Sanqto
Accueil Blog compliance officer sanctions dans une pme — en avez-vous vraiment besoin ?
Articles

Compliance Officer sanctions dans une PME — en avez-vous vraiment besoin ?

Une PME doit-elle nommer un Compliance Officer sanctions ? Nous expliquons qui est responsable dans l'entreprise, quelles compétences sont nécessaires et comment faire sans créer un poste.

Publié : Mis à jour : · Équipe Sanqto · 16 min de lecture
compliance-officer sanctions-ue pme sanction-screening procedure-sanctions certification-compliance obligation-sanctions
Dirigeant d'une PME analysant à son bureau des documents sur les sanctions UE — Compliance Officer sanctions dans une PME

État du droit : 23 mai 2026.

Les grands groupes disposent de services compliance avec plusieurs spécialistes. Vous dirigez une entreprise dans laquelle quelques personnes s’occupent de tout — et vous venez de lire que l’obligation de contrôler vos partenaires commerciaux contre les listes de sanctions de l’UE vous concerne aussi. La question évidente est : faut-il maintenant embaucher un Compliance Officer sanctions ? La réponse est plus simple qu’il n’y paraît — et elle ne suppose certainement pas un nouveau poste à temps plein.

TL;DR — les points clés

  • La loi n’exige pas d’une PME ordinaire un poste formel de « Compliance Officer sanctions » — l’obligation de désigner un responsable LCB-FT au titre des articles L561-1 et suivants du CMF ne s’impose qu’aux entités assujetties (banques, assureurs, notaires, agents immobiliers, etc.), pas à toute entreprise.
  • L’obligation de contrôler les partenaires contre les listes de sanctions de l’UE existe indépendamment — elle découle directement des règlements de l’Union, qui s’imposent à tous.12
  • En pratique, il suffit de désigner par écrit une personne dans l’entreprise comme responsable des sanctions — cela peut être la dirigeante, la direction financière ou une collaboratrice expressément mandatée.
  • Aucune formation juridique n’est requise. Ce qui est requis : la connaissance de la procédure, l’accès aux listes à jour et la rigueur d’exécution.
  • Une formation et une certification de la personne désignée aident à démontrer la compétence et protègent l’entreprise en cas de contrôle de la DG Trésor, de la Douane ou d’une autorité de contrôle.
  • Un outil d’automatisation du screening réduit drastiquement le temps et le taux d’erreur — surtout pour un portefeuille de partenaires important ou dynamique.

Une PME doit-elle avoir un Compliance Officer sanctions ?

Réponse courte : il n’existe pas, pour toutes les entreprises, d’obligation expresse de nommer un « Compliance Officer sanctions ». Une obligation expresse de désigner un responsable compliance — spécifiquement un responsable LCB-FT — vise surtout les entités assujetties au sens du CMF3 (établissements de crédit, entreprises d’investissement, notaires, agents immobiliers au-delà d’un certain seuil d’activité). Le CMF exige la désignation, au niveau de la direction, d’un responsable du dispositif LCB-FT et d’un déclarant Tracfin, dans la mesure où l’autorité de contrôle l’impose — typiquement pour les acteurs importants. Si votre entreprise n’est pas une entité assujettie, cette exigence formelle ne s’applique pas à vous.

Mais cela veut dire une chose importante : l’absence d’obligation formelle de poste ne dispense pas de l’obligation de contrôle elle-même. Ce sont deux questions distinctes — et les confondre est l’une des erreurs les plus fréquentes en PME.

Pour les entreprises non assujetties, la désignation d’un Compliance Officer sanctions (CO sanctions) est donc une bonne pratique, pas une obligation légale. Lors d’un contrôle de la DG Trésor, de la Douane ou de l’autorité de contrôle, la désignation documentée d’une personne responsable constitue toutefois la meilleure preuve de « diligence raisonnable » — et devient en pratique incontournable dès lors que votre entreprise opère régulièrement à l’international ou travaille avec des partenaires de juridictions à risque.

L’obligation de contrôle existe indépendamment d’un poste

Les règlements de l’Union — en particulier le règlement (UE) n° 269/2014 du Conseil du 17 mars 2014 concernant des mesures restrictives eu égard aux actions compromettant l’intégrité territoriale de l’Ukraine1 et le règlement (UE) n° 833/2014 du Conseil du 31 juillet 2014 concernant des mesures restrictives eu égard aux actions de la Russie2 — sont des actes directement applicables dans chaque État membre, sans transposition en droit national.4 Cela signifie que votre entreprise y est automatiquement soumise — que vous ayez un ou cent collaborateurs.

