfondi.
Une formation régulière doit être dispensée aux dirigeants et aux employés les plus exposés aux risques de corruption. La formation doit être pratique, ciblée et documentée. Les modules d'apprentissage en ligne annuels généralistes envoyés à tout le personnel ne satisfont pas à eux seuls cette exigence pour les populations à haut risque.
Des formations et des sensibilisations ciblées doivent être dispensées à la direction et au personnel exposé aux risques de corruption, par exemple dans les ventes, les achats, les interactions avec le gouvernement et la finance. La présence doit être suivie et l'efficacité mesurée.
Les programmes de conformité doivent être évalués de manière continue. L'AFA recommande des audits internes annuels, des tests aléatoires sur des processus sensibles comme les marchés publics et les relations avec les tiers, et des enquêtes de perception auprès des employés. Cette évaluation permet de détecter les faiblesses et de les corriger rapidement.
Le programme doit démontrer une amélioration continue, et pas seulement une mise en œuvre initiale.
Des conséquences disciplinaires claires en cas de violation du code de conduite doivent être définies à l'avance et communiquées aux employés. L'existence de conséquences applicables est considérée par l'AFA comme un indicateur clé de l'efficacité du programme.
Le guide de l'AFA recommande notamment que les sanctions soient proportionnées à la faute. Un régime qui sanctionne toutes les violations par un licenciement, quelle que soit leur gravité, est aussi problématique qu'un régime qui n'applique aucune conséquence.
Pour une analyse détaillée à un niveau praticien des huit piliers, consultez Les 8 exigences obligatoires de la loi Sapin II que toute organisation doit connaître .
Votre équipe de direction comprend-elle réellement ses obligations personnelles en vertu de Sapin II ? Le cours Conformité Sapin II et lutte anti-corruption pour les managers du French Compliance Institute donne aux managers les connaissances pratiques dont ils ont besoin pour identifier les risques de corruption, réagir correctement et se protéger ainsi que leur organisation. Conçu spécifiquement pour la France, dispensé dans un format adapté aux professionnels occupés.
Inscrivez votre équipe dès aujourd'hui
La cartographie des risques est le pilier le plus important de tout programme de conformité Sapin II. Ce n'est pas seulement l'une des huit exigences ; c'est le fondement sur lequel toutes les autres mesures sont calibrées. Sans une cartographie des risques crédible et à jour, tous les autres éléments de votre programme, du code de conduite à la diligence raisonnable des tiers, manquent de base factuelle appropriée.
La cartographie des risques identifie les zones d'exposition : pays sensibles, secteurs à haut risque et types de partenaires. Cette analyse permet aux organisations de hiérarchiser et d'allouer les ressources de manière appropriée.
L'AFA a toujours maintenu la cohérence de ses constatations au fil des cycles d'audit. Les évaluations des risques sont souvent superficielles selon l'AFA. De nombreuses organisations ne mettent pas à jour leurs cartographies des risques pour refléter l'évolution des conditions du marché ou géographiques, et sans un processus dynamique, l'efficacité des autres piliers est réduite.
Une cartographie des risques élaborée il y a trois ans et jamais mise à jour n'est pas une cartographie des risques conforme. L'AFA s'attend à ce que votre cartographie des risques reflète vos activités commerciales actuelles, les acquisitions récentes ou les entrées sur le marché, les changements dans vos relations avec les tiers, et l'évolution de l'environnement de risque géopolitique ou sectoriel.
L'AFA a consolidé ses lignes directrices en trois piliers : leadership, cartographie des risques et gestion des risques. Cette consolidation indique que l'AFA considère l'engagement de la direction et la gestion des risques comme indissociables de l'exercice technique de cartographie des risques lui-même. Une cartographie des risques produite isolément par l'équipe de conformité, sans l'implication de la haute direction et sans être intégrée dans la prise de décision opérationnelle, ne répond pas aux attentes de l'AFA.
Une cartographie des risques Sapin II robuste doit suivre ces étapes :
Étape 1 : Définir le champ d'application. Identifier toutes les activités commerciales, les marchés géographiques, les catégories de clients, les canaux de distribution et les types de contreparties. Cartographier votre exposition par fonction : achats, ventes, affaires publiques, finance.
