Article 17 de la loi Sapin 2 : comprendre le programme anticorruption

1/6/2026
Tous les guides
📚 Notions de base

L'article 17 de la loi Sapin 2 (loi n° 2016-1691 du 9 décembre 2016) est la disposition qui crée l'obligation de programme anticorruption pour les grandes entreprises françaises et étrangères opérant en France. Il impose huit mesures concrètes, soumises au contrôle de l'AFA et sanctionnées jusqu'à 1 000 000 euros pour les personnes physiques et 5 000 000 euros pour les personnes morales depuis la loi 2024-364 du 22 avril 2024. Ce guide décrypte le texte, les critères de périmètre et les conséquences pratiques d'un contrôle AFA.

Pour le cadre général de la loi, voir notre guide complet loi Sapin 2. Pour les sanctions applicables en cas de manquement, voir les sanctions Sapin 2.

Texte de l'article 17 et son interprétation

L'article 17 de la loi Sapin 2 est codifié à l'article L. 17 de la loi n° 2016-1691 du 9 décembre 2016. Son premier paragraphe pose l'obligation dans ces termes :

Les sociétés qui emploient au moins cinq cents salariés, ou appartenant à un groupe de sociétés dont la société dominante emploie au moins cinq cents salariés, et dont le chiffre d'affaires ou le chiffre d'affaires consolidé est supérieur à 100 millions d'euros, sont tenues de mettre en oeuvre des mesures destinées à prévenir et à détecter la commission, en France ou à l'étranger, de faits de corruption ou de trafic d'influence tels que définis aux articles 433-1, 433-2, 435-3, 435-4, 435-9, 435-10, 445-1 et 445-2 du code pénal et à l'article 1er de la convention de l'OCDE sur la lutte contre la corruption d'agents publics étrangers dans les transactions commerciales internationales, ainsi que des faits de concussion, de prise illégale d'intérêts, de détournement de fonds publics et de favoritisme.

Décryptage des obligations point par point

Trois éléments méritent une attention particulière dans ce texte :

  • Le champ des infractions est large : l'article ne se limite pas à la corruption stricto sensu. Il englobe le trafic d'influence, la concussion, la prise illégale d'intérêts, le détournement de fonds publics et le favoritisme. Les entreprises assujetties doivent cartographier l'ensemble de ces risques, pas seulement les risques de corruption avec des agents publics étrangers.
  • La portée est internationale : les mesures doivent prévenir et détecter des faits commis "en France ou à l'étranger". Un programme limité aux opérations en France est non conforme dès lors que l'entreprise a une activité commerciale internationale ou des filiales hors UE.
  • L'obligation porte sur le programme, pas sur l'absence d'acte de corruption : une entreprise peut subir un acte de corruption sans être sanctionnée par l'AFA si son programme était conforme. En revanche, une entreprise dont aucun acte de corruption n'est constaté mais dont le programme est absent ou insuffisant peut être sanctionnée. C'est une logique de conformité procédurale, pas de résultat.

À qui s'applique l'article 17 spécifiquement ?

L'article 17 ne s'applique pas à toutes les entreprises concernées par la loi Sapin 2 au sens large. Il cible un sous-ensemble précis défini par un double critère cumulatif. Pour le périmètre complet de la loi, voir notre guide sur les entreprises concernées par Sapin 2.

Le double critère cumulatif

Une société est assujettie à l'article 17 si elle remplit simultanément :

  • Seuil d'effectifs : au moins 500 salariés dans la société elle-même, ou dans le groupe dont elle est la société dominante.
  • Seuil de chiffre d'affaires : chiffre d'affaires (ou chiffre d'affaires consolidé du groupe) supérieur à 100 millions d'euros.

Ces deux critères sont appréciés au niveau de la société individuelle ET au niveau du groupe. Une filiale française de 200 salariés dont la maison mère dépasse les seuils est assujettie à l'article 17 même si elle ne dépasse pas individuellement les critères.

Cas des groupes internationaux et des filiales

L'article 17 est explicitement applicable aux filiales françaises de groupes étrangers dont la société dominante (même étrangère) dépasse les seuils. Les groupes américains, britanniques ou asiatiques avec une présence en France sont donc directement concernés, indépendamment de leur conformité aux lois anticorruption de leur pays d'origine (FCPA américain, UK Bribery Act).

Point d'attention pour les opérations M&A : lors de l'acquisition d'une société cible, l'acquéreur doit évaluer si la cible est elle-même assujettie à l'article 17 et, si oui, auditer son programme anticorruption dans le cadre de la due diligence. L'AFA publie des recommandations spécifiques sur les procédures d'intégration post-acquisition.

Le programme anticorruption : les 8 mesures obligatoires

L'article 17-II énumère limitativement les huit mesures que le programme anticorruption doit comporter. Ces mesures sont précisées par les recommandations de l'Agence Française Anticorruption (AFA), publiées en 2021 et partiellement actualisées en 2024. Les recommandations constituent le référentiel d'évaluation lors des contrôles.

