La loi Sapin 2 vise à renforcer la lutte contre la corruption et la transparence dans la vie économique. Elle crée un cadre clair pour les entreprises et prévoit un contrôle par l’AFA (l’agence française anticorruption).
Se protéger, ce n’est pas empiler des documents. C’est mettre en place un dispositif anticorruption cohérent et prouver qu’il fonctionne.

Cet article traite uniquement du volet anticorruption (article 17) et non des dispositions liées à l’assurance vie.

Loi Sapin 2 : qu’est-ce que la loi Sapin ?

La loi, dite loi Sapin 2, porte officiellement sur la loi relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique. Elle date du 9 décembre 2016 (nom de Michel Sapin) et son entrée en vigueur pour l’article 17 est intervenue le 1er juin 2017.

Son objectif côté entreprise : prévenir la corruption ou de trafic d’influence et améliorer la détection de la corruption grâce à un programme de conformité.

Êtes-vous concerné ? Identifier les entreprises concernées

Pour savoir si vous devez appliquer l’article 17 de la loi, commencez par vérifier si vous faites partie des entreprises concernées.

Critères d’assujettissement à l’article 17

Vous êtes concerné si vous êtes une société (ou un groupe dont la société mère est en France) et si vous atteignez le double seuil :

  • les sociétés de plus de 500 salariés (ou appartenant à un groupe atteignant ce seuil)
  • chiffre d’affaires (consolidé) supérieur à 100 millions d’euros

Certaines catégories (dont des structures publiques à caractère spécifique) peuvent aussi être soumises à la loi Sapin selon leur statut. Depuis 2025, l’assujettissement s’est également étendu à certaines personnes morales exploitant des installations portuaires.

Même si vous n’êtes pas assujetti : vous pouvez être impacté

Même hors périmètre strict, beaucoup d’acteurs exigent de leurs tiers et de chaque fournisseur :

  • des questionnaires de compliance
  • des clauses dans les contrats
  • des preuves de cartographie et de formation

Les PME sont donc souvent concernées indirectement, notamment quand elles travaillent avec les grandes entreprises ou sur les marchés publics.

Quels sont les risques ? Les risques en cas de non-respect

La question “quels sont les risques ?” revient toujours. Le non-respect de la loi Sapin peut conduire à un scénario simple :

  1. les contrôles (AFA)
  2. constat de non-conformité
  3. plan d’action demandé
  4. suivi
  5. puis les sanctions en cas de manquements persistants

Non-respect de la loi Sapin : ce qui est réellement sanctionné

La réalité est souvent la même : le problème n’est pas un texte manquant, mais l’écart entre “document” et “preuve”.
Un dispositif doit être opérationnel. Sinon, l’AFA peut considérer qu’il ne permet pas de prévenir les faits de corruption.

AFA : comment se déroule un contrôle ?

Les contrôles de l’AFA évaluent :

  • l’existence du programme
  • sa qualité
  • son efficacité réelle
  • et la capacité à maîtriser les risques

Déroulé typique :

  • contrôle sur pièces et sur place
  • rapport
  • phase contradictoire (2 mois)
  • plan d’action final annexé

Les sanctions en cas de manquements

La commission des sanctions peut :

  • ordonner une mise en conformité sous délai (jusqu’à 3 ans)
  • prononcer une sanction pécuniaire (personnes physiques et personne morale)
  • décider de publier la décision

En pratique, “sanctionner” intervient surtout quand l’entreprise ne corrige pas les écarts.

Mettre en conformité : les obligations des entreprises

Pour se protéger, il faut comprendre les obligations. La loi Sapin II s’appuie sur 8 piliers, parfois appelés “mesures de la loi Sapin”.

Les 8 piliers : les obligations de la loi en clair

Les obligations des entreprises reposent sur :

  1. code de conduite
  2. dispositif d’alerte interne
  3. cartographie des risques
  4. évaluation des tiers
  5. contrôles comptables
  6. formation
  7. régime disciplinaire
  8. contrôle et évaluation interne

L’objectif : prévenir les comportements interdits et renforcer la prévention de la corruption.

Définir les rôles : ce qui évite 80 % des blocages

Avant de rédiger, il faut définir les rôles :

  • qui pilote la conformité
  • qui valide
  • qui exécute
  • qui contrôle

Sans responsabilité claire, le dispositif reste théorique et les preuves deviennent difficiles à produire.

Les 8 piliers : quoi produire et quoi prouver

Pour être rigoureux, raisonnez en 3 niveaux :

  • Livrable : document ou processus
  • Déploiement : preuve d’utilisation
  • Contrôle : preuve d’amélioration et de mise à jour

1) Code de conduite anticorruption

Le code de conduite interne doit préciser les comportements interdits (corruption ou de trafic d’influence), y compris dans des cas concrets.

À prouver :

  • diffusion
  • compréhension
  • application
  • suivi (registre cadeaux/invitations)

2) Alerte et signalement

Le pilier alerte repose sur une procédure claire permettant de signaler les faits problématiques.

Le dispositif doit permettre :

  • un signalement sécurisé
  • la confidentialité
  • un traitement traçable

Ici, les lanceurs doivent être protégés : protéger les lanceurs n’est pas un slogan, c’est un mécanisme opérationnel.

3) Cartographie des risques de corruption

La cartographie des risques de corruption doit être adaptée à votre activité, vos processus et vos zones.

Elle doit intégrer :

  • scénarios de risque
  • les zones géographiques sensibles
  • hiérarchisation des risques de corruption
  • plan de contrôle en face

Une cartographie copiée ne permet pas d’identifier les risques réellement exposés.

4) Évaluation des tiers

L’évaluation doit couvrir les partenaires, fournisseurs et intermédiaires.
On cherche notamment le risque de corruption lié à la relation commerciale.

5) Contrôles comptables

Les procédures de contrôles comptables servent à éviter que la comptabilité masque :

  • faits de corruption
  • détournement de fonds
  • paiements injustifiés

L’idée est de détecter les anomalies, pas de tout contrôler au hasard.

6) Formation

La formation doit cibler les plus exposés : achats, commerce, direction, finance.

7) Régime disciplinaire

Le dispositif doit pouvoir traiter les manquements. Sans conséquence, le cadre ne tient pas.

8) Contrôle, évaluation interne et mise à jour

Ce pilier prouve que vous améliorez et que la mise à jour est réelle :

  • audit interne
  • KPI
  • plan d’action
  • revue régulière

Checklist : preuves à produire (orientée contrôle)

Pour répondre à l’AFA, préparez notamment :

  • organigrammes et gouvernance
  • cartographie + documents de méthode
  • registre cadeaux / invitations
  • preuves de formation
  • politique tiers
  • documents de contrôles comptables
  • procédure d’alerte + statistiques

Objectif : un dossier simple à défendre.

Audit blanc AFA : le moyen le plus rapide de sécuriser

Un audit blanc AFA simule un contrôle :

  • mapping des pièces exigibles
  • scoring par pilier
  • plan de remédiation priorisé
  • préparation de la phase contradictoire

C’est la méthode la plus efficace pour aider les entreprises à se protéger sans perdre de temps.

Business man pointing towards security sign in the middle.

Conclusion : se protéger, c’est prouver

La loi Sapin 2 ne demande pas un “dossier parfait”. Elle impose un système qui fonctionne.
Si vous voulez vous protéger, vous devez pouvoir démontrer que vous savez :

  • identifier les risques
  • prévenir les faits
  • traiter les alertes
  • contrôler et corriger
  • et améliorer dans le temps