Obligation loi sapin conformité, éthique et lutte anticorruption avec l’obligation loi sapin 2

La loi Sapin 2, c’est un peu le moment où le législateur français s’est regardé dans le miroir et s’est demandé : « Et si on faisait semblant d’être la Norvège en matière d’éthique des affaires ? ». Résultat : un arsenal anticorruption ambitieux, une avalanche d’obligations pour les entreprises, et une nouvelle ligne à ajouter dans vos présentations PowerPoint : “Conformité & éthique”.

Derrière la formule un peu vague, la réalité est beaucoup plus précise… et beaucoup plus contraignante. Car la loi Sapin 2 ne se contente pas de recommander quelques bonnes pratiques. Elle impose, elle structure, elle sanctionne. Et, surtout, elle ne vise pas uniquement les traders véreux ou les marchés publics exotiques : elle concerne directement les entreprises françaises d’une certaine taille, leurs dirigeants, leurs RH, leurs acheteurs, leurs commerciaux et, par ricochet, toute leur chaîne de valeur.

Tour d’horizon, sans langue de bois, de ce que recouvre vraiment cette obligation de conformité, d’éthique et de lutte anticorruption.

À qui s’adresse réellement la loi Sapin 2 ?

Premier malentendu fréquent : non, la loi Sapin 2 ne touche pas uniquement les multinationales cotées au CAC 40. Certes, elle a des exigences ciblées, mais le périmètre est plus large qu’on ne le croit.

Les obligations anticorruption les plus structurantes s’appliquent aux :

• Entreprises ayant au moins 500 salariés et un chiffre d’affaires supérieur à 100 millions d’euros (y compris au niveau du groupe)
• Entreprises dont le siège social est en France, mais aussi, sous certaines conditions, à leurs filiales et entités contrôlées
• Dirigeants, mandataires sociaux, et personnes exerçant un pouvoir de direction

Pour ces entreprises, la loi ne demande pas un « effort de bonne volonté ». Elle impose la mise en place d’un véritable programme de conformité anticorruption. Pour les autres, plus petites, la loi ne tape pas directement à la porte… mais leurs partenaires, grands comptes ou organismes publics, s’en chargent très bien à sa place.

Autrement dit : même en dessous des seuils, si vous travaillez avec des groupes soumis à Sapin 2, vous serez « contaminé » par leurs exigences. Pas officiellement dans le champ de la loi, mais très concrètement dans la pratique.

Les 8 piliers obligatoires du dispositif anticorruption

L’Agence Française Anticorruption (AFA) n’a pas laissé les entreprises dans le flou. Elle a détaillé huit mesures clés que doivent mettre en place les entités concernées. Et là, on sort complètement du simple discours moral pour entrer dans le dur de l’organisation interne.

Les voici, sans vernis :

• Une cartographie des risques de corruption : le cœur du réacteur. Il s’agit d’identifier, évaluer et hiérarchiser les situations à risque : pays sensibles, types de contrats, intermédiaires, appels d’offres, relations avec le secteur public, etc. Si votre direction commerciale vous répond « chez nous il n’y a pas de risque », vous savez que vous partez de loin.
• Un code de conduite anticorruption : intégré au règlement intérieur, il définit clairement ce qui est acceptable ou non. Cadeaux, invitations, sponsoring, facilitation payments, conflit d’intérêts : ce qui n’est pas écrit sera difficilement opposable.
• Un dispositif d’alerte interne : protocole permettant à un salarié, un partenaire, un fournisseur de signaler un comportement suspect en toute sécurité. Protoype minimal : une adresse mail générique. Version sérieuse : une plateforme externe, des procédures de traitement et de protection du lanceur d’alerte.
• Une évaluation des tiers à risque : clients, fournisseurs, sous-traitants, consultants, agents commerciaux, distributeurs. L’entreprise doit pouvoir démontrer qu’elle a vérifié qui elle fait travailler, et dans quelles conditions.
• Des contrôles comptables internes : on n’est pas là pour faire joli. L’objectif est de repérer les factures fictives, commissions maquillées, lignes de budget « divers » un peu trop généreuses. La corruption laisse toujours des traces comptables : encore faut-il se donner les moyens de les voir.
• Une formation des dirigeants et des collaborateurs exposés : le service conformité ne peut pas tout. Si les directeurs commerciaux ou achats ne savent pas reconnaître une situation à risque, la cartographie restera dans un tiroir.
• Un régime disciplinaire : logique implacable : si le code de conduite est violé, il doit y avoir des conséquences, clairement établies. Sans cela, l’anticorruption reste un décor PowerPoint.
• Un dispositif de contrôle interne et d’évaluation du programme : audits, actualisation de la cartographie, indicateurs de suivi. Le programme doit vivre, s’adapter, se renforcer. Le « one shot » pour faire plaisir au conseil d’administration n’est pas conforme.

