L’essentiel à retenir : l’évaluation des tiers Sapin 2 dépasse la formalité administrative et exige une approche par les risques. Segmenter les partenaires selon leur niveau de menace permet d’adapter les diligences pour sécuriser efficacement l’entreprise. Cette rigueur transforme une obligation légale en véritable levier d’intelligence économique et de protection réputationnelle.

 

Depuis la promulgation de la loi Sapin II (article 17 de la loi n° 2016-1691 du 9 décembre 2016), l’évaluation des tiers s’est imposée comme l’un des piliers essentiels des dispositifs de prévention de la corruption en entreprise. Parmi huit mesures obligatoires, cette exigence vise à mieux contrôler les relations avec les clients, fournisseurs et intermédiaires en fonction des risques identifiés dans la cartographie de l’organisation.

Pourtant, plus de sept ans après l’entrée en vigueur du texte, son application continue de susciter de nombreuses interrogations. Les retours d’expérience des contrôles menés par l’Agence française anticorruption (AFA), ainsi que les échanges lors des formations et actions de sensibilisation, révèlent que la mise en œuvre concrète de cette obligation demeure un défi pour beaucoup d’entreprises.

En effet, derrière une exigence en apparence claire, évaluer la situation des tiers au regard des risques de corruption, se cache une réalité opérationnelle complexe. Identifier les tiers concernés, définir les critères de risque pertinents, déterminer les sources d’information fiables et mettre en place des procédures d’analyse rigoureuses nécessitent une approche méthodique, des outils adaptés et une mobilisation durable des équipes.

  Ce guide détaille les étapes pour déployer une méthodologie par les risques et sécuriser efficacement votre écosystème.

1. Évaluation des tiers Sapin 2 : une obligation, pas une option
2. L’approche par les risques : arrêter le « one-size-fits-all »
3. La procédure d’évaluation des tiers en pratique
4. Les outils de l’évaluation : quels leviers actionner ?
5. Au-delà de Sapin II : vers une gestion intégrée des risques tiers

Évaluation des tiers : une obligation, pas une option

Le cadre légal : que dit vraiment la loi ?

L’évaluation des tiers constitue l’une des huit mesures imposées par l’article 17, II, 4° de la loi Sapin II. Ce n’est pas une suggestion, mais une contrainte ferme pour les sociétés de plus de 500 salariés réalisant plus de 100 millions d’euros de chiffre d’affaires. L’objectif est clair : détecter et prévenir les risques de corruption ou de trafic d’influence avant qu’ils ne surviennent. L’Agence Française Anticorruption (AFA) surveille de près l’effectivité de ces mécanismes sur le terrain. Ignorer cette exigence ou bâcler la procédure expose l’entreprise à des sanctions sévères. Au-delà de l’amende, c’est la réputation de la structure et la responsabilité des dirigeants qui se trouvent directement menacées.

Qui sont les « tiers » à évaluer ?

La loi cible prioritairement trois catégories : les clients, les fournisseurs de premier rang et les intermédiaires. Ces derniers, comme les agents commerciaux ou apporteurs d’affaires, représentent souvent le vecteur de risque le plus élevé. Pourtant, cette liste reste ouverte. L’AFA recommande vivement d’inclure tout partenaire exposant l’entité à un risque de probité, notamment dans les opérations de mécénat, de sponsoring ou lors de la création de joint-ventures. Votre périmètre de vigilance ne se décrète pas au hasard ; il découle de votre propre cartographie des risques. C’est cette analyse interne qui dicte où concentrer les efforts de vérification, bien plus qu’une application scolaire des textes.

L’erreur commune : voir ça comme une simple case à cocher

Trop d’entreprises tombent dans le piège de l’approche administrative pure, se contentant d’envoyer des questionnaires standards sans analyse. L’AFA identifie immédiatement cette faille : accumuler des documents ne suffit pas à protéger votre structure.

L’évaluation des tiers n’est pas une formalité administrative, mais un pilier actif de la prévention de la corruption, qui exige une approche proportionnée et documentée.

La finalité est de comprendre avec qui on travaille pour prendre une décision éclairée : collaborer, refuser ou imposer des conditions strictes. La documentation archivée ne sert qu’à prouver le sérieux de ce cheminement intellectuel face aux contrôleurs.

