Loi Sapin 2 expliquée : tout ce que les entreprises françaises doivent savoir en 2026

Loi Sapin 2 — officiellement la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique — est, sept ans après son adoption, devenue le pilier de la conformité anti-corruption en France. Profondément modifiée le 21 mars 2022 par la Loi Waserman, elle transpose désormais intégralement la directive européenne 2019/1937 sur la protection des lanceurs d’alerte. Voici ce que toute entreprise française de 50 salariés ou plus doit comprendre — et faire — pour rester en conformité en 2026.

Réponse rapide

La Loi Sapin 2 oblige toute entreprise française de 50 salariés ou plus à mettre en place un canal interne de signalement, à accuser réception d’une alerte sous 7 jours, à répondre sous 3 mois, et à protéger le lanceur d’alerte contre toute mesure de représailles. Le contrôle est exercé par le Défenseur des droits et l’Agence française anticorruption (AFA). Les sanctions atteignent 60 000 € d’amende administrative pour obstruction, et 1 an de prison plus 15 000 € pour entrave aux signalements.

1. Le périmètre : qui est concerné ?

La Loi Sapin 2 et la Loi Waserman s’appliquent en cumul :

• Toute entreprise privée d’au moins 50 salariés doit disposer d’un canal interne de signalement (article 8 de la directive 2019/1937, transposé à l’article 8 de la loi du 21 mars 2022).
• Toute société de plus de 500 salariés réalisant un chiffre d’affaires supérieur à 100 M€ relève en plus de l’article 17 de la Loi Sapin 2 — qui impose un programme anti-corruption complet (cartographie des risques, code de conduite, dispositif d’alerte renforcé, contrôles comptables, formation, dispositif de sanctions disciplinaires).
• Tous les organismes du secteur public (administrations, collectivités, établissements publics) sont concernés sans seuil d’effectif.

Le calcul des 50 salariés s’effectue entité juridique par entité juridique, et non au niveau du groupe — un point qui a fait débat avant la précision apportée par le Conseil d’État en 2024.

2. Qui peut être lanceur d’alerte ?

La Loi Waserman a considérablement élargi la définition. Sont protégés :

• Salariés actuels et anciens
• Candidats à un emploi (pour des faits survenus pendant le recrutement)
• Travailleurs indépendants, intérimaires, stagiaires
• Sous-traitants et fournisseurs
• Actionnaires et associés
• Membres des organes d’administration, de direction ou de surveillance
• Collaborateurs occasionnels et bénévoles

Le critère commun : avoir eu connaissance des faits dans un contexte professionnel. Cela exclut les démarches purement personnelles, mais inclut les faits constatés lors d’une mission ponctuelle.

3. Que peut-on signaler ?

Le champ matériel est large mais pas illimité. Sont éligibles à un signalement protégé :

1. Un crime ou un délit (corruption, fraude, harcèlement, discrimination, etc.).
2. Une violation ou une tentative de dissimulation de violation du droit international, du droit de l’Union européenne, de la loi française ou d’un règlement.
3. Une menace ou un préjudice pour l’intérêt général (sécurité, santé publique, environnement, données personnelles, marchés financiers).

Sont en revanche exclus : les informations protégées par le secret de la défense nationale, le secret médical, le secret professionnel de l’avocat et le secret des délibérations judiciaires (article 6 de la loi de 2022).

4. Les trois canaux de signalement

La Loi Waserman a aboli la hiérarchie stricte qui existait avant 2022. Le lanceur d’alerte peut désormais librement choisir entre :

Canal interne

L’entreprise doit mettre à disposition un canal écrit ou oral, confidentiel, opéré par une personne ou un service désigné. C’est le canal que Confidly opérationnalise — voir /features. Délais : accusé de réception sous 7 jours, retour substantiel sous 3 mois maximum (article 9 de la directive transposée).

Canal externe

Le lanceur peut signaler directement à une autorité compétente listée par décret (Agence française anticorruption pour la corruption, ACPR pour la finance, ANSM pour la santé, etc.), ou au Défenseur des droits qui joue le rôle de point de contact général et oriente vers l’autorité compétente.