Étape 2 : Identifier les catégories de risques. Couvrir les risques géographiques (pays à indice de corruption élevé), les risques sectoriels (marchés publics, secteurs réglementés), les risques transactionnels (paiements uniques importants, commissions, frais d'accueil) et les risques relationnels (agents, intermédiaires, personnes politiquement exposées).
Étape 3 : Évaluer la probabilité et l'impact. Évaluer chaque risque en fonction de la probabilité d'occurrence et de la gravité de la conséquence potentielle. Utiliser à la fois des données quantitatives (flux financiers, volumes de transactions) et des informations qualitatives (entretiens avec les responsables de ligne métier).
Étape 4 : Prioriser et documenter. Classer les risques et allouer les ressources de conformité en conséquence. Documenter votre méthodologie, vos preuves et votre processus de validation.
Étape 5 : Valider avec la haute direction. La cartographie des risques doit être examinée et formellement approuvée par l'organe de direction de l'entreprise. La seule propriété de l'équipe de conformité est insuffisante.
Étape 6 : Mettre à jour régulièrement. L'AFA recommande des mises à jour au moins annuelles, ainsi que des mises à jour ad hoc suite à des changements organisationnels importants tels que des fusions, de nouvelles entrées sur le marché ou des changements dans les relations avec les tiers.
La majorité des cas de corruption significatifs impliquent des tiers : agents commerciaux rémunérés à la commission, intermédiaires d'approvisionnement, partenaires de coentreprise, consultants en relations gouvernementales. Le risque de corruption dans ces relations est réel, il est bien documenté par les régulateurs du monde entier, et c'est précisément ce que l'AFA attend de votre programme de due diligence.
L'objectif exprès de la due diligence Sapin II est de vérifier si une entité concernée doit nouer une nouvelle relation avec un tiers, maintenir une telle relation ou y mettre fin. Il ne s'agit pas d'une formalité de conformité. C'est une décision commerciale aux conséquences juridiques et réputationnelles.
Le processus de due diligence implique la collecte de données sur des informations juridiques, financières, réputationnelles et extra-financières ; une analyse d'intégrité couvrant les antécédents judiciaires, les bénéficiaires effectifs, les sanctions internationales et les liens politiques ; une notation et une classification des risques selon la criticité du tiers ; et un suivi continu avec des mises à jour périodiques des données et une surveillance des signaux faibles.
Ce processus de due diligence doit être traçable, justifiable et proportionné au risque identifié, conformément au RGPD et aux exigences d'audit de conformité. Chaque étape doit être documentée.
Le principe de proportionnalité est important. Tous les tiers ne justifient pas le même niveau d'examen. Un fournisseur national de papeterie de faible valeur ne nécessite pas le même niveau d'enquête qu'un agent commercial opérant dans une juridiction à haut risque sur une base de commission. Votre cartographie des risques doit déterminer l'intensité de vos procédures de due diligence.
L'AFA a ouvert une consultation publique sur des projets de notes d'orientation pratiques conçues pour aider les entreprises à opérationnaliser la due diligence des tiers énoncée à l'article 17 de la loi Sapin II, la période de consultation se déroulant jusqu'au 30 septembre 2025. Cette orientation actualisée reflète l'attente de l'AFA selon laquelle les programmes de due diligence des tiers évoluent au-delà du simple criblage des sanctions pour englober de véritables évaluations d'intégrité.
Les acquisitions créent un risque Sapin II spécifique et grave qui est souvent sous-estimé. Suite à deux arrêts marquants de la Cour de cassation française de novembre 2020 et mai 2024, une société acquéreuse est désormais responsable des infractions pénales antérieures à la fusion d'une société cible, quelle que soit sa forme juridique. La due diligence doit inclure un audit complet du programme de conformité Sapin II de la cible pour éviter d'hériter de responsabilités importantes.
Cela signifie que les listes de contrôle standard de due diligence financière et juridique ne sont plus suffisantes pour les transactions impliquant des entités françaises. La due diligence anti-corruption doit être intégrée comme un volet de travail obligatoire dans chaque processus de M&A.
