La responsabilité pénale des personnes morales en Espagne, régie par l'article 31 bis du Code pénal, a connu une évolution jurisprudentielle intense depuis son introduction en 2010. Ce qui avait initialement suscité un certain scepticisme quant à son application pratique constitue aujourd'hui une réalité consolidée : les tribunaux espagnols ont condamné des personnes morales, ont rigoureusement examiné leurs modèles de prévention et ont établi une doctrine qui impose aux entreprises de traiter la compliance pénale avec le même sérieux qu'elles accordent à tout autre risque majeur de l'entreprise.
Ce livre blanc analyse l’état actuel de la compliance pénale en Espagne, les exigences du Tribunal suprême, le catalogue des infractions les plus pertinentes pour le secteur des affaires, ainsi que les meilleures pratiques permettant aux entreprises espagnoles de construire des modèles de prévention efficaces et vérifiables.
Cadre réglementaire : l’architecture juridique de la compliance pénale
La Loi organique 5/2010 a introduit la responsabilité pénale des personnes morales dans le Code pénal espagnol par le biais de l’article 31 bis. La réforme introduite par la Loi organique 1/2015 a consolidé et clarifié ce modèle, établissant explicitement que l’adoption et l’exécution effective de programmes de prévention peuvent constituer un motif d’exonération totale de responsabilité pénale — et non simplement d’atténuation.
L’article 31 bis, dans sa rédaction actuelle, établit deux voies d’imputation pour la personne morale : la commission de l’infraction par des représentants légaux ou des dirigeants de droit ou de fait (la « voie haute »), et la commission par des employés ou subordonnés en raison d’un manquement à l’exercice d’un contrôle adéquat sur ceux-ci (la « voie basse »). Dans les deux cas, la clé de l’exonération réside dans la démonstration que la personne morale a adopté et exécuté effectivement un modèle d’organisation et de gestion adapté à la prévention d’infractions du type de celle commise.
La Circulaire 1/2016 du Parquet général de l’État a établi les critères d’évaluation que les procureurs appliquent à ces programmes et demeure la référence pratique la plus importante pour la conception de modèles de compliance pénale capables de résister à l’examen du ministère public. Ses exigences dépassent la simple conception documentaire : la Circulaire souligne que le programme doit être opérationnellement efficace et doit avoir démontré sa capacité à détecter et à réagir face à des irrégularités dans le passé.
Exigences du Tribunal suprême : jurisprudence consolidée
La jurisprudence du Tribunal suprême en matière de responsabilité pénale des personnes morales a considérablement mûri depuis l’arrêt 154/2016 du 29 février (connu sous le nom d’« affaire Manos Limpias »), qui fut la première décision de la Haute Cour à aborder en profondeur le critère d’adéquation des programmes de conformité.
Les arrêts ultérieurs — notamment le STS 221/2016 du 16 mars et la doctrine consolidée au cours des années suivantes — ont précisé que le modèle de prévention doit remplir quatre conditions fondamentales pour être invoqué comme motif d’exonération : il doit avoir été adopté et mis en œuvre avant la commission de l’infraction (l’adopter après avoir pris connaissance d’une enquête ne suffit pas) ; il doit identifier les activités de l’entreprise dans le cadre desquelles les infractions qu’il vise à prévenir pourraient être commises ; il doit établir des protocoles ou procédures concrétisant le processus de formation de la volonté de la personne morale, de prise de décisions et de leur exécution en lien avec ces activités ; et il doit disposer de mécanismes de surveillance et de contrôle efficaces pour réduire le risque de non-respect des mesures préventives.
Le Tribunal suprême a également souligné que le programme doit être « authentique », par opposition aux modèles théoriques conçus pour donner une apparence de conformité sans réelle mise en œuvre. Les indicateurs examinés par les tribunaux pour évaluer cette authenticité comprennent : l’existence d’une formation documentée et périodique ; le fonctionnement effectif du canal de signalement (nombre de communications reçues, délais de réponse, mesures adoptées) ; et les audits ou révisions périodiques du programme lui-même.
Catalogue des infractions applicables aux personnes morales
Le Code pénal ne rend pas la personne morale responsable de toute infraction possible, mais uniquement de celles pour lesquelles le législateur a expressément prévu cette conséquence. Le catalogue comprend actuellement plus de 30 types d’infractions, mais les plus pertinentes en pratique pour le secteur des affaires espagnol sont les suivantes :
Infractions économiques et financières. La fraude fiscale (article 305 CP), les infractions comptables (article 310 CP), le blanchiment de capitaux (articles 301–304 CP) et l’insolvabilité punissable (articles 259–261 CP) sont les plus fréquentes dans les procédures contre les personnes morales. Le seuil de quota fiscal déclenchant la responsabilité pénale est de 120 000 € — à la portée d’entreprises dont le chiffre d’affaires se situe entre 2 et 3 millions d’euros.
Corruption et pots-de-vin. La corruption active (article 424 CP), la corruption entre particuliers (article 286 bis CP) et la corruption dans les transactions commerciales internationales (article 286 ter CP) sont particulièrement pertinentes pour les entreprises opérant dans les marchés publics, les secteurs réglementés ou les marchés internationaux présentant un risque élevé de corruption. Les équivalents du FCPA et du UK Bribery Act sont l’article 286 ter pour les scénarios transfrontaliers.
