Si votre entreprise opère en France, ou si vous dirigez un groupe dont la société mère est établie en France, comprendre la conformité à la Loi Sapin II est un enjeu stratégique. L’article 17 de la loi rend obligatoire un programme anti-corruption structuré pour les grandes entreprises, et l’Agence Française Anticorruption (AFA) peut auditer et sanctionner les manquements. Ce guide explique pourquoi cette loi existe, à qui elle s’applique, ce qu’elle exige en pratique et comment elle est appliquée, avec des étapes pragmatiques pour les responsables conformité des entreprises de taille intermédiaire.
Pourquoi la Loi Sapin II existe : contexte et pression réglementaire
La Loi Sapin II, adoptée le 9 décembre 2016, répond à une convergence de pressions, à la fois nationales et internationales. La France a fait face à des scandales d’intégrité très médiatisés et à des attentes croissantes en matière de transparence dans la vie publique. Dans le même temps, plusieurs multinationales françaises avaient été sanctionnées à l’étranger sous des régimes anti-corruption extraterritoriaux. L’exemple le plus cité est l’accord de plaidoyer d’Alstom en 2014 aux États-Unis, qui incluait une amende pénale de 772 millions de dollars pour des affaires de corruption à l’étranger, illustrant à quel point le risque coercitif s’était déplacé hors de France pour les entreprises françaises. Voir l’annonce du Département de la Justice des États-Unis : Alstom 2014 plea.
Au niveau politique, le Groupe de travail de l’OCDE sur la corruption avait exhorté la France à renforcer à la fois l’application des sanctions et les mesures de prévention en entreprise. Son rapport de Phase 4 continuait de souligner la nécessité de programmes de conformité robustes et de mécanismes d’application crédibles en France, renforçant la justification de l’architecture de la Loi Sapin II. Voir l’analyse de l’OCDE : Rapport OCDE Phase 4 sur la France.
L’objectif de Sapin II était donc triple : renforcer la transparence, lutter plus efficacement contre la corruption et moderniser la vie économique. La loi a introduit un cadre obligatoire de conformité anti-corruption pour les grandes entreprises via l’article 17, créé l’AFA chargée à la fois d’accompagner et de contrôler les organisations, amélioré la protection des lanceurs d’alerte, fixé des règles sur le lobbying et introduit le mécanisme français de transaction pénale, la « convention judiciaire d’intérêt public » (CJIP). Vous pouvez consulter la loi sur Legifrance, le portail officiel du droit français : Loi n° 2016‑1691 du 9 décembre 2016.
À qui s’applique la Loi Sapin II ? Seuils et champ d’application
L’article 17 s’applique aux entreprises et aux groupes qui dépassent des seuils spécifiques et dont la société mère a son siège en France. En pratique, deux critères alternatifs déclenchent l’obligation de mettre en œuvre un programme anti-corruption :
- Une entreprise établie en France qui emploie au moins 500 salariés et réalise un chiffre d’affaires annuel supérieur à 100 millions d’euros.
- Une société mère établie en France à la tête d’un groupe employant au moins 500 salariés au total, avec un chiffre d’affaires consolidé supérieur à 100 millions d’euros. Dans ce cas, la société mère est responsable du déploiement du programme de conformité dans l’ensemble des filiales contrôlées du groupe, en France comme à l’étranger.
Quelques précisions importantes sur le périmètre :
- Les seuils d’effectif et de chiffre d’affaires sont évalués annuellement, sur la base des derniers comptes approuvés. Pour les groupes, utiliser les chiffres consolidés.
- Les filiales contrôlées sont couvertes par le programme de la société mère. L’obligation juridique repose sur la société mère française qui dépasse les seuils.
- Une filiale française qui dépasse elle-même les deux seuils entre dans le champ d’application à part entière, même si sa société mère ultime est étrangère.
- Les entreprises sous les seuils ne sont pas soumises au programme obligatoire de l’article 17, mais beaucoup en adoptent les composantes comme bonnes pratiques, ou pour répondre aux attentes des partenaires et des prêteurs.