L'AFA a été créée en 2016 pour renforcer la transparence et moderniser la vie économique en France. Elle opère sous l'autorité conjointe du ministère de la Justice et du ministère du Budget, avec un directeur indépendant pour assurer l'impartialité dans l'accomplissement de ses missions. L'AFA se concentre sur la prévention et la détection de la corruption, du trafic d'influence, du détournement de fonds publics et du favoritisme.
L'AFA a deux fonctions : consultative et de contrôle. Du côté consultatif, elle publie des lignes directrices, des recommandations et des outils pratiques pour aider les organisations à élaborer des programmes conformes. Du côté du contrôle, elle mène des audits formels et renvoie les organisations non conformes à sa Commission des sanctions indépendante.
La direction des entreprises soumises à Sapin II est censée jouer un rôle actif dans la mise en œuvre du plan anti-corruption de l'entreprise. Elle ne peut déléguer ses pouvoirs dans ce domaine et doit donner le ton.
En 2024, l'AFA a mené 39 audits, dont 10 sur des entreprises privées, 17 sur des entités publiques et 12 concernant la préparation des Jeux Olympiques. Il existe deux types d'audits de l'AFA : les audits proactifs initiés à l'initiative de l'AFA, et les audits de conformité suite à une saisine des autorités judiciaires.
Lors d'un audit, l'AFA ne se contente pas d'examiner votre documentation. Elle évalue si votre programme est réellement opérationnel et efficace. Les auditeurs interrogeront le personnel, vérifieront si les employés savent utiliser le système d'alerte, examineront les registres de formation, analyseront la méthodologie sous-jacente à votre cartographie des risques et évalueront la profondeur et la cohérence de vos évaluations des tiers.
Il est conseillé aux entreprises de réaliser des audits simulés et de s'assurer que leurs cartographies des risques spécifiques à la France sont détaillées, à jour et bien documentées, afin de maintenir un état de préparation à l'audit continu.
Sur la base des constatations et des lignes directrices de l'AFA disponibles publiquement, les faiblesses les plus fréquentes identifiées lors des audits comprennent :
Cartographies des risques obsolètes ou insuffisamment documentées
Registres de formation ne permettant pas de prouver qui a été formé, quand et sur quel contenu
Systèmes d'alerte existant sur le papier mais n'ayant jamais été testés ou communiqués
Due diligence des tiers limitée à une simple vérification de base de données de sanctions
Engagement de la haute direction limité à la signature du code de conduite sans supervision plus approfondie du programme
Procédures disciplinaires non définies ou appliquées de manière incohérente
L'AFA note que l'engagement de la haute direction se limite souvent à préfacier le code de conduite anti-corruption d'une entreprise. Une implication plus profonde tout au long du programme est attendue.
Le 20 mars 2025, le PNF, en partenariat avec le Serious Fraud Office britannique et le Procureur fédéral suisse, a annoncé la création d'un Groupe d'Action International des Procureurs Anti-Corruption, conçu pour renforcer la coopération judiciaire en échangeant des stratégies, en partageant les meilleures pratiques et en menant des projets opérationnels conjoints.
Ce développement indique clairement que l'application de la loi française n'est plus une affaire purement nationale. Les organisations ayant des activités transfrontalières devraient supposer que le PNF et ses partenaires internationaux sont capables d'identifier et de poursuivre des comportements qui auraient pu auparavant passer inaperçus par les autorités.
Les sanctions de l'AFA sont appliquées par une commission des sanctions indépendante, et non par l'AFA elle-même. Les sanctions en cas de non-conformité comprennent un blâme public, qui peut être publié ; des amendes allant jusqu'à 200 000 € pour les particuliers, y compris les dirigeants d'entreprise ; et des amendes allant jusqu'à 1 million d'euros pour les personnes morales.
La publication d'une décision de sanction est une sanction en soi. Pour les entreprises cotées en bourse et les organisations opérant dans des secteurs réglementés, un blâme public de la Commission des sanctions de l'AFA a des conséquences réputationnelles qui peuvent largement dépasser l'amende financière.
