Loi Sapin 2 et conformité anti-corruption pour PME 100-499 salariés en 2026 : pourquoi anticiper l'obligation
Loi Sapin 2 : seuils 500 salariés et 100 M€ CA, 8 mesures obligatoires du programme conformité, sanctions AFA jusqu'à 1 M€. Pourquoi les PME sous-seuil ont intérêt à anticiper le dispositif.
Note de l'expert : Cet article a été rédigé par notre cabinet d'expertise comptable. Les informations sont à jour en 2026. Pour une étude personnalisée de votre situation, contactez-nous.
À jour au 13 mai 2026.
L'article 17 de la loi n° 2016-1691 du 9 décembre 2016 (loi Sapin 2) impose un programme conformité anti-corruption aux entreprises de plus de 500 salariés et 100 millions d'euros de chiffre d'affaires. Les PME sous ces seuils ne sont pas légalement obligées, mais l'Agence Française Anticorruption (AFA) encourage vivement les ETI 100-499 salariés à adopter volontairement les bonnes pratiques — pour 3 raisons : anticipation de croissance, demande contractuelle des clients grands groupes assujettis, et émergence d'attentes ESG sur la gouvernance.
Ce guide pratique 2026 expose les 8 mesures obligatoires du programme, les seuils précis, les sanctions de la commission des sanctions de l'AFA (jusqu'à 1 M€ pour l'entreprise + 200 000 € pour le dirigeant), et les arguments pour anticiper volontairement le dispositif côté PME.
Résumé exécutif#
- Seuils légaux : > 500 salariés ET > 100 M€ CA, siège en France (cumulatifs).
- 8 mesures obligatoires : code conduite, cartographie risques, alerte, évaluation tiers, contrôles, sanctions, formation, évaluation.
- Sanctions : jusqu'à 1 M€ entreprise + 200 000 € dirigeant + exclusion marchés publics.
- PME sous-seuil : non obligées légalement mais soumises à pression contractuelle des clients grands groupes.
- Coût mise en place : 80-250 k€ année 1 pour PME ; 30-60 k€ pour dispositif allégé.
1. Cadre légal et seuils#
Article 17 loi Sapin 2#
L'article 17 impose à l'instance dirigeante d'une entreprise assujettie de prendre les mesures destinées à prévenir et détecter la commission, en France ou à l'étranger, de faits de corruption ou de trafic d'influence. À défaut, sa responsabilité peut être engagée devant la commission des sanctions de l'AFA.
Seuils d'application#
Sont assujetties les entreprises ayant simultanément :
| Condition | Seuil |
|---|---|
| Effectif (au 31 décembre N-1) | > 500 salariés |
| Chiffre d'affaires consolidé (HT) | > 100 millions d'euros |
| Siège social | En France |
Les seuils s'apprécient au niveau de la société individuelle OU du groupe si la société mère est tête de groupe assujettie.
Hors champ#
- PME et ETI sous les seuils (mais encouragées par l'AFA).
- Établissements publics (régime spécifique).
- Filiales françaises de groupes étrangers (selon configuration de gouvernance).
2. Les 8 mesures obligatoires du programme#
| Mesure | Description |
|---|---|
| 1. Code de conduite | Document décrivant les comportements à éviter (corruption active/passive, conflits d'intérêts, cadeaux excessifs) — intégré au règlement intérieur |
| 2. Dispositif d'alerte interne | Canal sécurisé permettant aux collaborateurs de signaler des manquements (loi 2022-401) |
| 3. Cartographie des risques | Identification et hiérarchisation des risques de corruption par activité, géographie, tiers |
| 4. Évaluation des tiers | Due diligence sur clients, fournisseurs, intermédiaires (3 niveaux selon risque) |
| 5. Contrôles comptables internes | Procédures anti-fraude sur la facturation, les notes de frais, les paiements |
| 6. Régime disciplinaire | Sanctions internes prévues au règlement intérieur en cas de manquement |
| 7. Formation des cadres et collaborateurs exposés | Plan de formation annuel ciblant les fonctions à risque (achats, ventes export, finance) |
| 8. Dispositif de contrôle et évaluation | Audit interne annuel + indicateurs de performance + amélioration continue |
3. Cartographie des risques — méthodologie pratique#
Principe#
La cartographie des risques est la pierre angulaire du programme. Elle doit être :
- Spécifique à l'activité (services, industrie, distribution, BTP, etc.).