Chaque pilier doit être documenté, traçable, explicable. Le mot-clé de Sapin 2, ce n’est pas seulement « prévention », c’est aussi « démonstration ». Vous devez être en mesure de prouver ce que vous faites, comment, depuis quand, et avec quels résultats.

Éthique et conformité : mariage d’amour ou de raison ?

La loi a parlé d’anticorruption. Les entreprises, elles, ont très vite préféré parler d’« éthique » et de « compliance ». C’est plus présentable. Mais derrière le vocabulaire, deux approches coexistent.

La première est minimaliste : « Que faut-il faire au strict minimum pour ne pas se faire épingler par l’AFA ? ». Elle produit généralement :

• Un code de conduite téléchargé d’un modèle en ligne
• Une formation e-learning suivie en accéléré un vendredi après-midi
• Une cartographie des risques rédigée par un cabinet externe, et oubliée sitôt livrée
• Un dispositif d’alerte dont personne ne connaît l’existence

La seconde est plus stratégique : « Comment utiliser ce cadre légal pour structurer une vraie culture d’intégrité et limiter nos risques opérationnels ? ». Elle aboutit à :

• Des arbitrages concrets sur certains marchés, canaux de vente ou partenaires jugés trop risqués
• Des processus de validation renforcés pour les contrats sensibles
• Un dialogue régulier entre juridique, compliance, achats, commercial et RH
• Une communication interne qui parle de cas réels, pas de grands principes abstraits

Dans les deux cas, l’entreprise est « couverte » sur le papier. Mais en cas de problème sérieux, l’écart se voit très vite : l’une pourra démontrer un dispositif vivant, cohérent, réévalué ; l’autre exhibera un classeur réglementaire poussiéreux.

L’AFA, cette invitée qu’on préfère ne jamais recevoir

L’Agence Française Anticorruption a le pouvoir de contrôler les entreprises soumises à Sapin 2. Et non, elle ne se contente pas de lire votre charte d’éthique sur deux pages en PDF.

Les contrôles portent notamment sur :

• La réalité de la cartographie des risques : qui l’a faite, quand, sur quelle base, avec quels échanges métiers
• La mise en pratique du code de conduite : diffusion, appropriation, cas concrets
• Les procédures de due diligence sur les tiers : questionnaires, vérifications, archivage
• Les circuits comptables : justificatifs, validation des dépenses, anomalies détectées et traitées
• Les preuves de formation : taux de complétion, profils des publics formés, supports utilisés

En cas de manquement, la commission des sanctions peut infliger :

• Des sanctions financières pouvant aller jusqu’à 200 000 € pour les personnes physiques et 1 000 000 € pour les personnes morales
• La publication de la décision, ce qui, en termes d’image, vaut parfois plus cher que l’amende elle-même
• Des injonctions de mise en conformité sous un certain délai

Certes, on est loin des amendes délirantes de certaines autorités étrangères. Mais l’idée n’est pas de ruiner l’entreprise : c’est de l’obliger à se mettre sérieusement en ordre de marche. L’argent perdu sur une non-conformité est souvent faible comparé au coût caché d’une crise de réputation ou d’un marché perdu à cause d’un doute sur l’intégrité.

