La loi Sapin II (loi n° 2016-1691 du 9 décembre 2016) constitue depuis plus de neuf ans le socle de la lutte anticorruption en France. En 2024, l’Agence Française Anticorruption (AFA) a reçu 802 signalements, soit une hausse de 83 % par rapport à 2023 (source : rapport d’activité AFA 2024). Cette intensification du contrôle rend indispensable une compréhension précise des obligations légales.
Ce guide détaille le périmètre d’application de la loi, les huit piliers de conformité, les modalités pratiques de mise en œuvre et les sanctions encourues en cas de manquement.
Qu’est-ce que la loi Sapin II ?
La loi relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique poursuit trois objectifs principaux. Elle impose aux entreprises un dispositif de prévention et de détection de la corruption. Elle crée l’Agence Française Anticorruption (AFA) pour superviser ces dispositifs. Elle renforce la protection des lanceurs d’alerte, consolidée ensuite par la loi Waserman du 21 mars 2022.
La loi aligne les pratiques françaises sur les standards de l’OCDE et s’articule avec d’autres cadres réglementaires : le RGPD pour la protection des données personnelles collectées dans les procédures de conformité, et la directive NIS 2 pour la sécurité des systèmes d’information utilisés dans les dispositifs d’alerte.
Quelles entreprises sont concernées ?
L’article 17 de la loi Sapin II vise les sociétés répondant à deux critères cumulatifs : un effectif d’au moins 500 salariés et un chiffre d’affaires consolidé supérieur à 100 millions d’euros. Les filiales de ces groupes, en France comme à l’étranger, sont également soumises à ces obligations.
En juin 2025, l’article 54 de la loi n° 2025-532 a élargi le périmètre en soumettant les entreprises du transport de conteneurs, de la manutention et du chargement/déchargement aux obligations de l’article 17. Ce élargissement traduit la volonté du législateur d’étendre progressivement le champ d’application.
Les entreprises non assujetties à l’article 17 restent soumises aux dispositions pénales générales contre la corruption (articles 432-11 et 433-1 du Code pénal). Le conflit d’intérêts demeure un risque pour toute organisation, quelle que soit sa taille.
Les 8 piliers de la conformité
L’article 17 impose la mise en place de huit mesures et procédures, détaillées dans les recommandations de l’AFA mises à jour en 2024.
1. Code de conduite. Document intégré au règlement intérieur qui définit les comportements proscrits : corruption, trafic d’influence, conflits d’intérêts. Il doit être diffusé et expliqué à l’ensemble des collaborateurs.
2. Dispositif d’alerte interne. Canal sécurisé permettant aux salariés de signaler des faits de corruption en toute confidentialité. La loi Waserman de 2022 a renforcé la protection des lanceurs d’alerte en interdisant toute mesure de représailles.
3. Cartographie des risques. Identification et hiérarchisation des risques de corruption par secteur d’activité, zone géographique et catégorie de tiers. Ce document doit être actualisé régulièrement.
4. Évaluation des tiers. Processus de due diligence visant les clients, fournisseurs et partenaires pour vérifier leur intégrité. L’AFA a ouvert en 2025 une consultation publique sur des fiches pratiques dédiées à cette évaluation.
5. Contrôles comptables. Procédures internes (séparation des tâches, audits, vérification indépendante) destinées à détecter les anomalies financières liées à la corruption.
6. Formation. Programmes réguliers adaptés aux niveaux hiérarchiques et aux postes les plus exposés. L’AFA a conduit 71 actions de sensibilisation auprès d’acteurs économiques en 2024.
7. Régime disciplinaire. Sanctions graduées (avertissement, suspension, licenciement) applicables en cas de violation du code de conduite, clairement communiquées à tous les collaborateurs.
8. Contrôle et évaluation interne. Audits réguliers de l’ensemble du dispositif pour vérifier son efficacité et l’adapter aux évolutions législatives et aux nouveaux risques identifiés.
Mise en œuvre pratique des obligations
Comment structurer un programme anticorruption ?
La mise en conformité débute par l’engagement de la direction générale. Le rapport d’activité 2024 de l’AFA identifie l’absence d’implication de la direction comme l’une des faiblesses les plus fréquemment constatées lors des contrôles.
Concrètement, la démarche se déroule en quatre phases. Premièrement, réaliser la cartographie des risques en associant les directions opérationnelles (achats, commercial, finance). Deuxièmement, rédiger ou mettre à jour le code de conduite et le faire valider par le comité de direction.
Troisièmement, déployer le dispositif d’alerte interne conforme aux exigences de la loi Waserman et du RGPD (registre des traitements, analyse d’impact). Quatrièmement, planifier les formations et les audits internes sur un cycle annuel.
Coordination avec le RGPD et les autres obligations
La coordination avec les autres cadres réglementaires est essentielle pour éviter les redondances et les incohérences. Le DPO doit être associé à la conception du dispositif d’alerte pour garantir la conformité des traitements de données personnelles.
