La responsabilité pénale des personnes morales en Espagne est désormais en vigueur depuis quinze ans, depuis son introduction par la Loi Organique 5/2010. Au cours de cette période, la Chambre pénale du Tribunal Suprême — complétée par les directives du ministère public — a progressivement affiné sa jurisprudence sur ce qui constitue un programme de compliance véritablement effectif. Les entreprises disposant de programmes rédigés il y a plusieurs années et non mis à jour depuis encourent le risque réel qu'un tribunal considère leur modèle de prévention comme inadéquat, maintenant ainsi l'intégralité de leur exposition pénale.
Le cadre juridique : article 31 bis et LO 1/2015
L’article 31 bis du Code pénal, tel que modifié par la Loi Organique 1/2015 du 30 mars, établit que les personnes morales sont pénalement responsables des infractions commises en leur nom, pour leur compte et à leur bénéfice direct ou indirect par leurs représentants légaux ou par ceux qui, agissant individuellement ou en tant que membres d’un organe, sont habilités à prendre des décisions au nom de la personne morale. La responsabilité naît également lorsque l’infraction est commise par des personnes soumises à l’autorité de ces représentants et que l’infraction a été rendue possible par un manquement grave aux obligations de surveillance, de contrôle et de supervision.
Une personne morale peut être exonérée de responsabilité si, avant la commission de l’infraction, l’organe de direction avait adopté et mis en œuvre de manière effective des modèles d’organisation et de gestion comportant des mesures de surveillance et de contrôle adéquates pour prévenir les infractions de même nature ou pour réduire significativement le risque de leur commission.
Les infractions les plus fréquemment génératrices de responsabilité pénale des personnes morales en Espagne comprennent : l’escroquerie (article 251 bis), les infractions fiscales et de sécurité sociale (articles 310 bis et 318), le blanchiment de capitaux (article 302 bis), les infractions contre le marché et les consommateurs (article 288), la corruption (article 427 bis), le trafic d’influence (article 430), et — depuis la LO 5/2022 — les infractions environnementales (article 328).
Jurisprudence du Tribunal Suprême : les standards établis
La deuxième chambre du Tribunal Suprême a développé un corpus jurisprudentiel cohérent qui constitue désormais la norme opérationnelle en matière de compliance pénale en Espagne.
STS 154/2016 (29 février) a posé les fondements : le Tribunal exige que le modèle de compliance soit authentique — non pas un instrument de blanchiment réputationnel, mais un véritable système de contrôle interne doté de ressources humaines et matérielles dédiées et de mécanismes de mise à jour périodique.
STS 221/2016 (16 mars) a précisé que la responsabilité pénale de la personne morale ne peut découler automatiquement de la responsabilité d’un dirigeant. Il est nécessaire de démontrer un défaut structurel organisationnel au sein de l’entreprise ayant facilité la commission de l’infraction.
STS 668/2017 (11 octobre) a abordé le rôle du responsable de la compliance : le Tribunal a confirmé que la fonction de surveillance peut être confiée à un organe collégial, mais celui-ci doit être opérationnellement autonome et non subordonné à quiconque détient le pouvoir exécutif dans l’entreprise.
Les arrêts plus récents de 2023 et 2024 ont approfondi l’exigence selon laquelle la cartographie des risques pénaux doit être spécifique aux activités réelles de l’entreprise — rejetant les modèles génériques et standardisés non adaptés au secteur et à la structure concrète de l’organisation.
Le responsable de la compliance : fonction, autonomie et responsabilité personnelle
Les normes de l’ASCOM (Association espagnole de compliance) ainsi que les standards UNE 19601 et ISO 37301 ont défini le profil et les fonctions du responsable de la compliance. Le Tribunal Suprême a admis que, dans les entreprises de taille moyenne et grande, la fonction de surveillance du modèle peut être confiée à un organe jouissant d’autonomie et d’indépendance vis-à-vis du conseil d’administration. Sans cette autonomie, le modèle ne peut être considéré comme adéquat.
Une question d’importance croissante est celle de la responsabilité pénale personnelle du responsable de la compliance. L’article 31 ter du Code pénal permet l’imposition d’amendes au représentant de l’entreprise qui n’a pas adopté les mesures nécessaires pour prévenir l’activité criminelle. La doctrine majoritaire considère qu’un responsable de la compliance qui avait connaissance du risque pénal et n’a pas agi peut engager sa responsabilité pénale personnelle en tant que participant par omission à l’infraction.
