La loi française n° 2016‑1691 du 9 décembre 2016, plus connue sous le nom de loi Sapin II, marque un tournant majeur dans la gouvernance des entreprises françaises. Elle s’inscrit dans un mouvement international de lutte contre la corruption et de modernisation de la vie économique. Loin de se limiter à la répression, elle impose désormais une obligation de prévention par la mise en place d’un dispositif anticorruption structuré, cohérent et évolutif. L’objectif de ce billet est de fournir un exposé approfondi et structuré, en français soutenu mais accessible, afin de comprendre et de mettre en œuvre les mesures prévues par cette loi. L’article s’inspire directement du Guide pratique publié par Transparency International France, qui sert de référence pour les entreprises souhaitant se conformer à la loi Sapin II.
Cadre légal et portée de la loi Sapin II
Origine et renforcement du dispositif français
La France dispose, depuis plusieurs années, d’un arsenal législatif sanctionnant la corruption et le trafic d’influence. Le Code pénal incrimine la corruption active (celui qui offre un avantage) et la corruption passive (celui qui accepte). La transposition de la convention de l’OCDE de 1997 sur la corruption d’agents publics étrangers et la loi du 6 décembre 2013 ont renforcé les peines applicables. La loi Sapin II introduit cependant une innovation majeure : un volet préventif imposant aux entreprises exposées d’adopter un programme anticorruption.
Le cadre pénal reste sévère : pour la corruption d’un agent public, les personnes physiques encourent jusqu’à dix ans de prison et un million d’euros d’amende, tandis que les personnes morales peuvent être condamnées à cinq millions d’euros ou dix fois le produit de l’infraction. Les peines sont également lourdes en matière de corruption privée. De plus, la loi prévoit une ineligibilité quasi automatique pour les individus reconnus coupables. Ce renforcement des sanctions démontre la volonté de la France de s’aligner sur les standards internationaux.
Champ d’application et responsabilités
La loi Sapin II s’adresse en priorité aux grandes entreprises françaises : celles qui emploient plus de 500 salariés et réalisent un chiffre d’affaires supérieur à 100 millions d’euros. L’obligation s’étend aux groupes dont la maison mère est en France, incluant les filiales françaises et étrangères. Près de 1600 entreprises sont directement concernées et les PME et ETI doivent également se mobiliser. La loi impose au dirigeant (président, directeur général, gérant) la responsabilité personnelle du défaut de conformité ; il doit veiller à la mise en place d’un programme anticorruption conforme.
Les entreprises doivent adopter huit mesures obligatoires qui constituent le cœur du dispositif. Ces mesures, prévues à l’article 17 de la loi et détaillées ci‑après, visent à prévenir et à détecter la corruption commise en France ou à l’étranger. Elles s’adressent à la fois à la corruption publique et privée. Pour les entreprises ne respectant pas ces obligations, la loi prévoit des sanctions administratives pouvant atteindre un million d’euros et des amendes qui peuvent représenter 30 % du chiffre d’affaires dans le cadre d’une convention judiciaire d’intérêt public.
Au‑delà de la sanction, l’entreprise court le risque d’être exclue des marchés publics en cas de condamnation pour corruption. Elle risque également de perdre l’accès à certains financements internationaux. Mettre en œuvre un programme anticorruption est donc une obligation légale mais aussi une garantie de pérennité économique.
Les huit mesures obligatoires : approfondissement et conseils pratiques
1. Établir un Code de conduite : colonne vertébrale de la prévention
L’adoption d’un Code de conduite anticorruption constitue la première mesure de la loi Sapin II. Ce document est la pierre angulaire du dispositif, car il formalise la tolérance zéro de l’entreprise et précise les comportements proscrits.
Le Guide pratique insiste sur l’engagement du top management : l’équipe dirigeante doit porter publiquement la politique de tolérance zéro. Cette prise de position par le président et les dirigeants constitue le socle d’une culture d’intégrité. L’entreprise doit diffuser des messages réguliers montrant que l’intégrité est prioritaire.
