Audit de conformité 2026 : méthode, périmètres et livrables

A jour au 15 mai 2026 — Rédigé par Samuel Hayot, expert-comptable, cabinet Hayot Expertise Paris.

L'audit de conformité n'est pas l'apanage des grands groupes. En 2026, la multiplication des obligations légales — RGPD, Sapin 2, CSRD, LCB-FT, ECF — expose les PME, ETI et startups à des risques croissants. Cet article explique la méthode, les périmètres à couvrir, les acteurs compétents et les livrables à attendre, avec deux cas pratiques concrets. Il ne remplace pas une analyse personnalisée de votre situation.

Un audit de conformité est une évaluation systématique et documentée du respect, par une organisation, d'un référentiel d'obligations. Ce référentiel peut être légal (loi, décret, ordonnance), réglementaire (arrêté, instruction fiscale, directive européenne), contractuel (clauses d'un accord-cadre, certifications ISO, conventions collectives) ou interne (politique groupe, charte éthique).

L'audit de conformité répond à une question centrale : l'organisation respecte-t-elle ses obligations, et si non, quels sont les écarts, les risques associés et les actions correctives prioritaires ?

Audit de conformité vs audit financier#

Audit de conformité vs contrôle interne#

Le contrôle interne est un dispositif permanent de maîtrise des risques — procédures, séparation des fonctions, délégations. L'audit de conformité est une mission ponctuelle qui évalue l'efficacité de ce dispositif à un instant T. Les deux se complètent : un audit de conformité bien conduit alimente et renforce le dispositif de contrôle interne.

a. Conformité fiscale et ECF#

La conformité fiscale couvre la correcte application des règles d'imposition : TVA, IS, CFE, CET, taxe sur les salaires, régimes spéciaux (JEI, CIR, régimes d'intégration). Elle inclut la vérification des liasses fiscales, des options fiscales exercées et de leur cohérence avec les actes juridiques.

L'Examen de Conformité Fiscale (ECF), codifié à l'article 1739 C du CGI, est une mission contractuelle standardisée portant sur 10 points de contrôle. Elle offre une réduction du risque de rehaussement sur les points validés. L'ECF est un sous-ensemble ciblé de l'audit de conformité fiscale : il ne couvre pas tous les risques, notamment les options structurelles, les prix de transfert ou les régimes d'exonération complexes.

b. Conformité sociale#

L'audit de conformité sociale vérifie la cohérence entre les bulletins de paie, les déclarations sociales nominatives (DSN), les cotisations versées et les dispositions de la convention collective applicable. Il examine également les contrats de travail, les accords d'entreprise, les notes de frais et les avantages en nature. Les redressements URSSAF portent fréquemment sur les frais professionnels, la qualification de certaines indemnités et les régimes de protection sociale complémentaire.

c. Conformité RGPD et DSP2#

Depuis l'entrée en application du RGPD en 2018, la CNIL dispose d'un pouvoir de sanction pouvant atteindre 4 % du chiffre d'affaires mondial ou 20 M€. Un audit de conformité RGPD vérifie les registres de traitement, les bases légales, les durées de conservation, les mécanismes de consentement, les contrats sous-traitants et les procédures de notification de violations. Pour les acteurs du paiement, DSP2 (directive 2015/2366) ajoute des exigences d'authentification forte (SCA) et de sécurité des accès.

d. Conformité LCB-FT et Sapin 2#

La lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) impose des obligations de vigilance, de déclaration de soupçon à TRACFIN et de formation aux établissements assujettis. La loi Sapin 2 (loi n° 2016-1691 du 9 décembre 2016), article 17, impose aux sociétés de plus de 500 salariés et 100 M€ de CA consolidé de mettre en place un programme anti-corruption complet (cartographie des risques, code de conduite, formation, dispositif d'alerte, évaluation des tiers). L'Agence Française Anticorruption (AFA) peut contrôler ce programme et prononcer des sanctions administratives.

e. Conformité environnementale : DPEF et CSRD#

La Déclaration de Performance Extra-Financière (DPEF) est remplacée progressivement par le rapport de durabilité prévu par la CSRD (directive 2022/2464). En 2026, les grandes entreprises de plus de 500 salariés ayant déjà l'obligation DPEF entrent dans le premier périmètre. Les entreprises cotées de plus de 250 salariés y entrent à partir des exercices 2025 (rapport 2026). Un audit RSE préparatoire permet d'anticiper ces obligations, de cartographier les données disponibles et de combler les lacunes avant l'intervention de l'auditeur tiers indépendant (ATI).

f. Conformité sectorielle#

Banque et assurance (ACPR), santé (HAS, ARS), défense (DGA), agroalimentaire (DGCCRF), transport (DGAC) — chaque secteur réglementé superpose ses propres obligations au droit commun. L'audit de conformité sectorielle est généralement confié à des cabinets spécialisés ayant une connaissance précise du référentiel applicable.

