Qui est concerné par quoi, quelles sanctions en cas de manquement, et combien coûte réellement l'inaction. Les faits — sourcés, sans dramatisation.
La question n'est pas de savoir si vous êtes visé par tel ou tel texte. La plupart des organisations françaises sont aujourd'hui soumises à au moins deux régimes de conformité simultanément — souvent sans en avoir conscience.
| Régime | Qui est concerné | Seuil d'obligation directe | Obligation principale | Sanction maximale |
|---|---|---|---|---|
| Loi Sapin II Art. 17 |
Entreprises françaises + filiales étrangères de groupes français. Effet de ruissellement : fournisseurs et sous-traitants des assujettis directs. | 500+ salariés et 100M€+ CA Ou maison mère d'un groupe atteignant ces seuils |
Programme anticorruption · cartographie COI · registre conflits d'intérêts ↗ · piste d'audit AFA · formation | 200 000 € PF 1 000 000 € PM + publication de la sanction |
| RGPD Règl. (UE) 2016/679 |
Toute organisation traitant des données de résidents UE — sans seuil de taille ni de chiffre d'affaires. | Aucun seuil DPO obligatoire dès traitement à grande échelle |
Notification violations sous 72h · registre des traitements · qualification CNIL ↗ · bases légales · privacy by design | 20 000 000 € ou 4 % CA mondial Montant le plus élevé |
| NIS2 Dir. (UE) 2022/2555 |
Entités essentielles ou importantes dans 18 secteurs (énergie, transport, santé, finance, numérique, eau, espace…) | 50+ sal ou 10M€+ CA dans secteurs critiques + entités critiques quelle que soit leur taille |
Sécurité des systèmes d'info · notification incidents 24h (initial) / 72h (détaillé) · gouvernance cyber · supply chain | 10 000 000 € ou 2 % CA mondial |
| AI Act Règl. (UE) 2024/1689 |
Tout fournisseur ou déployeur d'un système IA utilisé dans l'UE. Application progressive jusqu'en 2027. | Selon niveau de risque (interdit · haut · limité · minimal) Haut risque : RH, crédit, éducation, justice, infra critique… |
Documentation technique · évaluation conformité · supervision humaine · transparence · registre des systèmes IA | 35 000 000 € ou 7 % CA mondial Pour violations art. 5 (interdits) |
| Loi Waserman 2022-401 |
Toutes entités privées et publiques de 50+ salariés. Plus restrictif que la directive européenne. | 50+ salariés (dispositif interne obligatoire) En dessous : dispositif via DLD ou référent éthique |
Dispositif de recueil interne · canaux sécurisés · accusé de réception sous 7 jours · traitement sous 3 mois · protection irréfragable du lanceur | 3 ans d'emprisonnement 45 000 € d'amende Pour obstruction ou représailles |
Les chiffres suivants ne sont pas des arguments de vente. Ce sont des données publiques — issues de rapports institutionnels et d'études sectorielles — qui permettent de poser correctement le calcul de risque avant de décider d'agir ou non.
Par incident — enquête interne, honoraires juridiques et coût des sanctions non inclus. Les incidents les plus graves dépassent 1 M€.
802 dossiers en 2024 contre 439 en 2023. Le plan national anticorruption 2025-2029 place les ETI/PME comme priorité explicite de contrôle.
Non par mauvaise foi, mais parce que les collaborateurs ne savent pas où tracer le curseur. Les zones grises restent invisibles sans outil dédié.
87 décisions en 2024 — dont 1 notification sur 2 reçue hors délai. Le délai de 72h RGPD reste le principal facteur aggravant des sanctions. BRiC ↗ qualifie votre obligation en 3 minutes.
Les fraudes organisées durent aujourd'hui 7 à 12 ans avant d'être détectées — contre 3 ans dans les années 1990. Non pas parce que les fraudeurs sont plus habiles, mais parce que les outils de détection sont fragmentés.