L’approche par les risques : arrêter le « one-size-fits-all »

Maintenant que le cadre est posé, la vraie question est : comment s’y prendre concrètement sans y laisser toutes ses ressources ? La réponse tient en trois mots : approche par les risques.

Pourquoi une approche unique est inefficace et dangereuse

Appliquer le même niveau de diligence à tous les tiers est une perte de temps et d’argent. On noie les équipes sous des tâches à faible valeur ajoutée. Pire, cette méthode dilue l’attention. Les risques élevés se retrouvent noyés. Le véritable danger est de passer à côté d’un « red flag » majeur, car les analystes sont occupés à vérifier un fournisseur de bureau local sans enjeu. La proportionnalité n’est pas une option, c’est une nécessité opérationnelle.

Segmenter les tiers : la clé d’une évaluation pertinente

L’idée est de classer chaque tiers dans une catégorie de risque (faible, modéré, élevé) en se basant sur la cartographie des risques de corruption. Les critères de segmentation sont multiples. Ils incluent le risque pays (indice de perception de la corruption), le secteur d’activité, le recours à des intermédiaires, et les interactions avec des personnes politiquement exposées (PPE).

Adapter les diligences à chaque niveau de risque

Détaillons ce que signifie « diligence simplifiée » pour les risques faibles. Un questionnaire déclaratif et une vérification de base peuvent suffire. L’objectif est l’efficacité. Pour les risques modérés, la « diligence standard » s’impose. Elle implique un questionnaire plus poussé et des vérifications systématiques sur les listes de sanctions et dans la presse. Réservez la « diligence renforcée » aux cas les plus critiques. C’est là que l’on déploie les moyens les plus lourds : enquêtes sur les UBO, analyse de la réputation, etc. C’est un travail quasi chirurgical.

La procédure d’évaluation des tiers en pratique

Étape 1 : la collecte d’informations

Tout démarre par la collecte brute. Vous devez amalgamer les données internes, remontées par vos équipes opérationnelles, avec les éléments externes fournis directement par le tiers via un formulaire dédié. Ce questionnaire constitue la clé de voûte du dispositif. Oubliez le modèle unique : il doit s’ajuster au niveau de risque. L’objectif est de récupérer des faits précis, sans intrusion inutile. Ciblez l’essentiel : identité corporative, structure de l’actionnariat, réalité du programme de conformité interne et, surtout, les connexions potentielles avec la sphère publique ou des agents de l’État.

Étape 2 : l’analyse et l’évaluation du risque

Voici le cœur du réacteur. Vous croisez les déclarations avec des bases de données spécialisées pour un screening impitoyable. On traque les listes de sanctions internationales, les profils PPE et toute trace dans la presse via l’adverse media. Les points de contrôle essentiels lors de l’analyse :

• Vérification stricte de l’identité légale de la structure et de ses dirigeants.
• Identification des bénéficiaires effectifs (UBOs) pour savoir qui contrôle réellement l’entité.
• Screening croisé sur les listes de sanctions (OFAC, UE, ONU) et les Personnes Politiquement Exposées.
• Analyse de la réputation via l’adverse media : presse négative ou enquêtes judiciaires en cours.
• Audit du dispositif de conformité du tiers : existence d’un code de conduite ou de formations.

Étape 3 : la prise de décision et le suivi

L’analyse terminée, il faut trancher. Trois issues possibles s’offrent à vous : validation, rejet pur et simple, ou acceptation conditionnelle. Cette décision doit être écrite, motivée et archivée pour prouver votre diligence. L’acceptation sous conditions impose des garde-fous. Vous pouvez exiger des clauses anti-corruption, imposer des formations ou déclencher un audit. Ces mesures d’atténuation doivent rester proportionnées au danger réel identifié lors de l’analyse. Attention, l’évaluation n’est pas un « one-shot ». Un suivi continu reste indispensable, particulièrement pour les profils à haut risque. Les affaires bougent, et le niveau de menace évolue avec elles.

Les outils de l’évaluation : quels leviers actionner ?

Le processus est clair, mais concrètement, avec quoi travaille-t-on ? L’évaluation des tiers repose sur une combinaison d’outils, des plus simples aux plus sophistiqués.

