La corruption adore les zones grises. Elle s’y glisse comme une vieille habitude administrative, avec le sourire discret de ceux qui pensent que les règles ne s’appliquent qu’aux autres. La loi Sapin II, elle, est venue rappeler un détail fort désagréable pour les amateurs de petits arrangements : la conformité n’est plus un luxe moral, c’est une obligation. Et la vigilance n’est pas un mot décoratif dans un rapport annuel, mais une exigence bien réelle, parfois brutale, souvent négligée, toujours risquée lorsqu’on la traite comme une formalité.
Alors, qui est concerné par ces obligations ? Les grandes entreprises, bien sûr, mais pas seulement. Derrière le grand mot “Sapin”, il y a un ensemble de règles qui vise à encadrer la prévention de la corruption, des conflits d’intérêts, du trafic d’influence et, plus largement, les comportements qui transforment un marché en terrain de jeu pour cyniques pressés. Voici, sans parfum d’encens institutionnel, ce qu’il faut vraiment savoir.
La loi Sapin II, c’est quoi exactement ?
La loi dite “Sapin II”, adoptée en 2016, est une loi française relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique. Son objectif est simple à formuler, moins simple à appliquer : empêcher que les entreprises ferment les yeux sur des pratiques corruptives, notamment dans leurs opérations en France et à l’étranger.
Elle impose notamment aux entreprises de mettre en place un dispositif de prévention de la corruption et du trafic d’influence. En clair, il ne suffit plus de dire “nous ne faisons pas ça chez nous”. Il faut le prouver, l’organiser, le contrôler, et garder des traces. La conformité devient un système, pas un slogan.
À ne pas confondre avec le devoir de vigilance au sens strict, issu d’une autre loi française, celle de 2017. Mais dans le langage courant, les deux notions se croisent souvent : la loi Sapin II pour la prévention anticorruption, et la vigilance pour la surveillance des risques dans la chaîne d’activité. Le mélange est courant, la confusion aussi. Le risque, lui, ne se confond jamais : il sanctionne tout le monde avec une belle égalité démocratique.
Quelles entreprises sont soumises aux obligations de conformité ?
La loi Sapin II vise en priorité les grandes entreprises. Le critère principal est le suivant : sont concernées les sociétés ou groupes qui emploient au moins 500 salariés et réalisent un chiffre d’affaires consolidé supérieur à 100 millions d’euros. Les entreprises publiques de cette taille entrent également dans le champ d’application.
Autrement dit, la cible est claire : les acteurs économiques d’une certaine envergure, ceux qui disposent de moyens suffisants pour ne pas prétendre que la mise en conformité est un caprice de juriste. Si votre groupe pilote des filiales, travaille à l’international, recourt à des intermédiaires, à des consultants, à des apporteurs d’affaires ou à des partenaires commerciaux multiples, la vigilance n’est plus une option cosmétique.
Mais attention : même si une entreprise n’entre pas directement dans le périmètre strict de l’obligation, elle peut être entraînée dans le dispositif par ricochet. Pourquoi ? Parce que les grands groupes exigent souvent de leurs fournisseurs, sous-traitants et partenaires qu’ils respectent leurs propres standards de conformité. La règle descend alors dans la chaîne contractuelle, comme une pluie froide que personne n’avait vraiment prévue.
En pratique, cela signifie que les PME et ETI peuvent elles aussi être concernées indirectement. Pas parce que la loi leur impose toujours les mêmes obligations qu’aux géants, mais parce qu’elles doivent souvent démontrer qu’elles savent gérer leurs risques, répondre à des questionnaires de conformité, signer des chartes anticorruption et accepter des audits. Le droit adore la contagion douce : on commence par le sommet, on finit dans les clauses annexes.
Quelles sont les obligations de conformité imposées par Sapin II ?
La pierre angulaire du dispositif, c’est le programme de prévention de la corruption. La loi impose huit mesures ou procédures que les entreprises concernées doivent mettre en place. Huit. Pas deux, pas “on y réfléchit”, pas “notre directeur financier a vu passer un PowerPoint en 2019”. Huit véritables piliers.
- Un code de conduite intégré au règlement intérieur ou diffusé de manière appropriée.
- Un dispositif d’alerte interne permettant le recueil des signalements.
- Une cartographie des risques de corruption, actualisée régulièrement.
- Des procédures d’évaluation des clients, fournisseurs et intermédiaires au regard de ces risques.
- Des contrôles comptables internes et externes pour éviter les opérations suspectes.
- Un dispositif de formation pour les cadres et les personnels les plus exposés.
- Un régime disciplinaire permettant de sanctionner les manquements.
- Un dispositif de contrôle et d’évaluation interne des mesures mises en place.