L’angle mort préféré des entreprises : les tiers

Si la corruption était toujours le fait d’un dirigeant mal intentionné signant un contrat douteux dans un bureau feutré, la lutte serait relativement simple. Mais dans la réalité, l’exposition majeure vient souvent des intermédiaires :

• Agents commerciaux rémunérés à la commission dans des pays à haut risque
• Consultants « facilitateurs » sans expertise claire mais très bien introduits localement
• Distributeurs qui prennent en charge la relation avec les autorités ou les grands donneurs d’ordres
• Sous-traitants dans la chaîne d’exécution qui gèrent des contacts sensibles

La loi Sapin 2 ne permet pas de répondre : « Ce n’est pas moi, c’est mon partenaire local ». L’entreprise reste responsable de son dispositif de prévention, y compris sur sa chaîne de valeur.

C’est là que l’obligation d’évaluation des tiers prend tout son sens. Concrètement, elle implique :

• Une segmentation des tiers selon leur niveau de risque (pays, type d’activité, exposition au secteur public, volume financier)
• Des questionnaires ciblés sur la structure, les bénéficiaires effectifs, l’historique, les procédures internes
• Des vérifications externes (bases de données, presse, listes de sanctions, registres) pour les tiers les plus sensibles
• La capacité à dire non à un tiers dont le profil est trop opaque… même si commercialement, il est tentant

Le plus délicat n’est pas tant de mettre en place une procédure que de l’appliquer sans exception quand un « très bon deal » arrive, à la veille de boucler l’exercice comptable. C’est précisément à ce moment que la culture d’éthique se mesure.

Le lanceur d’alerte : figure imposée, pas simple figurant

Autre volet emblématique de Sapin 2 : la protection des lanceurs d’alerte. Le dispositif d’alerte interne n’est pas une simple boîte mail oubliée dans un coin d’intranet. Il doit respecter des exigences précises :

• Accessibilité : pour les salariés, mais aussi parfois pour certains partenaires externes
• Confidentialité : identité du lanceur, personnes mises en cause, informations transmises
• Traçabilité : enregistrement des alertes, étapes de traitement, décisions prises
• Protection : interdiction des mesures de représailles contre le lanceur de bonne foi

Le paradoxe est frappant : beaucoup d’entreprises affichent « transparence » et « intégrité » dans leurs valeurs, mais la première réaction face à une alerte interne est parfois de chercher qui a « balancé ». Juridiquement, c’est une très mauvaise idée. Culturellement, c’est catastrophique.

Un dispositif crédible suppose :

• Une communication claire : à quoi sert l’alerte, sur quels types de faits, par quels canaux, avec quelles garanties
• Un canal facilement utilisable (plateforme sécurisée, prestataire externe, référent identifié)
• Une gestion par des personnes formées, capables de distinguer un vrai signal d’un simple conflit personnel
• Un retour minimal au lanceur, pour éviter qu’il ne se tourne directement vers la presse ou le parquet

Mal utilisé, le dispositif d’alerte devient un outil de règlement de comptes internes. Bien géré, il est un capteur précieux pour détecter des dérives avant qu’elles ne deviennent publiques… ou pénales.

Ce que la loi ne dit pas, mais que vous avez tout intérêt à faire

La loi Sapin 2 fixe un socle. Elle ne vous empêche pas d’aller plus loin, notamment si vous intervenez à l’international ou dans des secteurs particulièrement sensibles (énergie, défense, BTP, santé, marchés publics).

