Loi Sapin 2 et conformité anti-corruption pour PME 100-499 salariés en 2026 : pourquoi anticiper l'obligation
Loi Sapin 2 : seuils 500 salariés et 100 M€ CA, 8 mesures obligatoires, sanctions AFA jusqu'à 1 M€. Comment articuler Sapin 2 avec CSRD, DDADUE et NIS 2 — et pourquoi les PME sous-seuil doivent anticiper.
Note de l'expert : Cet article a été rédigé par notre cabinet d'expertise comptable. Les informations sont à jour en 2026. Pour une étude personnalisée de votre situation, contactez-nous.
À jour au 2026-05-26.
L'article 17 de la loi n° 2016-1691 du 9 décembre 2016 (loi Sapin 2) impose un programme conformité anti-corruption aux entreprises de plus de 500 salariés et 100 millions d'euros de chiffre d'affaires. Les PME sous ces seuils ne sont pas légalement obligées, mais l'Agence Française Anticorruption (AFA) encourage vivement les ETI 100-499 salariés à adopter volontairement les bonnes pratiques — pour trois raisons convergentes : anticipation de croissance, demande contractuelle des clients grands groupes assujettis, et émergence d'attentes ESG sur la gouvernance.
Ce guide pratique 2026 expose les 8 mesures obligatoires du programme, les seuils précis, les sanctions de la commission des sanctions de l'AFA (jusqu'à 1 M€ pour l'entreprise + 200 000 € pour le dirigeant), et les arguments pour anticiper volontairement le dispositif côté PME — y compris l'articulation avec les nouveaux dispositifs réglementaires qui renforcent la pression sur l'ensemble de la chaîne de valeur.
En bref. La loi Sapin 2 s'impose légalement aux entreprises dépassant simultanément 500 salariés et 100 M€ de CA, siège en France. Elle exige un programme conformité en 8 mesures sous peine d'une amende pouvant atteindre 1 M€ pour l'entreprise et 200 000 € pour le dirigeant personnellement. Les PME sous-seuil ne sont pas exonérées de fait : la cascade contractuelle des grands groupes, les obligations CSRD et la future DDADUE les touchent indirectement dès aujourd'hui.
Résumé exécutif#
- Seuils légaux : > 500 salariés ET > 100 M€ CA, siège en France (cumulatifs).
- 8 mesures obligatoires : code de conduite, cartographie des risques, alerte interne, évaluation des tiers, contrôles comptables, régime disciplinaire, formation, évaluation.
- Sanctions : jusqu'à 1 M€ pour l'entreprise + 200 000 € pour le dirigeant + exclusion marchés publics jusqu'à 5 ans.
- PME sous-seuil : non obligées légalement mais soumises à pression contractuelle, bancaire et ESG croissante.
- Coût mise en place : 80-250 k€ année 1 pour un programme complet ; 30-60 k€ pour un dispositif allégé adapté aux PME sous-seuil.
- Articulation réglementaire : Sapin 2 se cumule avec CSRD, DDADUE 2027 et NIS 2 — une cartographie mutualisée réduit significativement le coût global.
1. À partir de quels seuils mon entreprise est-elle assujettie à Sapin 2 ?#
Article 17 loi Sapin 2#
L'article 17 impose à l'instance dirigeante d'une entreprise assujettie de prendre les mesures destinées à prévenir et détecter la commission, en France ou à l'étranger, de faits de corruption ou de trafic d'influence. À défaut, sa responsabilité peut être engagée devant la commission des sanctions de l'AFA, indépendamment de la responsabilité pénale qui peut résulter d'une infraction caractérisée.
Seuils d'application#
Sont assujetties les entreprises réunissant simultanément :
| Condition | Seuil |
|---|---|
| Effectif (au 31 décembre N-1) | > 500 salariés |
| Chiffre d'affaires consolidé (HT) | > 100 millions d'euros |
| Siège social | En France |
Les seuils s'apprécient au niveau de la société individuelle OU du groupe si la société mère est tête de groupe assujettie. Une filiale française d'un groupe dépassant ces seuils peut être entraînée dans le périmètre même si elle est individuellement sous les seuils.
Hors champ légal direct#
- PME et ETI sous les seuils cumulatifs (mais encouragées par l'AFA à adopter volontairement les bonnes pratiques).
