Évaluation tiers Sapin 2 : méthode et outils de conformité
L’essentiel à retenir : l’évaluation des tiers Sapin 2 dépasse la formalité administrative et exige une approche par les risques. Segmenter les partenaires selon leur niveau de menace permet d’adapter les diligences pour sécuriser efficacement l’entreprise. Cette rigueur transforme une obligation légale en véritable levier d’intelligence économique et de protection réputationnelle. Depuis la promulgation de la loi Sapin II (article 17 de la loi n° 2016-1691 du 9 décembre 2016), l’évaluation des tiers s’est imposée comme l’un des piliers essentiels des dispositifs de prévention de la corruption en entreprise. Parmi huit mesures obligatoires, cette exigence vise à mieux contrôler les relations avec les clients, fournisseurs et intermédiaires en fonction des risques identifiés dans la cartographie de l’organisation. Pourtant, plus de sept ans après l’entrée en vigueur du texte, son application continue de susciter de nombreuses interrogations. Les retours d’expérience des contrôles menés par l’Agence française anticorruption (AFA), ainsi que les échanges lors des formations et actions de sensibilisation, révèlent que la mise en œuvre concrète de cette obligation demeure un défi pour beaucoup d’entreprises. En effet, derrière une exigence en apparence claire, évaluer la situation des tiers au regard des risques de corruption, se cache une réalité opérationnelle complexe. Identifier les tiers concernés, définir les critères de risque pertinents, déterminer les sources d’information fiables et mettre en place des procédures d’analyse rigoureuses nécessitent une approche méthodique, des outils adaptés et une mobilisation durable des équipes. Ce guide détaille les étapes pour déployer une méthodologie par les risques et sécuriser efficacement votre écosystème. Évaluation des tiers Sapin 2 : une obligation, pas une option L’approche par les risques : arrêter le « one-size-fits-all » La procédure d’évaluation des tiers en pratique Les outils de l’évaluation : quels leviers actionner ? Au-delà de Sapin II : vers une gestion intégrée des risques tiers Évaluation des tiers : une obligation, pas une option Le cadre légal : que dit vraiment la loi ? L’évaluation des tiers constitue l’une des huit mesures imposées par l’article 17, II, 4° de la loi Sapin II. Ce n’est pas une suggestion, mais une contrainte ferme pour les sociétés de plus de 500 salariés réalisant plus de 100 millions d’euros de chiffre d’affaires. L’objectif est clair : détecter et prévenir les risques de corruption ou de trafic d’influence avant qu’ils ne surviennent. L’Agence Française Anticorruption (AFA) surveille de près l’effectivité de ces mécanismes sur le terrain. Ignorer cette exigence ou bâcler la procédure expose l’entreprise à des sanctions sévères. Au-delà de l’amende, c’est la réputation de la structure et la responsabilité des dirigeants qui se trouvent directement menacées. Qui sont les « tiers » à évaluer ? La loi cible prioritairement trois catégories : les clients, les fournisseurs de premier rang et les intermédiaires. Ces derniers, comme les agents commerciaux ou apporteurs d’affaires, représentent souvent le vecteur de risque le plus élevé. Pourtant, cette liste reste ouverte. L’AFA recommande vivement d’inclure tout partenaire exposant l’entité à un risque de probité, notamment dans les opérations de mécénat, de sponsoring ou lors de la création de joint-ventures. Votre périmètre de vigilance ne se décrète pas au hasard ; il découle de votre propre cartographie des risques. C’est cette analyse interne qui dicte où concentrer les efforts de vérification, bien plus qu’une application scolaire des textes. L’erreur commune : voir ça comme une simple case à cocher Trop d’entreprises tombent dans le piège de l’approche administrative pure, se contentant d’envoyer des questionnaires standards sans analyse. L’AFA identifie immédiatement cette faille : accumuler des documents ne suffit pas à protéger votre structure. L’évaluation des tiers n’est pas une formalité administrative, mais un pilier actif de la prévention de la corruption, qui exige une approche proportionnée et documentée. La finalité est de comprendre avec qui on travaille pour prendre une décision éclairée : collaborer, refuser ou imposer des conditions strictes. La documentation archivée ne sert qu’à prouver le sérieux de ce cheminement intellectuel face aux contrôleurs. L’approche par les risques : arrêter le « one-size-fits-all » Maintenant que le cadre est posé, la vraie question est : comment s’y prendre concrètement sans y laisser toutes ses ressources ? La réponse tient en trois mots : approche par les risques. Pourquoi une approche unique est inefficace et dangereuse Appliquer le même niveau de diligence à tous les tiers est une perte de temps et d’argent. On noie les équipes sous des tâches à faible valeur ajoutée. Pire, cette méthode dilue l’attention. Les risques élevés se retrouvent noyés. Le véritable danger est de passer à côté d’un « red flag » majeur, car les analystes sont occupés à vérifier un fournisseur de bureau local sans enjeu. La proportionnalité n’est pas une option, c’est une nécessité opérationnelle. Segmenter les tiers : la clé d’une évaluation pertinente L’idée est de classer chaque tiers dans une catégorie de risque (faible, modéré, élevé) en se basant sur la cartographie des risques de corruption. Les critères de segmentation sont multiples. Ils incluent le risque pays (indice de perception de la corruption), le secteur d’activité, le recours à des intermédiaires, et les interactions avec des personnes politiquement exposées (PPE). Niveau de Risque Exemple de Tiers Critères de segmentation (chiffrés) Niveau de Diligence Requis Faible Fournisseur de commodités en France Indice de perception de la corruption (IPC) > 70 ; secteur à faible risque (ex. services administratifs) ; pas de liens avec des agents publics Diligence simplifiée (questionnaire déclaratif simple) Modéré Client dans un secteur régulé en Europe IPC entre 40 et 70 ; secteur régulé (ex. santé, énergie) ; volume d’affaires modéré ; pas de lien direct avec des PPE Diligence standard (questionnaire détaillé + vérification sur bases de données publiques) Élevé Intermédiaire commercial dans un pays à risque élevé IPC < 40 ; secteur à haut risque (ex. BTP, défense, extraction) ; lien avec des PPE ou agents publics ; structure complexe ou opaque Diligence renforcée (diligence standard + recherche UBO, screening adverse media, enquête de réputation approfondie) Adapter les diligences à chaque niveau de risque Détaillons ce que signifie « diligence simplifiée » pour les risques