Loi Sapin 2 obligation : le dispositif est-il obligatoire pour votre entreprise ?

loi sapin 2 obligation
Sommaire

La loi Sapin 2, promulguée en décembre 2016, impose aux entreprises soumises à son champ d’application de mettre en place un programme de prévention et de détection de la corruption. Deux seuils principaux déterminent l’assujettissement : 500 salariés et 100 millions d’euros de chiffre d’affaires. Pour savoir si votre groupe est concerné, il est essentiel d’appliquer ces seuils sur une base consolidée et d’opter pour une méthode de calcul documentée conformément aux règles du code de commerce et aux pratiques d’audit.

Comment vérifier le périmètre d’assujettissement

Le calcul doit reposer sur les comptes consolidés du groupe. Concrètement, vous devez :

  • Rassembler les états de consolidation (balance consolidée, annexes, périmètre) pour les trois derniers exercices disponibles, afin d’apprécier la permanence du seuil.
  • Inclure les filiales contrôlées selon les règles d’intégration (intégration globale, proportionnelle, mise en équivalence le cas échéant) pour le calcul de l’effectif consolidé et du chiffre d’affaires consolidé.
  • Documenter la méthodologie retenue (périmètre, conversion des devises, règles d’exclusion éventuelle) et conserver les pièces justificatives (rapports d’audit, états de paie, annexes aux comptes).

Pour les groupes multinationales, l’intégration des filiales étrangères suit les mêmes règles comptables : l’existence d’un lien de contrôle ou d’un pouvoir effectif entraîne l’inclusion des effectifs et du chiffre d’affaires dans le périmètre consolidé. Les cas particuliers (associations, entités avec liens contractuels forts mais sans contrôle juridique) nécessitent une analyse au cas par cas et une formalisation du raisonnement.

Les obligations prévues par l’article 17 : éléments obligatoires du programme

L’article 17 impose la mise en place d’un dispositif structuré. Les éléments que l’Agence française anticorruption (AFA) et la doctrine attendent sont les suivants :

  • Un code de conduite anti-corruption, repris dans les pratiques et signé par la direction.
  • Une cartographie des risques détaillée, actualisée et datée, identifiant processus, fonctions, zones géographiques et tiers à risque.
  • Des procédures de contrôle interne et des dispositifs comptables visant à prévenir et détecter les faits de corruption ou de trafic d’influence.
  • Une procédure d’évaluation et de due diligence des tiers (fournisseurs, agents, intermédiaires), incluant vérification de l’UBO, scoring de risque et dossier décisionnel.
  • Un dispositif d’alerte interne sécurisé permettant le signalement confidentiel, la protection du lanceur d’alerte et la traçabilité des investigations.
  • Un programme de formation adapté aux différents publics (direction, commerciaux, fonctions achats, filiales à risque) et des attestations de suivi horodatées.
  • Des procédures disciplinaires et contractuelles visant la sanction des manquements et la résiliation de relations avec des tiers à risque non remédiés.
  • Une gouvernance claire (référent compliance, comité de supervision, reporting au conseil) et un suivi périodique du dispositif.

Livrables et preuves attendues en cas de contrôle

La conformité ne repose pas sur l’existence d’actions isolées mais sur la capacité à démontrer, par des preuves horodatées et traçables, la mise en œuvre effective du dispositif. Les livrables à conserver sont notamment :

  • La cartographie des risques datée avec plan d’actions et indicateurs de suivi.
  • Les politiques et procédures signées (code de conduite, politique cadeaux, politique de conflits d’intérêts, procédure d’alerte).
  • Les listes de participants aux formations, modules suivis et attestations de compréhension.
  • Les rapports de due diligence tiers (rapports de KYC, scoring, décision et archivage des pièces justificatives).
  • Les journaux d’alerte et comptes rendus d’enquête interne, mesures prises et mesures de protection du lanceur.
  • Les tests de contrôles et les revues internes (résultats d’audits, plan de remédiation et preuves d’exécution).
  • Les procès-verbaux de gouvernance et reporting au comité/directoire/conseil d’administration montrant le suivi régulier du dispositif.

Mise en œuvre pratique et calendrier recommandé

Pour un groupe soumis à la loi, il est recommandé d’initialiser le projet de conformité avec un périmètre pilote et de le déployer selon un calendrier pragmatique :

  1. Nommer un responsable compliance et établir la gouvernance (1er mois).
  2. Réaliser la cartographie des risques et prioriser les processus et pays (mois 1–3).
  3. Élaborer ou adapter les politiques clés et le code de conduite (mois 2–4).
  4. Déployer le dispositif d’alerte et initier la due diligence tiers sur les relations à risque élevé (mois 3–6).
  5. Lancer les formations prioritaires, puis étendre à l’ensemble des populations concernées (mois 4–12).
  6. Mettre en place les contrôles comptables et les tests périodiques, puis documenter les résultats (continu après mois 6).