Scénarios illustratifs :
Situation | Dans le champ de l’article 17 ? | Pourquoi |
|---|---|---|
Entreprise française de 650 salariés et 150 M€ de chiffre d’affaires | Oui | L’entité unique dépasse les deux seuils en France |
Société mère française de 200 salariés, mais groupe totalisant 800 salariés et 300 M€ | Oui | Le test de groupe s’applique : la mère est en France et les seuils consolidés sont dépassés |
Filiale française d’une mère étrangère, 450 salariés et 120 M€ | Non sur le test de groupe, sauf si la filiale atteint elle-même 500 salariés | L’entité n’atteint pas le seuil d’effectif et la mère n’est pas en France pour le calcul de groupe |
En cas de doute, documentez votre interprétation, en particulier les années où l’entreprise est proche d’un seuil en raison d’acquisitions ou de cessions.
Que demande l’article 17 ? Les huit piliers du programme
L’article 17 exige huit composantes concrètes qui forment ensemble un programme de conformité anti-corruption documenté et fondé sur les risques. Les Recommandations de l’AFA de 2021 détaillent les attentes pour chaque élément avec des exemples de bonnes pratiques.
1. Code de conduite
Adopter et diffuser un code de conduite qui définit et interdit la corruption et le trafic d’influence, avec des exemples clairs adaptés à votre profil de risque. Il doit être intégré au règlement intérieur et être opposable.
2. Dispositif d’alerte interne
Mettre en place un canal confidentiel pour recueillir et traiter les alertes relatives à des soupçons de corruption ou de trafic d’influence. Assurer son accessibilité aux salariés et aux tiers concernés, des procédures claires, une protection contre les représailles, ainsi qu’un tri et une instruction dans les délais.
3. Cartographie des risques de corruption
Conduire une évaluation structurée des risques qui identifie, analyse et hiérarchise les risques de corruption et de trafic d’influence par ligne d’activité, géographie, type de transaction, partenaires et niveau d’exposition. La méthodologie doit être formalisée, mise à jour régulièrement et étayée par des données traçables et des comptes-rendus d’entretien. C’est l’épine dorsale de la proportionnalité de toutes les autres mesures du programme.
4. Évaluation des tiers (due diligence)
Appliquer une due diligence fondée sur les risques aux clients, fournisseurs, intermédiaires, agents et partenaires de joint-venture. Définir des critères de niveaux de risque, réaliser des examens initiaux et périodiques, vérifier le bénéficiaire effectif lorsque pertinent, et faire remonter les signaux d’alerte avec des décisions documentées.
5. Contrôles comptables
Concevoir et opérer des procédures de contrôle interne et comptables qui préviennent et détectent la dissimulation de paiements corrompus, par exemple la séparation des tâches, la justification des factures, le suivi des cadeaux et invitations, le contrôle des paiements de facilitation, le canalisation des parrainages et dons, et le suivi des exceptions.
6. Formation des cadres et des collaborateurs exposés
Délivrer une formation et une sensibilisation ciblées aux dirigeants et aux personnels exposés aux risques de corruption — par exemple ventes, achats, interactions publiques, finance. Suivre la participation et mesurer l’efficacité.
7. Régime disciplinaire
Inclure des mesures disciplinaires spécifiques pour les manquements au code de conduite, applicables à tous les niveaux de l’organisation et conformes au droit du travail. Veiller à ce que le cadre soit communiqué et effectivement appliqué en cas de manquement.
8. Contrôles internes et évaluation du programme
Établir des tests périodiques et des processus d’amélioration continue : audits, KPI, suivi des actions correctives, et mises à jour suite aux incidents ou aux changements d’organisation.
À quoi ressemblent les preuves attendues lors d’un audit AFA
Composante du programme | Objectif | Preuves typiquement demandées par l’AFA |
|---|---|---|
Code de conduite | Définir le comportement attendu | Politique approuvée, traçabilité de la diffusion, traductions, accusés de réception |
Dispositif d’alerte | Permettre un signalement sûr | Accès au canal, registre des cas, délais, protocoles d’enquête, conclusions anonymisées |
Cartographie des risques | Base de proportionnalité | Méthodologie, univers des risques, critères de notation, comptes-rendus d’entretien, heatmaps, validation |
Évaluation des tiers | Prévenir les relations à risque | Procédures, niveaux de risque, dossiers types, résultats de screening, notes d’escalade |
Contrôles comptables | Détecter et prévenir la dissimulation | Description des contrôles clés, RACI, plans de test, rapports d’exceptions, traces des actions correctives |
Formation | Construire la compétence | Plan annuel, supports, présence, résultats d’évaluation |
Régime disciplinaire | Faire respecter les standards | Extraits de politiques RH, cas anonymisés, exemples de mesures appliquées |
Évaluation | S’améliorer dans le temps | Rapports d’audit interne, tableaux de bord KPI, revues de direction |
Comment l’AFA fait appliquer l’article 17 : audits et sanctions
L’AFA est une autorité administrative créée par la Loi Sapin II pour aider les organisations à prévenir et détecter la corruption, et pour vérifier que les grandes entreprises mettent en œuvre des programmes efficaces.
