La loi Sapin 2 du 9 décembre 2016 a structuré la lutte contre la corruption autour de 8 piliers obligatoires, définis à l'article 17. Ces 8 mesures constituent le socle minimum d'un programme anticorruption pour les grandes entreprises françaises. Leur mise en place est contrôlée par l'Agence française anticorruption (AFA), qui peut sanctionner les manquements.
Les entreprises concernées sont celles qui emploient au moins 500 salariés et réalisent un chiffre d'affaires supérieur à 100 millions d'euros - ainsi que les filiales et sociétés contrôlées dépassant ces mêmes seuils. Pour ces entités, les 8 piliers ne sont pas optionnels : leur absence expose les dirigeants à des sanctions pouvant atteindre 200 000 euros et les sociétés à 1 million d'euros.
Cet article détaille chacun des 8 piliers - contenu, obligation concrète et exemple de mise en oeuvre - avant d'expliquer comment les articuler en un programme cohérent.
Pilier 1 : Le code de conduite anticorruption
Le code de conduite est le document fondateur du programme. Il définit et illustre les différents types de comportements proscrits : corruption active et passive, trafic d'influence, concussion, prise illégale d'intérêts, favoritisme.
Obligation concrète : L'entreprise doit rédiger un code qui décrit précisément les situations à risque propres à son activité. Le code doit être annexé au règlement intérieur ou diffusé par tout moyen ayant valeur contraignante. Il doit être opposable aux salariés, pas seulement affiché.
Exemple de mise en oeuvre : Un distributeur pharmaceutique rédige un code listant les cadeaux et avantages interdits (seuil de 50 euros par bénéficiaire et par an), les règles de prise en charge des frais de représentation, et les situations à risque avec les prescripteurs. Chaque salarié signe une attestation de lecture lors de son embauche et à chaque révision majeure du code. Le taux de signature est suivi et rapporté à la direction compliance.
Pilier 2 : Le dispositif d'alerte interne
Le dispositif d'alerte interne permet à tout salarié de signaler, de bonne foi, une situation de corruption ou de trafic d'influence dont il a personnellement connaissance. Il constitue l'un des mécanismes de détection les plus efficaces dans la pratique.
Obligation concrète : L'entreprise doit mettre en place un canal sécurisé et confidentiel permettant au lanceur d'alerte de signaler les faits sans craindre de représailles. Depuis la transposition de la directive européenne Whistleblowing via la loi Waserman du 21 mars 2022, les exigences sont renforcées : traçabilité des signalements, accusé de réception dans les 7 jours ouvrés, délai de traitement de 3 mois.
Exemple de mise en oeuvre : Un groupe industriel déploie une plateforme d'alerte gérée par un tiers de confiance (avocat ou prestataire spécialisé). Les salariés peuvent signaler de façon anonyme ou nominative. Les alertes sont transmises au référent éthique, qui dispose de 3 mois pour informer le lanceur des suites données. Chaque alerte est documentée avec son issue dans un registre interne.
Pilier 3 : La cartographie des risques de corruption
La cartographie des risques est l'exercice central du programme. Elle identifie, hiérarchise et documente les expositions de l'entreprise aux risques de corruption, en tenant compte de ses secteurs d'activité, de sa géographie et de ses processus internes.
Obligation concrète : La cartographie doit être régulièrement actualisée - au minimum lors de tout changement significatif d'activité ou d'organisation - et servir de base à tous les autres piliers. Elle n'est pas un audit one-shot : c'est un outil de pilotage permanent.
Exemple de mise en oeuvre : Une entreprise de BTP identifie ses 12 processus critiques (réponse aux appels d'offres publics, gestion des sous-traitants, décisions de localisation) et les note sur deux axes : probabilité d'occurrence et impact potentiel. Les risques cotés "élevés" alimentent directement les procédures de contrôle des tiers (pilier 4) et les plans de formation (pilier 6).
Retrouvez la méthodologie complète dans notre guide dédié : Cartographie des risques de corruption - méthode et modèle.
Pilier 4 : Les procédures d'évaluation des tiers
Les tiers - fournisseurs, clients, intermédiaires, agents commerciaux - représentent le principal vecteur de risque de corruption pour la plupart des entreprises. Les procédures d'évaluation des tiers (due diligence) permettent de s'assurer que ces partenaires présentent un niveau de risque acceptable avant et pendant la relation commerciale.
Obligation concrète : L'entreprise doit mettre en place des procédures proportionnées au risque identifié dans la cartographie. Pour les tiers à risque élevé (agents dans des pays à forte corruption, intermédiaires publics), la due diligence approfondie s'impose : vérification de l'identité des bénéficiaires effectifs, analyse des liens politiques, revue des antécédents judiciaires.