• Loi Sapin 2 (loi n° 2016-1691 du 9 décembre 2016) : programme anti-corruption obligatoire pour les sociétés > 500 salariés / 100 M€ CA consolidé ; sanctions AFA jusqu'à 200 000 € pour les personnes morales (à vérifier : montant actualisé).
• CSRD (directive 2022/2464 du 14 décembre 2022) : remplace la NFRD, élargit la DPEF aux PME cotées et grandes entreprises, audit obligatoire par ATI.
• Art. L823-1 et L823-2 C. com. (Cocom) : audit légal des comptes, mission réservée au commissaire aux comptes.
• RGPD (règlement UE 2016/679) : base légale de tout audit RGPD ; sanctions CNIL pouvant atteindre 4 % du CA mondial.
• TRACFIN : cellule de renseignement financier du ministère de l'Économie destinataire des déclarations de soupçon LCB-FT.
• ISO 19011:2018 : norme de référence pour la méthodologie d'audit des systèmes de management, applicable à titre volontaire.

La norme ISO 19011:2018 structure l'audit de conformité en quatre phases que nous appliquons à nos missions contractuelles.

Phase 1 — Planification#

• Définition du périmètre, des objectifs et des critères d'audit
• Revue documentaire préliminaire : bilans, liasses, DADS-U, DSN, registres RGPD, organigramme, contrats-cadre
• Identification des parties prenantes internes (DAF, DRH, DPO, direction juridique)
• Établissement du programme d'audit et du calendrier
• Communication à la direction

Phase 2 — Terrain#

• Entretiens structurés avec les responsables de chaque domaine
• Échantillonnage et vérification des pièces justificatives
• Tests de procédure : traçage d'une opération de bout en bout
• Documentation des constats d'écart avec référence légale précise

Phase 3 — Reporting#

• Rédaction du rapport de constats (par domaine, avec criticité)
• Matrice constats/recommandations : risque, impact, effort de correction
• Présentation des résultats à la direction avant diffusion finale
• Note de synthèse exécutive (1-2 pages, résumé décisionnel)

Phase 4 — Suivi#

• Plan d'actions priorisé : responsable, délai, indicateur de suivi
• Revue intermédiaire à 3-6 mois selon les périmètres
• Mise à jour du plan d'actions et clôture des constats résolus

Pour un expert-comptable, l'audit de conformité prend la forme d'une mission contractuelle, distincte de la mission de présentation ou de révision des comptes. Elle fait l'objet d'une lettre de mission spécifique et d'honoraires séparés.

1. Préparation d'un contrôle fiscal : identifier les zones de risque avant qu'un vérificateur ne les découvre.
2. Préparation d'un contrôle URSSAF : sécuriser le traitement des frais professionnels, des dirigeants assimilés-salariés et des avantages en nature.
3. Cession d'entreprise : le rapport d'audit de conformité enrichit le dossier de due diligence pour l'acquéreur et réduit les risques de révision de prix ou de mise en jeu des garanties.
4. Levée de fonds (Série A et au-delà) : les investisseurs institutionnels exigent une conformité documentée, notamment RGPD, fiscal et social.
5. Introduction en bourse (IPO) : l'audit de conformité est une composante des diligences réglementaires obligatoires.
6. Labellisation RSE / certifications ISO : ISO 9001 (qualité), ISO 14001 (environnement), ISO 27001 (sécurité de l'information) nécessitent une évaluation préalable de conformité.

Situation : société de services de 28 salariés, cession envisagée dans 12 mois, acquéreur industriel. L'acquéreur mandate un cabinet pour la due diligence. Le dirigeant souhaite anticiper les constats.

Périmètre retenu : conformité fiscale (IS, TVA, CET, options) + conformité sociale (DSN, frais professionnels, contrats clés).

Points relevés en phase terrain :

• Deux options TVA exercées sans acte formalisé au registre des délibérations
• Indemnités forfaitaires de télétravail versées sans note de service ni justificatif, exposant à requalification partielle
• Contrat de travail d'un cadre dirigeant ne mentionnant pas la convention collective applicable

Plan d'actions :

• Régularisation des délibérations TVA (acte rétroactif à valider avec le conseil juridique)
• Mise en place d'une note de service télétravail et révision des justificatifs
• Avenant au contrat de travail du cadre dirigeant
• Préparation d'un memo fiscal remis à l'acquéreur avec les régularisations effectuées

Résultat : dossier de cession présenté avec un mémo de conformité, réduction du risque de contestation du prix ou d'activation de la clause de garantie d'actif-passif.