La sanction administrative n'entraîne pas de casier judiciaire pour la personne morale, mais elle crée un enregistrement formel de non-conformité qui peut être pertinent dans les procédures réglementaires ultérieures, les négociations contractuelles et les processus de due diligence M&A.
Les sanctions administratives imposées par la Commission des sanctions de l'AFA sont distinctes et s'ajoutent à la responsabilité pénale en vertu du droit français.
Les cadres et les dirigeants peuvent être passibles d'amendes allant jusqu'à 200 000 €, d'une peine d'emprisonnement pouvant aller jusqu'à dix ans, et potentiellement être interdits d'exercer une fonction publique ou d'occuper un poste d'administrateur de société.
La corruption active et passive, les paiements de facilitation, la corruption privée et le trafic d'influence national sont des infractions pénales passibles d'une peine d'emprisonnement pouvant aller jusqu'à dix ans et d'amendes pouvant aller jusqu'à 1 million d'euros pour les particuliers et 5 millions d'euros pour les personnes morales.
Le PNF a montré une volonté croissante de poursuivre des affaires internationales impliquant des entités liées à la France, notamment par une application coordonnée avec le ministère américain de la Justice et le Serious Fraud Office britannique.
Sapin II a introduit la convention judiciaire d'intérêt public (CJIP), le mécanisme français de poursuite différée, permettant au Parquet National Financier de négocier des règlements dans les affaires de corruption.
La CJIP n'est pas une amnistie. C'est une alternative aux poursuites pénales qui exige de l'entreprise qu'elle paie une sanction financière, mette en œuvre ou améliore un programme de conformité et coopère pleinement avec les enquêteurs. Elle permet aux organisations d'éviter une condamnation pénale tout en reconnaissant l'inconduite.
Pour les entreprises confrontées à une potentielle enquête de l'AFA ou du PNF, l'auto-déclaration volontaire et un programme de conformité démontrablement efficace sont des facteurs importants pour déterminer si une CJIP est disponible et à quelles conditions.
L'ampleur des sanctions potentielles est illustrée de manière frappante par la plus importante action répressive française à ce jour. La sanction la plus élevée imposée à une personne morale a été de 3,6 milliards d'euros à Airbus, qui a signé des accords de poursuite en 2020 avec le PNF français, le Serious Fraud Office britannique et le ministère américain de la Justice, dont 2,8 milliards d'euros ont été versés en France.
La plupart des échecs d'application de Sapin II remontent à des managers qui ne savaient pas ce que l'on attendait d'eux, ou qui n'ont pas reconnu les signes avant-coureurs. Le cours Conformité Sapin II et Anti-Corruption pour les Managers du French Compliance Institute change cela. Il couvre la responsabilité personnelle, comment gérer les situations de risque de corruption, ce que l'AFA attend de la direction et comment bâtir une véritable culture de conformité.
Commencez le cours aujourd'hui
L'hypothèse la plus dangereuse en matière de conformité Sapin II est que la publication d'un code de conduite et d'une procédure d'alerte signifie que vous êtes conforme. L'AFA a constamment constaté le contraire : les organisations dotées de politiques écrites étendues et d'une mise en œuvre opérationnelle faible sont considérées comme non conformes.
Les lignes directrices de l'AFA visent à passer de règles à cocher à des programmes basés sur des valeurs, alignant la France sur les meilleures pratiques internationales en matière de lutte contre la corruption. Ce changement philosophique se reflète dans la manière dont l'AFA aborde désormais les audits. La question n'est plus "avez-vous une politique ?" La question est "votre politique change-t-elle le comportement des gens ?"
Un cadre de politique anti-corruption conforme à Sapin II va au-delà du code de conduite lui-même. Il doit englober :
Politique sur les cadeaux et l'hospitalité. Seuils monétaires clairs, catégories interdites, exigences d'enregistrement obligatoires et processus d'approbation centralisé pour tout ce qui dépasse le seuil. Les politiques doivent être spécifiques aux rôles et refléter l'exposition réelle au risque.
Politique sur les conflits d'intérêts. Un processus de déclaration formel, un mécanisme d'examen et des règles claires sur la façon dont les conflits identifiés sont gérés et documentés.