Exemple de mise en oeuvre : Un groupe d'ingénierie catégorise ses 800 fournisseurs en trois niveaux de risque. Les fournisseurs de niveau 3 (marchés publics, pays FATF gris) font l'objet d'un questionnaire anticorruption, d'une vérification dans les bases de données sanctions (OFAC, gel des avoirs) et d'une visite sur site. La procédure est documentée et traçable dans l'outil de gestion des achats.
Pilier 5 : Les procédures de contrôle comptable
La corruption laisse des traces dans les comptes. Les procédures de contrôle comptable visent à détecter les irrégularités susceptibles de dissimuler des paiements illicites : fausses factures, commissions injustifiées, notes de frais gonflées, cadeaux non déclarés.
Obligation concrète : L'entreprise doit mettre en place des procédures de contrôle interne comptable garantissant que les livres et registres ne sont pas utilisés pour dissimuler des faits de corruption. Ces procédures doivent cibler les flux financiers à risque identifiés dans la cartographie.
Exemple de mise en oeuvre : Une société de services professionnels met en place des seuils d'approbation progressifs pour les notes de frais (manager à 200 euros, direction à 1 000 euros, DAF au-delà), une règle de double signature pour les paiements aux agents commerciaux, et une revue trimestrielle des comptes "cadeaux et réceptions" par le contrôle de gestion. Tout paiement à une partie liée doit être validé par la direction juridique.
Pilier 6 : La formation du personnel exposé
La formation constitue le levier d'efficacité du programme. Un code de conduite non compris ou une cartographie non appropriée par les équipes opérationnelles reste sans effet. La loi Sapin 2 impose une formation ciblée sur les personnels exposés aux risques de corruption.
Obligation concrète : La formation doit être adaptée aux fonctions des collaborateurs. Elle ne se résume pas à une session générale : les acheteurs, commerciaux, responsables des marchés publics et cadres dirigeants doivent recevoir une formation spécifique aux risques propres à leur poste. Le contenu doit couvrir les définitions légales, les situations concrètes de risque et les procédures internes à respecter. Les preuves de formation (taux de complétion, scores, attestations) doivent être conservées pour les contrôles AFA.
Exemple de mise en oeuvre : Un assureur organise un module e-learning de 45 minutes pour l'ensemble des salariés (sensibilisation générale) et un atelier présentiel de 3 heures pour les équipes commerciales et la direction des achats (approfondissement). Les taux de complétion et les scores de quiz sont tracés dans le LMS et remontés dans le rapport annuel AFA.
Leto couvre les piliers 6 et 8 avec une seule plateforme : parcours de formation anticorruption personnalisés par profil, traçabilité automatisée des complétions pour vos rapports AFA, et tableau de bord de conformité.
Pour aller plus loin : Formation et sensibilisation anticorruption - guide complet.
Pilier 7 : Le régime disciplinaire
Le dispositif anticorruption n'a de crédibilité que si les manquements sont effectivement sanctionnés. Le pilier 7 exige que l'entreprise dispose d'un régime disciplinaire adapté, permettant de répondre aux comportements contraires au code de conduite.
Obligation concrète : L'entreprise doit prévoir, dans son règlement intérieur ou dans un document annexe opposable, les sanctions applicables en cas de violation du code de conduite anticorruption. Ces sanctions doivent être proportionnées et effectivement appliquées. Une clause inappliquée est pire qu'une clause absente : elle trahit l'absence de culture de conformité et sera sanctionnée par l'AFA.
Exemple de mise en oeuvre : Une entreprise industrielle inscrit dans son règlement intérieur que tout manquement avéré au code de conduite anticorruption peut donner lieu à des sanctions pouvant aller jusqu'au licenciement pour faute grave. Trois cas de violations mineures (cadeaux non déclarés supérieurs au seuil autorisé) ont été traités par un avertissement formel documenté, ce qui a renforcé la crédibilité du programme auprès des équipes.
Pilier 8 : Le dispositif de contrôle et d'évaluation interne
Le 8ème pilier assure la pérennité et l'amélioration continue du programme. Il s'agit de vérifier que le programme anticorruption fonctionne effectivement et pas seulement qu'il existe sur le papier. L'AFA y accorde une attention particulière lors de ses contrôles.
Obligation concrète : L'entreprise doit mettre en place un dispositif permettant d'évaluer régulièrement l'efficacité des mesures mises en oeuvre. Cela peut prendre la forme d'audits internes, de tests des procédures, d'indicateurs de performance (taux de formation, nombre d'alertes traitées, résultats des due diligences tiers) et d'un reporting au comité exécutif ou au conseil d'administration.
Exemple de mise en oeuvre : Un groupe coté organise chaque année un audit interne des 8 piliers, remontant ses conclusions au comité d'audit du conseil d'administration. Un tableau de bord trimestriel suit 12 KPIs anticorruption : taux de formation, délai moyen de traitement des alertes, couverture de la due diligence tiers. Les résultats alimentent le rapport annuel et les échanges avec l'AFA lors des contrôles.