Une particularité de la loi est que le Code de conduite doit être intégré au règlement intérieur, ce qui suppose une consultation du comité d’entreprise ou des délégués du personnel. L’entreprise doit également accomplir les formalités de dépôt et de publicité auprès du conseil de prud’hommes et de l’inspection du travail.
Sur le contenu, la loi exige que le Code définisse et illustre les comportements susceptibles de constituer des faits de corruption ou de trafic d’influence. L’entreprise doit identifier, à partir de sa cartographie des risques, les situations potentiellement problématiques et proposer des conduites à suivre. Il est crucial d’aborder les cadeaux et invitations en précisant les seuils d’acceptation et les autorisations nécessaires. La politique peut aller d’une interdiction totale à un système de seuils, mais il est recommandé de prohiber tout cadeau dépassant une valeur symbolique.
Le Code doit proscrire explicitement les paiements de facilitation. Ceux‑ci sont décrits comme de petits montants non officiels pour accélérer une procédure que l’on est en droit d’obtenir. Ces paiements, parfois considérés comme pratiques locales, sont illégaux en France et dans de nombreux pays. En cas de menace pour la santé ou la sécurité, le Code peut prévoir une exception, mais il doit exiger l’archivage et la remontée de tout paiement de facilitation.
Les actions de mécénat et de sponsoring constituent un autre domaine sensible : elles ne doivent pas servir à masquer des paiements indus. Le guide recommande de rendre publiques l’organisation du mécénat, les budgets, les critères d’attribution et les bénéficiaires. Il conseille aussi de proscrire les dons aux partis politiques ou, lorsque ceux‑ci sont autorisés, de les rendre publics.
Enfin, le Code doit assurer aux collaborateurs la protection des lanceurs d’alerte et rappeler que tout auteur de représailles sera sanctionné. Il doit préciser à qui s’adresser en cas de doute et démontrer le soutien sans faille de l’entreprise à ceux qui privilégient l’éthique sur d’autres intérêts. L’intégration au règlement intérieur implique une consultation des représentants du personnel et confirme la portée normative du Code.
2. Mettre en place un dispositif d’alerte éthique : donner la parole aux lanceurs d’alerte
La seconde mesure impose la mise en place d’un dispositif d’alerte interne afin de recueillir les signalements des collaborateurs et des parties prenantes concernant des conduites contraires au Code. Cette exigence reflète la reconnaissance du rôle central des lanceurs d’alerte dans la détection des manquements.
Le champ d’application varie : les sociétés de plus de 500 salariés et 100 millions d’euros de chiffre d’affaires sont tenues de mettre en place le dispositif pour les infractions au Code. Toutefois, la loi impose également à toute entreprise d’au moins 50 salariés de disposer de procédures appropriées pour recueillir les signalements émanant de son personnel ou de collaborateurs extérieurs.
Pour être efficace, le dispositif doit respecter des caractéristiques claires : le canal de remontée doit être sécurisé et garantir la confidentialité du lanceur d’alerte. Bien que la loi n’impose pas l’anonymat, la loi indique qu’autoriser l’anonymat peut inciter les salariés à signaler. La confidentialité doit également s’appliquer aux personnes mises en cause et aux informations recueillies, car la violation de cette confidentialité est punie de deux ans de prison et 30 000 € d’amende.
Le dispositif doit être ouvert : au‑delà des salariés, il doit être accessible aux collaborateurs extérieurs et occasionnels. Transparency International recommande d’étendre l’accès aux partenaires commerciaux, sous‑traitants, fournisseurs et clients, afin de recueillir l’information la plus étendue possible.
Le champ des faits signalés est large : il couvre non seulement les infractions pénales et les menaces graves pour l’intérêt général, mais aussi les conduites contraires au Code de conduite. La protection des lanceurs d’alerte est garantie par la loi, qui leur confère une irresponsabilité pénale lorsque la divulgation est nécessaire et proportionnée. Toutefois, cette protection est conditionnée au respect d’une procédure de signalement par paliers, qui exige d’abord un signalement interne avant de saisir les autorités ou de rendre l’information publique.
