La loi Sapin II (loi n°2016-1691 du 9 décembre 2016) est une loi française relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique. Promulguée le 9 décembre 2016 et entrée en vigueur le 1er juin 2017, elle doit son nom à Michel Sapin (alors ministre des Finances). Son ambition est de placer la France au niveau des « meilleurs standards internationaux en matière de lutte contre la corruption ». Parmi ses principales innovations, la loi Sapin 2 a notamment créé l’Agence Française Anticorruption (AFA) et rendu obligatoire, pour les grandes entreprises concernées, un programme structuré en 8 mesures clés.

Qu’est-ce que la loi Sapin 2 ?

La loi Sapin II fait partie du cadre législatif français pour renforcer la probité dans les affaires. Elle prend place dans la législation française anti-corruption postérieure aux recommandations de l’OCDE et des normes internationales. Son objectif principal est d’assurer la transparence des activités économiques et de combattre efficacement la corruption, le trafic d’influence et autres pratiques illégales (fraude, favoritisme…). Pour cela, elle instaure pour les entreprises visées un cadre rigoureux de conformité anticorruption.

La loi répond aux constats de certains organismes internationaux selon lesquels la France devait améliorer sa lutte contre la corruption internationale. La loi Sapin II modernise le dispositif législatif en introduisant de nouveaux mécanismes (notamment des obligations en matière de transparence financière, de signalement d’alerte, etc.) Ce dispositif dépasse même les exigences de certaines lois étrangères (FCPA américain, UK Bribery Act britannique) en sanctionnant l’absence de mesures même en l’absence d’infraction avérée.

Qui est concerné par la loi Sapin 2 ?

La loi Sapin 2 s’applique aux grandes entreprises. Les critères d’assujettissement sont les suivants : l’entreprise établie en France doit employer au moins 500 salariés et réaliser un chiffre d’affaires consolidé supérieur à 100 millions d’euros. Cette définition inclut les sociétés commerciales privées ainsi que les établissements publics à caractère industriel et commercial (EPIC) qui remplissent ces seuils. En pratique, ce sont donc les grands groupes et entreprises de taille importante qui sont concernés par les obligations Sapin 2. Si la société appartient à un groupe, c’est l’effectif total du groupe qui est comptabilisé, (tant que la société mère est établie en France).

Les dirigeants et dirigeants intermédiaires de ces sociétés ont eux-mêmes une responsabilité forte : en cas de manquement au dispositif anticorruption, ils peuvent être tenus personnellement pour responsables et se voir infliger des amendes administratives (jusqu’à 200 000 €). Les salariés jouent aussi un rôle, par exemple en signalant des pratiques contraires au code de conduite de l’entreprise.

Les principales mesures de la loi Sapin 2

Pour les entreprises concernées, la loi Sapin 2 impose la mise en place d’un programme complet de lutte contre la corruption. Exposé à l’article 17 de la loi, le programme comporte huit mesures clés que chaque entreprise doit adopter et documenter. Elles s’appuient sur une approche de gestion des risques et de conformité. Les principales obligations sont :

• Code de conduite anticorruption : établir un code interne clair, accessible à tous les salariés, définissant les comportements à proscrire (cadeaux, conflits d’intérêts, etc.).
• Cartographie des risques : réaliser une cartographie des risques de corruption, c’est-à-dire dresser l’inventaire des situations sensibles où la corruption peut survenir. C’est un pilier du dispositif car c’est sur ce fondement que l’entreprise peut orienter ses efforts.
• Évaluation des tiers : mettre en place des procédures de vigilance et de due diligence à l’égard des tiers (clients, fournisseurs de premier rang, intermédiaires, sous-traitants) afin de s’assurer qu’ils respectent les normes éthiques de l’entreprise.
• Contrôles comptables : instaurer des contrôles financiers internes (comptables) spécifiques pour détecter et prévenir les irrégularités (par exemple, séparation des tâches, plafonnements de paiements en espèces, etc.).
• Dispositif d’alerte interne : mettre en place un système sécurisé et confidentiel de signalement interne, permettant à tout collaborateur (ou partenaire, prestataire) de signaler une alerte liée à la corruption ou tout comportement à risque.
• Formation et sensibilisation : organiser des formations régulières auprès des dirigeants et des personnels les plus exposés aux risques (acheteurs, commerciaux, etc.) pour développer une culture de l’intégrité et les former aux procédures de lutte contre la corruption.
• Régime disciplinaire : prévoir un régime de sanction interne graduel et formel pour les employés et dirigeants qui violeraient le code de conduite anticorruption. Ce régime (avertissement, blâme, licenciement…) doit être proportionné et connu de tous.
• Contrôle et évaluation interne : effectuer des audits et évaluations régulières de l’ensemble du dispositif (contrôles, indicateurs, rapports d’audit interne) afin de mesurer son efficacité et de l’améliorer en continu.