En complément, le Code monétaire et financier (CMF) et la loi n° 2024-364 du 22 avril 2024 (DDADUE) établissent en France les instruments nationaux d’exécution et les normes de sanction. Sur le fondement de l’article L574-3 CMF, le manquement à des mesures restrictives de l’UE est puni de 5 ans d’emprisonnement et 750 000 € d’amende pour les personnes physiques ; pour les personnes morales (art. 131-38 du Code pénal), l’amende est multipliée par cinq, soit jusqu’à 3 750 000 €, avec des peines complémentaires possibles (interdiction d’exercer, exclusion des marchés publics, publication de la décision).

Autrement dit : l’absence d’un Compliance Officer n’est pas un alibi. La sanction frappe la violation — pas l’absence d’un poste. Pour en savoir plus sur les conséquences financières, voir l’article sur les sanctions pénales en cas de violation des sanctions de l’UE.

Qui devrait, en pratique, être responsable des sanctions dans une PME ?

Comme il n’y a pas d’obligation de poste, la vraie question est : qui assume utilement cette responsabilité ? La pratique a fait émerger plusieurs modèles.

La dirigeante ou le dirigeant — la solution la plus simple dans les entreprises jusqu’à une dizaine de collaborateurs. Vous avez pleine autorité de décision et un accès direct aux informations partenaires. Inconvénient : toute nouvelle tâche compliance retombe directement sur vous — difficilement tenable en cas de croissance soutenue.

Une personne de la finance ou de la comptabilité — choix logique, puisque les paiements et les données partenaires y convergent. Souvent, il existe déjà un contact avec les processus LCB-FT (banque, expert-comptable) et une culture de la documentation.

Un collaborateur désigné — « référent sanctions » — une personne formellement nommée qui n’a pas besoin d’aller au-delà d’une procédure claire : contrôler le partenaire avant la transaction, documenter le résultat, escalader en cas de hit. L’intitulé n’a pas besoin d’être « Compliance Officer sanctions » — ce qui compte, c’est la délégation écrite des tâches.

À partir d’une vingtaine de collaborateurs, nous recommandons la désignation expresse d’un Compliance Officer sanctions interne, avec une certification Sanqto ou une qualification équivalente. En dessous, l’externalisation auprès d’un cabinet ou d’un prestataire spécialisé, ou le rattachement de la fonction à la direction financière, est souvent la solution la plus efficace.

Décisif dans toutes les variantes : la désignation écrite. Un acte de désignation interne ou une mention dans la politique sanctions précisant qui est responsable du screening, qui décide en cas de hit et comment fonctionne l’escalade — c’est le minimum qui protège l’entreprise et la personne nommée.

Quelles compétences sont nécessaires (et pourquoi un diplôme de droit n’est pas requis)

Cette question bloque beaucoup d’entreprises inutilement. Vous n’avez besoin d’embaucher ni avocat ni spécialiste AML venu du secteur bancaire. La personne responsable des sanctions dans une PME a besoin de :

Connaissance de la procédure — comprendre ce qu’est une liste de sanctions, quelles listes s’appliquent (liste consolidée de l’UE, liste de l’ONU, OFAC SDN en cas de point de contact avec les États-Unis), comment se vérifie un partenaire et que faire face à une « correspondance possible ». Ce savoir s’acquiert par une formation — pas par des années d’expérience.

Accès aux listes à jour — les listes de sanctions sont mises à jour en continu. La liste consolidée de l’UE est mise à disposition par la Commission européenne (DG FISMA, SEAE)5. Il n’existe pas en France de liste nationale autonome : les mesures applicables proviennent des règlements UE, et la DG Trésor publie le Registre national des personnes et entités faisant l’objet d’une mesure de gel qui reflète ces mesures, ainsi que, le cas échéant, la liste OFAC SDN en cas de point de contact américain. La personne responsable doit savoir où trouver les données à jour — ou utiliser un outil qui les actualise automatiquement.

Capacité de documentation — consigner le résultat du contrôle avec date, liste vérifiée et décision prise. Il ne s’agit pas de rédiger des dissertations — un simple registre des hits suffit.

Capacité d’escalade — quand quelque chose semble suspect, cette personne doit savoir à qui escalader (direction, avocat externe) et quand stopper la transaction.

Aucune de ces compétences n’exige une formation juridique. Elles exigent toutefois régularité et discipline — un screening unique ne suffit pas dès lors que les listes sont mises à jour et que de nouveaux partenaires arrivent.