Le dispositif peut être géré en interne ou confié à un prestataire externe de confiance, afin d’assurer la confidentialité et d’éviter les conflits d’intérêts. L’entreprise doit également prévoir des mécanismes pour traiter les signalements, instruire les dossiers et informer le lanceur d’alerte du suivi de son signalement. Cette procédure de traitement doit être claire et accessible à tous les collaborateurs.
3. Cartographier les risques de corruption : comprendre son exposition
La troisième mesure consiste à établir une cartographie des risques de corruption, document régulièrement actualisé visant à identifier, analyser et hiérarchiser les risques auxquels l’entreprise est exposée. La cartographie est le socle du programme anticorruption : elle guide la priorisation des actions et prévient la mise en place de procédures disproportionnées ou inadéquates.
Identification des risques: L’entreprise doit recenser les facteurs de risque propres à son activité : le secteur (infrastructures, défense, santé…), les zones géographiques d’implantation, les fonctions sensibles (achats, commerce, douanes), la nature des clients et des partenaires, l’organisation interne et l’historique des incidents rencontrés dans le secteur. Ce travail d’identification doit mobiliser les opérationnels, car ils connaissent les pratiques du terrain.
Hiérarchisation des risques. Après avoir identifié les risques, l’entreprise doit les classer selon leur probabilité d’occurrence et leur impact (sanctions financières, perte commerciale, atteinte à la réputation, coûts juridiques). La cartographie distingue des risques limités, modérés, significatifs et critiques. Cette hiérarchisation permet de consacrer les ressources aux risques les plus graves.
Établissement d’un plan d’actions. Une fois les priorités définies, l’entreprise doit élaborer un plan d’actions décrivant les mesures de contrôle et d’atténuation prévues pour chaque risque, les responsables de leur mise en œuvre et un calendrier. Ce plan doit être réaliste et aligné sur les ressources disponibles.
Suivi, évaluation et mise à jour. La cartographie des risques n’est pas un document statique. Elle doit être actualisée régulièrement pour tenir compte de l’évolution des marchés, des pratiques et des incidents. Le suivi passe par un système de reporting régulier et par des responsables clairement identifiés. Le guide rappelle que la loi insiste sur l’obligation de mise à jour régulière.
L’entreprise doit choisir une méthode d’analyse des risques adaptée à sa taille et à son secteur. Transparency International recommande l’outil « Diagnosing Bribery Risk », mais il en existe d’autres. Quelle que soit la méthode, l’essentiel est d’adopter une démarche structurée et documentée.
4. Évaluer les partenaires commerciaux : vigilance et proportionnalité
La quatrième mesure impose aux entreprises de mettre en place des procédures d’évaluation de la situation de leurs clients, fournisseurs de premier rang et intermédiaires. Ces procédures de due diligence doivent être proportionnées aux risques identifiés par la cartographie.
Avant toute relation d’affaires, l’entreprise doit effectuer un travail de vérification. Un premier niveau de due diligence peut être réalisé par les équipes opérationnelles, consistant à collecter des informations accessibles sur la cible (recherche sur internet, consultation de bases de données, questionnaires de probité). Si des signaux d’alerte (Red Flags) apparaissent – incohérences financières, liens politiques inexpliqués, absence d’activités identifiables –, l’entreprise doit mener un second niveau de due diligence plus approfondi, réalisé par des équipes spécialisées ou des experts externes.
Les due diligences doivent être adaptées et proportionnées : l’entreprise doit calibrer l’effort de vérification en fonction de la nature du partenaire, de l’importance du contrat et des risques de corruption associés. Dans tous les cas, elles doivent être documentées et archivées ; seule une traçabilité rigoureuse permet de prouver que l’entreprise a respecté son obligation.
