Depuis la réforme du Code pénal opérée par la Loi Organique 5/2010, une entreprise espagnole peut être condamnée pénalement : elle peut recevoir des amendes considérables, être dissoute, se voir interdire de contracter avec l'Administration publique ou faire l'objet d'une mise sous surveillance judiciaire. La personne morale n'est pas un bouclier contre la responsabilité pénale — elle est, depuis quinze ans, un sujet actif du droit pénal. Le compliance pénale, et plus précisément le modèle d'organisation et de gestion visé à l'article 31 bis du Code pénal, est le seul mécanisme légalement reconnu pour exonérer ou atténuer cette responsabilité.
Qu’est-ce que le compliance pénale et en quoi se distingue-t-il du compliance général
Le terme compliance — conformité normative — recouvre au sens large l’ensemble des politiques, procédures et contrôles qu’une organisation adopte pour s’assurer qu’elle opère conformément à la loi et à ses propres standards éthiques. Le compliance pénale est une catégorie spécifique à l’intérieur de cet univers : il s’occupe exclusivement de la prévention des comportements susceptibles de constituer des infractions imputables à l’entreprise en tant que personne morale.
Cette distinction est importante parce que le compliance pénale produit des effets juridiques directs en procédure pénale. Contrairement à d’autres obligations de conformité — prévention du blanchiment, protection des données, prévention des risques professionnels — dont le manquement génère des sanctions administratives, le compliance pénale opère comme cause d’exonération de la responsabilité criminelle. Un modèle d’organisation et de gestion qui satisfait aux conditions de l’article 31 bis.2 et .5 du Code pénal peut aboutir à ce que l’entreprise soit entièrement acquittée, même si l’un de ses dirigeants a commis une infraction en son nom.
Le cadre légal : article 31 bis CP et la réforme de 2015
Le modèle à double voie d’imputation
L’article 31 bis du Code pénal établit deux hypothèses de responsabilité pénale de la personne morale :
Première voie (art. 31 bis.1.a) : L’entreprise répond lorsque l’infraction est commise par ses représentants légaux ou par ceux qui, agissant individuellement ou en tant que membres d’un organe, sont autorisés à prendre des décisions au nom de la personne morale ou disposent de pouvoirs d’organisation et de contrôle en son sein.
Deuxième voie (art. 31 bis.1.b) : L’entreprise répond également lorsque l’infraction est commise par des salariés soumis à l’autorité des précédents, à condition que les faits aient été rendus possibles par un manquement grave aux obligations de supervision, de surveillance et de contrôle. Le fondement de la responsabilité est ici non pas l’acte du dirigeant, mais le défaut organisationnel ayant permis à un salarié de délinquer sans être détecté ni empêché.
Les peines applicables aux personnes morales
Le Code pénal prévoit pour les personnes morales un catalogue de peines spécifique, distinct de celui applicable aux personnes physiques. Les principales sont : amende par quotas ou proportionnelle, dissolution de la personne morale, suspension d’activités (jusqu’à cinq ans), fermeture des locaux et établissements (jusqu’à cinq ans), interdiction d’exercer les activités dans le cadre desquelles l’infraction a été commise (temporaire jusqu’à quinze ans ou définitive), interdiction d’obtenir des subventions et aides publiques ou de contracter avec le secteur public (jusqu’à quinze ans), et mise sous surveillance judiciaire (jusqu’à cinq ans).
Les infractions génératrices de responsabilité pénale des personnes morales
Le système espagnol est à numerus clausus : seules les infractions pour lesquelles le Code pénal prévoit expressément la responsabilité des personnes morales peuvent donner lieu à une condamnation de l’entreprise. À date de 2026, ce catalogue comprend une vingtaine de figures délictuelles, parmi lesquelles : la fraude fiscale, le blanchiment de capitaux, la corruption, les infractions environnementales, la fraude informatique et le trafic d’influence.
Les six conditions du modèle d’exonération (art. 31 bis.5 CP)
L’exonération de responsabilité pénale de la personne morale exige que le modèle d’organisation et de gestion adopté avant la commission de l’infraction satisfasse les six conditions que l’article 31 bis.5 du Code pénal énumère expressément :
- Identification des activités génératrices de risque pénal — cartographie des risques pénaux.
- Protocoles de formation de la volonté et adoption des décisions — circuits de décision documentés.
- Modèles de gestion des ressources financières — contrôles financiers internes adéquats.
- Obligation de signalement des risques et manquements — canal d’alerte opérationnel.
- Système disciplinaire sanctionnant les manquements — prévu dans le règlement intérieur.
- Vérification périodique et modification si nécessaire — révision au moins biennale.
Le canal d’alerte : la Loi 2/2023 et son impact sur le compliance pénale
La Loi 2/2023, du 20 février, transposant la Directive UE 2019/1937 (Directive Lanceurs d’alerte), a transformé le régime du canal d’alerte en Espagne. Elle impose l’obligation d’implanter un canal d’alerte aux entreprises de 50 salariés ou plus du secteur privé, ainsi qu’aux entités du secteur public.
Les exigences minimales du canal : confidentialité garantie de l’identité du lanceur d’alerte, possibilité de signalement anonyme, gestionnaire indépendant, accusé de réception sous sept jours, réponse sur les mesures adoptées dans un délai de trois mois, interdiction des représailles avec renversement de la charge de la preuve, et registre des signalements.
Le canal conforme à la Loi 2/2023 et celui exigé par l’article 31 bis.5.4 CP peuvent être un seul et même instrument, à condition qu’il satisfasse aux exigences des deux textes.
La cartographie des risques pénaux : méthodologie
La cartographie des risques pénaux est le document central du compliance pénale. Son élaboration suit six phases : inventaire des processus, identification des infractions applicables, évaluation du risque inhérent, évaluation des contrôles existants, calcul du risque résiduel et plan d’action.
Le compliance officer : profil, fonctions et responsabilité propre
L’article 31 bis.2 CP exige un organe doté de pouvoirs autonomes d’initiative et de contrôle. Le Tribunal Suprême a rappelé que l’autonomie du compliance officer est une condition non négociable. Sa responsabilité personnelle peut être engagée s’il avait connaissance d’un risque, la capacité d’agir, et s’est abstenu.
La certification UNE 19601
La norme UNE 19601, publiée par AENOR en 2017 (mise à jour en 2023), est le standard de référence national pour les modèles de l’article 31 bis CP. La certification constitue un indice probant que le modèle est authentique et est valorisée positivement tant en procédure pénale que dans les marchés publics. Elle ne constitue toutefois pas une garantie automatique d’exonération : c’est l’effectivité réelle du modèle qui exonère.
Le régime simplifié pour les petites entreprises
L’article 31 bis.3 CP prévoit que les fonctions de surveillance du modèle peuvent être assumées directement par l’organe d’administration dans les personnes morales de petite taille. Un programme simplifié peut s’articuler autour de cinq éléments : code de conduite basique, cartographie des risques simplifiée, canal d’alerte (obligatoire dès 50 salariés), formation annuelle et révision annuelle par l’organe d’administration.
Bárbara Botía Espín est avocate, membre du Barreau de Málaga (n° 11.233 ICAM), spécialiste en compliance pénale et en responsabilité pénale des personnes morales au sein de BMC.