- Géographique (présence à l'étranger, pays à risque selon Transparency International CPI).
- Documentée (méthodologie, sources, fréquence de mise à jour).
- Mise à jour au minimum tous les 2 ans ou en cas d'événement majeur.
Méthodologie en 4 étapes#
- Identification des processus métier exposés (achats, ventes export, marchés publics, lobbying).
- Évaluation de la probabilité × impact pour chaque risque (matrice 5x5).
- Priorisation des risques selon score (risques majeurs = traitement prioritaire).
- Plan d'action documenté avec mesures de prévention et de détection.
Notre analyse d'expert-comptable#
Le piège classique : remplir une cartographie « générique » téléchargée d'un guide AFA sans la spécifier à l'activité réelle. L'AFA contrôle la cohérence entre la cartographie et la nature des risques effectifs. Une PME BTP avec activité en Afrique francophone qui présente une cartographie sans aucun risque géographique est immédiatement suspecte. La cartographie doit refléter la réalité opérationnelle, y compris les vulnérabilités identifiées — et le plan d'action doit y répondre concrètement.
4. Dispositif lanceur d'alerte — articulation Sapin 2 + RGPD#
Cadre légal renforcé en 2022#
La loi n° 2022-401 du 21 mars 2022 (transposition de la directive UE 2019/1937) a renforcé la protection des lanceurs d'alerte avec :
- Protection juridique étendue contre les représailles (licenciement, sanction, déclassement).
- Confidentialité absolue de l'identité du lanceur et des personnes mises en cause.
- Conservation des données : 5 ans minimum, avec anonymisation possible.
- Information des personnes sur le traitement de leurs données (RGPD).
Mise en place technique#
Trois options :
- Canal interne géré par l'entreprise (boîte mail dédiée, plateforme intranet).
- Plateforme externe spécialisée (Whispli, WhistleB, Convercent).
- Mandataire externe (avocat, expert-comptable indépendant).
Pour une PME 100-499 salariés, l'option 2 est généralement la plus équilibrée (3 000 à 10 000 €/an).
5. Sanctions de la commission des sanctions de l'AFA#
Sanctions entreprise#
| Manquement | Sanction maximale |
|---|---|
| Défaut total de programme | 1 000 000 € d'amende |
| Programme incomplet ou défaillant | Mise en demeure + amende si non régularisation |
| Publication de la décision | Atteinte à la réputation |
| Exclusion des marchés publics | Jusqu'à 5 ans |
Sanctions individuelles (dirigeants)#
| Manquement | Sanction maximale |
|---|---|
| Défaut de mise en place du programme | 200 000 € d'amende pour le dirigeant |
| Publication individuelle | Atteinte personnelle |
| Inscription casier (si infraction pénale) | Trafic d'influence, corruption |
6. Exemple chiffré — PME 120 salariés exporte au Maghreb#
Profil : PME 120 salariés, 18 M€ CA dont 35 % à l'export Maghreb (Algérie, Maroc, Tunisie). Sous seuil Sapin 2 légalement mais : (1) demande systématique de code de conduite par les distributeurs locaux ; (2) appels d'offres ministériels nécessitant attestation conformité ; (3) banque française renforçant les contrôles sur les flux internationaux.