Sur le papier, l’ensemble ressemble à une architecture presque élégante. Dans la vraie vie, cela exige du temps, de la méthode, des outils et une direction qui accepte enfin que la conformité n’est pas un département de décoration juridique.
La cartographie des risques mérite une attention particulière. Elle consiste à identifier les zones de vulnérabilité de l’entreprise : pays à risque, types de transactions, dépendance à des intermédiaires, secteurs sensibles, procédures d’achat, dons, mécénat, sponsoring, recrutements, gestion des cadeaux et invitations. Tout ce qui peut sembler banal devient suspect dès qu’il s’agit de corruption. Une simple hospitalité mal encadrée peut valoir plus de problèmes qu’un long discours vertueux.
Le code de conduite, lui, doit être concret. Les grands principes ne suffisent pas. Il faut dire ce qui est interdit, ce qui est autorisé, ce qui exige une validation, ce qui doit être déclaré. Un texte flou n’empêche pas la dérive ; il la maquille.
Le dispositif d’alerte interne, également, ne doit pas être un mur bureaucratique où les signalements se perdent dans un néant de formulaires. Il doit être accessible, confidentiel, protégé contre les représailles et réellement traité. Sinon, il devient ce que beaucoup de dispositifs prétendument éthiques deviennent dans les faits : une vitrine.
Et la vigilance, dans tout ça ?
Le mot est joli. Presque noble. On imagine un regard attentif porté sur le monde, une lucidité sans faille. En droit, la vigilance est moins poétique, mais plus utile : il s’agit d’identifier, prévenir et atténuer certains risques graves liés à l’activité d’une entreprise, en particulier ceux qui touchent aux droits humains, à la santé, à la sécurité et à l’environnement.
Le devoir de vigilance concerne les grandes sociétés françaises qui emploient, à la clôture de deux exercices consécutifs, au moins 5 000 salariés en leur sein et dans leurs filiales directes ou indirectes dont le siège social est en France, ou au moins 10 000 salariés en France et à l’étranger dans l’ensemble du groupe. Là encore, on parle d’acteurs qui ont les moyens, et donc la responsabilité, de surveiller ce qui se passe dans leur sphère d’influence.
Le plan de vigilance doit contenir notamment :
- Une cartographie des risques.
- Des procédures régulières d’évaluation des filiales, sous-traitants et fournisseurs.
- Des actions adaptées d’atténuation des risques et de prévention des atteintes graves.
- Un mécanisme d’alerte et de recueil des signalements.
- Un dispositif de suivi des mesures mises en œuvre.
Le principe est limpide : une entreprise ne peut plus prétendre ignorer ce que font ses partenaires, surtout lorsqu’elle sait, ou devrait savoir, que certaines pratiques sont à risque. La mondialisation a offert l’externalisation ; le droit a offert la responsabilité. Petit échange de cadeaux, assez peu symétrique.
Qui doit réellement se mettre en ordre de marche ?
En pratique, les principaux concernés sont les groupes d’envergure, les sociétés cotées, les entreprises du secteur industriel, de la finance, de l’énergie, du BTP, de la distribution internationale, de la défense, de la santé, et toutes celles qui travaillent avec des marchés publics ou dans des zones géographiques à risque. Dès qu’il y a des flux, des intermédiaires, de la sous-traitance et des enjeux d’influence, le radar réglementaire s’allume.
Mais il serait naïf de croire que seules les grandes structures sont exposées. Les cadres dirigeants, les directeurs commerciaux, les acheteurs, les équipes export, les responsables RSE, les RH, les juristes et les contrôleurs internes sont tous concernés, car la conformité se joue dans les actes quotidiens. Un cadeau trop généreux. Une facture mal justifiée. Un consultant payé pour “ouvrir des portes”. Une mission qui sent le faux plaidoyer commercial. Le contentieux commence souvent là où l’on pensait avoir seulement “fait avancer le dossier”.
Et puis il y a les tiers. Les tiers sont le vrai théâtre du risque. Fournisseurs, agents, distributeurs, apporteurs d’affaires, sous-traitants, partenaires locaux : ce sont eux que l’entreprise ne contrôle jamais totalement, mais qu’elle doit pourtant connaître, évaluer et surveiller. La conformité n’est pas un sport solitaire. Elle ressemble plutôt à une chaîne dont le maillon le plus fragile finit toujours par chanter sous la contrainte.
Quels sont les risques en cas de manquement ?
Le non-respect des obligations de conformité n’est pas un simple accroc de gouvernance. L’Agence française anticorruption peut contrôler les entreprises concernées et prononcer des sanctions administratives en cas de manquements. Des amendes peuvent tomber, accompagnées d’injonctions de mise en conformité. Et quand le contentieux s’installe, la réputation suit souvent le même chemin, avec moins de panache.
