Français
Se connecter
Demander une démo

Sapin 2, devoir de vigilance, CSRD : pourquoi la conformité est devenue un enjeu de performance et non plus seulement de contrôle

Introduction : la conformité n’est plus ce qu’elle était

Pendant longtemps, la conformité réglementaire était perçue dans les organisations comme une obligation périphérique — une liste de cases à cocher, un corpus de règles à respecter pour éviter les sanctions, géré dans les couches basses de la hiérarchie par des équipes juridiques ou de contrôle interne. Une contrainte, certes nécessaire, mais fondamentalement passive : on s’y conformait, on ne s’en servait pas.

Trois textes ont profondément changé cette réalité : la loi Sapin 2 sur la corruption et le trafic d’influence, la loi sur le devoir de vigilance, et la CSRD (Corporate Sustainability Reporting Directive). Ensemble, ils ont fait basculer la conformité d’un enjeu de contrôle à un enjeu de performance. Non pas parce qu’ils ont alourdi les obligations — même si c’est le cas — mais parce qu’ils ont déplacé le curseur : de la conformité déclarative à la conformité démontrée, de la conformité ponctuelle à la conformité continue, de la conformité interne à la conformité sur l’ensemble de la chaîne de valeur.

Cette transformation a une conséquence directe sur les directions Achats : elles sont devenues les premières responsables opérationnelles de la conformité de la chaîne fournisseurs. Et cette responsabilité, exercée sérieusement, est un levier de performance — pas seulement un coût de mise en conformité.

Ce que Sapin 2, le devoir de vigilance et la CSRD ont changé en profondeur

Ces trois textes partagent une même logique structurante, au-delà de leurs objets spécifiques.

Sapin 2 (2016)

Impose aux grandes entreprises un programme anticorruption rigoureux, incluant notamment une évaluation des tiers — fournisseurs, intermédiaires, agents commerciaux — selon leur exposition au risque de corruption. Cette évaluation n’est pas déclarative : elle doit être documentée, tracée, et régulièrement mise à jour. L’Agence française anticorruption (AFA) peut contrôler à tout moment le contenu et la robustesse du dispositif. La sanction n’est pas seulement financière — elle est réputationnelle et personnelle, pouvant engager la responsabilité pénale des dirigeants.

Le devoir de vigilance (2017)

Étend la responsabilité des grandes entreprises aux droits humains, à la santé et à la sécurité des personnes, et à l’environnement — sur l’ensemble de leur chaîne d’approvisionnement, y compris chez leurs sous-traitants et fournisseurs. Il ne s’agit plus de prouver qu’on a respecté des règles internes — il s’agit de démontrer qu’on a exercé une surveillance effective sur des tiers dont on n’a pas toujours la maîtrise directe. La loi CSDD européenne (Corporate Sustainability Due Diligence Directive) va encore plus loin dans cette direction.

La CSRD (2024)

Impose un reporting extra-financier exhaustif sur les impacts environnementaux et sociaux de l’entreprise — et de sa chaîne de valeur. Les émissions Scope 3, les pratiques de gouvernance des fournisseurs, les indicateurs sociaux de la sous-traitance : tout cela doit être mesuré, documenté et publié. Un reporting qui ne s’appuie pas sur des données fournisseurs fiables n’a aucune valeur — et les auditeurs, désormais mandatés pour certifier ces informations, le savent.

Ce que ces trois textes ont en commun, c’est qu’ils rendent la conformité vérifiable de l’extérieur. Ce n’est plus l’entreprise qui déclare sa conformité — ce sont des tiers (AFA, juges, auditeurs, marchés financiers) qui l’évaluent. Et cette évaluation externe impose une infrastructure documentaire et processuelle que la bonne volonté seule ne peut pas fournir.

De la conformité subie à la conformité comme avantage compétitif

Cette évolution du cadre réglementaire crée une bifurcation entre deux types d’organisations.

Les premières traitent ces obligations comme une charge — elles investissent le minimum nécessaire pour répondre aux exigences, produisent les documents requis, répondent aux contrôles. Leur conformité est défensive, réactive, et ne produit pas de valeur au-delà de l’évitement des sanctions.