Pour les partenaires les plus à risque (agents commerciaux, consultants, intermédiaires), il convient d’adopter des procédures spécifiques : audits approfondis, contrats types comportant des clauses anticorruption, suivi de l’activité tout au long de la relation et conservation des preuves. L’entreprise doit également communiquer sa politique d’intégrité à ses partenaires pour s’assurer qu’ils connaissent les exigences et adoptent des pratiques conformes. Les due diligences doivent également être réalisées lors de fusions, acquisitions et prises de participations ; il est crucial de vérifier la politique anticorruption de l’entité cible et son niveau d’exigence.
Le guide propose un encadré pour les PME/ETI : dans des contextes à risques, il est utile de constituer un comité de sélection comprenant un dirigeant, un commercial et un responsable juridique. Les questionnaires de sélection doivent porter sur la situation juridique, les données financières, les compétences, les références et les éventuelles relations avec des agents publics. Cette démarche proportionnée permet à des structures plus petites de gérer la compliance sans déployer des moyens disproportionnés.
5. Mettre en place des procédures de contrôles comptables : traçabilité et audit
La cinquième mesure consiste à adopter des procédures de contrôles comptables, internes ou externes, pour s’assurer que les livres, registres et comptes ne servent pas à masquer des faits de corruption ou de trafic d’influence. La loi ne crée pas d’obligation nouvelle, mais elle rappelle que la prévention de la corruption doit être au cœur des préoccupations des services de contrôle comptable.
Les commissaires aux comptes et les experts-comptables doivent déjà intégrer les risques de fraude et de corruption dans leurs contrôles. La loi souligne que l’entreprise doit veiller à ce que ses auditeurs internes ou externes soient attentifs aux risques de dissimulation de pots-de-vin.
L’audit des procédures de contrôle comptable joue un rôle central dans la détection et le traitement des manquements. Ces audits doivent être réguliers et peuvent être menés par des auditeurs internes ou externes, tant pour la société mère que pour les filiales. La fidélité des registres et comptes est essentielle : des comptes manipulés peuvent constituer des preuves à charge contre une entreprise poursuivie pour corruption. Il est donc crucial d’imposer l’enregistrement chronologique de toutes les transactions et d’interdire toute comptabilité parallèle.
En pratique, la prévention de la corruption repose sur des règles similaires à celles de la lutte contre la fraude. Les pots‑de‑vin sont souvent camouflés par de fausses factures ou par la dégradation volontaire de la qualité d’une prestation. Les signaux d’alerte comprennent des prestations aux descriptions étranges ou imprécises et l’intervention d’acteurs atypiques dans la validation des factures. Dans les cas de dégradation de la qualité, la différence entre le cahier des charges et la prestation livrée est un indicateur.
Pour les PME/ETI, des mesures simples et efficaces existent : la séparation des fonctions entre l’ordonnateur et le payeur, la formalisation des procédures de dépenses et le choix d’auditeurs externes réputés pour leur intégrité. Ces dispositions limitent les risques de corruption et facilitent la détection d’anomalies.
6. Déployer un programme de formation et de sensibilisation : faire vivre la culture d’intégrité
La sixième mesure impose aux entreprises de mettre en place un dispositif de formation destiné aux cadres et aux personnels les plus exposés aux risques de corruption et de trafic d’influence. La formation est essentielle, car elle garantit la diffusion et l’appropriation de la politique anticorruption. Elle développe une culture dans laquelle tous les collaborateurs comprennent que l’activité économique ne peut se faire que dans le respect de la loi et des règles d’intégrité.
Le programme doit commencer par la sensibilisation du top management ; cette étape constitue un levier d’entraînement pour toute l’entreprise. La cartographie des risques permettra de déterminer les personnels exposés et les domaines où des formations spécifiques sont nécessaires. Transparency International recommande d’inclure, dans le programme, les agents et personnes extérieures agissant pour le compte de l’entreprise, et dans certains cas les cocontractants et fournisseurs exposés.
La nature de la formation doit être adaptée : son contenu, les études de cas et les scénarios doivent être personnalisés en fonction des fonctions et des territoires d’opération. Transparency International recommande des sessions en présentiel pour les publics les plus exposés, complétées par des modules en eLearning pour sensibiliser les populations moins exposées. Les collaborateurs les plus exposés devraient suivre une sensibilisation anticorruption au moins tous les deux ans.