- Établissements publics industriels et commerciaux (régime spécifique).
- Filiales françaises de groupes étrangers dont la gouvernance n'est pas localisée en France (selon configuration).
2. Les 8 mesures obligatoires du programme conformité#
| Mesure | Description |
|---|---|
| 1. Code de conduite | Document décrivant les comportements à éviter (corruption active/passive, conflits d'intérêts, cadeaux excessifs) — intégré au règlement intérieur |
| 2. Dispositif d'alerte interne | Canal sécurisé permettant aux collaborateurs de signaler des manquements (loi 2022-401) |
| 3. Cartographie des risques | Identification et hiérarchisation des risques de corruption par activité, géographie, tiers |
| 4. Évaluation des tiers | Due diligence sur clients, fournisseurs, intermédiaires (3 niveaux selon risque) |
| 5. Contrôles comptables internes | Procédures anti-fraude sur la facturation, les notes de frais, les paiements |
| 6. Régime disciplinaire | Sanctions internes prévues au règlement intérieur en cas de manquement |
| 7. Formation des cadres et collaborateurs exposés | Plan de formation annuel ciblant les fonctions à risque (achats, ventes export, finance) |
| 8. Dispositif de contrôle et évaluation | Audit interne annuel + indicateurs de performance + amélioration continue |
3. Cartographie des risques — méthodologie pratique#
Principe#
La cartographie des risques est la pierre angulaire du programme. Elle doit être :
- Spécifique à l'activité (services, industrie, distribution, BTP, etc.).
- Géographique (présence à l'étranger, pays à risque selon le CPI de Transparency International).
- Documentée (méthodologie, sources, fréquence de mise à jour).
- Mise à jour au minimum tous les 2 ans ou en cas d'événement majeur.
Méthodologie en 4 étapes#
- Identification des processus métier exposés (achats, ventes export, marchés publics, lobbying).
- Évaluation de la probabilité × impact pour chaque risque (matrice 5x5).
- Priorisation des risques selon score (risques majeurs = traitement prioritaire).
- Plan d'action documenté avec mesures de prévention et de détection, assignées à des responsables nommés.
Notre lecture#
Le piège classique : remplir une cartographie "générique" téléchargée d'un guide AFA sans la spécifier à l'activité réelle. L'AFA contrôle la cohérence entre la cartographie et la nature des risques effectifs. Une PME BTP avec activité en Afrique francophone qui présente une cartographie sans aucun risque géographique est immédiatement suspecte.
Sur nos dossiers PME industrielles exportatrices, nous constatons que la cartographie est souvent réalisée en quelques jours par un seul responsable sans consultation des équipes terrain. Le résultat est systématiquement contesté par l'AFA lors d'un contrôle : les risques opérationnels remontés par les commerciaux export ou les acheteurs ne figurent pas. Une cartographie robuste implique au minimum des entretiens avec les fonctions achats, commercial export, finance et direction — et se traduit par un livrable de 15 à 30 pages documentées, pas un tableau Excel de 10 lignes.
4. Dispositif lanceur d'alerte — articulation Sapin 2 + RGPD#
Cadre légal renforcé en 2022#
La loi n° 2022-401 du 21 mars 2022 (transposition de la directive UE 2019/1937) a renforcé la protection des lanceurs d'alerte avec :
- Protection juridique étendue contre les représailles (licenciement, sanction, déclassement).
- Confidentialité absolue de l'identité du lanceur et des personnes mises en cause.
- Conservation des données : 5 ans minimum, avec anonymisation possible.
- Information des personnes sur le traitement de leurs données (RGPD).
Mise en place technique#
Trois options :
- Canal interne géré par l'entreprise (boîte mail dédiée, plateforme intranet).
- Plateforme externe spécialisée (Whispli, WhistleB, Convercent).
- Mandataire externe (avocat, expert-comptable indépendant).
Pour une PME 100-499 salariés, l'option 2 est généralement la plus équilibrée (3 000 à 10 000 €/an) et offre les meilleures garanties de confidentialité. Le dispositif doit être déclaré comme traitement RGPD, avec analyse d'impact (AIPD) recommandée et consultation du DPO si l'entreprise en dispose. Pour approfondir l'articulation RGPD, voir notre article sur le DPO : obligatoire ou pas ?.