Comment répartir les tâches sans créer un poste à temps plein

Une fonction compliance sanctions dans une PME ne doit coûter ni beaucoup d’argent ni beaucoup de temps. Voici le schéma pratique :

  1. Désignez une personne par écrit — idéalement quelqu’un de la finance ou des opérations. Nommez-la nommément dans une décision interne de désignation ou dans la politique sanctions.

  2. Décrivez la procédure en quelques étapes — quand contrôler (avant chaque nouvelle transaction, à la signature d’un contrat, à la reprise d’une relation d’affaires), comment contrôler (manuellement ou via un outil), que faire du résultat.

  3. Fixez un seuil d’escalade — résultat CLEAR : la transaction se poursuit. POSSIBLE ou MATCH : le dossier remonte à la direction ou à un avocat. La personne désignée ne décide pas seule sur les hits non triviaux.

  4. Tenez un registre — date de contrôle, sujet contrôlé, liste, résultat, contrôleur, décision. Un fichier Excel suffit au début — ce qui compte, c’est qu’il existe.

  5. Définissez la fréquence du recontrôle — les clients existants devraient être recontrôlés au moins trimestriellement ou à chaque nouveau paiement, car les listes sont régulièrement mises à jour.

  6. Assurez la traçabilité documentaire — impression ou archivage du résultat de chaque contrôle avec date et signature. En cas de contrôle externe, c’est la preuve que la procédure a fonctionné.

Une telle organisation n’exige pas de nouveau poste. Elle exige quelques minutes par semaine — et de la constance.

Formation et certification — monter en compétence sans bac+5

La personne désignée pour les sanctions doit pouvoir suivre une formation. Pas en raison d’une obligation légale, mais pour deux raisons pratiques : d’abord, parce qu’elle sait alors ce qu’elle fait et se sent en sécurité ; ensuite, parce qu’un certificat de formation atteste, en cas de contrôle administratif, que l’entreprise prend le sujet au sérieux.

Une bonne formation en compliance sanctions devrait couvrir :

  • les bases juridiques — quels règlements et lois s’appliquent (règlements 269/2014 et 833/2014, articles L562-1 et s. CMF, article L574-3 CMF), quelles sanctions encourues,
  • la connaissance des listes — liste consolidée de l’UE, liste de l’ONU, OFAC SDN6, OFSI britannique, leurs différences, l’absence de liste française autonome,
  • la procédure de contrôle — comment réaliser un screening, comment évaluer un résultat et traiter un hit,
  • la documentation et le registre des hits — tenue, conservation (par analogie avec le CMF : cinq ans).

Une formation n’a pas besoin de durer une semaine. Un cours en ligne ciblé avec examen final et certificat suffit pour une personne qui pilote le screening dans une PME. Sanqto propose un tel paquet dans le cadre du produit — formation, examen en ligne et certificat de Compliance Officer pour la personne désignée dans votre entreprise. Il vaut aussi la peine de former les autres collaborateurs en contact avec les partenaires — nous décrivons comment l’organiser dans l’article sur la formation des collaborateurs aux sanctions.

Quand l’externalisation ou l’automatisation se justifient-elles ?

Le contrôle manuel — parcourir soi-même les listes de sanctions — est possible, mais son passage à l’échelle est limité. Quelques partenaires par mois, c’est maîtrisable. Quelques dizaines, cela devient risqué (omissions, données obsolètes, lacunes de documentation).

L’externalisation — confier le processus compliance à un cabinet ou à un prestataire spécialisé — a du sens quand l’entreprise n’a pas de ressources internes et veut déléguer la responsabilité opérationnelle. Important à savoir : la responsabilité juridique reste sur l’entreprise destinataire des mesures — pas sur le conseil externe. Selon nous, l’externalisation est une option viable pour les très petites entreprises (moins d’environ 10 collaborateurs) sans activité transfrontalière régulière.

L’automatisation — un outil de sanction screening contrôle le partenaire contre les listes à jour et fournit le résultat : MATCH, POSSIBLE ou CLEAR. Il réduit le temps de contrôle à quelques secondes, élimine les erreurs humaines sur les correspondances partielles (prénoms et noms voisins, par exemple) et crée automatiquement une piste documentaire. Pour les agences de voyage, les agences immobilières, les courtiers d’assurance et d’autres entreprises hors secteur financier qui contrôlent des dizaines ou centaines de partenaires, l’automatisation représente un véritable soulagement opérationnel.

