Loi Sapin 2 : qui est concerné par les obligations anticorruption ?

Êtes-vous concerné par la loi Sapin 2 ?

La loi Sapin 2 (loi n° 2016-1691 du 9 décembre 2016) impose des obligations anticorruption à toute société employant au moins 500 salariés et dont le chiffre d'affaires (CA) ou le CA consolidé du groupe dépasse 100 millions d'euros. Les deux critères sont cumulatifs.

Ce double seuil est apprécié à la clôture du dernier exercice comptable. Si vous dépassez l'un des deux mais pas l'autre, vous n'êtes pas assujetti - mais restez vigilant si votre trajectoire de croissance vous en approche.

• Effectif ≥ 500 salariés et CA ≥ 100 M€ : concerné - 8 obligations applicables
• Effectif ≥ 500 salariés et CA < 100 M€ : non concerné par Sapin 2
• Effectif < 500 salariés et CA ≥ 100 M€ : non concerné par Sapin 2
• Effectif < 500 salariés et CA < 100 M€ : non concerné par Sapin 2

Si vous franchissez les deux seuils, vous êtes soumis aux 8 piliers du programme anticorruption définis à l'article 17 de la loi, sous contrôle de l'Agence française anticorruption (AFA).

Sociétés mères et filiales : le calcul consolidé

Le seuil de 100 M€ s'apprécie au niveau du chiffre d'affaires consolidé du groupe (art. 17-I de la loi Sapin 2). Ce mécanisme modifie profondément le périmètre pour les groupes structurés en holding.

Filiales d'un grand groupe

Une filiale de 200 salariés qui réalise 20 M€ de CA propre n'est pas assujettie en elle-même. En revanche, si son groupe dépasse 100 M€ de CA consolidé, la société mère est assujettie et son programme anticorruption doit couvrir toutes ses filiales sous contrôle - y compris cette filiale de 200 personnes (décision AFA, rapport de contrôle 2022).

Société mère holding

Une holding qui contrôle plusieurs filiales opérationnelles doit consolider les effectifs et le CA de l'ensemble. Si le périmètre consolidé franchit 500 salariés et 100 M€, la holding est assujettie et le programme anticorruption doit s'appliquer à toutes les entités sous contrôle.

Calcul multi-pays

Les sociétés françaises ayant des filiales à l'étranger intègrent leur CA mondial dans le calcul consolidé. À l'inverse, une société étrangère dont la filiale française emploie au moins 500 salariés et appartient à un groupe dépassant 100 M€ de CA consolidé est assujettie pour ses activités en France (art. 17-VII).

Secteurs public, privé, international

Secteur privé

Toutes les formes juridiques sont concernées dès lors que les seuils sont franchis : SA, SAS, SARL, SCA, SE. Le secteur d'activité n'a aucune importance - industrie, banque, assurance, santé, distribution, tech, services professionnels : tous sont visés à égalité.

Secteur public et établissements publics

La loi Sapin 2 s'applique aux établissements publics à caractère industriel et commercial (EPIC) et aux sociétés d'économie mixte (SEM) qui dépassent les seuils. Les administrations d'État, collectivités territoriales et établissements publics administratifs (EPA) ne sont pas soumis à l'art. 17 - ils relèvent de régimes distincts issus de la loi Sapin 1 (1993) et de la loi n° 2017-1339 relative à la déontologie de la vie publique.

Entreprises étrangères actives en France

Une société de droit étranger dont la filiale ou la succursale en France emploie au moins 500 salariés, et dont le groupe dépasse 100 M€ de CA consolidé, est assujettie pour ses activités sur le territoire français. L'AFA peut la contrôler et saisir la commission des sanctions (art. 17-VII).

Cas pratiques

Scénario 1 - ETI industrielle, 600 salariés, CA 80 M€

Effectif : 600 ✅ - CA : 80 M€ ❌. Les deux seuils ne sont pas cumulativement franchis. Non assujettie à Sapin 2. Recommandation : anticiper les audits fournisseurs et préparer un code de conduite volontaire si vous répondez à des appels d'offres de donneurs d'ordre assujettis - ils devront évaluer votre risque corruption.

Scénario 2 - Filiale française (300 salariés) d'un groupe international (CA consolidé 4 Md€)

La filiale emploie 300 personnes. Seuil effectif ❌ au niveau de la filiale. La filiale n'est pas directement assujettie. Mais la société mère l'est, et son programme anticorruption doit s'étendre à la filiale française : code de conduite applicable, procédures d'évaluation des tiers, formation des personnels exposés.

Scénario 3 - Groupe de services financiers : holding + 3 filiales, 700 salariés consolidés, CA consolidé 150 M€

La holding ne compte que 50 salariés en propre et 30 M€ de CA propre. Mais le calcul consolidé porte les effectifs à 700 ✅ et le CA à 150 M€ ✅. La holding est assujettie. Elle doit déployer les 8 piliers et peut faire l'objet d'un contrôle AFA à tout moment, y compris sur les processus de ses filiales opérationnelles.