Un contrôle AFA type comporte des demandes de documents, des entretiens avec la direction et les équipes opérationnelles, et des tests de procédures et de contrôles. À l’issue du contrôle, l’AFA peut émettre des recommandations, ou saisir sa Commission des sanctions si elle estime que les obligations de l’article 17 ne sont pas remplies. La Commission peut :
- Émettre une injonction de mettre en œuvre ou de renforcer le programme, avec un calendrier défini et sous le contrôle de l’AFA pour une période déterminée.
- Imposer des amendes administratives jusqu’à 200 000 euros pour les personnes physiques et jusqu’à 1 000 000 euros pour les personnes morales, pour les manquements aux obligations de l’article 17.
Les décisions de sanction sont publiques, ce qui ajoute aux enjeux réputationnels en plus de l’exposition juridique. Voir la page de la Commission pour le contexte : Commission des sanctions de l’AFA.
Notons que le rôle de l’AFA est préventif et administratif. Les enquêtes pénales et les poursuites pour infractions de corruption restent du ressort des autorités judiciaires. Dans certains cas, une entreprise peut conclure une CJIP pour des affaires pénales, séparément du contrôle administratif de l’AFA.
Comparaison Loi Sapin II — FCPA — UK Bribery Act
Beaucoup d’entreprises françaises font face à des régimes anti-corruption qui se superposent — en particulier les multinationales cotées aux États-Unis ou ayant des filiales britanniques. Les trois cadres partagent un même objectif mais diffèrent sur le champ d’application, l’application des sanctions et ce qui constitue un programme défendable.
Dimension | Loi Sapin II (France, 2016) | FCPA (États-Unis, 1977) | UK Bribery Act (Royaume-Uni, 2010) |
|---|---|---|---|
Obligation de prévention | Article 17 — 8 piliers obligatoires | Aucune obligation légale de prévention ; guidance DOJ ECCP | Section 7 — défense des « adequate procedures » |
Périmètre de la corruption | Secteur public et privé | Agents publics étrangers uniquement | Secteur public et privé |
Paiements de facilitation | Interdits | Exception statutaire étroite (autorisés) | Interdits |
Portée extraterritoriale | Limitée (filiales et groupes français) | Large (émetteurs, ressortissants, faits commis aux US) | La plus large des trois (tout lien avec le UK) |
Autorité principale | AFA (administrative) + PNF (pénal) | DOJ + SEC | SFO |
Amende corporate max. | 1 M€ admin. ; pénal jusqu’à 30 % du CA moyen via CJIP | Plafonds statutaires par violation ; négociations souvent à neuf chiffres | Illimitée |
Outil de transaction pénale | CJIP | DPA / NPA | DPA |
Incitation à l’auto-déclaration | Réduction matérielle via CJIP | Réduction significative via DOJ Corporate Enforcement Policy | Disponible mais discrétionnaire |
La Loi Sapin II est la plus prescriptive des trois. Les huit piliers de l’article 17 sont obligatoires, et non un moyen de défense. Si une entreprise française entre dans le champ d’application et qu’il lui manque un pilier, l’AFA peut sanctionner même sans corruption avérée. Le FCPA, à l’inverse, n’a aucune obligation légale de prévention — ce qui en ressemble vient de la guidance procureur, non de la loi elle-même.
Le UK Bribery Act a la portée extraterritoriale la plus sévère. Toute organisation commerciale exerçant une activité au Royaume-Uni peut être poursuivie pour défaut de prévention de la corruption où que ce soit dans le monde, par quiconque lui est associé. Une entreprise française exportant au Royaume-Uni est significativement exposée.
Les paiements de facilitation — petits paiements de « graissage » pour accélérer une action gouvernementale routinière — sont autorisés sous l’exception étroite du FCPA mais interdits par la Loi Sapin II et le UK Bribery Act. Les multinationales soumises aux trois doivent adopter la norme la plus stricte et les interdire purement et simplement.