Le risque ne se limite pas aux sanctions directes. Il y a aussi :
- Le risque pénal en cas d’actes de corruption ou de trafic d’influence.
- Le risque civil en cas de préjudice causé à des tiers.
- Le risque contractuel, avec résiliation ou suspension de contrats.
- Le risque d’exclusion des marchés publics ou d’appels d’offres.
- Le risque réputationnel, souvent le plus durable.
En matière de vigilance, les actions en justice peuvent également être engagées pour faire cesser un manquement au plan de vigilance. Le droit, quand il s’agace, devient très créatif. Les grandes entreprises découvrent alors que la taille ne protège pas de tout, surtout pas de l’inertie.
Comment se mettre en conformité sans transformer l’entreprise en cathédrale de procédures ?
La bonne nouvelle, c’est qu’un dispositif efficace n’a pas besoin d’être monstrueux. Il doit être adapté, vivant, lisible. Pas un empilement de PDF qu’aucun salarié n’ouvrira jamais, sauf le jour d’un audit ou d’un incident. Le but n’est pas de produire de la conformité décorative, mais de réduire les risques réels.
Quelques réflexes utiles :
- Cartographier précisément les risques selon les métiers, pays et flux d’affaires.
- Former en priorité les équipes les plus exposées.
- Évaluer les tiers avant de signer, pas après le problème.
- Mettre à jour les procédures de cadeaux, invitations et dépenses sensibles.
- Documenter les décisions de validation.
- Tester régulièrement le dispositif d’alerte.
- Prévoir des contrôles et des audits ciblés.
Le plus important reste l’impulsion venue du sommet. Sans soutien réel de la direction, la conformité devient un exercice de secrétariat sophistiqué. Avec une gouvernance solide, elle devient un outil de protection et de crédibilité. Les entreprises qui prennent ce sujet au sérieux y gagnent davantage qu’un simple bouclier juridique : elles évitent aussi de financer, par inadvertance ou confort, les petites corruptions qui finissent toujours par coûter très cher.
Un exemple concret pour éviter de parler dans le vide
Prenons un groupe industriel français qui développe un projet à l’étranger via une filiale locale et plusieurs sous-traitants. Le commercial veut accélérer la signature. Un intermédiaire propose “d’aider” contre rémunération. Le dossier paraît propre, les justificatifs sont flous, et la direction, pressée par les objectifs, hésite à poser trop de questions. Classique. Trop classique.
Dans un schéma Sapin II, l’entreprise doit avoir vérifié l’intermédiaire, compris le service rendu, formalisé la mission, contrôlé la rémunération, validé le risque pays, et conservé la preuve de ces vérifications. Si elle ne l’a pas fait, le simple fait d’avoir “fait confiance” ne pèsera pas lourd. Le droit, contrairement à certains comités de pilotage, n’est pas impressionné par les bonnes intentions.
Même logique pour la vigilance : si le sous-traitant recourt à des conditions de travail indignes, pollue massivement ou expose les salariés à un danger grave, la grande entreprise ne peut pas se réfugier derrière le confort d’une sous-traitance lointaine. L’ignorance volontaire est un costume trop usé pour encore tromper quelqu’un.
Pourquoi cette loi concerne plus de monde qu’on ne le croit
Parce qu’en matière de conformité, les frontières se sont affinées, puis effacées. Une entreprise qui croit être tranquille parce qu’elle n’est pas cotée, pas multinationale ou pas au-dessus des seuils finit souvent rattrapée par ses relations d’affaires. Les donneurs d’ordre exigent des garanties. Les auditeurs demandent des preuves. Les régulateurs veulent des systèmes. Les juges, eux, préfèrent les faits aux promesses.
La loi Sapin II et les exigences de vigilance ont changé la grammaire du risque. Elles ont rappelé qu’une société ne se résume pas à ses bénéfices, mais aussi à la manière dont elle les produit. Le vieux fantasme selon lequel les règles seraient un obstacle à la performance s’effondre dès qu’un scandale éclate. Une entreprise proprement organisée perd moins de temps à réparer ses imprudences qu’une autre à les nier.
Si l’on devait résumer l’esprit de ces obligations, ce serait simple : savoir, prévenir, prouver. Savoir où sont les risques. Prévenir avant qu’ils ne deviennent des affaires publiques. Prouver qu’on a réellement agi. Le reste n’est que littérature de circonstance, très utile en communication, beaucoup moins devant l’Agence française anticorruption.
La conformité et la vigilance ne sont donc pas des caprices de juristes en quête de tableaux Excel. Ce sont des mécanismes de maîtrise pour entreprises conscientes de leur taille, de leur influence et, osons le mot, de leur responsabilité. Les temps ont changé : on ne peut plus prétendre que l’ombre fait partie du décor. Elle aussi, désormais, doit rendre des comptes.