Politique sur les paiements de facilitation. Une interdiction claire, avec des directives sur ce qu'il faut faire lorsqu'un paiement est exigé par un fonctionnaire étranger et comment signaler la situation en toute sécurité.
Politique sur les dons politiques et le lobbying. Sapin II a introduit des exigences de transparence spécifiques pour le lobbying. Les organisations qui interagissent avec des fonctionnaires doivent avoir des contrôles robustes dans ce domaine.
Exigences en matière de clauses anti-corruption. Les contrats avec des tiers doivent inclure des déclarations et des garanties anti-corruption appropriées. Ces protections contractuelles doivent être appliquées opérationnellement, et non pas simplement insérées comme des clauses standard.
La direction des entreprises soumises à Sapin II est censée jouer un rôle actif dans la mise en œuvre du plan anti-corruption de l'entreprise. Elle ne peut déléguer ses pouvoirs dans ce domaine et doit donner le ton.
Le ton donné au sommet n'est pas un slogan. Cela signifie que le PDG et le comité exécutif défendent visiblement le programme de conformité, que les hauts dirigeants suivent la formation avant de demander à leurs équipes de le faire, que les ressources de conformité sont financées de manière adéquate et qu'aucune exception n'est faite aux normes anti-corruption pour quelque individu que ce soit, quelle que soit son ancienneté ou son importance commerciale.
Les efforts anti-corruption sont désormais étroitement alignés sur des mandats plus larges en matière d'environnement, de social et de gouvernance (ESG), en particulier la directive sur le devoir de diligence en matière de durabilité des entreprises (CSDDD), et la gestion des tiers nécessite de plus en plus une évaluation complète de l'intégrité de la chaîne d'approvisionnement au-delà du simple criblage des sanctions.
Pour les organisations soumises à la fois à Sapin II et à la CSDDD, il existe une opportunité significative d'aligner les processus de due diligence, les méthodologies de cartographie des risques et les cadres de gouvernance entre les deux régimes, réduisant ainsi la duplication et créant une fonction de conformité plus intégrée.
L'AFA mène des audits depuis 2017. Les erreurs récurrentes sont bien établies. Voici les erreurs les plus fréquentes et les plus importantes commises par les organisations.
La conformité à la loi Sapin II n'est pas un projet avec une date de début et une date de fin. C'est un engagement opérationnel continu. Les cartographies des risques doivent être mises à jour lorsque votre entreprise évolue. Les processus de diligence raisonnable doivent évoluer à mesure que les relations avec les tiers changent. La formation doit être renouvelée à mesure que de nouveaux risques apparaissent. Les organisations qui considèrent leur mise en conformité initiale comme un produit fini et qui ne la maintiennent pas sont régulièrement jugées non conformes lors des audits de l'AFA.
L'AFA constate que l'engagement de la direction générale se limite souvent à la préface du code de conduite anticorruption d'une entreprise. Une implication plus profonde tout au long du programme est attendue. Les cadres supérieurs doivent être activement impliqués dans la validation de la cartographie des risques, la réalisation des formations et les examens réguliers du programme. La fonction conformité ne peut pas assumer cette responsabilité seule.
Une simple vérification de base de données par rapport à une liste de sanctions ne constitue pas une diligence raisonnable vis-à-vis des tiers en vertu de la loi Sapin II. L'AFA attend un processus proportionné et basé sur les risques qui prend en compte les antécédents judiciaires, la propriété effective, les liens politiques et les indicateurs de réputation. Pour les tiers à haut risque, cela signifie une enquête détaillée, et non un contrôle automatisé.
Une société acquéreuse est désormais responsable des infractions pénales antérieures à la fusion commises par une société cible, quelle que soit sa forme sociale. La diligence raisonnable doit inclure un audit complet du programme de conformité Sapin II de la cible afin d'éviter d'hériter de responsabilités importantes. Les organisations qui ont réalisé des acquisitions ces dernières années sans un examen approfondi de leurs cibles en matière d'anti-corruption portent un risque hérité non quantifié.
