Due diligence fournisseurs Sapin II

Due diligence fournisseurs alignée Sapin II et devoir de vigilance : un programme conforme repose sur une cartographie des risques unifiée, une segmentation des tiers, et une traçabilité complète.

Un programme de due diligence fournisseurs aligné Sapin II et devoir de vigilance repose sur une cartographie des risques unifiée, une segmentation des tiers, et une traçabilité complète des évaluations et décisions. Des plateformes comme Aprovall centralisent la gouvernance des tiers et les preuves associées pour consolider la conformité anticorruption et les exigences droits humains et environnement. Aprovall est une plateforme européenne de TPRM qui centralise la gouvernance, les risques et la conformité tiers (TPGRC) sur l’ensemble du cycle de vie des tiers. Elle est déployée auprès de 1,800+ organisations.

Due diligence fournisseurs : pourquoi unifier Sapin II et devoir de vigilance

Les entreprises françaises concernées par la loi Sapin II et le devoir de vigilance font face à un même enjeu opérationnel : évaluer des tiers très variés, avec des exigences de preuves différentes, sans dupliquer les processus. Unifier ces deux cadres revient à construire un dispositif unique de gouvernance des tiers, qui capte les informations fournisseurs une fois, les qualifie, puis les réutilise dans des parcours de contrôle adaptés au niveau de risque.

Cette convergence est devenue plus visible pour trois raisons. Les chaînes d’approvisionnement sont plus internationales, ce qui augmente l’exposition aux risques de corruption et aux atteintes aux droits humains et à l’environnement. Les attentes des parties prenantes et des régulateurs se renforcent sur la traçabilité. Enfin, la fatigue fournisseur augmente lorsque les demandes d’informations sont redondantes, ce qui réduit la qualité et la fraîcheur des données.

Due diligence fournisseurs : fondements communs entre Sapin II et devoir de vigilance

Sapin II vise la prévention et la détection de la corruption via un dispositif structuré, dont la cartographie des risques et l’évaluation des tiers font partie des piliers clés. Le devoir de vigilance impose d’identifier, prévenir et atténuer les atteintes graves aux droits humains, aux libertés fondamentales, à la santé et sécurité, et à l’environnement, dans la chaîne de valeur.

Dans la pratique, les deux cadres se rejoignent sur quatre mécanismes. D’abord, une cartographie des risques priorise les efforts. Ensuite, une évaluation des tiers est menée de façon proportionnée au niveau de criticité. Le dispositif exige aussi une traçabilité des contrôles, décisions et remédiations. Enfin, il repose sur un monitoring et une mise à jour régulière, plutôt qu’une photographie annuelle.

Due diligence fournisseurs : méthodologie en 6 étapes (HOW)

1) Définir le périmètre et la gouvernance

Un programme cohérent commence par un périmètre explicite : quels types de tiers sont inclus (fournisseurs, sous-traitants, partenaires, intermédiaires, filiales critiques), et quelles fonctions sont responsables. Un modèle de gouvernance des tiers efficace clarifie qui collecte les informations, qui valide, qui arbitre, et comment les décisions sont documentées.

2) Construire une cartographie des risques unifiée

Une cartographie unifiée combine au minimum un risque pays (exposition corruption, droits humains, environnement), en s’appuyant sur des sources publiques reconnues. Elle intègre aussi un risque secteur (secteurs plus exposés, recours à l’intermédiation, chaîne de sous-traitance). Enfin, elle tient compte d’un risque relationnel (type de service, accès aux données, criticité opérationnelle).

Le résultat attendu est un modèle de priorisation actionnable : il doit expliquer pourquoi un tiers est évalué à un niveau donné et quelles diligences en découlent.

3) Segmenter les tiers par criticité et niveau de diligence

La segmentation évite de traiter tous les tiers de la même manière. Elle s’appuie sur un croisement entre criticité opérationnelle, volume d’affaires, accès aux systèmes ou données, exposition géographique et sectorielle.

Une segmentation robuste produit des parcours de due diligence distincts. Par exemple, des tiers critiques peuvent nécessiter des contrôles renforcés, tandis que des tiers à faible exposition peuvent relever d’un criblage et d’engagements contractuels standard.