Points particuliers : filiales étrangères, protection des données et preuve d’efficacité

Les adaptations locales sont nécessaires : tenir compte des contraintes de droit local (conflits entre obligations locales et françaises) et du RGPD pour le traitement des alertes. Les filiales doivent appliquer les principes essentiels du programme, avec une adaptation proportionnée aux risques locaux. Enfin, la preuve d’efficacité repose sur des indicateurs (nombre d’alertes traitées, délais de traitement, avancement des plans de remédiation) et sur la capacité des commissaires aux comptes ou de l’AFA à constater la réalité opérationnelle du dispositif.

En synthèse, la conformité Sapin 2 exige à la fois une approche méthodique pour déterminer l’assujettissement au niveau consolidé et un dispositif anticorruption complet, documenté et piloté. La clef du succès est la preuve : des politiques visibles, des actions datées et traçables, et un suivi gouvernance régulier permettant d’attester de l’efficacité du programme.

Clarifications

Quelles sont les obligations imposées par la loi Sapin 2 ?

Vous connaissez ce collègue qui arrive en réunion, le café à la main, et lance, la conformité c’est simple ? Bon, la loi Sapin II oblige du concret. Pour les entreprises dépassant 100 millions d’euros de chiffre d’affaires et plus de 500 salariés, il faut mettre en place un dispositif de prévention et de détection de la corruption. Cela implique une cartographie des risques, des procédures internes, des contrôles réguliers, une formation des collaborateurs, un dispositif d’alerte et la désignation d’un référent conformité. Ce n’est pas juste de la paperasse, c’est boîte à outils pour protéger l’équipe et la réputation.

Quels sont les 3 piliers de la loi Sapin 2 ?

On aime les listes claires, surtout quand il s’agit de compliance. Les trois piliers de la loi Sapin II sont la prévention, l’appui et le conseil, et la détection et sanction des manquements. Concrètement, prévention signifie cartographier les risques, former les équipes et installer des procédures. L’appui et le conseil revient à l’AFA qui publie recommandations et méthodes pour aider les entreprises à mettre en conformité leurs programmes. Enfin, la détection suppose systèmes d’alerte, contrôles internes et sanctions disciplinaires ou pénales si nécessaire. Rien d’exotique, juste des outils pour éviter les mauvaises surprises et garder confiance en interne et partagée.

Quels sont les critères d’éligibilité à la loi Sapin 2 ?

Si on devait résumer vite fait, la loi Sapin II cible les grandes entreprises privées qui franchissent deux seuils cumulatifs, plus de 500 salariés et un chiffre d’affaires supérieur à 100 millions d’euros. Elle s’applique aussi aux filiales concernées et aux entités qui ont un périmètre opérationnel soumis à ces critères. Autre point souvent oublié, la taille n’est pas le seul critère, l’exposition au risque de corruption et les activités internationales pèsent dans la mise en œuvre des obligations. Bref, si vous cochez ces cases, mieux vaut s’organiser vite, sans dramatiser mais sérieusement. On compose, on ajuste, et on agit.

Formation loi Sapin 2 obligatoire ?

Oui, la formation loi Sapin 2 est obligatoire pour les collaborateurs concernés, et ce n’est pas un simple check administratif. L’objectif est de sensibiliser aux risques de corruption, d’expliquer les procédures internes, le dispositif d’alerte et les comportements attendus. Pour être utile, la formation doit être régulière, adaptée aux fonctions et combinée à des cas concrets et à des exercices pratiques. On a tous vécu des modules soporifiques, évitons-les, privilégions l’interaction et le lien avec la cartographie des risques. Former, ce n’est pas punir, c’est donner les outils pour agir au quotidien et se protéger collectivement et partager bonnes pratiques.

Facebook
Twitter
LinkedIn
Image de Julie Lartigue
Julie Lartigue

Spécialiste en gestion d’entreprise et passionnée par l’évolution des secteurs industriels et technologiques, Julie Lartigue partage son expertise pour aider les professionnels à réussir dans un monde en constante mutation. À travers son blog, elle explore des thématiques telles que l’investissement, le marketing, et l’impact des nouvelles technologies sur la société et les entreprises. Forte d'une expérience dans la gestion de projets et le développement stratégique, Julie offre des analyses approfondies et des conseils pratiques pour guider les entrepreneurs et les dirigeants dans leurs choix de carrière et de gestion.

Sommaire
Nous suivre
Suivez-nous sur les réseaux sociaux
Nos coups de coeur

Des questions ? N’hésitez pas !

Le magazine contrat-actif.fr est là pour répondre à vos questions

Contactez-nous

© 2026 contrat-actif.fr. Tous droits réservés - Mentions légales - Sitemap - L'équipe de rédaction