Des modules de formation en ligne annuels généralistes envoyés à tout le personnel ne satisfont pas, à eux seuls, à l'exigence de formation pour les populations à haut risque. Négliger les sessions de formation obligatoires pour les employés concernant la conformité à la loi Sapin II et les pratiques commerciales éthiques peut exposer considérablement votre organisation à des risques juridiques et réputationnels. La formation doit être spécifique au rôle, basée sur des scénarios et documentée de manière à démontrer qui a été formé, sur quel contenu et quand.
De nombreuses organisations disposent d'un système d'alerte qui existe techniquement, mais qui est inconnu des employés, non testé et, en fait, non fonctionnel. L'AFA vérifie si le personnel sait utiliser le système et si les alertes signalées sont traitées avec la confidentialité et la rapidité appropriées.
Ne pas établir de contrôles internes et de mécanismes de surveillance robustes en vertu de la loi Sapin II peut entraîner des manquements éthiques, tels que la corruption et la concussion. Des mesures inadéquates pour prévenir de telles conduites peuvent nuire à la réputation de votre entreprise, éroder la confiance des parties prenantes et entraîner des amendes substantielles et des conséquences juridiques. Les contrôles comptables doivent être spécifiquement conçus pour détecter les transactions hors bilan et les paiements irréguliers, et non pas simplement pour satisfaire aux exigences de reporting financier.
Utilisez cette check-list comme un bilan de santé de votre programme. Chaque élément correspond à l'un des huit piliers de l'article 17 et aux priorités actuelles d'application de l'AFA. Passez-la en revue avec votre équipe de conformité, vos conseillers juridiques et les responsables des lignes d'affaires concernées.
Code de conduite examiné et mis à jour au cours des 12 derniers mois
Le code reflète votre profil de risque actuel, y compris les risques géographiques et sectoriels pertinents
Code intégré dans les réglementations internes et applicable
Code approuvé par la haute direction et communiqué formellement à tous les employés concernés
Seuils de cadeaux et d'hospitalité clairement définis et à jour
Système d'alerte interne opérationnel et accessible à tous les employés concernés
Système mis à jour pour se conformer aux exigences de la loi Waserman 2022
Protections de confidentialité et d'anonymat testées et documentées
Procédures de tri et d'enquête des alertes définies
Système communiqué via les canaux internes au cours des 12 derniers mois
Cartographie des risques mise à jour au cours des 12 derniers mois, ou après tout changement organisationnel significatif
La cartographie des risques couvre tous les marchés géographiques, lignes d'affaires et catégories de tiers pertinents
Méthodologie documentée et conforme aux directives de l'AFA
Cartographie des risques validée par l'organe de gouvernance ou la haute direction
Les résultats de la cartographie des risques sont utilisés pour calibrer d'autres éléments du programme
Procédures de diligence raisonnable documentées et basées sur les risques
Le processus couvre au minimum les clients, les fournisseurs de premier rang et les intermédiaires
Cadre de proportionnalité en place : les tiers à risque plus élevé font l'objet d'un examen plus approfondi
Surveillance continue en place, et pas seulement une vérification à l'intégration
Directives mises à jour de l'AFA 2025 sur la diligence raisonnable des tiers examinées et incorporées
Le processus de diligence raisonnable des F&A inclut un audit de conformité Sapin II des cibles
Contrôles comptables spécifiques conçus pour détecter les transactions hors bilan et les factures fictives
Contrôles révisés par l'audit interne au cours des 12 derniers mois
Contrôles calibrés en fonction des risques selon la cartographie des risques actuelle
Formation dispensée à tous les cadres et employés à haut risque au cours des 12 derniers mois
La formation est spécifique au rôle et basée sur des scénarios
Participation et achèvement de la formation documentés
Efficacité de la formation évaluée (tests, enquêtes ou évaluations)
Audit interne annuel du programme de conformité réalisé
Audit simulé de l'AFA réalisé ou programmé
Faiblesses du programme identifiées et plans de remédiation en place
Résultats de l'examen du programme rapportés à la haute direction
Conséquences disciplinaires en cas de manquement au code de conduite définies et documentées
Procédures disciplinaires communiquées à tous les employés
Procédures appliquées de manière cohérente et proportionnée
Évaluation par le conseiller juridique de l'exposition potentielle à l'AFA ou au PNF
Considérations de divulgation volontaire examinées avec les conseillers juridiques
Mesures d'amélioration volontaires documentées le cas échéant
Sapin II n'est pas seulement une obligation de conformité pour les entreprises. Elle crée une responsabilité personnelle directe pour les individus à la tête des organisations soumises à l'article 17.
