Code de conduite en entreprise : Définition et obligations (Guide 2026)

La loi Sapin 2 (9 décembre 2016) a structuré la prévention de la corruption dans les entreprises via un ensemble de mesures de conformité. Parmi elles, le code de conduite est un document central : il fixe les règles du jeu, clarifie les interdits, et outille les équipes au quotidien.

Dans ce guide, vous trouvez une définition opérationnelle, le contenu attendu, et une méthode concrète pour rédiger, diffuser et contrôler un code de conduite sans le transformer en document “théorique”.

Résumé de l'article

• Un code de conduite formalise les comportements attendus (et interdits) en matière d’éthique, notamment anticorruption.

• Dans Sapin 2, il s’inscrit dans un dispositif plus large (cartographie des risques, alerte interne, contrôles, formation, etc.).

• Il doit être actionnable : exemples concrets, procédures, sanctions internes et relais de signalement.

• Son efficacité se démontre par des preuves : diffusion, formation, contrôles, audits, examen et mises à jour.

• Attention aux données et à la sécurité du dispositif d’alerte : articulation pratique avec le RGPD et les recommandations de la CNIL.

À quoi sert un code de conduite en entreprise ?

Un code de conduite sert à transformer des principes éthiques en règles compréhensibles et applicables par tous les collaborateurs.

Concrètement, il agit comme une “signalisation” sur la route : il indique ce qui est autorisé, ce qui est interdit, et quoi faire en cas de doute. Il aide aussi l’entreprise à homogénéiser les pratiques, limiter les zones grises (cadeaux, invitations, conflits d’intérêts), et réduire les risques juridiques et réputationnels.

Un bon code de conduite ne se contente pas d’énoncer des valeurs : il décrit des situations, propose des réflexes, et renvoie vers des procédures internes.

Le code de conduite est-il obligatoire au titre de Sapin 2 ?

Oui, le code de conduite fait partie des mesures à mettre en œuvre pour les entités concernées par l’article 17 de la loi Sapin 2 (seuils notamment : 500 salariés et chiffre d’affaires supérieur à 100 M€).

Pour être précis, l’article 17 (version en vigueur indiquée comme applicable depuis le 15 juin 2025) décrit le champ des sociétés / groupes concernés et les obligations associées.

Même hors seuils, beaucoup d’entreprises adoptent des codes de conduite par bonne gouvernance et pour cadrer les relations d’affaires (achats, ventes, partenaires, sous-traitants).

Conseil Witik

Risque fréquent : rédiger un code “universel” qui ne colle pas aux risques réels.

Solution : partez de votre cartographie des risques (par pays, métiers, typologies de tiers), puis déclinez des règles ciblées par scénario.

Witik aide à structurer cette logique “risques → règles → preuves” pour que le document reste utilisable.

Quelles mesures Sapin 2 entourent le code de conduite ?

Le code de conduite est un pilier, mais il fonctionne avec les autres volets du dispositif anticorruption.

Dans l’esprit de Sapin 2, on retrouve notamment :

• le code de conduite ;

• un dispositif de signalement (alerte) ;

• une cartographie des risques ;

• l’évaluation des risques des tiers ;

• des contrôles comptables ;

• la formation et la sensibilisation ;

• un régime disciplinaire ;

• le contrôle et l’évaluation interne de l’ensemble.

L’objectif est d’éviter l’effet “document vitrine” : le code de conduite doit être cohérent avec les procédures et le contrôle.

Que doit contenir un code de conduite (contenu attendu) ?

Un code de conduite doit au minimum expliciter les interdictions, les procédures à suivre, et les conséquences internes en cas de violation.

Dans le cadre Sapin 2, le contenu doit être suffisamment concret pour couvrir les situations typiques : corruption, trafic d’influence, cadeaux et invitations, conflits d’intérêts, facilitation, sponsoring, etc. Il doit aussi indiquer comment réagir lorsqu’un collaborateur est confronté à une situation à risque (qui contacter, comment escalader, comment tracer).

Pour rester “snippet-ready”, visez une structure simple :

• Règles (interdits et zones rouges) ;

• Cas pratiques (exemples réalistes par métier) ;

• Procédures (validation, refus, escalade, signalement) ;

• Régime disciplinaire (sanctions internes possibles, proportionnées et connues) ;

• Références internes (charte achats, politique cadeaux, dispositif d’alerte, etc.).

Astuce opérationnelle : diffusez une version courte et lisible, et une version détaillée (annexes) en PDF.

Comment rédiger un code de conduite à partir des risques réels ?

La meilleure méthode consiste à écrire le code de conduite à partir des risques les plus probables, pas à partir de généralités.

Démarche recommandée :

• Identifiez les zones exposées (pays, secteurs, contrats, interactions publiques/privées, remises commerciales, etc.).