Infractions contre les travailleurs. Les infractions contre les droits des travailleurs (articles 311–318 CP) — incluant l’imposition de conditions de travail abusives, la traite d’êtres humains à des fins d’exploitation par le travail et les infractions en matière de sécurité au travail — font l’objet d’une attention croissante de la part du parquet, particulièrement dans les secteurs de la construction, de l’intérim et de l’hôtellerie-restauration. La dimension liée à la chaîne d’approvisionnement est critique : la responsabilité peut s’étendre aux donneurs d’ordre pour les conditions chez leurs sous-traitants.
Infractions environnementales. Les délits environnementaux (articles 325–331 CP) concernent particulièrement les entreprises industrielles, les sociétés de gestion des déchets et le secteur énergétique. La réforme du Code pénal de 2015 a introduit le délit de contamination par négligence grave, élargissant le champ de la responsabilité au-delà de la conduite intentionnelle pour couvrir les situations de défaillance opérationnelle caractérisée.
Infractions technologiques. L’accès illicite aux systèmes informatiques (article 197 bis CP), les dommages informatiques (article 264 CP) et les atteintes à la propriété intellectuelle en environnement numérique (article 270 CP) sont des ajouts relativement récents au catalogue de la responsabilité pénale des personnes morales, avec une pertinence croissante dans le contexte de l’économie numérique. Ces risques recoupent les obligations en matière de cybersécurité au titre de la directive NIS2.
Composantes essentielles du modèle de compliance pénale
Un programme de compliance pénale efficace — capable de résister à l’examen judiciaire et du parquet — doit être structuré autour de six composantes interdépendantes :
1. Cartographie des risques pénaux. Le point de départ consiste à identifier et évaluer les risques pénaux spécifiques de l’activité de l’entreprise. Il n’est pas possible de concevoir des contrôles efficaces sans connaître les scénarios d’infraction les plus probables compte tenu du modèle économique, des secteurs dans lesquels l’entreprise opère, de ses marchés géographiques et de sa structure organisationnelle. La cartographie des risques doit être actualisée périodiquement (au moins annuellement, ou en cas de changements significatifs dans l’activité) et doit être documentée avec des preuves du processus d’évaluation.
2. Protocoles de contrôle et procédures préventives. Pour chaque risque identifié comme pertinent, le modèle doit établir des procédures concrètes réduisant la probabilité de commission : séparation des fonctions, limites d’autorisation de paiement, processus de due diligence pour les tiers (fournisseurs, agents, distributeurs), contrôles de trésorerie pour détecter les paiements irréguliers, et procédures d’approbation des frais de représentation et des relations avec les agents publics.
3. Canal de signalement doté de garanties. La directive européenne 2019/1937 relative à la protection des personnes qui signalent des violations du droit de l’Union (la directive sur les lanceurs d’alerte), transposée en droit espagnol par la Loi 2/2023 du 20 février, oblige les entreprises de 50 salariés ou plus à disposer d’un canal de signalement interne répondant à des exigences spécifiques de confidentialité, avec des délais d’accusé de réception (7 jours) et de réponse (3 mois), et une interdiction des représailles. Ce canal ne constitue pas seulement une obligation légale : il est le mécanisme central de détection précoce des irrégularités au sein de l’organisation.
4. Formation périodique documentée. La formation du personnel est une composante critique que les tribunaux examinent pour évaluer l’authenticité du programme. L’intégration d’un code d’éthique dans le contrat de travail ne suffit pas : l’entreprise doit être en mesure de démontrer qu’elle a dispensé une formation spécifique et périodique sur les risques pénaux pertinents pour chaque fonction et niveau hiérarchique, et que les employés ont compris les politiques et procédures applicables à leur travail.
5. Organe de conformité doté d’une autonomie réelle. L’article 31 bis exige que la personne morale ait confié la supervision du modèle à un organe disposant de pouvoirs autonomes d’initiative et de contrôle, ou à un organe légalement chargé de la fonction de surveillance du fonctionnement et du respect du modèle de prévention. L’autonomie réelle de cet organe est un facteur déterminant : un responsable de la conformité qui rend compte hiérarchiquement au dirigeant dont il doit superviser les décisions ne répond pas au standard requis. Dans les entreprises de taille intermédiaire, cette fonction peut être exercée par un comité du conseil d’administration (lorsqu’il en existe un) ou par un responsable de la conformité externe.
6. Audit périodique du modèle. Le programme doit faire l’objet d’une révision périodique afin de vérifier que les contrôles restent adaptés aux risques actuels de l’entreprise et sont opérationnellement mis en œuvre. Cette révision peut être interne (réalisée par l’organe de conformité lui-même) ou externe (par un auditeur spécialisé), mais doit générer un rapport documenté identifiant les déficiences constatées et les mesures adoptées pour y remédier.