Comment articuler les 8 piliers entre eux ?
Les 8 piliers ne sont pas 8 chantiers indépendants : ils forment un système cohérent dans lequel chaque pilier nourrit les autres.
La cartographie des risques (pilier 3) est le point de départ logique. Elle conditionne la pertinence de tous les autres dispositifs. Un code de conduite rédigé sans s'appuyer sur une cartographie risque d'être trop générique pour être utile. Les procédures de due diligence tiers (pilier 4) et les contrôles comptables (pilier 5) doivent cibler les zones de risque identifiées par la cartographie.
La formation (pilier 6) est le levier d'activation. Elle permet aux collaborateurs de comprendre et d'appliquer les procédures définies dans le code de conduite (pilier 1) et les procédures de contrôle (piliers 4 et 5). Sans formation, les procédures restent des documents formels sans effet opérationnel.
Le dispositif d'alerte (pilier 2) et le régime disciplinaire (pilier 7) constituent les mécanismes de détection et de réponse. Ils permettent d'identifier les défaillances et d'y répondre de façon crédible. Un programme qui sanctionne réellement les manquements envoie un signal fort à l'ensemble des collaborateurs.
Enfin, le contrôle interne (pilier 8) boucle le cycle en mesurant l'efficacité de l'ensemble et en déclenchant les actions correctives nécessaires. C'est le pilier qui transforme un programme statique en démarche d'amélioration continue.
Pour les entreprises qui démarrent, l'AFA recommande de commencer par la cartographie des risques (pilier 3), d'en déduire le code de conduite (pilier 1) et les procédures cibles (piliers 4 et 5), puis de déployer la formation (pilier 6) avant de mettre en place les dispositifs de surveillance (piliers 2, 7 et 8).
Pour une vue d'ensemble du cadre légal, consultez notre guide complet sur la loi Sapin 2 et notre article sur l'article 17 Sapin 2 et le programme anticorruption.
Questions fréquemment posées sur les 8 piliers de la loi Sapin 2
Qui est concerné par les 8 piliers de la loi Sapin 2 ?
Les 8 piliers s'appliquent aux sociétés françaises (et à leurs filiales) qui emploient au moins 500 salariés et réalisent un chiffre d'affaires net supérieur à 100 millions d'euros. Ces seuils s'apprécient au niveau de la société ou du groupe auquel elle appartient. Les SAS, SA, SCA et sociétés cotées sont concernées de la même façon.
Quelles sanctions en cas de non-respect des 8 piliers ?
L'AFA peut émettre des recommandations de mise en conformité. En cas de non-respect, la commission des sanctions peut prononcer des amendes pouvant aller jusqu'à 200 000 euros pour les personnes physiques (dirigeants) et 1 million d'euros pour les personnes morales. Ces sanctions sont publiées sur le site de l'AFA (name and shame), ce qui constitue un risque réputationnel majeur.
Faut-il mettre en place tous les 8 piliers simultanément ?
Non. L'AFA reconnaît qu'un programme anticorruption se construit progressivement. Ce qui compte, c'est de disposer d'une feuille de route documentée et d'être en mesure de démontrer une progression concrète lors des contrôles. La cartographie des risques (pilier 3) doit toutefois être réalisée en priorité, car elle conditionne la pertinence des autres mesures.
Quel est le rôle de l'AFA dans le contrôle des 8 piliers ?
L'Agence française anticorruption (AFA) est l'autorité administrative indépendante chargée de contrôler la mise en oeuvre des 8 piliers. Elle peut réaliser des contrôles sur pièces et sur place, sans motif préalable. En cas de manquement persistant, elle saisit sa commission des sanctions.
Comment prioriser les piliers quand on part de zéro ?
L'approche recommandée est la suivante : (1) cartographie des risques pour identifier les expositions prioritaires, (2) code de conduite adapté à ces risques, (3) procédures ciblées, (4) formation des équipes exposées, (5) mise en place du canal d'alerte, (6) régime disciplinaire, (7) dispositif de contrôle et de mesure. Cette séquence maximise l'impact opérationnel dès les premières étapes.
Les filiales étrangères sont-elles soumises aux 8 piliers ?
Oui, si la filiale étrangère est contrôlée par une société française assujettie et que les seuils sont atteints au niveau consolidé. Le groupe doit déployer son programme anticorruption dans l'ensemble de ses filiales, en l'adaptant aux spécificités locales (langue, droit du travail local pour le règlement intérieur, risques propres au pays).
Leto peut-il m'aider à structurer mon programme Sapin 2 ?
Oui. Leto prend en charge le pilier 6 (formation et sensibilisation) avec une plateforme unique : parcours de formation personnalisés par profil de risque, traçabilité automatisée des complétions pour vos rapports AFA, et tableau de bord de conformité.