Parmi les bonnes pratiques qui dépassent le strict texte, on retrouve :

• Une gouvernance claire de la conformité : rattachement de la fonction compliance au plus haut niveau, indépendance suffisante, reporting régulier au conseil d’administration.
• Des indicateurs de performance non purement financiers : intégration de critères d’intégrité dans l’évaluation des managers, pas uniquement le chiffre d’affaires signé.
• Une intégration de la conformité dans les processus métiers : revue contrats, validation des remises commerciales atypiques, contrôle renforcé des opérations dans certains pays.
• Des scénarios de crise : que se passe-t-il si une enquête démarre, si un article de presse sort, si un partenaire est mis en cause ? Qui parle, qui décide, quelles informations sont disponibles ?
• Un alignement avec les standards internationaux : FCPA américain, UK Bribery Act britannique, normes ISO relatives aux systèmes de management anticorruption.

La question n’est plus seulement « Sommes-nous techniquement conformes à Sapin 2 ? », mais « Sommes-nous suffisamment robustes face aux attentes des régulateurs, de nos partenaires, et de l’opinion ? ».

Pour les dirigeants : un enjeu personnel, pas seulement corporate

On aurait tort de voir Sapin 2 comme une simple affaire de juristes et de responsables conformité. Les dirigeants sont directement exposés, à plusieurs niveaux :

• Responsabilité pénale personnelle en cas d’infractions caractérisées
• Responsabilité civile en cas de préjudice causé à des tiers
• Responsabilité réputationnelle : l’entreprise peut survivre à un scandale, moins facilement un dirigeant

Dans certains dossiers récents, une défense classique a souvent été avancée : « Je ne savais pas ». Elle est de moins en moins audible. Le dirigeant a désormais une obligation de mettre en place des dispositifs raisonnables de prévention et de contrôle. Ne pas savoir alors qu’on n’a rien organisé pour savoir, cela n’est plus vraiment une ligne de défense.

C’est là que la conformité cesse d’être un simple centre de coûts et devient une assurance vie pour la direction. Un programme sérieux, documenté, régulièrement mis à jour ne garantit pas qu’aucune dérive individuelle n’aura lieu. En revanche, il permet de démontrer que l’entreprise ne l’a ni encouragée, ni laissée prospérer sciemment.

Transformer l’obligation en avantage compétitif

On pourrait se contenter de voir Sapin 2 comme une contrainte de plus dans un paysage réglementaire déjà chargé. Ce serait passer à côté d’un point intéressant : dans de nombreux appels d’offres, notamment internationaux, la robustesse du dispositif anticorruption est désormais un critère de sélection.

Disposer d’un programme solide permet notamment :

• De rassurer des clients étrangers exposés eux-mêmes à leurs propres régulateurs
• De réduire le risque de rupture brutale de relations commerciales pour « problème de conformité »
• De structurer des relations plus transparentes avec les partenaires locaux
• De limiter les coûts cachés liés aux affaires sensibles, enquêtes internes improvisées, ou transactions forcées

À l’inverse, un dispositif inexistant ou purement décoratif commence à devenir un frein : les grands donneurs d’ordres rechignent de plus en plus à travailler avec des acteurs incapables de démontrer un minimum de maturité sur ces sujets.

En filigrane, la loi Sapin 2 ne pose pas seulement la question : « Êtes-vous conforme ? », mais aussi : « Êtes-vous fiable ? ». Ce n’est plus uniquement une affaire de juristes ; c’est une affaire de business.

En définitive, la conformité, l’éthique et la lutte anticorruption ne sont plus des mots-clés à glisser dans un rapport RSE pour faire bonne figure. Avec la loi Sapin 2, ils sont devenus une architecture, une mécanique, une discipline. Libre à chaque entreprise de la vivre comme une corvée administrative ou comme une occasion d’assainir des pratiques parfois « tolérées par habitude ». Mais sur un point, le doute n’est plus permis : l’époque où l’on pouvait dire « on ne savait pas » est officiellement révolue.