Développements récents 2025–2026 : intelligence artificielle et nouveaux vecteurs de risque pénal
L’entrée en vigueur de l’AI Act de l’UE (Règlement 2024/1689) introduit un nouveau vecteur de risque pénal que les programmes de compliance doivent désormais intégrer. Les systèmes d’intelligence artificielle à haut risque utilisés dans les décisions d’emploi, les approbations de crédit ou les évaluations de solvabilité peuvent, s’ils sont calibrés avec des biais ou déployés de manière discriminatoire, engendrer une responsabilité pour des infractions contre les droits des travailleurs (article 311 du Code pénal), la discrimination à l’emploi (article 314), ou, dans le secteur financier, pour des comportements potentiellement qualifiés d’infractions contre le marché.
La cartographie des risques pénaux de toute entreprise qui développe ou utilise des systèmes d’intelligence artificielle doit intégrer, à compter d’août 2026, une analyse des risques pénaux associés aux biais algorithmiques, à l’absence de supervision humaine et à l’utilisation de systèmes interdits au titre de l’article 5 de l’AI Act.
Par ailleurs, la transposition de la Directive UE 2023/1791 sur l’efficacité énergétique et les exigences croissantes de reporting au titre de la CSRD créent de nouveaux fondements de responsabilité pénale à travers les déclarations frauduleuses en matière de durabilité — une catégorie que plusieurs États membres de l’UE développent déjà dans leurs cadres pénaux nationaux.
Le canal de signalement interne : obligations au titre de la Loi 2/2023
La Directive européenne sur la protection des lanceurs d’alerte (Directive 2019/1937/UE), transposée en Espagne par la Loi 2/2023 du 20 février, fixe des exigences spécifiques pour le canal de signalement interne qui vont au-delà des exigences du programme de compliance pénale :
- Champ d’application obligatoire : Les entreprises de cinquante salariés ou plus sont tenues de disposer d’un canal de signalement interne.
- Confidentialité : L’identité de la personne signalante doit être protégée par des mesures techniques et organisationnelles.
- Délais de réponse : Accusé de réception dans un délai de sept jours calendaires et communication des mesures de suivi dans un délai de trois mois.
- Autonomie du gestionnaire du canal : Le canal doit être géré par une personne ou une unité autonome, qui peut être un tiers externe.
- Protection contre les représailles : La loi interdit expressément le licenciement, la rétrogradation et toute forme de représailles à l’encontre des personnes signalantes.
Les entreprises qui maintiennent des canaux séparés pour la Loi 2/2023 et leur programme de compliance pénale devraient les intégrer. La duplication des canaux crée de la confusion et peut compromettre la crédibilité de l’ensemble du système de signalement.
Révision et certification du programme : UNE 19601
La norme UNE 19601:2017 — Système de gestion de la compliance pénale — constitue la référence nationale pour la mise en œuvre et la certification des programmes de compliance pénale. Bien que la certification ne soit pas juridiquement obligatoire et ne confère pas automatiquement l’exonération de responsabilité, elle constitue un élément de preuve déterminant dans les procédures pénales et administratives, démontrant que le programme a été audité par un tiers indépendant selon le standard le plus exigeant du marché espagnol.
Une révision approfondie du programme doit couvrir : une cartographie actualisée des risques pénaux, un examen des protocoles de signalement interne, une mise à jour des supports de formation et de communication, un examen des contrôles documentés, et une évaluation de l’effectivité du canal de signalement au titre de la Loi 2/2023.
Liste de contrôle pour la révision du programme de compliance en 2026
Un programme de compliance pénale effectif en 2026 doit satisfaire les critères suivants :
- Cartographie des risques actualisée : Couvre-t-elle les risques numériques et liés à l’intelligence artificielle, les risques environnementaux et les risques liés à la chaîne d’approvisionnement ?
- Tone from the top documenté : Existe-t-il des preuves que la direction promeut activement une culture de compliance ?
- Canal de signalement opérationnel : Répond-il aux exigences de la Loi 2/2023 et est-il intégré au programme de compliance pénale ?
- Registres de formation vérifiables : Existe-t-il une preuve documentaire de la formation dispensée à chaque salarié en fonction de son niveau de risque ?
- Autonomie du responsable de la compliance : Le responsable de la compliance rend-il compte directement au conseil d’administration ou au comité d’audit ?
- Tests d’effectivité : Des simulations d’incidents ou des audits du canal interne ont-ils été réalisés ?
- Mises à jour post-jurisprudentielles : Les enseignements des arrêts du Tribunal Suprême de 2024 et 2025 ont-ils été intégrés ?
Chez BMC, notre équipe juridique est à votre disposition pour examiner votre programme de compliance pénale et l’adapter aux standards judiciaires en vigueur. Découvrez nos services de compliance pénale.