Les trois régimes se renvoient de plus en plus l’un à l’autre dans les résolutions conjointes. La résolution d’Airbus en 2020 impliquait des accords coordonnés avec le PNF français, le SFO britannique et le DOJ américain — 3,6 milliards d’euros au total, la plus grande résolution anti-corruption cross-juridictionnelle à ce jour.
L’enseignement pratique : un programme construit pour satisfaire l’article 17 de la Loi Sapin II avec une cartographie des risques et une due diligence tiers solides est bien positionné pour démontrer des « adequate procedures » au sens du UK Bribery Act et répondre aux attentes du DOJ Evaluation of Corporate Compliance Programs. L’inverse n’est pas vrai — un programme conçu uniquement pour le FCPA manquera presque certainement plusieurs piliers de Sapin II, notamment le régime disciplinaire et la cartographie des risques formalisée.
Comment la directive européenne sur les lanceurs d’alerte a transformé le pilier 2
Le pilier 2 de l’article 17 — le dispositif d’alerte interne — a été substantiellement renforcé par la transposition française de la directive européenne sur les lanceurs d’alerte (directive (UE) 2019/1937), entrée en vigueur sous la loi du 21 mars 2022 (souvent appelée « loi Waserman »).
Les changements qui touchent la conception des programmes Sapin II :
- Élargissement du périmètre des lanceurs d’alerte protégés. La protection couvre désormais non seulement les salariés mais aussi les anciens salariés, les candidats, les sous-traitants, les fournisseurs, les actionnaires et les membres des organes d’administration ou de surveillance, lorsqu’ils signalent de bonne foi.
- Élargissement des signalements protégés. La Loi Sapin II portait à l’origine sur la corruption et le trafic d’influence. La transposition de 2022 a étendu la protection aux signalements de manquements au droit de l’Union européenne, aux menaces pour la santé publique et l’environnement, et à d’autres catégories.
- Délais de retour accélérés. Accusé de réception sous 7 jours. Retour substantiel sous 3 mois.
- Droit explicite de signalement externe. Les lanceurs d’alerte peuvent désormais contourner les canaux internes et signaler directement au Défenseur des droits, à l’AFA, à l’AMF ou à toute autorité compétente, sans perdre leur protection.
- Renforcement de la protection contre les représailles. La charge de la preuve a été transférée à l’employeur, et un éventail plus large de mesures préjudiciables est présumé constituer des représailles.
Ce que cela signifie en pratique pour un programme Sapin II existant : la plupart des entreprises ayant conçu leur dispositif d’alerte avant 2022 doivent rafraîchir leurs politiques, élargir le périmètre des signalements recevables, mettre à jour les formulaires de saisine, former à nouveau les équipes de tri et d’instruction, et documenter les nouveaux délais de 7 jours et 3 mois.
Le point stratégique est plus difficile à appliquer mais plus important. Les lanceurs d’alerte qui estiment les canaux internes inadéquats peuvent désormais aller à l’externe sans perdre leur protection. La crédibilité interne devient ainsi une nécessité compétitive — une ligne d’alerte qui ne produit pas de résultats visibles sera simplement contournée.
Qu’est-ce qu’une CJIP et quand est-elle utilisée ?
La Convention judiciaire d’intérêt public, ou CJIP, est l’équivalent français d’un accord de transaction pénale différée. La Loi Sapin II l’a introduite en 2016 pour permettre aux personnes morales accusées de corruption, de trafic d’influence, de fraude fiscale et de certaines infractions connexes de régler les affaires sans procès.
Fonctionnement d’une CJIP :
- Le Parquet national financier (PNF) — ou un autre procureur — propose la convention.
- L’entreprise reconnaît les faits (sans reconnaissance formelle de culpabilité) et accepte des conditions, généralement une amende d’intérêt public, un contrôle de conformité supervisé par l’AFA, l’indemnisation des victimes et un programme de remédiation.
- Un juge (le président du Tribunal judiciaire) valide publiquement l’accord.
- La convention est publiée sur le site du PNF. Il n’y a pas de condamnation pénale, mais l’exposition réputationnelle est significative.
L’amende est proportionnée au bénéfice tiré du manquement, plafonnée à 30 % du chiffre d’affaires moyen de l’entreprise sur les trois exercices précédents.