• Faites relire les scénarios par les métiers (achats, commerce, finance, direction) pour coller au terrain.

• Transformez chaque risque en règle actionnable : “si… alors…”, avec un point de contact clair.

Cette approche rend le code plus crédible, facilite l’adhésion des collaborateurs, et améliore l’auto-évaluation (auto-contrôle) dans le temps.

Comment déployer le code de conduite auprès des collaborateurs ?

Un code de conduite n’est utile que s’il est connu, compris et appliqué.

Pour une mise en œuvre solide :

• Faites porter un message clair par la direction (exemplarité + tolérance zéro sur les manquements).

• Organisez une formation ciblée (pas uniquement e-learning générique) pour les populations les plus exposées.

• Intégrez le code aux parcours RH : onboarding, mobilité, managers.

• Ajoutez un mini “test” de compréhension (quiz court) pour valider l’appropriation.

Conseil Witik

Risque fréquent : ne pas pouvoir prouver la diffusion, la lecture et la formation.

Solution : centralisez les preuves (versions, dates de diffusion, populations couvertes, attestations, résultats de quiz). Witik permet de conserver cette traçabilité pour faciliter les audits et les contrôles.

Comment contrôler et tester l’efficacité du code de conduite ?

On contrôle l’efficacité d’un code de conduite par des vérifications régulières, des indicateurs simples, et des audits internes.

Exemples de mécanismes de contrôle utiles :

• audits internes ciblés (cadeaux, sponsoring, intermédiation, achats) ;

• suivi des formations et des taux de couverture ;

• revue des alertes et des actions correctives (sans surinterpréter les volumes) ;

• examen annuel des points flous (règles mal comprises, validations trop lentes, contournements).

Le bon niveau de preuve n’est pas “zéro incident”, mais un dispositif vivant : détection, traitement, amélioration.

Quelles conséquences en cas de non-respect du code de conduite ?

Le non-respect d’un code de conduite peut entraîner des mesures disciplinaires internes et exposer l’entreprise à des risques de contrôle et de sanction dans le cadre du dispositif Sapin 2.

Côté interne, le principe est la cohérence : des sanctions prévues, proportionnées, et appliquées de façon uniforme. Côté externe, l’Agence française anticorruption (AFA) dispose d’un mécanisme de mise en demeure et, selon les cas, d’une saisine de sa commission des sanctions (injonction, sanction pécuniaire, publication).

Le message à faire passer : le code de conduite protège aussi l’entreprise et ses équipes, en clarifiant les lignes à ne pas franchir.

Comment articuler code de conduite, RGPD et CNIL pour le dispositif d’alerte ?

Dès qu’un dispositif d’alerte est mis en place, il implique un traitement de données personnelles : il faut donc intégrer des exigences RGPD et suivre les recommandations de la CNIL.

Points pratiques à prévoir autour du canal de signalement :

• impli­quer le DPO, inscrire le traitement au registre et informer les personnes concernées ;

• réaliser une analyse d’impact (PIA) lorsque requis par la CNIL pour ce type de traitement ;

• mettre des mesures de sécurité (contrôle des accès, confidentialité, traçabilité).

Sur la traçabilité, la CNIL rappelle l’intérêt de la journalisation pour détecter les accès non autorisés et renforcer la sécurité des traitements.

Conseil Witik

Risque fréquent : multiplier les canaux (email, formulaires, messages) et perdre la maîtrise des accès.

Solution : utilisez un point d’entrée unique, avec des droits d’accès stricts, un circuit de traitement documenté et des journaux d’accès. Witik aide à organiser ce circuit et à sécuriser les échanges, sans complexifier la vie des équipes.

FAQ

Un code de conduite doit-il forcément être anticorruption ?

Non. Un code peut couvrir plusieurs sujets (éthique, conflits d’intérêts, cadeaux, concurrence, etc.), mais dans Sapin 2 le code de conduite vise clairement la prévention de la corruption et du trafic d’influence.

Quelle est la différence entre un code de conduite et une charte éthique ?

La charte éthique pose des principes. Le code de conduite traduit ces principes en règles opérationnelles, avec des exemples, des procédures et un régime disciplinaire.

Peut-on diffuser le code de conduite en PDF uniquement ?

Oui, mais c’est rarement suffisant. Le PDF est utile comme version officielle ; prévoyez aussi une version “terrain” (intranet, onboarding, formation) pour toucher tous les collaborateurs.

Le code de conduite suffit-il à démontrer la conformité ?

Non. Il doit être relié aux autres mesures (cartographie, formation, contrôle, évaluation des tiers). Sans preuves de déploiement et de contrôle, un code de conduite reste théorique.

Le dispositif d’alerte est-il concerné par le RGPD ?

Oui, car il traite des données personnelles. La CNIL indique notamment des actions attendues (DPO, registre, information, sécurité) et met à disposition un référentiel “alertes professionnelles”.