Les secondes ont compris que la conformité bien structurée est un avantage compétitif. Elles ont investi dans une infrastructure de données fournisseurs qui leur permet non seulement de répondre aux obligations actuelles, mais d’absorber les obligations futures sans effort supplémentaire. Elles ont construit une traçabilité documentaire qui leur permet de démontrer leur diligence raisonnable à tout moment. Et elles ont fait de cette infrastructure le socle de décisions d’achat meilleures, de relations fournisseurs plus solides, et d’un reporting ESG crédible.

La différence entre ces deux postures n’est pas dans les intentions — elle est dans les outils et les processus. Une organisation qui gère sa conformité avec des emails et des tableurs ne peut structurellement pas atteindre le niveau de robustesse que ces réglementations exigent, aussi consciencieuse soit-elle. Une organisation qui dispose d’une infrastructure TPRM adaptée peut — et produit, en prime, des bénéfices opérationnels très au-delà de la seule conformité.

La Société des Grands Projets : quand Sapin 2 devient un processus fluide, pas un obstacle

Le cas de la Société des Grands Projets (SGP) illustre avec une clarté particulière ce que la conformité structurée produit dans un contexte à haute exigence réglementaire.

La SGP est la maîtrise d’ouvrage publique de certains des chantiers les plus emblématiques de France — dont le Grand Paris Express. 1 000 collaborateurs, 2 900 fournisseurs actifs, 36 milliards d’euros de dépenses sur la durée des projets, 70 utilisateurs Aprovall répartis dans ses équipes. Un contexte où la conformité n’est pas une préférence — c’est une obligation légale, contractuelle et politique, scrutée par des auditeurs exigeants, des collectivités actionnaires, et une opinion publique attentive à l’usage des fonds publics.

Avant le déploiement d’Aprovall, la réalité était celle de beaucoup d’organisations similaires : la collecte des documents était réalisée à l’entrée en relation, mais sans suivi structuré ni centralisation. Les outils en place ne permettaient ni relance automatique, ni pilotage continu. Résultat : une traçabilité insuffisante, des audits non conformes, et des risques accrus en cas de contrôle sur des marchés de long terme — des marchés dont la durée se mesure en années et sur lesquels un document expiré peut compromettre l’ensemble du processus contractuel.

Le défi spécifique de la SGP est celui des marchés longs. Contrairement à des achats ponctuels où la vérification à l’entrée en relation suffit, les grands projets d’infrastructure engagent des fournisseurs sur des durées de plusieurs années. Sur cette durée, les certifications expirent, les statuts légaux évoluent, les sous-traitants changent. Une conformité photographiée au début du marché est une conformité obsolète à mi-parcours. Et c’est précisément à mi-parcours qu’une inspection peut survenir — sans prévenir.

La solution déployée articule deux dimensions complémentaires :

Aprovall centralise la collecte documentaire — attestations fiscales et sociales, assurances, travail détaché, déclarations de sous-traitance — et automatise les relances sur toute la durée des marchés. Les doublons sont éliminés, les processus uniformisés, et les équipes disposent d’une vision par dossier/opération qui leur permet de piloter la conformité à l’échelle de chaque chantier, pas seulement à l’échelle du portefeuille global.

La connexion avec indueD (by Altares) automatise le scoring Sapin 2 des tiers — adapté aux spécificités de la maîtrise d’ouvrage publique — et garantit que l’évaluation anticorruption est non seulement réalisée, mais tracée, versionnée et défendable face aux auditeurs.

Marie-Soisick Floc’h, Cheffe de mission Conformité et Contrôle Interne à la Direction des Marchés et du Pilotage Contractuel, résume la transformation avec une précision qui dit tout :

La solution nous a permis de structurer nos processus, d’éliminer les doubles saisies et de centraliser toutes les informations documentaires. On a gagné en traçabilité, en réactivité lors des évaluations Sapin 2 ainsi qu’en efficacité au quotidien. C’est un vrai changement de posture pour notre organisation, avec une visibilité accrue sur nos tiers.

Business Case Société Grands Projets Marie-Soisick FLOC’H

Marie-Soisick Floc’h

Cheffe de mission Conformité | SGP

L’expression « changement de posture » est la plus juste pour décrire ce que la conformité structurée produit. La SGP n’a pas seulement amélioré ses processus — elle a changé son rapport à la conformité : d’une obligation subie et gérée dans l’urgence à un pilotage continu et proactif. Un changement qui se mesure notamment lors des inspections sur les chantiers — là où, désormais, les équipes répondent en quelques clics à des demandes qui, auparavant, mobilisaient des heures de recherche documentaire.