CJIP notables depuis 2016 :
Année | Entreprise | Amende d’intérêt public | Objet |
|---|---|---|---|
2017 | HSBC Private Bank (Suisse) | 300 M€ | Fiscale |
2019 | Google France | 500 M€ | Fiscale |
2020 | Airbus | 2,08 Md€ | Corruption étrangère — coordonnée avec le DOJ US et le SFO UK |
2022 | McDonald’s France | 508 M€ | Fiscale |
Une CJIP n’est pas une reconnaissance de responsabilité pénale et ne produit pas de condamnation, mais elle impose presque toujours à l’entreprise de mettre en place ou de renforcer son programme article 17 sous le contrôle de l’AFA pendant deux à trois ans. En pratique, une CJIP et une refonte de la conformité Sapin II deviennent le même projet. L’exposition réputationnelle est significative au point que le coût de la remédiation est souvent éclipsé par celui de la publicité.
Étapes pratiques pour atteindre une maturité de conformité
Si vous devez structurer ou rafraîchir votre programme, un plan progressif et fondé sur les risques est plus réaliste qu’un déploiement en une seule fois. Voici une séquence pragmatique qui répond aux attentes de l’AFA tout en gardant la charge de travail gérable pour les entreprises de taille intermédiaire.
Jours 0 à 30 : poser les fondations
- Confirmer le périmètre au regard des seuils, documenter les périmètres, identifier les entités contrôlées à couvrir.
- Désigner un responsable de programme clair et une gouvernance, avec un comité de pilotage incluant finance, achats, ventes, RH et juridique.
- Faire un état des lieux de l’existant : code de conduite, politiques, canal d’alerte, formation, contrôles, incidents récents. Identifier les écarts.
Jours 30 à 90 : construire votre proportionnalité
- Conduire les entretiens de cartographie des risques par fonction et par pays, étayés par des données sur les transactions, les interactions publiques, les intermédiaires, les dons et parrainages.
- Approuver les critères et la notation des risques, définir l’appétence aux risques et générer un plan d’action priorisé qui rattache chaque risque élevé aux mesures du programme.
- Mettre à jour le code de conduite et le régime disciplinaire pour y intégrer des dispositions anti-corruption alignées sur la cartographie des risques, puis communiquer à l’ensemble des collaborateurs.
Jours 90 à 120 : opérationnaliser les contrôles
- Déployer la procédure d’évaluation des tiers avec niveaux de risque, screening, questionnaires et comité d’escalade pour les signaux d’alerte.
- Renforcer les contrôles comptables et internes les plus pertinents au regard de la cartographie : règles de justification des factures, seuils d’approbation, registres cadeaux et invitations, surveillance des paiements à risque élevé.
- Lancer la formation ciblée pour les dirigeants et les rôles exposés, enregistrer la participation, tester la compréhension.
- Mettre en place la boucle d’évaluation : définir les KPI, planifier les tests périodiques, intégrer les actions correctives dans un workflow tracé.
Cette séquence garantit que votre dispositif de prévention est traçable et proportionné, ce qui correspond à la manière dont l’AFA évalue l’efficacité.
Où l’IA peut aider : accélérer la conformité à l’article 17
L’IA ne remplace pas le jugement juridique, mais elle accélère le travail lourd qui ralentit souvent les programmes anti-corruption article 17, réduisant le processus de mise en œuvre de plusieurs semaines. Par exemple :
- Cartographie des risques à grande échelle : l’analyse assistée par machine des données de transactions, de l’exposition publique, des profils tiers et des indices pays peut accélérer une cartographie des risques de corruption robuste, fondement des contrôles proportionnés.
- Collecte et suivi des preuves : la récupération automatisée des factures, approbations et journaux d’exceptions réduit l’effort manuel, maintient une piste auditable et soutient les tests de contrôle périodiques.
- Workflow et remédiation : le routage intelligent des actions correctives maintient le programme en mouvement et documenté.
- Génération et maintenance de politiques : des politiques basées sur modèles mais personnalisées réduisent le temps de rédaction et améliorent la cohérence entre entités.
Naltilia propose une plateforme alimentée par l’IA, conçue pour les équipes conformité et alignée sur ces besoins : évaluation des risques réglementaires, actions correctives, politiques sur mesure, collecte de données automatisée et automatisation des workflows de conformité. Cela permet aux équipes de construire et maintenir un programme anti-corruption article 17 proportionné plus rapidement, avec une meilleure traçabilité pour les audits AFA.