Les formations peuvent être animées en interne par des juristes, des responsables conformité ou éthiques. En l’absence de ressources internes, l’entreprise peut recourir à des cabinets d’avocats ou de conseil spécialisés. Transparency International France propose des formations et met à disposition un eLearning gratuit Faire des affaires sans corruption, ainsi qu’un MOOC et d’autres outils de sensibilisation.
L’entreprise doit également tracer les formations suivies par ses collaborateurs, pour prouver le respect de ses obligations et identifier les besoins de rafraîchissement. Dans les PME, des discussions ouvertes et des temps d’échange avec les managers peuvent suffire à sensibiliser la majorité des collaborateurs, tout en maintenant une formation approfondie pour les personnels les plus exposés.
7. Instaurer un régime disciplinaire : crédibiliser les règles
La septième mesure prévoit que l’entreprise se dote d’un régime disciplinaire permettant de sanctionner les salariés en cas de violation du Code de conduite. Cette disposition assure la cohérence du dispositif : sans sanctions, les règles éthiques restent de simples recommandations.
Le traitement des manquements doit reposer sur une procédure claire. Certaines entreprises peuvent s’appuyer sur un régime disciplinaire existant, mais elles doivent s’assurer que leur règlement intérieur comporte bien les sanctions et qu’il respecte les obligations légales. Transparency International recommande de prévoir des mesures correctives rapides afin d’éviter la réitération des manquements et de préciser les fonctions à impliquer en cas de problème.
Les manquements graves doivent être traités en priorité et portés à la connaissance des instances dirigeantes. Le guide suggère d’intégrer l’anticorruption dans la politique des ressources humaines, notamment lors des recrutements, des affectations et des évaluations annuelles. Les initiatives des managers pour promouvoir l’intégrité devraient être valorisées dans les évaluations et la progression de carrière.
La politique RH doit garantir qu’aucun collaborateur ne pâtira de son refus de payer ou de recevoir un pot‑de‑vin ou d’une alerte éthique faite de bonne foi. Une attention particulière doit être portée au déroulement de la carrière des responsables éthiques, qui doivent bénéficier d’une progression normale.
La communication sur les sanctions infligées peut s’avérer utile : elle sensibilise les collaborateurs et affirme l’exemplarité de l’entreprise. Cette communication doit toutefois respecter la confidentialité des données personnelles et s’inscrire dans le respect du droit du travail et de la protection des salariés.
8. Contrôler et évaluer la mise en œuvre du programme : s’inscrire dans l’amélioration continue
La huitième et dernière mesure porte sur la mise en place d’un dispositif de contrôle et d’évaluation interne des mesures anticorruption. Ce contrôle est double : le contrôle interne, effectué quotidiennement par chaque manager pour vérifier la conformité aux lois et la bonne application des processus, et la surveillance indépendante, assurée par l’audit interne ou externe pour évaluer la réalisation des objectifs et proposer des améliorations.
La loi impose une évaluation régulière de l’efficacité du programme anticorruption au regard des meilleures pratiques. Selon les organisations, cette évaluation peut être conduite par l’audit ou par le contrôle interne. L’objectif est de procéder à un amélioration continue et d’adapter le programme aux évolutions de l’entreprise et du contexte.
Une organisation claire est indispensable : l’entreprise doit désigner un responsable des questions anticorruption au sein du conseil d’administration et un responsable opérationnel du programme au niveau du comité exécutif. Ce responsable opérationnel doit avoir l’autorité, l’indépendance et l’expérience nécessaires et disposer d’un réseau de référents éthiques ou « déontologues » dans chaque entité. Les référents doivent être protégés : leur mutation, suspension ou licenciement ne devrait pas pouvoir intervenir sans l’accord du directeur de l’éthique.
Pour responsabiliser les lignes managériales, l’entreprise peut recourir à des lettres d’affirmation par lesquelles les managers attestent avoir pris connaissance de leurs responsabilités. La loi encourage également un reporting interne et public sur la politique anticorruption et ses résultats. Ce reporting permet de satisfaire aux demandes des investisseurs, partenaires et autorités, et contribue à prévenir les sollicitations indues. La publicité des engagements encourage la diffusion de bonnes pratiques et renforce la portée des messages en interne.