Et sur la dimension partenariale, elle ajoute :

Ce qui fait vraiment la différence, c’est la qualité de l’accompagnement d’Aprovall : une écoute active tout au long du projet, un support réactif et compétent, et une vraie prise en compte de nos besoins dans la roadmap. On sent une volonté de co-construire, avec des équipes investies qui comprennent nos enjeux opérationnels.

Business Case Société Grands Projets Marie-Soisick FLOC’H

Marie-Soisick Floc’h

Cheffe de mission Conformité | SGP

Co-construire la solution de conformité — et non se faire imposer un outil standard — est précisément ce qui permet d’adapter les processus aux spécificités d’un acteur comme la SGP, dont les enjeux réglementaires sont à la fois très particuliers et très exigeants.

Les trois dimensions de performance que la conformité structurée produit

Le cas Espacil, comme les autres cas documentés dans cette série, illustre que la conformité bien outillée produit de la performance sur trois dimensions simultanées.

Performance opérationnelle : libérer les équipes de la charge de contrôle

La vérification réglementaire tous les six mois sur 2 000 fournisseurs, manuellement, dans une organisation décentralisée — c’est des milliers d’heures de travail à faible valeur ajoutée. L’automatisation via Aprovall transforme ce temps en capacité disponible pour ce qui compte : la gestion de la relation fournisseur, le pilotage des opérations, l’analyse des risques émergents. La conformité n’est plus une charge — elle devient un processus de fond qui tourne sans mobiliser les équipes.

Performance financière : protéger les flux contre la fraude

Les tentatives de fraude au changement d’IBAN sont en augmentation constante dans tous les secteurs, et le secteur de l’habitat social — avec ses volumes importants de paiements fournisseurs sur des marchés de travaux et de maintenance — est particulièrement exposé. Le module Sis ID intégré dans Aprovall ne se contente pas de vérifier un RIB au moment de la création d’un fournisseur : il contrôle chaque modification de coordonnées bancaires, là où le risque de fraude par substitution est le plus élevé. C’est la même logique qui a permis à la SPL Lyon Part-Dieu de déjouer une tentative de fraude de 1,7 million d’euros — et qui, chez Espacil, réduit drastiquement cette exposition sur 2 000 fournisseurs actifs.

Performance réglementaire : répondre aux contrôles sans improvisation

Une organisation comme Espacil Habitat, soumise aux obligations de la commande publique et aux exigences croissantes du secteur HLM en matière de transparence et de gouvernance des achats, ne peut pas se permettre d’improviser lors d’un contrôle. La traçabilité produite par Aprovall — chaque vérification horodatée, chaque document certifié via API, chaque relance archivée — est la réponse documentée que les contrôleurs attendent. Ce n’est plus une reconstruction après coup : c’est une donnée produite en temps réel par le processus lui-même.

Ce que Sapin 2, le devoir de vigilance et la CSRD demandent vraiment aux directions Achats

Ces trois textes ne demandent pas aux directions Achats de devenir des juristes ou des auditeurs. Ils leur demandent quelque chose de plus fondamental : de connaître leurs fournisseurs.

Connaître leur statut légal. Connaître leur exposition au risque de corruption. Connaître leurs pratiques environnementales et sociales. Connaître leur stabilité financière. Et pouvoir démontrer, à tout moment et sur tout contrat, que cette connaissance est réelle, documentée et maintenue à jour.

Cette connaissance ne s’improvise pas. Elle ne s’achète pas non plus dans un rapport de due diligence ponctuel. Elle se construit, processus par processus, dans la qualité de l’onboarding fournisseur, dans la rigueur de la collecte documentaire, dans la continuité de la surveillance, et dans la transversalité de la donnée entre les fonctions qui en ont besoin.

C’est précisément ce que les organisations les plus avancées — Hutchinson, Moët Hennessy, TAG Heuer, Espacil Habitat, Société des Grands Projets — ont construit : une infrastructure de connaissance fournisseurs qui leur permet de répondre à leurs obligations réglementaires sans effort supplémentaire, parce que cette infrastructure est le produit naturel de leurs processus quotidiens.

Conclusion : la conformité de demain se pilote comme une compétence, pas comme une obligation

La trajectoire réglementaire est claire : les obligations de conformité sur la chaîne fournisseurs vont continuer à se renforcer. La CSRD élargit le périmètre du reporting. La directive CSDDD étend le devoir de vigilance. Les exigences de l’AFA sur Sapin 2 se précisent à chaque nouvelle vague de contrôles.