Sapin III arrive-t-elle ?
Les discussions autour d’une Sapin III sont actives dans les milieux parlementaires et académiques français depuis 2021. Aucun projet de loi n’a été formellement déposé à fin 2026, mais plusieurs propositions prennent une dynamique politique qui mérite d’être suivie.
Les évolutions les plus discutées :
- Abaissement des seuils de l’article 17 — étendre les programmes anti-corruption obligatoires aux entreprises de 250 salariés et 50 M€ de chiffre d’affaires, contre 500 / 100 M€ aujourd’hui. Une proposition sénatoriale de 2024 a poussé en ce sens.
- Renforcement des pouvoirs de l’AFA — notamment sur le niveau des sanctions, la portée des audits dans les filiales et la supervision consolidée au niveau du groupe.
- Intégration du devoir de vigilance et de l’ESG — aligner la conception des programmes Sapin II avec la Loi sur le devoir de vigilance de 2017 et la directive européenne CS3D, adoptée en 2024.
- Élargissement de la mission préventive de l’AFA — pour couvrir des risques d’intégrité plus larges, dont les conflits d’intérêts dans la commande publique et la gouvernance de l’IA.
- Affinement du cadre lanceur d’alerte — bien que la loi Waserman de 2022 ait déjà traité l’essentiel.
Les perspectives réalistes pour les équipes conformité :
Un projet de loi Sapin III formel est plausible mais pas imminent. La plupart des experts s’attendent à ce que les changements arrivent par petites touches — via les transpositions de directives européennes et les mises à jour des Recommandations AFA — plutôt que par une grande réforme unique. Les Recommandations AFA de 2021 restent la référence faisant autorité jusqu’au prochain rafraîchissement, attendu dans le cycle AFA en cours.
Pour une entreprise sous les seuils actuels, le bon réflexe est de concevoir les programmes comme si les seuils allaient baisser. Une entreprise de 300 salariés qui construit aujourd’hui un programme aligné Sapin II paie un coût d’anticipation modeste. La même entreprise qui rétro-adapte sous pression d’audit paie un coût bien plus élevé. L’asymétrie favorise l’action précoce.
Points clés à retenir
- La Loi Sapin II est née d’un besoin de restaurer la confiance, de répondre aux recommandations et exigences de l’OCDE, et de réduire la dépendance à l’application de sanctions étrangères. Elle a créé l’AFA et rendu les programmes de prévention obligatoires pour les grandes entreprises.
- L’article 17 s’applique aux entreprises et groupes dont la société mère est établie en France et qui dépassent 500 salariés et 100 millions d’euros de chiffre d’affaires. Les filiales françaises qui dépassent elles-mêmes ces seuils entrent également dans le champ.
- Les huit piliers obligatoires couvrent le code de conduite, les alertes, la cartographie des risques, la due diligence, les contrôles comptables, la formation, le régime disciplinaire et l’évaluation. Proportionnalité, documentation et traçabilité sont au cœur du dispositif.
- L’AFA audite, émet des recommandations et peut sanctionner les manquements, incluant amendes et injonctions de mise en place ou de renforcement des programmes sous son contrôle.
- Un plan structuré en 120 jours et un usage ciblé de l’IA pour l’évaluation des risques réglementaires, la collecte de preuves et l’orchestration des workflows peuvent réduire matériellement la charge de conformité tout en améliorant son efficacité.
Références et lectures complémentaires :
- Texte de la loi : Loi n° 2016‑1691 du 9 décembre 2016
- Recommandations AFA, 2021
- AFA, Présentation de l’Agence
- OCDE, Rapport Phase 4 sur la France
- DOJ, Annonce de l’accord de plaidoyer Alstom 2014
Sapin III arrive-t-elle ?
Aucun projet de loi Sapin III formel n’a été déposé à fin 2026, mais plusieurs réformes sont en discussion : abaissement des seuils de l’article 17, renforcement des pouvoirs de l’AFA et intégration du devoir de vigilance et des obligations ESG. La plupart des évolutions arriveront probablement par petites touches — via les transpositions de directives européennes et les mises à jour des Recommandations AFA — plutôt que par une nouvelle loi unique. Concevoir les programmes actuels comme si les seuils allaient baisser est une
Frequently Asked Questions
Qu’est-ce que la Loi Sapin II ?
