Les donneurs d’ordres assujettis à la loi Sapin 2 doivent déployer les 8 mesures anticorruption de l’article 17 et évaluer l’intégrité de l’ensemble de leurs tiers (clients, fournisseurs, sous-traitants, prestataires et intermédiaires).
Dans ce guide pratique, la rédaction de Provigis fait le point sur le périmètre d’assujettissement, les obligations de l’article 17, les sanctions encourues et l’évaluation de la conformité des tiers au titre de la loi Sapin 2.
Qu’est-ce que la loi Sapin 2 ?
La loi n° 2016-1691 du 9 décembre 2016, dite « loi Sapin 2 », porte sur la transparence, la lutte contre la corruption et la modernisation de la vie économique. Entrée en vigueur le 1er juin 2017, elle tire son nom de Michel Sapin, alors ministre de l’Économie et des Finances.
Elle fait suite à la première loi Sapin de 1993 et répond à un double constat : l’OCDE pointait l’insuffisance du dispositif anticorruption français, et plusieurs affaires médiatisées (Cahuzac, Panama Papers, « Air Cocaïne ») avaient exposé les failles du système en place.
La loi impose aux grandes entreprises un programme anticorruption articulé autour de 8 mesures obligatoires, détaillées à l’article 17 (voir partie 3). Elle a aussi acté :
- la création de l’Agence Française Anticorruption (AFA), dotée de pouvoirs de contrôle et de sanction ;
- un statut protecteur pour les lanceurs d’alerte en entreprise ;
- la convention judiciaire d’intérêt public (CJIP), qui permet de résoudre des affaires de corruption sans passer par un procès ;
- l’encadrement des activités de lobbying via un registre tenu par la HATVP.
💡 L’Agence Française Anticorruption (AFA)
L’AFA a remplacé le Service Central de Prévention de la Corruption (SCPC). Elle publie régulièrement des recommandations à destination des entreprises, contrôle la qualité de leurs dispositifs anticorruption et peut saisir la Commission des sanctions en cas de manquement.
Qui est concerné par la loi Sapin 2 ?
Le périmètre d’assujettissement à la loi Sapin 2 est défini à l’article 17. Il vise en premier lieu les sociétés et EPIC de plus de 500 salariés réalisant plus de 100 millions d’euros de chiffre d’affaires, mais son champ d’application s’étend également aux filiales, administrations, dirigeants à titre personnel et, par effet de cascade, TPE et PME fournisseurs de grands comptes.
1. Les entreprises et les filiales
L’article 17 de la loi Sapin 2 soumet au programme anticorruption les sociétés et les EPIC qui remplissent deux critères cumulatifs :
- Un effectif d’au moins 500 salariés (ou l’appartenance à un groupe français dont l’effectif total atteint ce seuil) ;
- Un chiffre d’affaires supérieur à 100 millions d’euros (ou un CA consolidé du groupe français dépassant ce montant).
Lorsque la société mère est en France et dépasse ces seuils, l’obligation anticorruption « ruisselle » vers toutes les filiales qu’elle contrôle, en France comme à l’étranger, quel que soit leur effectif ou leur chiffre d’affaires propre. En revanche, les filiales françaises d’un groupe étranger ne sont assujetties que si elles atteignent elles-mêmes les deux critères cumulatifs.
💡 Les EPIC et la loi Sapin 2
Les établissements publics à caractère industriel et commercial (EPIC), c’est-à-dire les entités publiques qui exercent une activité commerciale (SNCF, CEA, RATP, etc.), sont soumis à l’article 17 dans les mêmes conditions que les sociétés privées.
2. Les administrations et le secteur public
Les administrations d’État, les collectivités territoriales et les établissements publics administratifs relèvent de l’article 3 de la loi Sapin 2, qui impose un dispositif anticorruption sans condition de seuil.
Différence majeure : l’AFA ne dispose d’aucun pouvoir de sanction à l’égard de ces entités publiques. Elle peut contrôler et recommander, mais pas saisir la commission des sanctions.
En 2024, l’AFA a mené 27 contrôles dont 17 auprès d’acteurs publics, soit près des deux tiers. Elle a d’ailleurs publié, avec l’Association des maires de France, un guide destiné aux élus du bloc communal et annoncé en février 2025 l’ouverture de contrôles dans les grands ports maritimes français, dans le cadre de ses travaux sur les liens entre corruption et criminalité organisée.