Ces mesures concrètes doivent être coordonnées dans un dispositif global sous la supervision d’un référent et validées par la direction. Dans cet objectif, des outils pratiques existent : l’AFA publie des guides sectoriels et recommandations permettant de respecter efficacement les obligations issues de la loi. Bien que dépourvues de force juridique contraignante, les recommandations de l’AFA permettent à l’entreprise qui les appliquent de bénéficier d’une présomption de conformité à la loi en cas de contrôle. A l’inverse, une entreprise qui n’a pas suivie les recommandations de l’agence devra démontrer que les dispositifs mis en place suffisent à respecter les exigences de la loi Sapin II.

Loi Sapin 2 et relations avec l’Agence française anticorruption (AFA)

La création de l’AFA est l’une des innovations majeures de la loi Sapin II. L’AFA est un service à compétence nationale placé auprès des ministres de la Justice et du Budget. Sa mission principale est d’aider et contrôler les entreprises et acteurs publics dans la prévention et la détection de la corruption (trafic d’influence, concussion, prise illégale d’intérêt, favoritisme…). L’AFA conseille, publie des guides pratiques et effectue des inspections pour vérifier que les entreprises soumises à la loi ont bien mis en place les mesures requises.

Concrètement, l’AFA a le pouvoir de contrôler l’existence, la qualité et l’efficacité du programme anticorruption mis en place par chaque entreprise assujettie. Les entreprises concernées doivent en outre transmettre chaque année un rapport à l’AFA décrivant leur dispositif de conformité. L’Agence peut adresser des recommandations, donner des injonctions et, ultimement, saisir les magistrats pour sanctions (procédure pénale ou convention judiciaire d’intérêt public). L’AFA détient donc un rôle central de régulateur : informer, contrôler et sanctionner. Elle encadre par exemple les conventions judiciaires d’intérêt public (CJIP) qui permettent le règlement anticipé d’infractions par une entreprise. Ce dispositif évite un procès pénal à l’entreprise, à condition qu’elle reconnaisse les faits reprochés, verse une amende pouvant atteindre jusqu’à 30 % de son chiffre d’affaires, et mette en place un programme sous le contrôle de l’AFA. Le CJIP vise ainsi à responsabiliser l’entreprise, à favoriser la transparence et à renforcer la prévention, tout en assurant une réponse rapide et efficace aux atteintes à la probité.

Loi Sapin 2 : Les conséquences en cas de non-conformité

Le respect des obligations Sapin 2 est donc crucial : le défaut de dispositif anticorruption expose l’entreprise à de lourdes sanctions. Selon les cas, les sanctions peuvent être administratives, financières ou pénales. Sur le plan financier et administratif, l’amende pour non-conformité peut être très élevée (jusqu’à 30 % du chiffre d’affaires annuel dans le cadre d’une CJIP, comme exposé ci-dessus). Les dirigeants sont eux-mêmes exposés à des amendes (par exemple jusqu’à 200 000 €) et à des sanctions disciplinaires en cas de carence grave. Par ailleurs, la loi Sapin II a instauré un délit d’entrave à l’alerte, puni d’un an de prison et de 15 000 € d’amende si une personne fait obstacle au signalement.

Outre ces peines financières ou pénales, le non-respect de Sapin 2 se traduit souvent par un impact réputationnel majeur. Les procédures de sanction (CJIP, condamnations, injonctions) sont en grande partie rendues publiques, ce qui porte atteinte à la confiance des clients, actionnaires et partenaires. Les amendes conséquentes peuvent « grandement affecter la réputation de l’entreprise, et avoir des conséquences économiques préjudiciables à long terme (difficultés d’accès au crédit, perte de contrats publics, etc.). En résumé, ne pas se conformer peut coûter très cher, tant en euros qu’en image.

Des entreprises déjà sanctionnées

Plusieurs grands groupes français ont déjà été mis en cause sous l’égide de la loi Sapin 2, illustrant ses effets pratiques. Par exemple, les premières CJIP conclues en France l’ont été dans des affaires de corruption d’agents publics étrangers, engageant des entreprises comme Air France-KLM et d’autres sociétés en 2016-2017. Plus récemment, en 2025, c’est le groupe PAPREC qui a été contraint de régler une amende dépassant les 17 millions d’euros. La liste des conventions judiciaires d’intérêt public (CJIP) est d’ailleurs publiée sur le site de l’AFA, révélant que des groupes majeurs ont accepté de verser d’importantes amendes pour se mettre en règle. Ces cas montrent qu’un contrôle AFA défavorable ou une CJIP accepté peut être très contraignant pour l’entreprise (amendes, plan de mise en conformité, gouvernance encadrée) et qu’il vaut mieux anticiper afin de prévenir les potentielles atteintes.