Plan de mise en place 12 mois#
| Trimestre | Action | Coût estimé |
|---|---|---|
| Q1 | Diagnostic et cartographie des risques | 12 000 € |
| Q2 | Rédaction code de conduite + politiques | 8 000 € |
| Q3 | Mise en place plateforme lanceur d'alerte + formation initiale | 15 000 € |
| Q4 | Audit interne + déploiement évaluation tiers | 18 000 € |
| Total année 1 | 53 000 € | |
| Récurrent annuel (formation, audit, plateforme) | 18 000 €/an |
Pour 18 M€ de CA, le programme coûte 0,3 % du CA — ratio rentable au regard de l'accès aux marchés publics et de la confiance des partenaires bancaires.
7. Le risque sous-estimé#
Le piège fréquent : une PME sous-seuil considère qu'elle « n'a rien à faire ». Faux dans 80 % des cas. Les grands groupes assujettis répercutent contractuellement leurs obligations sur leurs fournisseurs critiques — codes de conduite obligatoires, audits éthiques annuels, clauses de résiliation en cas de violation. Une PME qui refuse de signer ces engagements perd progressivement ses contrats. À l'inverse, une PME 100-499 salariés qui dispose d'un dispositif allégé (cartographie simplifiée, code de conduite, canal d'alerte basique) gagne en crédibilité et préempte le coût de mise en place lors du franchissement futur du seuil.
8. Ce que le dirigeant doit décider#
- Diagnostic d'exposition : ai-je des clients grands groupes assujettis ? Activité export en pays à risque ?
- Niveau de dispositif : conformité complète (assujetti) ou dispositif allégé (PME sous-seuil) ?
- Calendrier : alignement avec un projet RH (recrutement à 500 salariés) ou commercial (entrée appels d'offres) ?
- Budget : 80-250 k€ année 1 pour conformité complète, 30-60 k€ pour dispositif allégé.
- Référent compliance : externalisé (cabinet) ou internalisé (compliance officer) ?
- Articulation autres cadres : NIS 2, CSRD, DDADUE, loi 2017-399 — capitaliser sur la cartographie existante.
9. Points de vigilance 2026-2027#
- Évolution des seuils : pas annoncée pour 2026 mais discussion en cours sur abaissement à 250 salariés (Conseil d'État, recommandations OCDE).
- Audit AFA renforcé : la commission des sanctions a publiquement annoncé des contrôles ciblés sur les entreprises ayant un dispositif formel mais peu effectif.
- Articulation CSRD : depuis 2025, les entreprises CSRD doivent reporter sur leurs indicateurs anti-corruption — articulation directe avec Sapin 2.
- Marchés publics : nouvelle obligation depuis 2025 d'attestation de non-condamnation pour corruption à l'appel d'offres.
Conclusion#
La loi Sapin 2 dépasse aujourd'hui largement son champ légal initial. Par cascade contractuelle, exigences bancaires et obligations CSRD, toute PME 100-499 salariés en B2B avec activité internationale ou marchés publics est concernée indirectement. Anticiper le dispositif est un investissement modeste (30-60 k€) avec un retour rapide en confiance client, accès appels d'offres et préparation à la croissance.
Notre cabinet accompagne PME et ETI sur la mise en place de programmes de conformité Sapin 2 adaptés, du diagnostic initial à l'audit annuel. Contactez nos experts.
Questions fréquentes
À partir de quels seuils mon entreprise est-elle assujettie à Sapin 2 ?
L'article 17 de la loi Sapin 2 s'impose aux entreprises ayant simultanément : (1) plus de 500 salariés ET (2) plus de 100 millions d'euros de chiffre d'affaires, avec siège social en France. Les seuils s'apprécient au niveau de la société individuelle OU du groupe si la société mère est tête de groupe assujettie. Les PME et ETI sous ces seuils ne sont pas légalement obligées mais sont vivement encouragées par l'AFA à adopter volontairement les bonnes pratiques — particulièrement si elles sont fournisseurs de groupes assujettis (cascade contractuelle).
Quelle différence entre Sapin 2, loi Vigilance 2017-399 et DDADUE 2027 ?