Sur une ETI de 50M€ de CA, ça représente 2,5M€ de pertes annuelles non identifiées. Un programme compliance structuré coûte en moyenne 10 à 50 fois moins.
L'Agence Française Anticorruption a massivement augmenté son activité de contrôle. Les organisations sans programme structuré sont désormais exposées à un risque réel — les contrôles ne sont plus réservés aux grandes entreprises cotées.
« La question n'est pas "suis-je obligé de me mettre en conformité". La question est "puis-je absorber le coût si un incident survient et que je n'ai rien mis en place". Pour la plupart des ETI, la réponse est non. »
— Positionnement ADViZE · TRIADS · 20261 entreprise sur 2 notifie hors délai. BRiC ↗ qualifie votre obligation réglementaire et génère un brouillon de déclaration CNIL en 3 minutes. Gratuit, sans inscription.
MOVRz ↗ détecte les zones grises entre deux campagnes annuelles — suppléances, doubles rôles, relations dormantes. Scoring dynamique, piste d'audit Sapin II automatique.
ADViZE, la branche conseil de TRIADS, propose 3 niveaux d'intervention adaptés à la nature et à l'urgence de votre exposition.
La plateforme de gestion dynamique des conflits d'intérêts. Scoring en temps réel, 13 sphères, Decay Rate, piste d'audit Sapin II automatique. Non-nominatif, RGPD-by-design.
Missions sur mesure pour les organisations qui ont besoin d'un regard externe. Du diagnostic initial à l'accompagnement long terme — Sapin II, Waserman, AI Act.
Self-assessment en cas de violation de données personnelles. Calcule le score ENISA, identifie vos obligations réglementaires et génère un brouillon de déclaration CNIL.
Sapin II s'applique aux sociétés françaises et filiales de groupes français dépassant 500 salariés ET 100 M€ de CA consolidé. L'effet de ruissellement est important : les fournisseurs et sous-traitants d'entités assujetties peuvent être indirectement concernés par des exigences contractuelles. Un diagnostic de 30 minutes permet de trancher sans ambiguïté.
Sapin II cible la prévention de la corruption via un programme en 8 piliers supervisé par l'AFA (seuil : 500 salariés et 100 M€ de CA). Waserman (loi 2022-401) concerne la protection des lanceurs d'alerte et impose un dispositif de recueil des signalements dès 50 salariés. Les deux régimes se cumulent souvent — une ETI de 300 salariés peut être soumise à Waserman sans être directement sous Sapin II.
L'AFA peut prononcer des sanctions allant jusqu'à 200 000 € pour une personne physique et 1 000 000 € pour une personne morale, assorties d'une publication de la sanction sur le site de l'AFA. Le nombre de rapports annuels de l'AFA a augmenté de +83 % entre 2023 et 2024 — le contrôle n'est plus théorique.
Les premières obligations s'appliquent dès février 2025 (interdictions absolues sur certains usages IA) et la deadline critique pour les systèmes IA à haut risque est août 2026. Si votre organisation utilise des outils IA dans des processus RH, crédit, aide au diagnostic ou gestion des accès, une cartographie préventive est recommandée sans attendre.
Un diagnostic initial Sapin II ou Waserman se déroule en une demi-journée à une journée selon la taille de l'organisation. Le rapport actionnable (gaps identifiés, plan d'action daté, responsables) est livré sous 5 à 10 jours ouvrés. ADViZE propose des formats adaptés : diagnostic express (demi-journée) ou évaluation complète (journée + rapport).
Oui. TRIADS propose des missions à la carte (TJM consultant senior à 800 €/jour) et des diagnostics forfaitaires sans engagement de suite. L'accompagnement pluriannuel n'est proposé que si les deux parties y trouvent un intérêt concret. Premier échange de 30 minutes toujours gratuit et sans engagement.
Quels régimes s'appliquent à votre organisation. Vos priorités réelles. La solution adaptée à votre taille. Tout ça en 30 minutes — sans engagement et sans devis imposé.
D'autres ressources sont disponibles sur la bibliothèque TRIADS.