Les cadres et les managers peuvent être passibles d'amendes allant jusqu'à 200 000 euros, de peines d'emprisonnement pouvant aller jusqu'à dix ans, et potentiellement être interdits d'exercer une fonction publique ou de siéger en tant qu'administrateurs de sociétés. Les conséquences personnelles du non-respect peuvent donc mettre fin à une carrière et changer la vie des individus concernés, qu'ils aient ou non personnellement connaissance de l'acte de corruption spécifique.
La direction ne peut déléguer ses pouvoirs en matière de conformité anticorruption et doit donner le ton. Il s'agit d'un point juridique d'une importance capitale. Un administrateur ne peut pas éviter sa responsabilité personnelle en désignant le service de conformité et en déclarant n'avoir aucune responsabilité personnelle. L'obligation incombe personnellement à l'administrateur.
Le risque de corruption ne se répartit pas uniformément au sein d'une organisation. Les fonctions suivantes présentent une exposition élevée en vertu de la loi Sapin II :
Achats et chaîne d'approvisionnement. Les relations avec les fournisseurs, les sous-traitants et les prestataires de services, en particulier dans les juridictions ou les secteurs à haut risque, comportent un risque important de corruption et de pots-de-vin.
Ventes et développement commercial. Le recours à des agents, des intermédiaires et des partenaires commerciaux, en particulier lorsque des arrangements basés sur des commissions sont impliqués, nécessite une gestion attentive.
Finance et trésorerie. Les demandes de paiement inhabituelles, les transactions hors bilan et les paiements à des comptes de tiers sont des signaux d'alerte classiques que les gestionnaires financiers doivent être formés à reconnaître et à signaler.
Affaires publiques et relations gouvernementales. Toute interaction avec des fonctionnaires en France ou à l'étranger est un domaine à haut risque en vertu de la loi Sapin II et doit être régie par des procédures claires et documentées.
Opérations internationales. Les managers travaillant dans des pays ayant des scores élevés sur l'indice de perception de la corruption de Transparency International ont des responsabilités spécifiques pour s'assurer que les pratiques locales n'exposent pas le groupe à la responsabilité en vertu du droit français.
Les managers sont régulièrement confrontés à des situations comportant un risque de corruption, qu'il s'agisse d'un client demandant un paiement de « facilitation » inhabituellement élevé, d'un fournisseur offrant une hospitalité somptueuse, ou d'un fonctionnaire suggérant que l'issue d'un contrat dépend d'une faveur personnelle. La formation joue un rôle énorme ici. Savoir quoi faire sur le moment, comment documenter la situation, comment remonter l'information via le système d'alerte et comment se protéger contre de fausses accusations, tout cela dépend de la préparation.
En prévision de la période 2025-2027, l'application de la loi devrait devenir plus proactive et préventive plutôt que purement punitive. Les autorités évaluent de plus en plus si les entreprises disposent de programmes anti-corruption efficaces avant qu'un manquement ne se produise. Sapin II exige des organisations qu'elles mettent en place des systèmes de conformité structurés, y compris une cartographie des risques, des canaux de signalement interne et des procédures de diligence raisonnable des tiers. Concrètement, cela signifie que les régulateurs continueront de se concentrer sur la qualité et l'efficacité des programmes de conformité, et pas seulement sur l'adoption formelle de politiques par les entreprises.
Pour un guide complet destiné aux managers sur les obligations, les risques et les mesures pratiques liées à la loi Sapin II, consultez Comprendre la loi Sapin II : guide pratique du manager pour la conformité anticorruption.
La responsabilité personnelle en vertu de la loi Sapin II est réelle. Le cours « Sapin II Compliance and Anti-Corruption for Managers » du French Compliance Institute donne à vos managers les connaissances juridiques, les cadres pratiques et la confiance décisionnelle nécessaires pour gérer correctement les situations de risque de corruption. Conçu spécifiquement pour l'environnement réglementaire français, le cours couvre les huit piliers de la loi Sapin II du point de vue de la gestion.