Trois dispositifs distincts mais convergents : Sapin 2 (2016) cible spécifiquement la corruption et le trafic d'influence, avec un programme conformité en 8 mesures. Loi Vigilance 2017-399 (« loi Rana Plaza ») impose aux très grands groupes français (5 000 ou 10 000 salariés) un plan de vigilance couvrant droits humains, environnement et chaîne d'approvisionnement. DDADUE 2027 (transposition de CSDDD) étend le devoir de vigilance européen à des groupes plus petits (1 000 sal., 450 M€ CA) avec impact indirect sur les PME fournisseurs. Les trois dispositifs se cumulent pour les très grands groupes.
Combien coûte la mise en place d'un programme conformité pour une PME ?
Pour une PME de 100-499 salariés qui choisit de mettre en place volontairement le programme Sapin 2 (anticipation de croissance ou demande client), le coût moyen est de 80 000 à 250 000 € pour la première année et 30 000 à 80 000 € récurrent. Postes principaux : cartographie initiale des risques (15-30 k€), formalisation du code de conduite et procédures (10-20 k€), dispositif lanceur d'alerte (5-15 k€), formation initiale dirigeants et acheteurs (5-15 k€), évaluation des tiers (système IT + procédures, 20-50 k€), audit interne récurrent (15-30 k€/an), référent compliance interne (50-80 k€/an si à temps plein). Pour les entreprises sous-seuil, un dispositif allégé à 30-60 k€ est généralement suffisant pour répondre aux demandes contractuelles des clients grands groupes.
Le dirigeant est-il personnellement responsable en cas de défaut ?
Oui. L'article 17 de la loi Sapin 2 vise nominativement « l'instance dirigeante » et la responsabilité personnelle peut être engagée devant la commission des sanctions de l'AFA. Sanctions individuelles : amende jusqu'à 200 000 €, publication de la décision, mais aussi inscription au casier judiciaire si infraction pénale caractérisée (trafic d'influence, corruption active passive). La responsabilité pénale personnelle reste séparée de la responsabilité administrative de l'entreprise (qui peut être condamnée à 1 M€ d'amende AFA + suspension du droit aux marchés publics).
Comment articuler le dispositif lanceur d'alerte avec le RGPD ?
L'articulation est précisément encadrée par la loi n° 2022-401 du 21 mars 2022 (transposition de la directive UE 2019/1937) et la doctrine CNIL. Trois principes : (1) confidentialité absolue de l'identité du lanceur d'alerte et des personnes mises en cause (durée minimale de conservation 5 ans, anonymisation possible) ; (2) finalité limitée — les données collectées ne peuvent servir qu'à l'enquête et au suivi ; (3) information des personnes sur le traitement des données à caractère personnel les concernant, avec droit d'accès et de rectification. Le dispositif doit être déclaré comme traitement RGPD, avec analyse d'impact (AIPD) recommandée. Le DPO (s'il existe dans l'entreprise) doit être consulté sur la configuration technique du canal d'alerte.
Article rédigé par Samuel HAYOT
Expert-Comptable diplômé, inscrit au Tableau de l'Ordre des Experts-Comptables.
Cabinet d'expertise comptable et de commissariat aux comptes base a Paris 8, pense pour accompagner des entreprises partout en France avec une approche digitale et orientee decision.
Sources du dossier
Sources officielles et de reference citees pour cette page.
- Légifrance — Loi n° 2016-1691 du 9 décembre 2016 (Sapin 2), art. 17
- AFA — Recommandations destinées à aider les personnes morales
- AFA — Guide pratique anticorruption à destination des PME et petites ETI
- Légifrance — Loi n° 2022-401 du 21 mars 2022 (whistleblowers transposition UE 2019/1937)
- AFA — Directive CSRD et obligations anticorruption
Ce sujet relève de notre mission DAF externalisé à Paris | CFO temps partagé
Besoin d'un devis ou d'un conseil personnalisé ?
Notre cabinet d'expertise comptable vous accompagne dans toutes vos démarches. Obtenez un devis gratuit pour analyser votre situation et vous proposer une offre tarifaire sur-mesure ou contactez-nous directement.