Le dispositif d’alerte interne collecte des données sensibles (identité du signalant, faits dénoncés) qui relèvent du RGPD. Une analyse d’impact relative à la protection des données est requise avant sa mise en service. Une plateforme comme Legiscope peut faciliter la gestion croisée de ces obligations.
Le rôle de l’AFA
L’AFA exerce une double mission : conseil et contrôle. En matière de conseil, elle publie des recommandations, des guides sectoriels et organise des actions de sensibilisation. En 2024, elle a mené 50 actions de formation auprès d’acteurs publics.
En matière de contrôle, l’AFA vérifie l’existence, la qualité et l’efficacité des dispositifs de prévention. Depuis sa création en 2017, elle a réalisé 165 contrôles au total. En 2024, 27 contrôles ont été menés : 10 sur des acteurs économiques et 17 sur des acteurs publics.
L’AFA a simplifié son questionnaire de contrôle en février 2025 pour rationaliser les demandes documentaires. Son plan pluriannuel de contrôle couvre désormais la période 2025-2029. En cas de manquement, l’AFA peut adresser un avertissement ou saisir la commission des sanctions.
Sanctions et contrôles récents
Quelles sanctions en cas de non-conformité ?
Les sanctions se déclinent à plusieurs niveaux. Sur le plan administratif, la commission des sanctions de l’AFA peut imposer des amendes allant jusqu’à 200 000 euros pour les personnes physiques et 1 000 000 euros pour les personnes morales.
Sur le plan pénal, la corruption active est punie de dix ans d’emprisonnement et d’un million d’euros d’amende (article 433-1 du Code pénal). Le trafic d’influence encourt les mêmes peines. Les personnes morales risquent une amende quintuplée, soit jusqu’à cinq millions d’euros.
La Convention Judiciaire d’Intérêt Public (CJIP), mécanisme créé par la loi Sapin II, permet à une entreprise de conclure un accord avec le parquet pour éviter un procès. L’amende d’intérêt public ne peut excéder 30 % du chiffre d’affaires annuel. Au total, 27 CJIP ont été publiées sur le site de l’AFA depuis 2017 (source : AFA, janvier 2026). Des entreprises comme Airbus et Société Générale ont conclu des CJIP assorties de programmes de mise en conformité sous supervision de l’AFA pendant trois ans.
Le plan national de lutte contre la corruption 2024-2027 et la création en mars 2025 d’un groupe de travail européen réunissant les agences anticorruption française, britannique et suisse témoignent d’un renforcement continu de la pression réglementaire.
Avertissement juridique. Cet article fournit des informations générales et ne constitue pas un conseil juridique. Chaque situation d’entreprise étant spécifique, il est recommandé de consulter un avocat spécialisé en compliance ou de se référer directement aux recommandations de l’AFA.
FAQ
Quelles entreprises sont soumises à la loi Sapin II ?
La loi Sapin II (article 17) s’applique aux sociétés employant plus de 500 salariés et dont le chiffre d’affaires dépasse 100 millions d’euros, ainsi qu’aux sociétés mères de groupes atteignant ces seuils. Les entités publiques (établissements publics industriels et commerciaux) y sont également soumises.
Quelles obligations la loi Sapin II impose-t-elle aux entreprises ?
Les entreprises concernées doivent : mettre en place un code de conduite anticorruption ; un dispositif d’alerte interne ; une cartographie des risques de corruption ; des procédures de due diligence des tiers ; des formations des personnels exposés ; un régime comptable de contrôle interne ; et un dispositif de contrôle et d’évaluation interne.
Quel est le rôle de l’AFA dans l’application de la loi Sapin II ?
L’Agence Française Anticorruption (AFA) contrôle les programmes anticorruption des entités assujetties, peut mettre en demeure les entreprises défaillantes, et dispose d’un pouvoir de sanction (injonction, amende jusqu’à 200 000 € pour les personnes morales). Elle publie également des recommandations sur les bonnes pratiques.
Quelles sanctions prévoit la loi Sapin II en cas de non-conformité ?
L’AFA peut prononcer des injonctions et des sanctions pécuniaires : jusqu’à 200 000 € pour les personnes physiques et 1 million d’euros pour les personnes morales. Les dirigeants peuvent être personnellement sanctionnés. Ces sanctions sont publiées sur le site de l’AFA (name and shame).
Conclusion
La loi Sapin II impose un cadre structuré de prévention de la corruption qui ne cesse de se renforcer. L’intensification des contrôles de l’AFA, l’élargissement du périmètre d’application et la convergence avec les standards européens rendent la conformité incontournable. Les entreprises concernées doivent adopter une approche méthodique fondée sur les huit piliers, l’engagement de la direction et une actualisation continue de leurs dispositifs pour répondre aux attentes du régulateur.
Dernière vérification : mars 2026
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