Voir les détails du cours et s'inscrire
Les organisations qui abordent la conformité Sapin II comme un coût à minimiser rencontreront toujours des difficultés. Elles feront le minimum requis, ne parviendront pas à intégrer le programme de manière opérationnelle et feront face à des constatations d'audit récurrentes. Les organisations qui traitent la conformité comme un véritable atout, comme une protection pour leur personnel, leur réputation, leurs contrats et leur permis d'exploitation, construiront des programmes qui résisteront à l'examen et apporteront une valeur à long terme.
Un programme de conformité Sapin II efficace permet à votre organisation de participer à des processus d'approvisionnement réglementés, de conclure des partenariats avec des multinationales qui imposent leurs propres normes de diligence raisonnable, d'accéder à des financements auprès d'institutions qui exigent des garanties anti-corruption, et de répondre de manière crédible aux demandes de l'AFA ou du PNF lorsqu'elles surviennent.
Le plan pluriannuel du gouvernement français pour 2025 à 2029 marque un changement significatif dans les efforts de lutte contre la corruption. L'accent est mis au-delà de la corruption traditionnelle pour aborder les défis émergents, y compris l'infiltration par le crime organisé, les crypto-actifs et les transactions financières complexes. Le PNF et l'AFA renforcent leur collaboration avec TRACFIN pour surveiller les transactions financières complexes.
Cela signifie que le paysage de la conformité Sapin II ne restera pas statique. Les organisations doivent construire des programmes capables de s'adapter aux nouvelles catégories de risques, y compris les transactions d'actifs numériques, l'intégrité de la chaîne d'approvisionnement dans le contexte des obligations ESG, et l'intersection émergente entre le crime organisé et la corruption des entreprises.
1. Engagement de la direction. Le programme de conformité doit bénéficier d'un parrainage exécutif authentique, visible et documenté. Le conseil d'administration et le comité exécutif doivent examiner régulièrement la performance du programme.
2. Proportionnalité basée sur les risques. Votre programme doit être calibré en fonction de votre profil de risque réel, et non d'un modèle générique. Les ressources doivent être allouées là où les risques sont les plus élevés.
3. Intégration opérationnelle. La conformité doit être intégrée aux processus commerciaux quotidiens, et non gérée comme une fonction de frais généraux distincte. L'évaluation des risques doit éclairer les décisions d'achat. La diligence raisonnable doit faire partie du processus de développement commercial.
4. Amélioration continue. Votre programme doit évoluer. Les examens annuels, les audits fictifs, les remises à niveau des formations et les mises à jour de la cartographie des risques ne sont pas des options. Ils sont le mécanisme par lequel votre programme reste efficace.
5. Preuves documentées. Tout ce que l'AFA voudra voir lors d'un audit doit être documenté, récupérable et compréhensible pour quelqu'un qui le voit pour la première fois. Si ce n'est pas documenté, cela n'a pas eu lieu.
La conformité à Sapin II en 2026 n'est pas un choix entre le coût et le bénéfice. C'est un choix entre la mise en place d'un programme qui protège votre organisation, votre personnel et votre réputation, ou l'acceptation du risque de sanctions de l'AFA, de poursuites pénales, d'atteinte à la réputation et d'exclusion des opportunités commerciales qui exigent une conformité démontrée.
La loi est claire. Le régulateur est actif. L'environnement d'application est de plus en plus international. Les organisations qui investissent dans la mise en place de programmes de conformité véritablement efficaces seront en mesure d'opérer en toute confiance. Celles qui ne le font pas trouveront les conséquences de plus en plus difficiles à gérer.
Découvrez les 8 exigences obligatoires de la loi Sapin II pour les organisations françaises, de la cartographie des risques et la diligence envers les tiers...
Découvrez pourquoi la stratégie ESG est essentielle pour les entreprises françaises. Apprenez-en davantage sur les réglementations, la responsabilité des conseils d'administration, les risques ESG et...
Les délégués à la protection des données (DPD) jouent un rôle central en veillant à ce que les organisations se conforment aux lois sur la...