Les questionnaires internes et externes

Le questionnaire reste la pierre angulaire de la collecte d’informations. Le questionnaire externe, envoyé au tiers, doit être clair et justifier la démarche au nom des obligations Sapin II. Le questionnaire interne, rempli par les opérationnels (acheteurs, commerciaux), est tout aussi important. Il permet de contextualiser la relation d’affaires et de recueillir leur perception du risque. L’erreur est de créer des questionnaires trop longs et complexes. Ils doivent être digitalisés et intelligents, en adaptant les questions au profil du tiers pour maximiser le taux de réponse.

Bases de données et screening automatisé

Pour les diligences standard et renforcées, impossible de se passer d’outils de screening. Ces plateformes agrègent des milliers de sources. Elles comparent en quelques secondes le nom d’un tiers avec les listes de sanctions, de PPE et les articles de presse. Les sources d’information clés pour le screening :

• Bases de données sur les sanctions internationales (OFAC, UE, UK, ONU).
• Listes de Personnes Politiquement Exposées (PPE) et de leurs proches.
• Bases de données « adverse media » ou « presse négative » couvrant des milliers de sources mondiales.
• Registres du commerce et des sociétés pour vérifier l’existence légale et l’actionnariat.
• Bases de données spécialisées sur les bénéficiaires effectifs (UBOs).

L’analyse de ces données brutes demande une expertise, souvent assurée par un cabinet de veille stratégique, pour trier les faux positifs et identifier les vrais risques.

L’enquête de due diligence approfondie

Pour les tiers à risque très élevé, le screening automatisé ne suffit pas. On passe alors à l’enquête de due diligence approfondie, ou « Enhanced Due Diligence ». C’est une investigation sur mesure. Elle vise à valider les informations déclarées, à comprendre la réputation réelle du tiers sur son marché, et à clarifier des structures d’actionnariat complexes pour remonter jusqu’aux UBOs. Ce type d’enquête fait appel à des techniques d’intelligence économique et à des investigations humaines (OSINT, HUMINT). C’est le dernier rempart contre les risques les plus critiques.

Au-delà de Sapin II : vers une gestion intégrée des risques tiers

L’articulation avec le devoir de vigilance

La loi sur le devoir de vigilance impose aux grandes entreprises de prévenir les risques d’atteintes graves aux droits humains et à l’environnement. Cela concerne aussi leurs fournisseurs et sous-traitants. C’est une extension directe de votre responsabilité sociétale. Les processus se recoupent. Un fournisseur situé dans un pays à risque de corruption (Sapin II) est souvent aussi dans un pays à risque sur le plan social ou environnemental (Devoir de Vigilance). Il est absurde de mener deux évaluations en parallèle. L’enjeu est de fusionner les questionnaires et les analyses pour avoir une vue à 360° du risque tiers. C’est plus efficace et ça donne une vision bien plus juste de la situation.

Construire un programme de TPRM holistique

TPRM signifie « Third-Party Risk Management ». C’est une approche qui vise à gérer l’ensemble des risques posés par les tiers. Corruption, droits humains, mais aussi risque cyber, financier, ou opérationnel.

Penser Sapin II en silo est une erreur coûteuse. L’intégrer au devoir de vigilance transforme une contrainte légale en un véritable outil d’intelligence stratégique.

Mettre en place un programme TPRM, c’est passer d’une logique de conformité subie à une gestion proactive des risques. C’est un atout concurrentiel qui protège la réputation et la performance de l’entreprise. Il blinde la réputation et la performance financière.

De la contrainte à l’intelligence stratégique

Bien menée, l’évaluation des tiers génère une quantité phénoménale d’informations sur votre écosystème. C’est une mine d’or pour qui sait l’exploiter. Vous apprenez qui sont les acteurs fiables et qui sont les maillons faibles. Cette connaissance approfondie des partenaires est le fondement de l’intelligence économique. Elle permet d’anticiper les menaces et de saisir des opportunités que d’autres ne voient pas. Vous saisissez des opportunités invisibles pour vos concurrents directs. Faire appel à un cabinet en intelligence stratégique permet de transformer ces données de conformité en un avantage décisif, au cœur de la démarche d’Ex Ante Intelligence Economique. L’évaluation des tiers ne se limite pas à une contrainte réglementaire de la loi Sapin II. Elle constitue un pilier stratégique pour sécuriser votre chaîne de valeur. En adoptant une approche par les risques rigoureuse, vous transformez cette obligation de conformité en un levier puissant d’intelligence économique et de performance durable.