Comment mettre en œuvre des pratiques de lutte contre la corruption ?

La mise en conformité avec la loi Sapin 2 est un projet structuré. Elle doit reposer sur une politique adaptée et un ordre logique de déploiement. Ces outils (chacun documenté) sont les briques d’un dispositif robuste.

Politique adaptée

Il s’agit d’établir tous les éléments du programme de façon cohérente. On commence généralement par réaliser une cartographie des risques (identification des situations et processus exposés). Sur cette base, on rédige un code de conduite anticorruption explicite (valeur « tolérance zéro » envers la corruption).

Système d’alerte

Parallèlement, il est nécessaire de mettre en place un système d’alerte interne sécurisé, ainsi qu’une procédure d’évaluation des tiers (due diligence des fournisseurs et partenaires) et des contrôles comptables adaptés.

Formation

Un plan de formation est déployé pour sensibiliser et former les équipes (dirigeants, acheteurs, commerciaux, etc.) aux bonnes pratiques et au signalement.

Code interne

La direction doit prévoir un régime disciplinaire clair pour sanctionner tout manquement au code.

Déploiement maîtrisé

Pour réussir le déploiement du dispositif,  voici quelques étapes clés :

1. Diagnostic : réaliser un audit interne pour mesurer le niveau actuel de conformité (enquête auprès des métiers, revue documentaire, etc.), puis dresser la cartographie des risques.
2. Politique et gouvernance : définir la politique globale de lutte contre la corruption (y compris la lettre de mission du responsable en charge), rédiger le code de conduite et élaborer le plan de formation et de communication.
3. Outils et procédures : déployer les procédures opérationnelles (alertes, due diligence, contrôles comptables, gestion des cadeaux et invitations, etc.) ainsi que les supports associés (questionnaires d’évaluation, formulaires d’alerte, registres, etc.). Des ressources externes ( cabinets d’avocats spécialisés, plateformes de compliance, ou normes ISO 37001) peuvent être mobilisées.
4. Communication interne : informer et former les collaborateurs sur le nouveau dispositif (séances de sensibilisation, e-learning, affichages, intranet dédié). L’exemplarité de la direction est essentielle (tone from the top).
5. Suivi et amélioration continue : mettre en place des indicateurs de performance, réaliser des audits internes réguliers, et actualiser le dispositif en fonction de l’évolution des risques ou des retours d’expérience. L’AFA recommande un audit annuel du programme Sapin 2 et la mise à jour régulière de la cartographie des risques.

Ce déploiement peut sembler complexe : c’est pourquoi il est souvent nécessaire de solliciter un accompagnement externe spécialisé. Notre cabinet NOVLAW propose un accompagnement dans la lutte contre la corruption pour guider chaque entreprise pas à pas.

Loi Sapin 2 : ce qu’il faut retenir

• Enjeux : la loi Sapin 2 impose aux grandes entreprises de mettre en place un programme anticorruption formel, sous peine d’amendes élevées ou de sanctions pénales. La prévention de la corruption est devenue un impératif légal pour les structures concernées.
• Bonnes pratiques : le dispositif doit reposer sur une cartographie actualisée des risques, un code de conduite précis, des contrôles internes adaptés, un dispositif d’alerte sécurisé et des formations régulières. L’engagement visible de la direction et la nomination d’un responsable conformité sont clés.
• Engagement et suivi : le succès dépend aussi de la participation active de tous les salariés (culture d’éthique) et du respect de l’obligation de contrôle par l’AFA. Le respect du dispositif doit être consigné dans un rapport annuel à l’AFA. Les entreprises peuvent s’appuyer sur les guides et recommandations de l’AFA pour mettre en œuvre ces mesures, ainsi que sur l’appui externe de conseils spécialisés.

Contactez-nous pour être accompagné efficacement dans la mise en conformité Sapin II. Nos avocats spécialisés en éthique des affaires et compliance sont à votre écoute pour sécuriser vos projets et renforcer la transparence de votre entreprise.

Pour aller plus loin, votre cabinet d’avocats peut vous accompagner sur d’autres volets, comme la protection des données personnelles. Par exemple, NOVLAW propose un service de DPO externalisé et des conseils juridiques RGPD pour tout organisme souhaitant se former au RGPD en complément de ses démarches de mise en conformité à la loi Sapin II.