Les organisations qui traitent ces obligations comme une contrainte à gérer seront perpétuellement en rattrapage — investissant pour chaque nouvelle obligation dans des projets de mise en conformité coûteux, sans capitaliser sur ce qui a déjà été construit.

Celles qui ont compris que la conformité fournisseurs est une compétence organisationnelle — quelque chose qui se construit, se maintient et se valorise dans le temps — sont déjà en avance. Elles absorbent les nouvelles obligations sans effort disproportionné, parce que leur infrastructure de données et de processus est évolutive par construction.

Espacil Habitat le résume dans la phrase de sa juriste référent Achats : « C’est vraiment un gage de sécurité. » La sécurité n’est pas seulement juridique. Elle est opérationnelle, financière, et décisionnelle. C’est ça, la conformité comme levier de performance.

Cet article s’inscrit dans une série consacrée à la transformation des pratiques de gestion des risques fournisseurs. Les cas Espacil Habitat, SPL Lyon Part-Dieu, Société des Grands Projets, Hutchinson, Moët Hennessy et TAG Heuer illustrent, à des échelles et dans des contextes différents, comment la conformité fournisseurs structurée crée de la valeur bien au-delà de l’évitement des sanctions.

Passez à une gestion proactive dès aujourd’hui !

Avec Aprovall360, bénéficiez d’une solution intuitive et puissante, adaptée aux exigences des secteurs les plus réglementés. Ne subissez plus les risques : anticipez-les, mesurez-les et pilotez-les en toute confiance.

Réservez une démo

Ces articles pourraient vous intéresser

  • Bright greenhouse-style workspace where a procurement-led holographic ‘Scope 3 canopy’ network gathers supplier carbon data into an audit-ready CSRD flow, surrounded by abundant greenery.
    13 février 2026
    Reglementation
    Scope 3 : pourquoi les Achats doivent piloter la collecte des données fournisseurs
    Scope 3 : pourquoi les Achats sont les mieux placés pour collecter, fiabiliser et exploiter les données carbone fournisseurs (CSRD/ESRS) et piloter la décarbonation.

    Lire plus

  • Équipe Achats, ESG et conformité dans un bureau moderne travaillant sur la collecte de données fournisseurs Scope 3, avec repères visuels verts montrant traçabilité, questionnaires, segmentation carbone et auditabilité CSRD.
    25 mars 2026
    Reglementation
    CSRD Scope 3 : pourquoi les Achats doivent piloter les données fournisseurs
    CSRD Scope 3 : collecte fournisseurs, traçabilité & pilotage Achats CSRD Scope 3 : la collecte des données fournisseurs devient un enjeu stratégique pour les directions Achats, au cœur du reporting de durabilité. En structurant la collecte, la traçabilité et le pilotage des données tiers, les organisations sécurisent leur conformité tout en renforçant la résilience […]

    Lire plus

  • Directive VSME : équipe en bureau lumineux structurant des données ESG fournisseurs avec éléments visuels verts montrant traçabilité, collecte continue, Scope 3 et effet de cascade CSRD pour les PME.
    27 avril 2026
    Reglementation
    Directive VSME : comprendre le cadre ESG des PME et l’effet de cascade CSRD
    Directive VSME : pourquoi ce cadre devient structurant pour la transparence ESG des PME Directive VSME : ce cadre structurant aide les PME à standardiser et fiabiliser leurs données ESG, sous l’effet des exigences des donneurs d’ordre. Plus récente que les grandes réglementations ESG, la directive VSME s’impose progressivement comme un référentiel clé pour structurer […]

    Lire plus

  • Risques tiers : équipe du secteur public dans un bureau lumineux analysant gouvernance, RGPD, cybersécurité, continuité de service et preuves traçables pour piloter des partenaires externes.
    03 avril 2026
    Reglementation
    Risques tiers secteur public : contraintes spécifiques et solutions
    Risques tiers et service public se rencontrent sur un terrain exigeant. Les administrations s’appuient sur des prestataires numériques, des délégataires, des opérateurs de maintenance et des partenaires de marchés publics pour faire fonctionner des services essentiels. Dans ce contexte, un incident chez un tiers peut rapidement devenir un incident de continuité de service, un incident […]

    Lire plus