5. Sanctions de la commission des sanctions de l'AFA#
Sanctions entreprise#
| Manquement | Sanction maximale |
|---|---|
| Défaut total de programme | 1 000 000 € d'amende |
| Programme incomplet ou défaillant | Mise en demeure + amende si non régularisation |
| Publication de la décision | Atteinte à la réputation |
| Exclusion des marchés publics | Jusqu'à 5 ans |
Sanctions individuelles (dirigeants)#
| Manquement | Sanction maximale |
|---|---|
| Défaut de mise en place du programme | 200 000 € d'amende pour le dirigeant |
| Publication individuelle | Atteinte personnelle |
| Inscription casier (si infraction pénale) | Trafic d'influence, corruption active ou passive |
6. Exemple chiffré — PME 120 salariés exporte au Maghreb#
Profil : PME 120 salariés, 18 M€ CA dont 35 % à l'export Maghreb (Algérie, Maroc, Tunisie). Sous seuil Sapin 2 légalement mais : (1) demande systématique de code de conduite par les distributeurs locaux ; (2) appels d'offres ministériels nécessitant attestation de conformité ; (3) banque française renforçant les contrôles sur les flux internationaux.
Plan de mise en place 12 mois#
| Trimestre | Action | Coût estimé |
|---|---|---|
| Q1 | Diagnostic et cartographie des risques | 12 000 € |
| Q2 | Rédaction code de conduite + politiques | 8 000 € |
| Q3 | Mise en place plateforme lanceur d'alerte + formation initiale | 15 000 € |
| Q4 | Audit interne + déploiement évaluation tiers | 18 000 € |
| Total année 1 | 53 000 € | |
| Récurrent annuel (formation, audit, plateforme) | 18 000 €/an |
Pour 18 M€ de CA, le programme coûte 0,3 % du CA — ratio rentable au regard de l'accès aux marchés publics et de la confiance des partenaires bancaires.
Second cas terrain — PME 220 salariés, SaaS B2B, fournisseur CAC 40. Une PME éditrice de logiciels (220 salariés, 28 M€ de CA récurrent), sous-seuil Sapin 2, travaillait avec cinq grands groupes cotés représentant 60 % de son ARR. À l'occasion du renouvellement des contrats-cadres 2025, chacun des cinq donneurs d'ordre a exigé la production d'un code de conduite signé par le dirigeant et d'une attestation de formation annuelle des équipes commerciales. Sur nos dossiers dans ce profil, le coût d'un programme allégé adapté — code de conduite, cartographie simplifiée à deux niveaux de risque, plateforme d'alerte externe, formation annuelle — s'est établi autour de 35 000 € la première année, avec un récurrent de 12 000 €. Le dirigeant a valorisé l'investissement dans sa communication investisseurs comme un signal de maturité ESG — argument reçu favorablement lors d'une levée de série B.
7. Le risque sous-estimé#
Le piège fréquent : une PME sous-seuil considère qu'elle "n'a rien à faire". C'est inexact dans la grande majorité des cas. Les grands groupes assujettis répercutent contractuellement leurs obligations sur leurs fournisseurs critiques — codes de conduite obligatoires, audits éthiques annuels, clauses de résiliation en cas de violation. Une PME qui refuse de signer ces engagements perd progressivement ses contrats. À l'inverse, une PME 100-499 salariés disposant d'un dispositif allégé gagne en crédibilité et préempte le coût de mise en place lors du franchissement futur du seuil.
8. Comment articuler Sapin 2 avec CSRD, NIS 2 et DDADUE ?#
La multiplicité des cadres réglementaires est souvent vécue comme une contrainte impossible à absorber. En réalité, les dispositifs partagent une infrastructure documentaire commune — cartographie des risques, gouvernance, reporting, traçabilité — qu'il est possible de mutualiser pour diviser les coûts.