Notre lecture#

Dans les dossiers de cession, les constats les plus fréquents ne portent pas sur des fraudes mais sur des lacunes documentaires accumulées au fil du temps : options non formalisées, notes de service absentes, avenants non rédigés. Un audit de conformité effectué 12 mois avant la cession laisse le temps de régulariser sans pression.

Situation : startup de 18 mois, 15 salariés, levée Série A de 8 M€ en cours. Le lead investor (fonds européen) exige un audit RGPD et une vérification de conformité DSP2 avant closing.

Périmètre retenu : RGPD complet + DSP2 (module paiement intégré) + conformité sociale (BSPCE, stock-options, free-shares).

Points relevés :

• Registre de traitement incomplet : 4 traitements non documentés dont un externalisé chez un sous-traitant américain sans DPA (Data Processing Agreement) conforme
• Mécanisme de consentement cookies non conforme aux lignes directrices CNIL 2023
• BSPCE attribués sans AG extraordinaire préalable validant les conditions d'attribution

Plan d'actions :

• Complétion du registre RGPD et signature des DPA manquants
• Refonte de la bannière cookies (mise en conformité CNIL)
• Convocation d'une AGE pour régularisation des attributions BSPCE (à valider avec le conseil juridique)
• Transmission du rapport de conformité au fonds avant closing

Le risque sous-estimé : les startups concentrent leur attention sur la conformité RGPD visible (bannière cookies) et sous-estiment la conformité des instruments d'intéressement (BSPCE, AGA). Un vice de procédure sur une attribution de BSPCE peut remettre en cause l'avantage fiscal pour les bénéficiaires et créer un passif social non anticipé.

Ces fourchettes sont indicatives et dépendent de la structure de l'entreprise, du niveau de documentation existant et des périmètres retenus. Elles sont à préciser dans la lettre de mission.

1. Ne pas sous-évaluer le périmètre. Le périmètre d'un audit de conformité est rarement celui que le dirigeant imagine au départ. Les entreprises ayant des filiales étrangères, des sous-traitants hors UE ou des activités multi-sectorielles doivent intégrer la dimension internationale dès la planification.

2. Ne pas oublier la dimension humaine. La conformité documentaire ne garantit pas la conformité opérationnelle. Les entretiens avec les équipes révèlent fréquemment des pratiques qui s'écartent des procédures formalisées. Un audit uniquement documentaire est un audit incomplet.

3. Distinguer régularisation et prévention. Un audit de conformité réalisé sous pression (contrôle imminent, closing de cession) contraint les délais de régularisation. Idéalement, l'audit est conduit 12 à 18 mois avant l'événement déclencheur.

4. CSRD et PME cotées : anticiper dès 2025. Les entreprises cotées de plus de 250 salariés entrent dans le périmètre CSRD pour les exercices ouverts à compter du 1er janvier 2025 (rapport publié en 2026). Les données extra-financières doivent être collectées et documentées tout au long de l'exercice.

Notre équipe réalise des missions d'audit de conformité contractuelles dans les domaines fiscal, social et RGPD pour des PME, ETI et startups basées à Paris et en Île-de-France. Nous travaillons en lien avec nos partenaires juristes et spécialistes data pour les périmètres nécessitant une expertise complémentaire.

Notre mission de conseil fiscal intègre une revue de conformité fiscale systématique. Notre accompagnement stratégique des dirigeants inclut la préparation des audits de cession et de levée de fonds.

Chaque mission fait l'objet d'une lettre de mission précisant le périmètre, les livrables, le calendrier et les honoraires. Nous ne réalisons pas de missions d'audit légal (commissariat aux comptes) — cette mission est réservée aux commissaires aux comptes inscrits.

Cet article est fourni à titre d'information générale. Il ne remplace pas une analyse personnalisée de votre situation par un professionnel qualifié, seule à même de tenir compte des spécificités de votre entreprise, de votre secteur et de l'état du droit à la date de votre décision.

Sources : Légifrance — Loi Sapin 2 n° 2016-1691 du 9 décembre 2016 — Directive CSRD 2022/2464 — Art. L823-1 et L823-2 Code de commerce — CNIL RGPD — TRACFIN — AFA Guide pratique PME/ETI — ISO 19011:2018.