Dans les PME/ETI, l’organisation doit être adaptée : il peut suffire de désigner une personne responsable de la mise en œuvre du programme et accessible à l’ensemble des salariés. Ce responsable doit avoir l’autorité suffisante pour traiter les situations délicates et bénéficier de la confiance des dirigeants et des collaborateurs.
Concilier conformité et stratégie : au‑delà de l’obligation, un atout compétitif
La conformité anticorruption ne doit pas être perçue comme une charge bureaucratique. Bien au contraire, elle constitue un investissement stratégique. En se dotant d’un programme solide, l’entreprise protège sa réputation, sécurise ses contrats, attire des investisseurs responsables et renforce la confiance de ses partenaires. Elle évite également des sanctions financières lourdes et l’exclusion de marchés publics, qui peuvent compromettre sa survie.
La loi Sapin II place l’entreprise au cœur du combat contre la corruption et invite le secteur privé à jouer un rôle proactif. À travers le Code de conduite, l’alerte éthique, la cartographie des risques, la vigilance vis‑à‑vis des partenaires, les contrôles comptables, la formation, les sanctions disciplinaires et l’évaluation continue, l’entreprise se dote d’un véritable système de gouvernance éthique.
Cet effort demande des ressources et un engagement durable, mais il favorise une culture d’intégrité qui profite à tous. Il ne s’agit pas simplement de se conformer à la loi, mais de contribuer à un environnement économique où la concurrence est loyale et où le développement se fait sur des bases saines. Pour les petites structures, des solutions proportionnées existent : elles peuvent adapter les procédures à leur taille tout en respectant les principes fondamentaux.
En définitive, la loi Sapin II offre aux entreprises l’occasion de repenser leurs pratiques, de formaliser leurs valeurs et de s’engager publiquement en faveur de l’intégrité. En adoptant un programme anticorruption rigoureux, elles deviennent des actrices responsables, capables de prévenir les risques, de détecter les incidents et de réagir efficacement. Cette démarche, loin d’être un fardeau, est un levier de performance et un gage de confiance pour l’ensemble des partenaires de l’entreprise.
Par Isidore Messanvi AYIGAH
Sources
-
Le cadre légal général et l’arsenal de sanctions pénales et administratives : description des peines encourues pour corruption active et passive, l’obligation de conformité et le champ d’application de la loi Sapin II.
-
La liste des huit mesures obligatoires prévues à l’article 17 de la loi Sapin II et la responsabilité du dirigeant.
-
Les recommandations relatives à l’élaboration du Code de conduite : engagement du top management, intégration au règlement intérieur, comportements à proscrire, politique des cadeaux, paiements de facilitation et mécénat/sponsoring.
-
Les principes du dispositif d’alerte interne et la protection des lanceurs d’alerte : confidentialité, anonymat, ouverture aux collaborateurs externes, procédure par paliers.
-
La méthodologie de cartographie des risques de corruption : identification des facteurs de risques, hiérarchisation, plan d’action et mise à jour régulière.
-
Les procédures d’évaluation des partenaires commerciaux (due diligences) et les recommandations spécifiques pour les partenaires à risque.
-
Les contrôles comptables et audits : rappel des obligations de traçabilité, importance de la fidélité des registres et détection des pots-de-vin via fausses factures ou prestations dégradées.
-
Le programme de formation et de sensibilisation : obligation de former les cadres et personnels exposés, personnalisation des contenus, fréquence des sessions et modalités (présentiel, e-learning).
-
Le régime disciplinaire et la politique RH intégrant l’anticorruption : traitement des manquements, valorisation des comportements éthiques et communication sur les sanctions.
-
Le dispositif de contrôle et d’évaluation du programme anticorruption : rôle du contrôle interne et de l’audit, organisation et désignation des responsables, reporting et amélioration continue.