Les 8 piliers définis par l'article 17

  • 1. Code de conduite : définit et illustre les types de comportements à proscrire comme susceptibles de caractériser des faits de corruption ou de trafic d'influence. Il doit être intégré au règlement intérieur et annexé aux contrats de travail des personnels exposés.
  • 2. Dispositif d'alerte interne : destiné à recueillir les signalements d'employés relatifs à des conduites contraires au code de conduite. Le dispositif doit garantir la confidentialité du signalement et la protection du lanceur d'alerte (loi Sapin 2 complète la loi Waserman du 21 mars 2022).
  • 3. Cartographie des risques : identifie, analyse et hiérarchise les risques d'exposition selon les secteurs d'activité et les zones géographiques. C'est le pilier fondateur : sans cartographie actualisée, l'ensemble du programme est considéré non conforme lors d'un contrôle AFA. Pour la méthodologie, voir notre guide sur la cartographie des risques.
  • 4. Procédures d'évaluation des tiers : évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques (due diligence proportionnée au niveau de risque identifié).
  • 5. Procédures de contrôles comptables : internes ou externes, pour s'assurer que les livres, registres et comptes ne sont pas utilisés pour masquer des faits de corruption. Ce pilier couvre les procédures d'autorisation des dépenses, les contrôles sur les paiements à des tiers et la gestion des cadeaux et invitations.
  • 6. Dispositif de formation : destiné aux cadres et aux personnels les plus exposés aux risques. La formation doit être documentée (attestations de complétion), régulière et adaptée aux risques spécifiques des fonctions concernées (achat, commercial, direction financière, international).
  • 7. Régime disciplinaire : permet de sanctionner les salariés en cas de violation du code de conduite. Il doit être formalisé, proportionné et appliqué de manière cohérente.
  • 8. Dispositif d'évaluation interne : contrôle régulier de l'efficacité des sept mesures précédentes. Il prend généralement la forme d'un rapport annuel de la fonction compliance présenté aux instances dirigeantes, assortis d'indicateurs de performance.

Pour une description détaillée de chacun de ces piliers, voir notre guide sur les 8 piliers du programme anticorruption Sapin 2.

L'instance de pilotage : obligation implicite confirmée par l'AFA

L'article 17 ne mentionne pas explicitement une instance de pilotage dédiée, mais les recommandations AFA 2021 en font une exigence de fait. L'AFA vérifie lors de ses contrôles qu'une instance (comité de conformité, comité anticorruption ou équivalent) se réunit au moins deux fois par an, avec un compte-rendu documenté transmis à la direction générale. L'absence de gouvernance formalisée est systématiquement relevée comme une non-conformité.

Le rôle de l'AFA dans le contrôle de l'article 17

L'AFA a été créée par l'article 1er de la même loi Sapin 2 précisément pour contrôler le respect de l'article 17. Elle dispose d'un accès aux locaux, aux documents et aux personnels de l'entité contrôlée, sous le seul contrôle du juge judiciaire en cas de contestation. Pour le détail du processus, voir notre guide sur l'AFA.

Déclenchement du contrôle

Les contrôles AFA peuvent être initiés de deux façons :

  • Contrôle d'initiative : l'AFA sélectionne elle-même les entités à contrôler. Les critères de sélection ne sont pas publiés, mais les secteurs à risque (BTP, défense, énergie, services aux collectivités, commerce international) sont davantage ciblés.
  • Contrôle sur demande : l'AFA peut être saisie par le Premier ministre, un ministre, une autorité judiciaire, ou dans le cadre d'une Convention Judiciaire d'Intérêt Public (CJIP) pour vérifier l'exécution du programme de mise en conformité.

Ce que l'AFA vérifie en pratique

L'AFA évalue la conformité du programme aux recommandations 2021/2024 sur chacun des 8 piliers. Son contrôle porte sur l'effectivité réelle des mesures, pas seulement sur leur existence documentaire :

  • La cartographie des risques est-elle actualisée et couvre-t-elle l'ensemble des zones géographiques et secteurs d'activité ?
  • Les formations sont-elles tracées individuellement pour les personnels exposés ?
  • Le dispositif d'alerte est-il réellement accessible et les signalements traités avec traçabilité ?
  • Les due diligences tiers sont-elles proportionnées au niveau de risque identifié dans la cartographie ?

Sanctions pour non-conformité à l'article 17

L'article 17 dote l'AFA d'un mécanisme de sanction en deux niveaux : programme de mise en conformité imposé et/ou saisine de la Commission des sanctions. La loi 2024-364 du 22 avril 2024 a substantiellement durci les sanctions financières.