La Loi Sapin II est une loi française adoptée le 9 décembre 2016 qui a introduit des obligations de conformité anti-corruption obligatoires pour les grandes entreprises, renforcé la protection des lanceurs d’alerte, créé l’Agence Française Anticorruption (AFA) et établi le mécanisme de transaction pénale différée (CJIP). L’article 17 en est l’exigence centrale en matière de conformité d’entreprise.
À qui s’applique la Loi Sapin II ?
L’article 17 s’applique aux entreprises et groupes dont la société mère est établie en France et qui dépassent 500 salariés et 100 millions d’euros de chiffre d’affaires annuel. Pour les groupes, les deux seuils s’évaluent sur des chiffres consolidés. Une filiale française qui dépasse elle-même les deux seuils entre également dans le champ, quel que soit le siège de sa société mère ultime.
Quels sont les huit piliers de l’article 17 ?
L’article 17 exige : (1) un code de conduite, (2) un dispositif d’alerte interne, (3) une cartographie des risques de corruption, (4) une évaluation des tiers (due diligence), (5) des contrôles comptables, (6) une formation des cadres et collaborateurs exposés, (7) un régime disciplinaire et (8) des contrôles internes et une évaluation périodique du programme.
Que cherche l’AFA lors d’un audit ?
L’AFA évalue si chacune des huit composantes existe, est proportionnée au profil de risque de l’entreprise, est effectivement appliquée en pratique et est étayée par des preuves traçables. Les auditeurs demandent en général des documents de politique, la méthodologie de cartographie des risques, les registres de formation, les dossiers de due diligence tiers et les traces des actions correctives.
Quelles sont les sanctions en cas de manquement à l’article 17 ?
La Commission des sanctions de l’AFA peut émettre des injonctions de mettre en place ou de renforcer un programme, imposer des amendes pouvant atteindre 200 000 euros pour les personnes physiques et 1 000 000 euros pour les personnes morales. Les décisions de sanction sont publiques, ajoutant une exposition réputationnelle à la sanction financière.
Combien de temps faut-il pour construire un programme conforme à l’article 17 ?
Un déploiement structuré peut être réalisé en environ 120 jours : les 30 premiers jours pour faire l’état des lieux des contrôles existants et confirmer le périmètre, les jours 30 à 90 pour compléter la cartographie des risques et mettre à jour les politiques de base, et les jours 90 à 120 pour opérationnaliser la due diligence tiers, les contrôles comptables, la formation et la boucle d’évaluation.
La Loi Sapin II s’applique-t-elle aux filiales étrangères des entreprises françaises ?
Oui. Lorsqu’une société mère française dépasse les seuils, l’obligation de mettre en œuvre un programme anti-corruption s’étend à ses filiales contrôlées, y compris celles situées hors de France. La société mère française est juridiquement responsable du déploiement du programme dans l’ensemble du groupe.
Quelle est la différence entre l’AFA et les autorités judiciaires sous Sapin II ?
Le rôle de l’AFA est préventif et administratif — elle vérifie la conformité des programmes et peut sanctionner les manquements à l’article 17. Les enquêtes pénales et les poursuites pour infractions de corruption restent du ressort des autorités judiciaires. Une entreprise peut faire face à la fois à la supervision administrative de l’AFA et à une négociation de CJIP distincte pour les affaires pénales.
Qu’est-ce qu’une CJIP sous Sapin II ?
La Convention judiciaire d’intérêt public est l’accord de transaction pénale différée français introduit par la Loi Sapin II pour les infractions de corruption et fiscales. L’entreprise reconnaît les faits (sans reconnaissance formelle de culpabilité), paie une amende d’intérêt public pouvant atteindre 30 % du chiffre d’affaires moyen, indemnise les victimes et accepte un contrôle AFA, sans condamnation pénale formelle. L’accord est publiquement validé par un juge et publié sur le site du PNF.
Sapin III arrive-t-elle ?
Aucun projet de loi Sapin III formel n’a été déposé à fin 2026, mais plusieurs réformes sont en discussion : abaissement des seuils de l’article 17, renforcement des pouvoirs de l’AFA et intégration du devoir de vigilance et des obligations ESG. La plupart des évolutions arriveront probablement par petites touches — via les transpositions de directives européennes et les mises à jour des Recommandations AFA — plutôt que par une nouvelle loi unique. Concevoir les programmes actuels comme si les seuils allaient baisser est une anticipation défendable.