Envisagez l’automatisation si :

  • vous contrôlez plus de 20 à 30 partenaires par mois,
  • votre secteur exige des décisions rapides (par exemple réservations, contrats à distance),
  • vous voulez vous assurer que les données sont toujours à jour — sans mise à jour manuelle des listes,
  • vous avez besoin d’un registre des hits prêt à présenter en cas de contrôle.

Sanqto est une solution on-premise — installée dans l’infrastructure de votre entreprise, sans transfert de données vers des serveurs externes. Elle fournit le résultat sous trois états (MATCH / POSSIBLE / CLEAR) et crée automatiquement une piste documentaire de chaque contrôle. Pour comprendre concrètement à quoi ressemble la vérification d’un partenaire, voir l’article sur le fonctionnement du sanction screening.

FAQ — questions fréquentes

Une entreprise individuelle doit-elle aussi contrôler ses partenaires contre les listes de sanctions ?

Oui. Les règlements UE s’appliquent à tous — personnes physiques en activité, sociétés de personnes, SARL, SAS, associations.4 La forme juridique ne dispense pas de l’obligation. Une entreprise individuelle qui verse de l’argent à un destinataire désigné ou lui fournit une prestation viole les mêmes normes qu’une grande société anonyme.

Combien de temps prend la vérification manuelle d’un partenaire ?

La vérification d’une personne ou d’une entreprise — via la liste consolidée de l’UE et, le cas échéant, la liste de l’ONU — prend en général quelques minutes. Cela se complique pour un grand nombre de partenaires, en cas de noms voisins (faux positif / faux négatif), face à l’obligation de contrôler les bénéficiaires effectifs (règle des 50 %7) et pour la documentation du processus.

Qu’est-ce que la règle des 50 % et faut-il aussi contrôler les propriétaires ?

Les sanctions UE visent non seulement les destinataires expressément désignés, mais aussi les entités dont une personne ou une entité désignée détient plus de 50 % des parts ou sur lesquelles elle exerce un contrôle.7 En pratique, le seul contrôle de la raison sociale peut être insuffisant — il faut aussi vérifier les bénéficiaires effectifs, surtout pour des entreprises de juridictions à risque. En France, le Registre des bénéficiaires effectifs (RBE) tenu par l’INPI fournit les informations sur les bénéficiaires effectifs des sociétés françaises. Au niveau UE, le registre interconnecté des bénéficiaires effectifs se met progressivement en place. Nous détaillons ce mécanisme dans l’article sur la règle de propriété à 50 %.

La personne désignée pour le screening engage-t-elle personnellement sa responsabilité en cas de violation ?

La responsabilité pénale pour une violation des sanctions UE peut viser des personnes physiques — y compris au niveau de la direction. La directive (UE) 2024/1226 du Parlement européen et du Conseil du 24 avril 20248 impose aux États membres de criminaliser les violations de sanctions ; la France l’a transposée par la loi n° 2024-364 du 22 avril 2024 et les dispositions du CMF. L’article L574-3 CMF prévoit jusqu’à 5 ans d’emprisonnement et 750 000 € d’amende en cas de violation intentionnelle. La responsabilité de la collaboratrice désignée dépend du cas concret et du périmètre de ses missions — question relevant d’une appréciation par un avocat. Une chose est sûre : l’absence de toute procédure dans l’entreprise ne protège personne.

À quelle fréquence faut-il recontrôler les clients existants ?

Les listes de sanctions sont mises à jour en continu — de nouvelles entrées apparaissent fréquemment, indépendamment des « paquets de sanctions ». Une vérification unique à la signature ne suffit pas. La pratique habituelle est un recontrôle cyclique des partenaires existants — au minimum à chaque nouveau paiement ou régulièrement (par exemple trimestriellement), impérativement à chaque changement matériel de données côté partenaire.

Faut-il aussi contrôler les particuliers, pas seulement les entreprises ?

Cela dépend du secteur. Dans le tourisme, l’immobilier et l’assurance, le client est souvent une personne physique — et la liste de sanctions contient autant de personnes physiques que d’entreprises. Si votre entreprise sert des particuliers pour des transactions d’un montant significatif, le contrôle doit aussi les couvrir. Le périmètre exact de l’obligation est traité dans l’article sur l’obligation de sanction screening.

