Le dirigeant peut engager sa responsabilité pénale personnelle en cas de corruption active ou passive, même si les faits sont commis dans l'intérêt de l'entreprise.

En droit français, la corruption est définie aux articles 433-1 et 433-2 du Code pénal (corruption d'agent public) et aux articles 445-1 et 445-2 (corruption entre personnes privées). Le dirigeant peut être poursuivi s'il a personnellement participé aux faits, les a ordonnés, ou laissé faire en connaissance de cause.

Les peines encourues vont jusqu'à 10 ans d'emprisonnement et 1 000 000 € d'amende, montant pouvant être porté au double du produit tiré de l'infraction. La responsabilité pénale de la personne morale peut également être engagée (Art. 121-2 du Code pénal).

La responsabilité du dirigeant peut être retenue dans quatre situations :

• Participation directe à un acte de corruption

• Instruction donnée à un salarié ou intermédiaire

• Absence de contrôle ou de dispositif anticorruption malgré un risque identifié

• Manquement aux obligations de prévention prévues par la loi Sapin II : cartographie des risques, code de conduite, dispositif d'alerte, contrôle comptable

La loi Sapin II impose aux entreprises de plus de 500 salariés et 100 M€ de chiffre d'affaires la mise en place d'un programme anticorruption structuré (Art. 17). L'absence de dispositif peut entraîner des sanctions administratives et renforcer l'exposition pénale en cas de faits avérés.

Sources : Code pénal, Légifrance — Loi Sapin II (n° 2016-1691) — AFA

L'œil du consultant : Le piège classique : penser que la responsabilité pénale disparaît derrière la personnalité morale. En pratique, les poursuites visent très souvent les dirigeants à titre personnel, notamment pour défaut de supervision. Un programme anticorruption formel mais non appliqué — cartographie non actualisée, formations inexistantes, contrôles fictifs — constitue un facteur aggravant en cas d'enquête du PNF ou de l'AFA.

L'AFA vérifie l'existence, l'effectivité et la traçabilité d'un programme anticorruption conforme à l'article 17 de la loi Sapin II.

La loi n° 2016-1691 du 9 décembre 2016 impose aux entreprises concernées un dispositif de prévention et de détection de la corruption en huit mesures. Lors d'un contrôle, la commission des sanctions de l'AFA ne se contente pas de vérifier la présence formelle des documents : elle évalue leur mise en œuvre concrète et leur proportionnalité aux risques identifiés.

Les huit mesures obligatoires, regroupées par thématique :

Gouvernance et culture

• Code de conduite anticorruption intégré au règlement intérieur

• Plan de formation ciblé (dirigeants et populations exposées)

• Régime disciplinaire applicable

Cartographie et évaluation des risques

• Cartographie des risques actualisée, formalisée et documentée

• Procédures d'évaluation des tiers (clients, fournisseurs, intermédiaires) proportionnées aux risques

Contrôle et traçabilité

• Dispositif d'alerte interne conforme et opérationnel

• Contrôles comptables internes pour prévenir la dissimulation de faits de corruption

• Dispositif de contrôle et d'évaluation interne du programme

L'AFA vérifie aussi la traçabilité : comptes rendus de comités, preuves de formations, diligences sur les tiers, mises à jour de la cartographie. L'absence de preuves documentées est interprétée comme une absence de mise en œuvre.

Sources : Loi Sapin II, Légifrance — Recommandations AFA 2021

L'œil du consultant : Le piège classique : présenter un programme standard non adapté aux activités réelles de l'entreprise. L'AFA détecte rapidement les cartographies génériques et les évaluations de tiers purement déclaratives. Sur le terrain, ce qui fait la différence, c'est la cohérence entre la cartographie, les contrôles effectués et les décisions prises par la direction. La conformité anticorruption est un exercice de crédibilité opérationnelle, pas seulement documentaire.

Un dispositif d'alerte interne doit garantir la confidentialité, la protection des lanceurs d'alerte et la conformité RGPD, conformément à la loi Sapin II et à la directive 2019/1937.

La loi Sapin II (n° 2016-1691) et la loi transposant la directive (UE) 2019/1937 imposent aux entreprises concernées de mettre en place un canal d'alerte interne sécurisé. Le traitement des signalements constitue un traitement de données personnelles soumis au RGPD : licéité, minimisation, sécurité renforcée et limitation des durées de conservation s'appliquent. La CNIL encadre strictement la confidentialité et l'accès aux signalements.

Les neuf étapes d'un dispositif conforme :

Gouvernance

• Désigner un référent ou une cellule indépendante (compliance, audit, éthique)

• Informer clairement les salariés sur la procédure et la protection contre les représailles

• Intégrer le dispositif au règlement intérieur si des conséquences disciplinaires sont possibles, et le présenter au CSE lorsque requis

Sécurité et confidentialité

• Mettre en place un canal sécurisé : plateforme dédiée chiffrée, accès restreint, journalisation

• Garantir la confidentialité de l'identité du lanceur d'alerte et des personnes visées

• Autoriser le signalement anonyme, même si l'identification facilite le traitement

• Limiter l'accès aux seules personnes habilitées

Conformité RGPD

• Définir une durée de conservation proportionnée, avec suppression des alertes non fondées

• Inscrire le dispositif au registre des activités de traitement (Art. 30 RGPD) et réaliser une AIPD

L'œil du consultant : Le piège classique : choisir une plateforme technique performante sans gouvernance claire — pas de procédure formalisée, pas de formation des référents, traçabilité insuffisante. Ce qui sécurise réellement l'entreprise n'est pas l'anonymat seul, mais la capacité à démontrer un traitement impartial, confidentiel et documenté des signalements.