FAQ

Que prévoit l’article 17 de la loi Sapin II sur l’évaluation des tiers ?

L’article 17, paragraphe II, point 4° de la loi Sapin II impose aux entreprises assujetties de mettre en œuvre des procédures d’évaluation de la situation de leurs clients, fournisseurs de premier rang et intermédiaires. Cette mesure obligatoire vise à analyser les risques de corruption potentiels avant d’entrer en relation d’affaires ou au cours de celle-ci. Cette évaluation ne doit pas être appliquée de manière uniforme, mais doit être pilotée par votre cartographie des risques. En pratique, cela signifie que vous devez moduler l’intensité des vérifications en fonction du niveau de risque identifié pour chaque catégorie de tiers, afin de décider de manière éclairée d’initier ou de poursuivre la relation.

Quels sont les critères pour identifier les tiers prioritaires à évaluer ?

Bien que la loi cite spécifiquement les clients, les fournisseurs de premier rang et les intermédiaires, l’Agence Française Anticorruption (AFA) recommande une priorisation basée sur l’approche par les risques. Les intermédiaires commerciaux et les agents agissant pour le compte de l’entreprise constituent souvent la catégorie la plus exposée au risque de corruption. D’autres critères doivent guider votre vigilance, tels que le pays d’activité (notamment ceux à fort indice de perception de la corruption), le secteur industriel (BTP, défense, extraction), ou la proximité avec des agents publics et des Personnes Politiquement Exposées (PPE). L’importance stratégique du tiers et les volumes financiers en jeu sont également des facteurs déterminants pour classer un tiers comme prioritaire.

Quelle est la différence entre diligence simplifiée, standard et renforcée ?

La distinction repose sur l’intensité des vérifications menées, qui doit être proportionnelle au risque. La diligence simplifiée s’applique aux tiers présentant un risque faible ; elle se limite généralement à une identification sommaire et à la collecte d’informations basiques, souvent publiques. La diligence standard (ou raisonnable) concerne les risques moyens et implique l’identification des bénéficiaires effectifs (UBO) ainsi que des vérifications sur les listes de sanctions. Enfin, la diligence renforcée est impérative pour les tiers à risque élevé. Elle exige des investigations approfondies, incluant des enquêtes de réputation, l’analyse de la provenance des fonds et un screening complet des médias négatifs (« adverse media »).

Quel est le rôle de l’AFA concernant le contrôle de ces procédures ?

L’Agence Française Anticorruption (AFA) a pour mission de contrôler l’existence, la qualité et l’efficacité des dispositifs anticorruption, dont l’évaluation des tiers est une composante majeure. Lors d’un contrôle, l’AFA vérifie que l’entreprise collecte effectivement les informations nécessaires et que les décisions de nouer des relations commerciales sont documentées et justifiées. En cas de manquement ou de procédure jugée insuffisante, l’AFA peut émettre des recommandations ou, dans les cas plus graves, saisir la commission des sanctions. Celle-ci a le pouvoir de prononcer des injonctions de mise en conformité ainsi que des sanctions pécuniaires à l’encontre de la personne morale et de ses dirigeants.

Quelles sont les étapes clés pour structurer l’évaluation des tiers ?

Une procédure efficace se déroule généralement en trois phases. La première est la collecte d’informations via des questionnaires internes (remplis par les collaborateurs) et externes (remplis par le tiers), adaptés au niveau de risque. La seconde phase est l’analyse, qui comprend le screening automatisé sur les bases de données (sanctions, PPE) et la vérification de l’actionnariat. La dernière étape est la prise de décision et le suivi. Sur la base des éléments recueillis, l’entreprise décide d’agréer le tiers, de refuser la relation ou de l’accepter sous conditions (mesures d’atténuation). Il est crucial de rappeler que l’évaluation n’est pas statique : une surveillance continue est nécessaire pour détecter toute évolution du profil de risque du partenaire.