Comment Sanqto peut aider

Sanqto est un outil de sanction screening conçu pour les entreprises hors secteur financier — agences de voyage, agences immobilières, courtiers d’assurance et autres PME qui doivent contrôler leurs partenaires sans disposer d’un service compliance dédié. La solution fonctionne en on-premise — les données de vos clients et partenaires ne quittent pas l’infrastructure de votre entreprise. Le contrôle fournit un résultat sous trois états : MATCH, POSSIBLE ou CLEAR, et chaque contrôle est journalisé automatiquement. Le produit comprend un pack de documents d’implémentation (politique sanctions, instruction de poste, registre des hits) et une formation certifiante Compliance Officer pour la personne désignée dans votre équipe.

Base juridique

  • Règlement (UE) n° 269/2014 du Conseil du 17 mars 2014 concernant des mesures restrictives eu égard aux actions compromettant ou menaçant l’intégrité territoriale, la souveraineté et l’indépendance de l’Ukraine — CELEX 32014R0269
  • Règlement (UE) n° 833/2014 du Conseil du 31 juillet 2014 concernant des mesures restrictives eu égard aux actions de la Russie déstabilisant la situation en Ukraine — CELEX 32014R0833
  • Code monétaire et financier — articles L561-1 et suivants (LCB-FT), L562-1 et suivants (gel des avoirs), L574-3 (sanctions pénales) — legifrance.gouv.fr
  • Loi n° 2024-364 du 22 avril 2024 (DDADUE) portant diverses dispositions d’adaptation au droit de l’Union européenne
  • Directive (UE) 2024/1226 du Parlement européen et du Conseil du 24 avril 2024 relative à la définition des infractions pénales et des sanctions applicables en cas de violation des mesures restrictives de l’Union — CELEX 32024L1226
  • Liste consolidée de sanctions de l’UE (DG FISMA) — finance.ec.europa.eu
  • OFAC SDN List (U.S. Department of the Treasury) — ofac.treasury.gov
  • UN Security Council Consolidated List — un.org
  • Registre des bénéficiaires effectifs (RBE) — INPI — data.inpi.fr
  • Direction générale du Trésor — Registre national de gel — tresor.economie.gouv.fr

Notes

Information, pas conseil juridique. Cet article a une vocation exclusivement informative et ne constitue pas un conseil juridique. État du droit : 23 mai 2026. Les obligations concrètes de votre entreprise dépendent de son profil d’activité et nécessitent une évaluation individuelle — en cas de doute, consultez un avocat ou un conseil en compliance.

  1. Règlement (UE) n° 269/2014 du Conseil du 17 mars 2014 — EUR-Lex CELEX 32014R0269 ↩︎ ↩︎

  2. Règlement (UE) n° 833/2014 du Conseil du 31 juillet 2014 — EUR-Lex CELEX 32014R0833 ; note DG FISMA : « The sanctions regime laying down these measures consists of Council Decision 2014/512/CFSP and Council Regulation (EU) No 833/2014. » — finance.ec.europa.eu ↩︎ ↩︎

  3. Code monétaire et financier — articles L561-1 et s. (catalogue des entités assujetties), articles L561-15 et s. (déclaration de soupçon à Tracfin). Tracfin est rattachée au ministère de l’Économie et des Finances. — legifrance.gouv.fr ↩︎

  4. Les règlements UE sont directement applicables dans chaque État membre, sans transposition en droit national. Citation : « A regulation is binding in its entirety and directly applicable in all Member States. » — EUR-Lex, Regulation — EU legal act ↩︎ ↩︎

  5. La liste consolidée de sanctions de l’UE est tenue par la Commission européenne (DG FISMA). Citation : « The Directorate-General for Financial Stability, Financial Services and Capital Markets Union manages EU sanctions policy. » — finance.ec.europa.eu ↩︎

  6. L’OFAC (Office of Foreign Assets Control, U.S. Department of the Treasury) tient la liste SDN (Specially Designated Nationals and Blocked Persons List) — ofac.treasury.gov ↩︎

  7. Les sanctions UE englobent les entités dont une personne ou entité désignée détient plus de 50 % des droits de propriété ou qu’elle contrôle (ownership/control rule). Citation : « An entity is considered as ‘owned’ by a sanctioned person if the latter owns more than 50% of its proprietary rights. » — FAQ DG FISMA, finance.ec.europa.eu ↩︎ ↩︎

  8. Directive (UE) 2024/1226 du Parlement européen et du Conseil du 24 avril 2024 relative à la définition des infractions pénales et des sanctions applicables en cas de violation des mesures restrictives de l’Union (délai de transposition : 20 mai 2025) — EUR-Lex CELEX 32024L1226 ↩︎

Tous les articles Voir la démo