Scénario 4 - ETI de santé, 520 salariés, CA 110 M€

Les deux seuils sont franchis. Assujettie. Premières priorités : désigner un référent anticorruption (obligatoire, art. 17-II), lancer la cartographie des risques (achats, tiers commerciaux, marchés hospitaliers), rédiger le code de conduite. L'AFA publie des recommandations sectorielles spécifiques au secteur de la santé, disponibles sur son site.

Que faire si vous êtes concerné ?

Si votre organisation franchit les deux seuils, vous devez déployer un programme anticorruption conforme à l'article 17. L'AFA recommande d'anticiper avant même le franchissement, dès que la trajectoire est visible.

Les 8 piliers obligatoires sont :

1. Code de conduite anticorruption
2. Cartographie des risques
3. Procédure d'alerte interne
4. Formation des collaborateurs exposés
5. Evaluation des tiers (clients, fournisseurs, intermédiaires)
6. Contrôles comptables dédiés
7. Régime disciplinaire
8. Dispositif de contrôle et d'évaluation interne

Un programme non conforme expose à une sanction AFA pouvant aller jusqu'à 200 000 € pour les personnes morales (art. 17-VII), assortie d'une publication de la décision pendant 5 ans.

FAQ

La loi Sapin 2 s'applique-t-elle aux PME ?

Non. Les PME qui emploient moins de 500 salariés ou dont le CA est inférieur à 100 M€ ne sont pas assujetties à l'article 17. En revanche, si elles travaillent avec une entreprise assujettie, cette dernière doit évaluer le risque corruption chez ses tiers - les PME font donc l'objet d'une diligence de leurs donneurs d'ordre assujettis.

Comment compte-t-on les 500 salariés ?

L'effectif est calculé selon les règles du Code du travail (art. L. 1111-2) : CDI à temps plein = 1 unité, CDI à temps partiel comptabilisé au prorata de l'horaire, CDD comptabilisés selon leur durée de présence sur l'exercice. Les intérimaires sont inclus si leur mission dépasse 60 jours sur l'exercice.

Le seuil de 100 M€ inclut-il les filiales étrangères ?

Oui. Pour les groupes, le chiffre d'affaires à retenir est le CA consolidé, qui intègre les filiales sous contrôle, y compris à l'étranger. Une société mère française avec des filiales en Asie ou en Amérique latine devra intégrer leur CA dans le calcul.

Une association loi 1901 est-elle concernée ?

Non, si elle ne dépasse pas les seuils et n'est pas un EPIC ou une SEM. Les associations à but non lucratif relèvent d'autres régimes. En pratique, rares sont les associations qui franchissent simultanément 500 ETP et 100 M€ de ressources.

Qu'est-ce que l'AFA peut contrôler ?

L'Agence française anticorruption peut contrôler n'importe quelle société assujettie, sur initiative propre ou sur demande du parquet. Elle vérifie la conformité des 8 piliers, émet des recommandations, et peut saisir la commission des sanctions. Celle-ci peut condamner jusqu'à 200 000 € (personne morale) et ordonner la publication de la décision en ligne pendant 5 ans.

Peut-on déléguer la conformité Sapin 2 à un prestataire externe ?

Partiellement. La loi impose la désignation d'un référent anticorruption interne (art. 17-II). Ce référent peut s'appuyer sur des prestataires externes (avocat, consultant compliance) pour certaines tâches - cartographie, formation, évaluation des tiers - mais la responsabilité légale reste portée par la société et son dirigeant.

Sapin 2 s'applique-t-elle au secteur public ?

Partiellement. Les EPIC et les SEM entrant dans les seuils sont assujettis. Les administrations d'État et les collectivités territoriales ne le sont pas au titre de l'art. 17, mais ont des obligations propres issues de la loi Sapin 1 (1993) et des règles de déontologie de la vie publique.

Quel lien avec le FCPA américain ou le UK Bribery Act ?

La loi Sapin 2 s'inscrit dans un mouvement international de compliance anticorruption. Le FCPA (Foreign Corrupt Practices Act) s'applique à toute société cotée aux États-Unis ou effectuant des paiements en dollars. Le UK Bribery Act vise les sociétés britanniques ou opérant au Royaume-Uni. Une ETI française exposée à l'international peut cumuler les trois régimes simultanément.

La cartographie des risques doit-elle être mise à jour chaque année ?

Pas nécessairement chaque année, mais régulièrement. L'AFA recommande une révision tous les 2 à 3 ans au minimum, et après tout événement significatif : acquisition, ouverture d'un nouveau marché géographique, changement de dirigeant ou de modèle commercial. Les procédures d'évaluation des tiers doivent être révisées en continu.

Quelle est la différence entre la loi Sapin 2 et la loi Sapin 1 ?

La loi Sapin 1 (1993) visait principalement la commande publique et les délégations de service public, avec des règles de transparence et de publicité. La loi Sapin 2 (2016) a créé un dispositif de compliance privée - programme anticorruption, référent dédié, sanctions AFA - inspiré des standards FCPA et UK Bribery Act, applicable aux grandes entreprises privées et aux EPIC.