La loi Sapin 2, promulguée le 9 décembre 2016, a profondément transformé les obligations des entreprises françaises en matière de transparence, de lutte contre la corruption et de protection des lanceurs d’alerte. Face à un cadre réglementaire perçu comme complexe, de nombreux dirigeants s’interrogent : quelles sont concrètement leurs obligations, quelles entreprises sont visées, et quels risques encourent celles qui négligent la mise en conformité ? Ce guide de référence 2026 vous propose une vue d’ensemble structurée : ses objectifs, les huit mesures phares de l’article 17, l’obligation de dispositif d’alerte, le rôle de l’Agence française anticorruption (AFA), le renforcement apporté par la loi Waserman et les sanctions encourues. Chaque section renvoie vers un article détaillé pour approfondir le point qui vous concerne.
Loi Sapin 2 : objectifs et contexte
La loi Sapin 2 — de son nom officiel « loi relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique » — porte le nom de Michel Sapin, alors ministre de l’Économie et des Finances. Elle fait suite à la première loi Sapin de 1993 et répond à une exigence internationale : la France était régulièrement pointée du doigt par l’OCDE pour l’insuffisance de son dispositif anticorruption.
Le texte poursuit trois grands objectifs. D’abord, hisser la France au niveau des meilleurs standards européens et internationaux en matière de prévention de la corruption. Ensuite, renforcer la transparence de la vie économique, notamment dans les relations entre les entreprises et les décideurs publics. Enfin, mieux protéger celles et ceux qui signalent des faits répréhensibles au sein de leur organisation. Cette dernière ambition a donné naissance à un véritable statut du lanceur d’alerte en droit français.
Concrètement, la loi impose aux organisations concernées de basculer d’une logique de réaction à une logique de prévention : détecter les risques en amont, documenter les mesures prises et pouvoir en rendre compte à tout moment.
Les 8 mesures de l’article 17
Le cœur du dispositif anticorruption réside dans l’article 17 de la loi Sapin 2, qui impose aux entreprises concernées de déployer un programme de conformité articulé autour de huit mesures obligatoires. Ces piliers doivent être effectifs, documentés et régulièrement évalués.
| Mesure | Contenu |
|---|---|
| 1. Code de conduite | Définition et illustration des comportements à proscrire (corruption, trafic d’influence), intégré au règlement intérieur. |
| 2. Dispositif d’alerte interne | Canal permettant le recueil des signalements de conduites contraires au code de conduite. |
| 3. Cartographie des risques | Identification, analyse et hiérarchisation des risques de corruption selon les secteurs et zones géographiques. |
| 4. Évaluation des tiers | Procédures d’évaluation de la situation des clients, fournisseurs et intermédiaires. |
| 5. Contrôles comptables | Procédures destinées à s’assurer que les livres et comptes ne masquent pas des faits de corruption. |
| 6. Formation | Dispositif de formation des cadres et personnels les plus exposés aux risques. |
| 7. Régime disciplinaire | Sanctions permettant de réprimer les manquements au code de conduite. |
| 8. Contrôle et évaluation interne | Dispositif de contrôle et d’évaluation interne des mesures mises en œuvre. |
Parmi ces huit piliers, le dispositif d’alerte interne (mesure n° 2) occupe une place centrale : il constitue le canal par lequel les signalements remontent et alimentent l’ensemble du programme de conformité.
L’obligation de dispositif d’alerte professionnelle
La loi Sapin 2 a instauré une obligation de mettre en place un dispositif d’alerte professionnelle permettant à toute personne de signaler des faits répréhensibles en toute sécurité. Ce canal doit garantir la stricte confidentialité de l’identité de l’auteur du signalement, des personnes visées et des informations recueillies.
Le dispositif doit préciser les modalités selon lesquelles l’auteur adresse son signalement, fournit les éléments justificatifs, et selon lesquelles l’organisation l’informe des suites données. Depuis le renforcement du cadre en 2022, l’accusé de réception doit être délivré sous sept jours ouvrés et un retour d’information communiqué dans un délai maximal de trois mois.
Au-delà de la simple boîte mail, un dispositif conforme suppose un outil sécurisé garantissant la traçabilité, l’anonymat et la confidentialité — des exigences difficiles à satisfaire avec des moyens artisanaux. C’est précisément ce que proposent les logiciels de signalement dédiés.
TrustBox : la solution simple et abordable
Dispositif d’alerte conforme loi Sapin 2 et Waserman, hébergé en UE, certifié RGPD et ISO 27001. À partir de 29 €/mois pour les entreprises de moins de 50 salariés.
Qui est concerné par la loi Sapin 2 ?