Sanctions prononcées par la Commission des sanctions de l'AFA

Dirigeants et personnes physiquesAmende administrative maximale de 1 000 000 euros (relevée par la loi 2024-364 du 22 avril 2024, anciennement 200 000 euros). La Commission peut prononcer une sanction plus élevée si le bénéfice tiré de l'infraction est supérieur à ce plafond.Personnes moralesAmende administrative maximale de 5 000 000 euros (relevée par la loi 2024-364, anciennement 1 000 000 euros). Ces plafonds ont été multipliés par 5 pour renforcer le caractère dissuasif du dispositif, suite aux critiques de l'OCDE sur les sanctions françaises.Programme de mise en conformité imposéDurée maximale de 3 ans, suivi périodique par l'AFA, assorti d'une astreinte en cas de non-exécution. Ce programme est distinct du programme volontaire de l'article 17 : il est contraignant et piloté par l'AFA.

La Convention Judiciaire d'Intérêt Public (CJIP)

La CJIP, également introduite par la loi Sapin 2, est une transaction négociée entre le procureur de la République et une personne morale mise en cause pour corruption. Elle permet d'éviter un procès pénal en échange du paiement d'une amende d'intérêt public (jusqu'à 30% du chiffre d'affaires annuel moyen des 3 derniers exercices) et de la mise en oeuvre d'un programme de mise en conformité sous contrôle AFA. La CJIP Airbus de 2020 (2,1 milliards d'euros de pénalités combinées au niveau international) reste la référence emblématique de ce dispositif.

Questions fréquemment posées

Que dit exactement l'article 17 de la loi Sapin 2 ?

L'article 17 de la loi Sapin 2 (loi n° 2016-1691 du 9 décembre 2016) oblige les entreprises de plus de 500 salariés et 100 millions d'euros de chiffre d'affaires (ou appartenant à un groupe dépassant ces seuils) à mettre en oeuvre un programme anticorruption composé de huit mesures : code de conduite, dispositif d'alerte, cartographie des risques, procédures d'évaluation des tiers, contrôles comptables, formation, régime disciplinaire et dispositif d'évaluation interne.

Mon entreprise de 300 salariés est-elle concernée par l'article 17 ?

Une entreprise de 300 salariés n'est pas assujettie à l'article 17 prise isolément. En revanche, si elle appartient à un groupe dont la société dominante emploie plus de 500 salariés avec un chiffre d'affaires consolidé supérieur à 100 millions d'euros, elle est concernée par le programme anticorruption du groupe. Le groupe doit déployer des mesures couvrant l'ensemble de ses entités, y compris les filiales sous les seuils.

Quelle est la différence entre l'article 17 et les 8 piliers Sapin 2 ?

L'article 17 est le texte légal qui crée l'obligation et énumère les 8 mesures obligatoires. Les "8 piliers" est la désignation opérationnelle de ces 8 mesures, utilisée dans les recommandations de l'AFA (2021, actualisées 2024) qui détaillent le contenu attendu de chacune. L'article 17 est la source juridique, les 8 piliers sont le référentiel opérationnel.

L'article 17 s'applique-t-il aux filiales françaises de groupes américains ou britanniques ?

Oui. L'article 17 s'applique à toute société soumise au droit français dont le groupe dépasse les seuils, quelle que soit la nationalité de la société dominante. Une filiale française d'un groupe américain (même soumis au FCPA) ou britannique (même soumis au UK Bribery Act) est directement concernée et doit disposer d'un programme conforme à l'article 17 Sapin 2.

Que risque-t-on en cas d'absence de programme anticorruption conforme ?

L'AFA peut saisir sa Commission des sanctions indépendante. Celle-ci peut prononcer une amende jusqu'à 1 000 000 euros pour les personnes physiques (dirigeants) et 5 000 000 euros pour les personnes morales (loi 2024-364). La Commission peut aussi imposer un programme de mise en conformité de 3 ans sous contrôle AFA. En parallèle, si des infractions pénales sont détectées lors du contrôle, le dossier est transmis au parquet.

Les recommandations AFA sont-elles obligatoires pour respecter l'article 17 ?

Les recommandations de l'AFA ne sont pas contraignantes au sens légal : le texte contraignant est l'article 17 lui-même. En pratique, les recommandations 2021 (actualisées 2024) constituent le référentiel utilisé lors des contrôles pour évaluer chaque pilier. Ne pas les respecter expose à une appréciation défavorable lors du contrôle. Elles sont la meilleure traduction opérationnelle des obligations légales.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

Donnée sensible et RGPD : le guide pour vous mettre en conformité
11/4/2022
Modèle droit à l’image : guide pour entreprises
2/10/2024
CNIL : Définition, Rôle et Missions [Guide 2026]
30/11/2022
Créer une politique de confidentialité RGPD : règles à suivre
9/6/2023
LCB-FT : tout comprendre sur la réglementation anti-blanchiment
14/5/2026
Blanchiment d'argent : qu'est-ce que c'est et comment le détecter en entreprise ?
18/5/2026

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026