Tableau comparatif des dispositifs#
| Dispositif | Base légale | Seuil d'application direct | Périmètre principal | Sanctions max |
|---|---|---|---|---|
| Sapin 2 | Loi n° 2016-1691 | > 500 sal. ET > 100 M€ CA, siège FR | Corruption, trafic d'influence | 1 M€ entreprise + 200 k€ dirigeant |
| Loi Vigilance | Loi n° 2017-399 | > 5 000 sal. (FR) ou > 10 000 sal. (mondial) | Droits humains, environnement, chaîne d'approvisionnement | Injonction judiciaire + dommages-intérêts |
| DDADUE 2027 | Transposition CSDDD (à vérifier date définitive de transposition FR) | > 1 000 sal. ET > 450 M€ CA (phase d'entrée) | Devoir de vigilance étendu, supply chain | À préciser lors de la transposition nationale |
| CSRD | Directive UE 2022/2464 (applicable progressivement depuis 2025) | Grandes entreprises d'abord, PME cotées ensuite | Reporting durabilité dont indicateurs anti-corruption | Sanctions selon droit national |
| NIS 2 | Directive UE 2022/2555 | Secteurs essentiels + important, > 50 sal. selon secteur | Cybersécurité, résilience opérationnelle | Jusqu'à 10 M€ ou 2 % CA mondial |
Ce que cela signifie en pratique pour une PME 100-499 salariés#
CSRD : depuis les exercices 2025 (pour les grandes entreprises de plus de 250 salariés entrant dans la première vague, à vérifier selon la taille exacte), les reporting ESG incluent des indicateurs anti-corruption obligatoires. Une PME fournisseur d'un groupe CSRD sera interrogée sur ses propres pratiques dans le cadre des diligences supply chain. La cartographie Sapin 2 fournit directement les données nécessaires au reporting CSRD de vos donneurs d'ordre — c'est un argument commercial fort pour la mettre en place.
DDADUE 2027 : la transposition française de la directive CSDDD (Corporate Sustainability Due Diligence Directive) étend le devoir de vigilance à des groupes plus petits que la loi Vigilance 2017-399 — seuils indicatifs autour de 1 000 salariés et 450 M€ de CA selon les projections. Les PME 100-499 salariés ne seront pas directement assujetties, mais leurs donneurs d'ordre le seront, et la cascade contractuelle s'intensifiera. Pour approfondir, voir notre article sur la DDADUE et le devoir de vigilance supply chain.
NIS 2 : la directive cybersécurité cible des entités "essentielles" ou "importantes" selon leur secteur et leur taille. Elle partage avec Sapin 2 une logique de gouvernance par les risques et d'audit interne régulier. Pour une PME gérant des données sensibles ou opérant dans un secteur critique (santé, énergie, transport, numérique), les deux dispositifs peuvent s'instruire d'une cartographie des risques partiellement mutualisée. Voir notre article NIS 2 et cybersécurité PME.
Notre lecture sur la mutualisation. Sur nos dossiers de PME accompagnées simultanément sur Sapin 2 et CSRD, nous constatons qu'une cartographie des risques bien construite couvre entre 40 et 60 % des besoins documentaires des deux dispositifs. L'investissement incrémental pour passer d'une cartographie Sapin 2 à une cartographie utilisable aussi pour le reporting CSRD est généralement inférieur à 20 % du coût initial. La bonne stratégie est de construire l'infrastructure une seule fois, puis de l'alimenter pour chaque obligation. Voir aussi notre guide sur la préparation CSRD pour dirigeants.
9. Que faire si vous êtes fournisseur d'un grand groupe assujetti à Sapin 2 ?#
La cascade contractuelle : mécanisme et enjeux#
Lorsqu'un grand groupe est assujetti à Sapin 2, il doit évaluer ses tiers — clients, fournisseurs et intermédiaires — dans le cadre de la mesure 4 (évaluation des tiers). Cette évaluation se traduit concrètement par des questionnaires de due diligence éthique, des demandes de signature de codes de conduite fournisseurs, voire des audits sur site.
Sur nos dossiers PME industrielles et de services, nous constatons que la pression contractuelle s'est significativement intensifiée depuis 2023 : les clauses "compliance" dans les contrats-cadres sont devenues standard chez la plupart des grands groupes du CAC 40 et SBF 120. Un refus de signer ou une incapacité à produire les documents demandés entraîne dans la majorité des cas soit une déqualification fournisseur, soit une impossibilité de renouveler le contrat.