3. Les dirigeants et les personnes physiques
L’article 17 désigne nommément « les présidents, les directeurs généraux et les gérants » comme responsables du déploiement du programme anticorruption. En cas de contrôle, l’AFA consacre un chapitre entier de son questionnaire à l’évaluation de l’engagement de l’instance dirigeante.
Les salariés ne portent pas la responsabilité du dispositif, mais la loi Sapin 2 leur confère un rôle actif dans la détection de la corruption. Protégés par le statut de lanceur d’alerte (renforcé par la loi Waserman du 21 mars 2022), ils ne peuvent faire l’objet d’aucune mesure discriminatoire ni de représailles après un signalement.
4. Les TPE et PME sont-elles concernées par la loi Sapin 2 ?
Les TPE et PME n’atteignent pas les seuils de l’article 17 et n’ont aucune obligation légale de mettre en place un dispositif anticorruption. En revanche, celles qui travaillent avec des clients grands comptes sont généralement incitées à prendre des mesures en la matière. La collaboration est souvent verrouillée par des clauses anticorruption dans les contrats.
Typiquement, les TPE et PME qui répondent à des appels d’offres ou qui souhaitent travailler avec des clients grands comptes doivent :
- Élaborer et appliquer un code de conduite anticorruption, signé par la direction ;
- Répondre à un questionnaire d’évaluation Sapin 2 (bénéficiaires effectifs, pratiques commerciales, exposition aux pays à risque, etc.) ;
- Apporter la preuve que leurs propres sous-traitants font l’objet d’une vérification d’intégrité.
Pour aller plus loin, consultez notre article « Loi Sapin 2 : qui est concerné ? »
💡 Les recommandations de l’AFA pour les PME
L’AFA a publié un guide pratique proposant aux PME et (petites) ETI une approche simplifiée et progressive pour structurer leur dispositif anticorruption : cartographie des risques et code de conduite d’abord, puis enrichissement progressif.
Quelles sont les 8 mesures obligatoires de la loi Sapin 2 ?
L’article 17 impose aux entités assujetties un programme anticorruption structuré en 8 mesures, qui constituent le socle légal de la loi Sapin 2. Nous les avons synthétisées dans le tableau suivant. Pour un décryptage plus exhaustif, consultez notre article : « Les 8 mesures de la loi Sapin 2 ».
Mesure Objet 1. Code de conduite Définit les comportements prohibés (corruption, trafic d’influence, conflits d’intérêts, etc.) et s’intègre au règlement intérieur. 2. Dispositif d’alerte interne Permet aux salariés de signaler des conduites contraires au code de conduite, de façon confidentielle. 3. Cartographie des risques Identifie et hiérarchise les risques de corruption par processus, zone géographique et secteur d’activité. 4. Évaluation des tiers Vérifie l’intégrité des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie. 5. Contrôles comptables Détecte les anomalies pouvant masquer des faits de corruption (flux financiers, commissions, frais de représentation). 6. Formation Sensibilise les cadres et personnels exposés aux risques identifiés dans la cartographie. 7. Régime disciplinaire Prévoit des sanctions internes graduées en cas de violation du code de conduite. 8. Contrôle et évaluation interne Audite régulièrement l’ensemble du dispositif pour en mesurer l’efficacité et l’améliorer.
Quelles sanctions en cas de manquement à la loi Sapin 2 ?
La loi Sapin 2 prévoit deux régimes de sanctions, auxquels s’ajoute un mécanisme transactionnel :
- Les sanctions administratives : la commission des sanctions de l’AFA peut intervenir lorsque le dispositif anticorruption est absent ou défaillant, indépendamment de tout fait de corruption avéré (avertissement, injonction de mise en conformité sous 3 ans et amende).
- Les sanctions pénales s’appliquent lorsque des faits de corruption ou de trafic d’influence sont établis par la justice ;
- La convention judiciaire d’intérêt public (CJIP) permet à l’entreprise de résoudre l’affaire avec le parquet sans reconnaissance de culpabilité et sans procès.
Dans les trois cas, la décision peut être rendue publique, ce qui expose l’entreprise à un préjudice réputationnel.