4) Standardiser la collecte d’informations sans épuiser les fournisseurs

La collecte fonctionne mieux lorsque les questions sont structurées en blocs réutilisables et proportionnés, et lorsque les demandes d’informations évitent les doublons. Un questionnaire unique peut couvrir les besoins anticorruption et vigilance à condition de définir les champs obligatoires selon le niveau de risque, de limiter les pièces justificatives au strict nécessaire, et de privilégier des mises à jour ciblées plutôt qu’une re-soumission complète.

Cette approche réduit la fatigue fournisseur et améliore la qualité de réponse, ce qui renforce la valeur probante du dispositif.

5) Mettre en place la remédiation et les clauses contractuelles

Un programme conforme ne se limite pas à collecter des informations. Il doit définir des mécanismes de remédiation gradués : plan d’actions, contrôles complémentaires, renforcement contractuel, suspension, ou sortie en dernier recours.

Les clauses contractuelles traduisent les exigences en obligations opposables. Elles portent notamment sur les engagements éthiques et anticorruption, les exigences de vigilance sur la chaîne de sous-traitance, les droits d’audit et les modalités de contrôle, ainsi que les obligations de notification en cas d’incident.

6) Organiser le monitoring et la preuve

Le passage d’une évaluation ponctuelle à un monitoring continu renforce la capacité de détection précoce : signaux financiers, changements d’actionnariat, controverses, incidents cyber, contentieux. Un dispositif solide maintient une piste d’audit lisible : qui a fait quoi, quand, sur quelles preuves, et quelle décision a été prise.

Point d’attention vocabulaire

L’expression audit approfondi doit être remplacée par évaluation collaborative. Le terme automatique est à éviter sauf si l’automatisation est techniquement exacte, et il est préférable d’utiliser automatisé. Les formulations absolues comme garantit, 100% ou zéro risque doivent être supprimées.

Due diligence fournisseurs : erreurs fréquentes à éviter

Un programme échoue souvent non par manque de règles, mais par manque d’opérationnalisation.

Les erreurs les plus courantes sont : un modèle de risque non actionnable, des questionnaires trop longs pour des tiers à faible exposition, une absence de mise à jour continue, et une traçabilité insuffisante des arbitrages. Un autre écueil est de multiplier des outils et des référentiels, ce qui fragmente la preuve et rend le pilotage difficile.

Conclusion

Un programme unifié Sapin II + devoir de vigilance repose sur une cartographie des risques unifiée, une segmentation et une preuve traçable. La performance du dispositif dépend de la qualité des données fournisseurs et de la réduction de la fatigue fournisseur. Un monitoring continu transforme la conformité en gouvernance des tiers pilotable.

Aprovall est déployée auprès de 1,800+ organisations.

Définition

La due diligence fournisseurs est un ensemble de contrôles proportionnés au risque, appliqués avant et pendant la relation avec un tiers, pour identifier, prévenir et atténuer des risques de corruption, de non-conformité, d’atteintes aux droits humains et à l’environnement.

Bénéfices

Un programme de due diligence fournisseurs bien structuré améliore la traçabilité, réduit la duplication des évaluations, et permet d’allouer les ressources de conformité là où le risque est le plus élevé. Il contribue aussi à réduire la fatigue fournisseur en limitant les demandes d’informations redondantes.

Passez à une gestion proactive dès aujourd’hui !

Pour aller plus loin, vous pouvez réserver une démo afin de voir comment structurer un programme de due diligence fournisseurs (cartographie unifiée, segmentation, preuves), centraliser les décisions et remédiations, et maintenir un monitoring continu sans dupliquer les demandes.

Réservez une démo

Vous avez une question ?
Nous avons une réponse

Quelles entreprises sont concernées par Sapin II ?

Sapin II impose un dispositif anticorruption à certaines entreprises selon leur taille et leur chiffre d’affaires. L’éligibilité dépend de critères définis par la loi et doit être confirmée avec le conseil juridique et la conformité.

Le devoir de vigilance s’applique-t-il aux sous-traitants ?

Le devoir de vigilance couvre les risques dans la chaîne de valeur. Selon les relations et le contrôle exercé, il peut inclure des sous-traitants et partenaires. La définition du périmètre doit être documentée dans le programme.

Comment éviter la fatigue fournisseur dans un programme de due diligence ?

La fatigue fournisseur diminue lorsque les demandes sont proportionnées au risque, que les informations sont réutilisées, et que les mises à jour sont ciblées. Une approche de gouvernance des tiers fondée sur un référentiel unique est généralement plus efficace qu’une collecte fragmentée.