Procédure de mise en conformité en 10 étapes pour PME sous-seuil volontaire#
- Diagnostiquer l'exposition contractuelle : recenser les clients grands groupes assujettis et les clauses compliance déjà signées.
- Auditer les demandes reçues : collecter tous les questionnaires, codes de conduite et attestations déjà signés — identifier les lacunes.
- Nommer un référent compliance interne : dirigeant, DAF ou responsable juridique, même à temps partiel.
- Rédiger le code de conduite : document adapté à l'activité, approuvé par la direction, signé par les managers.
- Construire une cartographie simplifiée : deux niveaux de risque (significatif / modéré) suffisent pour une PME sous-seuil.
- Mettre en place le canal d'alerte : plateforme externe recommandée pour la confidentialité (3 000 à 10 000 €/an).
- Former les fonctions exposées : achats, commercial, direction — minimum 2 heures/an documentées.
- Déployer l'évaluation des tiers critiques : questionnaire simplifié pour les fournisseurs représentant > 10 % des achats.
- Formaliser la procédure disciplinaire : une clause au règlement intérieur suffit pour les PME sous-seuil.
- Documenter et archiver : conserver tous les livrables (cartographie, formations, alertes traitées) pendant au moins 5 ans.
Ce programme allégé répond aux demandes contractuelles des donneurs d'ordre dans la quasi-totalité des cas. Il constitue également la base sur laquelle construire un programme complet si l'entreprise franchit les seuils légaux. Pour un accompagnement structuré sur ce type de mise en conformité, notre service DAF externalisé intègre le suivi de ces obligations réglementaires.
10. Ce que le dirigeant doit décider#
- Diagnostic d'exposition : ai-je des clients grands groupes assujettis ? Activité export en pays à risque ?
- Niveau de dispositif : conformité complète (assujetti) ou dispositif allégé (PME sous-seuil) ?
- Calendrier : alignement avec un projet RH (recrutement vers 500 salariés) ou commercial (entrée appels d'offres) ?
- Budget : 80-250 k€ année 1 pour conformité complète, 30-60 k€ pour dispositif allégé.
- Référent compliance : externalisé (cabinet) ou internalisé (compliance officer) ?
- Articulation autres cadres : CSRD, DDADUE, NIS 2, loi 2017-399 — capitaliser sur la cartographie existante pour mutualiser les coûts.
11. Points de vigilance 2026-2027#
- Évolution des seuils : pas annoncée pour 2026 mais discussion en cours sur abaissement à 250 salariés (recommandations OCDE, avis Conseil d'État).
- Audit AFA renforcé : la commission des sanctions a publiquement annoncé des contrôles ciblés sur les entreprises ayant un dispositif formel mais peu effectif ("paper compliance").
- Articulation CSRD : depuis 2025, les entreprises dans le périmètre CSRD doivent reporter sur leurs indicateurs anti-corruption — articulation directe avec les mesures Sapin 2.
- Marchés publics : nouvelle obligation depuis 2025 d'attestation de non-condamnation pour corruption à l'appel d'offres.
- Discussions Sapin 3 : des propositions parlementaires visent à élargir le champ et renforcer les sanctions — aucune promulgation attendue en 2026 mais la trajectoire réglementaire doit être anticipée.
Conclusion#
À jour au 2026-05-26. Cet article présente les règles générales applicables à la date de publication. Les seuils, sanctions et obligations Sapin 2 peuvent évoluer. Il ne se substitue pas à une analyse de votre situation spécifique par un avocat spécialisé ou un expert-comptable en conformité. Sources : legifrance.gouv.fr ; agence-francaise-anticorruption.gouv.fr.
Questions fréquentes
À partir de quels seuils mon entreprise est-elle assujettie à Sapin 2 ?
L'article 17 de la loi Sapin 2 s'impose aux entreprises réunissant simultanément : (1) plus de 500 salariés ET (2) plus de 100 millions d'euros de chiffre d'affaires, avec siège social en France. Les seuils s'apprécient au niveau de la société individuelle OU du groupe si la société mère est tête de groupe assujettie. Les PME et ETI sous ces seuils ne sont pas légalement obligées mais sont vivement encouragées par l'AFA à adopter volontairement les bonnes pratiques — particulièrement si elles sont fournisseurs de groupes assujettis (cascade contractuelle).