Type de sanction Personne physique (dirigeant) Personne morale (entreprise) Administrative Jusqu’à 200 000 € d’amende Jusqu’à 1 M€ d’amende + injonction (max. 3 ans) Pénale Jusqu’à 10 ans de prison et 1 M€ d’amende + interdiction d’exercer Jusqu’à 5 M€ (ou 10× le produit de l’infraction) + exclusion des marchés publics UE pendant 5 ans CJIP Les dirigeants restent personnellement poursuivables Amende jusqu’à 30 % du CA + programme de conformité sous contrôle AFA (max. 3 ans)
💡 Les CJIP en chiffres (2026)
27 CJIP ont été publiées sur le site de l’AFA entre 2017 et 2026. Par exemple, le groupe PAPREC a dû régler une amende dépassant 17 millions d’euros en 2025. La liste complète est consultable sur le site de l’AFA et du ministère de la Justice.
Comment évaluer la conformité de ses tiers au titre de la loi Sapin 2 ?
Selon le diagnostic national de l’AFA, 59 % des entreprises considèrent l’évaluation des tiers comme la mesure anticorruption la plus difficile à déployer.
L’article 17 cible en effet « les clients, fournisseurs de premier rang et intermédiaires », que l’AFA recommande de classer en groupes de tiers homogènes (GTH) selon le pays d’implantation, le secteur d’activité et la nature de la relation commerciale. Le donneur d’ordres doit ensuite adapter le niveau de due diligence au risque identifié.
L’évaluation porte notamment sur :
- L’identité et la structure actionnariale du tiers (bénéficiaires effectifs, Kbis ou équivalent étranger) ;
- L’exposition aux risques de corruption (pays d’implantation, secteur et recours à des intermédiaires) ;
- Le screening sur les listes de sanctions internationales, les personnes politiquement exposées (PEP) et la presse négative ;
- L’existence d’un code de conduite anticorruption chez le tiers et la réponse à un questionnaire Sapin 2.
💡 Verrouillez la conformité de vos tiers à la loi Sapin 2 avec Provigis
Provigis permet aux donneurs d’ordres d’automatiser la collecte et l’authentification des docuements réglementaires et spécifiques, l’administration des questionnaires Sapin 2 et le screening anticorruption via ses partenaires Altares InDueD, EQS Group et Creditsafe. Grace aux modules de risques thématiques identioté, sanctions et corruptions chaque tiers évalué se voit attribuer un score de risque qui conditionne le niveau de diligence à appliquer. L’ensemble des preuves est archivé avec valeur probatoire pour alimenter la piste d’audit en cas de contrôle de l’AFA.
FAQ : nos réponses à vos questions sur la loi Sapin 2
C’est une obligation de moyens. L’entreprise doit démontrer qu’elle a mis en place une démarche structurée et documentée pour évaluer l’intégrité de ses tiers. L’AFA n’attend pas une certitude absolue sur la probité de chaque partenaire, mais la preuve que l’entreprise a déployé les diligences proportionnées au risque identifié.
Les recommandations de l’AFA n’imposent pas de fréquence fixe, mais précisent que l’entreprise doit se poser la question de la mise à jour au moins une fois par an. L’actualisation s’impose en revanche après tout changement significatif : entrée sur un nouveau marché géographique, lancement d’une nouvelle activité, acquisition d’une filiale, évolution réglementaire majeure…
La loi Sapin 1 (1993) ciblait principalement les collusions entre secteur public et secteur privé. La loi Sapin 2 (2016) va beaucoup plus loin en imposant aux grandes entreprises privées un programme anticorruption contraignant, en créant l’AFA avec de vrais pouvoirs de contrôle et de sanction, en instaurant la CJIP et en protégeant les lanceurs d’alerte.
Non. L’AFA qualifie les cadeaux et invitations d’« actes ordinaires de la vie des affaires ». Leur offre ou leur réception n’est pas interdite par l’article 17, mais l’AFA recommande le « test du journal » : si la publication du cadeau ou de l’invitation dans la presse porte atteinte à la réputation de l’entreprise, il vaut mieux le refuser.
La corruption active désigne le fait de proposer ou d’accorder un avantage indu à une personne pour qu’elle accomplisse ou s’abstienne d’accomplir un acte relevant de sa fonction. La corruption passive désigne le fait, pour cette personne, de solliciter ou d’accepter cet avantage. Les deux sont punies des mêmes peines (jusqu’à 10 ans de prison et 1 M€ d’amende dans le secteur public). La loi Sapin 2 vise aussi bien le corrupteur que le corrompu, et la tentative est sanctionnée au même titre que le fait accompli.