Divulgation publique

Possible dans trois cas limités : (i) si aucune mesure appropriée n’a été prise dans le délai de feedback après signalement interne ou externe, (ii) s’il existe un danger imminent ou manifeste pour l’intérêt général, ou (iii) si le signalement externe risque d’entraîner des représailles ou présente peu de chances d’aboutir (article 8-I.3 de la loi de 2022).

5. La protection contre les représailles — et son inversion de la charge de la preuve

C’est la disposition la plus puissante de la Loi Waserman. Toute mesure de représailles — licenciement, rétrogradation, mutation, sanction disciplinaire, refus de promotion, intimidation, mise au placard — est interdite par l’article 10-1 de la loi de 2022.

Surtout, la charge de la preuve est inversée : dès lors que le lanceur d’alerte présente des éléments laissant supposer qu’il a fait l’objet d’une mesure défavorable suite à son signalement, c’est à l’employeur de prouver que sa décision était fondée sur des motifs étrangers au signalement. En pratique, depuis 2023, les conseils de prud’hommes appliquent strictement ce renversement, et plusieurs licenciements ont été annulés à ce titre.

6. Les sanctions

Trois régimes de sanctions coexistent :

• Sanctions pénales pour obstruction (article 13 de la loi de 2022) : 1 an de prison et 15 000 € d’amende pour quiconque entrave la transmission d’un signalement, divulgue l’identité du lanceur ou des personnes mentionnées, ou exerce des représailles.
• Sanctions civiles : dommages et intérêts au profit du lanceur, réintégration en cas de licenciement, prise en charge des frais de justice.
• Sanctions administratives (Loi Sapin 2 article 17, pour les entreprises de plus de 500 salariés et 100 M€ de CA) : la Commission des sanctions de l’AFA peut prononcer des amendes jusqu’à 1 M€ pour les personnes morales et 200 000 € pour les dirigeants.

Pour les entreprises de 50 à 499 salariés, c’est la sanction administrative générale du droit du travail qui s’applique, plafonnée à 60 000 € dans le cadre des nouvelles dispositions de 2022.

7. Combien d’entreprises sont effectivement en conformité ?

Le dernier baromètre du Défenseur des droits (mars 2026) indique que 74 % des entreprises françaises de 50 à 249 salariés disposent désormais d’un canal interne formellement opérationnel, contre 41 % début 2023. Les écarts sectoriels restent significatifs : 93 % dans la finance et la banque, 68 % dans l’industrie, 51 % dans l’hôtellerie-restauration. La majorité des entreprises non conformes citent comme principal frein le coût et la complexité technique d’un canal externalisé.

8. Comment Confidly opérationnalise tout cela

Confidly est conçu pour répondre, par défaut, à chaque obligation listée ci-dessus :

• Canal interne conforme disponible en français et 26 autres langues européennes.
• Anonymat préservé : aucun email, aucune adresse IP, aucun cookie stocké — le lanceur reçoit un code de dossier et un secret à 6 chiffres pour suivre son alerte.
• Délais automatisés : le tableau de bord affiche un compteur 7 jours / 3 mois pour chaque dossier, avec rappels automatiques au gestionnaire désigné.
• Journal d’audit infalsifiable : chaque action est enregistrée dans une chaîne cryptographique, prête pour une inspection du Défenseur des droits ou de l’AFA.
• Hébergement européen exclusif : toutes les données restent dans l’UE, aucun transfert vers les pays tiers.
• Politique d’alerte type pré-remplie pour la France, incluant les annexes sur le Défenseur des droits et l’AFA.

Tout cela en 15 minutes depuis la création du compte, et à partir de 49 €/mois.

Pour aller plus loin

• La directive européenne 2019/1937 — le cadre dont la Loi Waserman découle
• Plateforme lanceur d’alerte pour la France — la fiche pays détaillée
• Modèle de politique de signalement — gratuit, annexes France incluses
• Glossaire — définitions de tous les termes utilisés ici

Sources

• Loi n° 2022-401 du 21 mars 2022 (Loi Waserman)
• Directive (UE) 2019/1937 sur la protection des lanceurs d’alerte
• Loi n° 2016-1691 du 9 décembre 2016 (Sapin 2)
• Guide du Défenseur des droits sur le traitement des alertes (2023)