Quelle différence entre Sapin 2, loi Vigilance 2017-399 et DDADUE 2027 ?
Trois dispositifs distincts mais convergents : Sapin 2 (2016) cible spécifiquement la corruption et le trafic d'influence, avec un programme conformité en 8 mesures. Loi Vigilance 2017-399 impose aux très grands groupes (plus de 5 000 salariés en France ou 10 000 dans le monde) un plan de vigilance couvrant droits humains, environnement et chaîne d'approvisionnement. DDADUE 2027 (transposition de CSDDD) étend le devoir de vigilance à des groupes plus petits — seuils indicatifs autour de 1 000 salariés et 450 M€ de CA — avec un impact indirect sur les PME fournisseurs. Les trois dispositifs se cumulent pour les très grands groupes et leurs cartographies des risques peuvent être mutualisées.
Combien coûte la mise en place d'un programme conformité pour une PME ?
Pour une PME de 100-499 salariés qui choisit de mettre en place volontairement le programme Sapin 2, le coût moyen est de 80 000 à 250 000 € pour la première année et 30 000 à 80 000 € en récurrent. Postes principaux : cartographie initiale des risques (15-30 k€), code de conduite et procédures (10-20 k€), dispositif lanceur d'alerte (5-15 k€), formation initiale (5-15 k€), évaluation des tiers (20-50 k€), audit interne récurrent (15-30 k€/an). Pour les entreprises sous-seuil répondant à des demandes contractuelles, un dispositif allégé à 30-60 k€ est généralement suffisant.
Le dirigeant est-il personnellement responsable en cas de défaut de programme ?
Oui. L'article 17 de la loi Sapin 2 vise nominativement "l'instance dirigeante" et la responsabilité personnelle peut être engagée devant la commission des sanctions de l'AFA. Sanctions individuelles : amende jusqu'à 200 000 €, publication de la décision sur le site de l'AFA. En cas d'infraction pénale caractérisée (corruption active ou passive, trafic d'influence), la responsabilité pénale personnelle est distincte et peut conduire à une inscription au casier judiciaire. La responsabilité personnelle du dirigeant est indépendante de celle de l'entreprise, qui peut être condamnée à 1 M€ d'amende + suspension du droit aux marchés publics.
Comment articuler le dispositif lanceur d'alerte avec le RGPD ?
L'articulation est précisément encadrée par la loi n° 2022-401 du 21 mars 2022 (transposition de la directive UE 2019/1937) et la doctrine CNIL. Trois principes : (1) confidentialité absolue de l'identité du lanceur d'alerte et des personnes mises en cause (durée minimale de conservation 5 ans, anonymisation possible) ; (2) finalité limitée — les données collectées ne peuvent servir qu'à l'enquête et au suivi ; (3) information des personnes sur le traitement des données à caractère personnel les concernant, avec droit d'accès et de rectification. Le dispositif doit être déclaré comme traitement RGPD, avec une analyse d'impact (AIPD) recommandée. Le DPO, s'il existe, doit être consulté sur la configuration technique du canal d'alerte.
Article rédigé par Samuel HAYOT
Expert-Comptable diplômé, inscrit au Tableau de l'Ordre des Experts-Comptables.
Cabinet d'expertise comptable et de commissariat aux comptes basé à Paris 8, pensé pour accompagner des entreprises partout en France avec une approche digitale et orientée décision.
Sources du dossier
Sources officielles et de reference citees pour cette page.
- Légifrance — Loi n° 2016-1691 du 9 décembre 2016 (Sapin 2), art. 17
- AFA — Recommandations destinées à aider les personnes morales
- AFA — Guide pratique anticorruption à destination des PME et petites ETI
- Légifrance — Loi n° 2022-401 du 21 mars 2022 (transposition directive UE 2019/1937 lanceurs d'alerte)
- AFA — Directive CSRD et obligations anticorruption
- Légifrance — Loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance (Vigilance)
Ce sujet relève de notre mission DAF externalisé à Paris | CFO temps partagé
Besoin d'un devis ou d'un conseil personnalisé ?
Notre cabinet d'expertise comptable vous accompagne dans toutes vos démarches. Obtenez un devis gratuit pour analyser votre situation et vous proposer une offre tarifaire sur-mesure ou contactez-nous directement.