Secteurs à exposition accrue
Les secteurs financier, immobilier, de la construction et de la santé ont présenté historiquement la plus forte exposition en Espagne, mais l’expérience des dernières années a démontré qu’aucun secteur n’est à l’abri.
Construction et promotion immobilière. Les infractions les plus fréquentes comprennent la corruption dans les marchés publics de travaux, les infractions contre les travailleurs (conditions de travail abusives, accidents du travail par omission de mesures de sécurité) et les infractions environnementales liées à la gestion des déchets de construction. Les programmes de conformité dans ce secteur doivent accorder une attention particulière à la chaîne de sous-traitance, où le risque de non-conformité en matière sociale et environnementale est transféré à des tiers.
Secteur financier et fintech. Les entités financières font face à des obligations de conformité sectorielles spécifiques (superviseurs bancaires, CNMV, réglementation anti-blanchiment), mais la compliance pénale va au-delà de la réglementation sectorielle. Les risques de blanchiment de capitaux, de fraude interne, de corruption et de criminalité informatique exigent un modèle intégré coordonnant la conformité réglementaire et la compliance pénale.
Secteur de la santé et pharmaceutique. La corruption entre particuliers dans les relations avec les médecins et les responsables des achats hospitaliers (article 286 bis CP), les infractions relatives aux médicaments falsifiés ou frelatés et les atteintes à la santé publique constituent les principaux domaines de risque. Les codes de conduite sectoriels doivent être intégrés au modèle de compliance pénale de chaque entreprise.
Entreprises de taille intermédiaire dans les secteurs non réglementés. Une erreur fréquente consiste à supposer que la compliance pénale ne concerne que les grandes entreprises ou les secteurs financiers. La jurisprudence récente montre que des PME et des entreprises de taille intermédiaire ont également été mises en cause en tant que personnes morales — notamment pour des infractions fiscales, des violations du droit du travail et des délits environnementaux. Le seuil de 120 000 € pour la fraude fiscale est à la portée d’entreprises dont le chiffre d’affaires se situe entre 2 et 3 millions d’euros.
Coût et retour sur investissement de la compliance pénale
Le coût de mise en œuvre d’un programme de compliance pénale pour une entreprise de taille intermédiaire se situe entre 8 000 € et 35 000 €, selon la taille de l’organisation, la complexité de son activité et le nombre de risques identifiés. Les programmes de maintenance annuelle (actualisation de la cartographie des risques, formation, audit et gestion du canal de signalement) coûtent environ 3 000 € à 10 000 € par an.
Face à ce coût, les conséquences de l’absence d’un programme efficace comprennent : des amendes pouvant atteindre cinq fois le bénéfice obtenu (sans limite minimale) ; l’interdiction de contracter avec les administrations publiques (dévastatrice pour les entreprises titulaires de marchés publics) ; la fermeture temporaire ou définitive d’établissements ; et le coût réputationnel associé à une condamnation pénale de la personne morale. Dans tout scénario de risque réaliste, le retour sur investissement de la compliance pénale ne fait aucun doute.
Feuille de route de mise en œuvre
Phase 1 — Diagnostic et cartographie des risques (4–6 semaines). Analyse de l’activité, de la structure et de l’exposition de l’entreprise ; identification et évaluation des risques pénaux spécifiques ; examen des contrôles existants et des lacunes identifiées.
Phase 2 — Conception du modèle (6–8 semaines). Rédaction du code d’éthique et des politiques d’entreprise ; conception des protocoles de contrôle pour chaque risque pertinent ; définition du modèle de canal de signalement conforme à la Loi 2/2023 ; conception du plan de formation.
Phase 3 — Mise en œuvre et formation (8–12 semaines). Approbation formelle du modèle par l’organe de direction ; communication interne du programme ; dispensation de la formation initiale au personnel ; lancement opérationnel du canal de signalement.
Phase 4 — Maintenance et amélioration continue (en continu). Révision annuelle de la cartographie des risques ; actualisation des protocoles en réponse aux évolutions de l’activité ou de la législation ; gestion des communications reçues via le canal ; audit périodique du modèle et rapport à l’organe de direction.
Conclusions et recommandations de BMC
La compliance pénale est passée d’une pratique réservée aux grandes entreprises à une nécessité pour toute société espagnole souhaitant gérer de manière responsable ses risques juridiques. La jurisprudence du Tribunal suprême a relevé le niveau d’exigences : les programmes purement documentaires ne suffisent plus, et les tribunaux examinent si le modèle était véritablement mis en œuvre et opérationnel avant la commission de l’infraction.
Le moment d’agir est maintenant — et non lorsque l’entreprise reçoit sa première notification d’enquête. Un programme adopté de manière réactive ne constitue pas un moyen de défense, et le coût de mise en œuvre est invariablement inférieur au coût d’une procédure pénale sans défenses corporatives adéquates.
Chez BMC, nous concevons des modèles de compliance pénale sur mesure pour chaque organisation, du diagnostic initial à la maintenance annuelle du programme, avec une équipe qui allie expertise juridique, connaissance sectorielle et outils technologiques nécessaires pour rendre la conformité opérationnellement efficace et vérifiable. Découvrez nos services de compliance pénale.