Toutes les entreprises ne sont pas soumises aux mêmes obligations. Il faut distinguer deux régimes, dont les seuils sont détaillés dans notre article dédié à la question de qui est concerné par la loi Sapin 2.
| Obligation | Seuil déclencheur |
|---|---|
| Programme anticorruption (article 17) | Sociétés d’au moins 500 salariés et dont le chiffre d’affaires dépasse 100 millions d’euros. |
| Dispositif d’alerte (protection des lanceurs d’alerte) | Toute entité — publique ou privée — employant au moins 50 salariés. |
Autrement dit, le programme de conformité anticorruption ne vise que les grandes entreprises, tandis que l’obligation de canal de signalement concerne un périmètre beaucoup plus large, dès 50 salariés. Cette dernière obligation touche aussi bien les PME que les collectivités territoriales, les associations d’une certaine taille et les établissements publics. Chaque secteur d’activité peut par ailleurs présenter des spécificités dans la mise en œuvre.
Le rôle de l’AFA et le renforcement par la loi Waserman
L’application de la loi Sapin 2 s’appuie sur une autorité dédiée et a été consolidée par une réforme majeure en 2022.
L’Agence française anticorruption (AFA)
Créée par la loi Sapin 2, l’AFA est chargée de contrôler la qualité et l’efficacité des programmes de conformité déployés par les entreprises. Elle publie des recommandations qui font référence, accompagne les organisations dans la prévention de la corruption et peut mener des contrôles. En cas de manquement, elle peut saisir sa commission des sanctions.
La loi Waserman de 2022
La loi Waserman du 21 mars 2022 a transposé en droit français la directive européenne 2019/1937 sur la protection des lanceurs d’alerte. Elle a considérablement renforcé le statut protecteur né de la loi Sapin 2 : élargissement de la définition du lanceur d’alerte, suppression de l’obligation de signalement interne préalable, extension des protections aux facilitateurs et à l’entourage, et durcissement des mesures contre les représailles.
Pour bien comprendre l’articulation entre les deux textes et le statut renforcé, consultez notre dossier consacré au lanceur d’alerte. Les organisations présentes dans plusieurs pays doivent en outre composer avec les exigences propres à chaque juridiction, un sujet approfondi dans notre dossier international.
Sanctions encourues en cas de non-conformité
Le non-respect de la loi Sapin 2 expose les organisations à des risques financiers et réputationnels significatifs, détaillés dans notre article sur les sanctions de la loi Sapin 2. Au titre de l’article 17, la commission des sanctions de l’AFA peut prononcer une amende pouvant atteindre 200 000 euros pour les dirigeants et un million d’euros pour les personnes morales, en plus d’une injonction de mise en conformité.
S’agissant de la protection des lanceurs d’alerte, entraver un signalement est puni d’un an d’emprisonnement et de 15 000 euros d’amende. Toute mesure de représailles (licenciement, sanction, discrimination) peut être annulée et donner lieu à indemnisation. Au-delà de la sanction directe, l’absence de dispositif conforme fragilise l’entreprise en cas de contentieux et nuit à sa réputation. Mettre en place un canal de signalement fiable n’est donc pas seulement une obligation légale : c’est un outil de gestion des risques et de confiance interne.
La loi Sapin 2 est-elle obligatoire pour les PME ?
Oui, en partie. Le programme anticorruption de l’article 17 ne vise que les entreprises d’au moins 500 salariés réalisant plus de 100 millions d’euros de chiffre d’affaires. En revanche, l’obligation de mettre en place un dispositif d’alerte concerne toute entité employant au moins 50 salariés, ce qui inclut de nombreuses PME.
Quelle différence entre la loi Sapin 2 et la loi Waserman ?
La loi Sapin 2 (2016) a créé le statut du lanceur d’alerte et l’obligation de dispositif d’alerte. La loi Waserman (2022) est venue la renforcer en transposant la directive européenne 2019/1937 : elle élargit la définition du lanceur d’alerte, supprime l’obligation de signalement interne préalable et durcit la protection contre les représailles.
Quelles sanctions en cas de non-conformité à la loi Sapin 2 ?
Au titre de l’article 17, l’AFA peut infliger jusqu’à 200 000 euros d’amende aux dirigeants et un million d’euros aux personnes morales. Entraver un signalement est puni d’un an d’emprisonnement et de 15 000 euros d’amende, et toute mesure de représailles contre un lanceur d’alerte peut être annulée.
Combien de temps faut-il pour mettre en place un dispositif d’alerte ?
Avec une solution SaaS dédiée comme TrustBox, l’installation d’un dispositif d’alerte conforme prend environ dix minutes. Il suffit de paramétrer le canal de signalement, de communiquer le lien aux salariés et de désigner un référent chargé de traiter les alertes dans les délais légaux.
Conclusion
La loi Sapin 2, renforcée par la loi Waserman, a fait de la transparence et de la protection des lanceurs d’alerte des obligations incontournables pour les organisations françaises. Que vous soyez une grande entreprise soumise à l’article 17 ou une structure de plus de 50 salariés tenue de déployer un canal de signalement, la mise en conformité est à la fois une exigence légale et un levier de confiance. Plutôt que de la percevoir comme une contrainte, abordez-la comme une opportunité de renforcer la gouvernance de votre organisation.
TrustBox vous permet de déployer un dispositif d’alerte conforme, sécurisé et hébergé en UE en quelques minutes, à partir de 29 €/mois. Essayez TrustBox gratuitement, sans carte bancaire, et mettez votre organisation en conformité dès aujourd’hui.