Tout savoir sur le rapport de conformité des tiers | Provigis

Compliance des tiers : pourquoi et comment construire un rapport de conformité ?

Dans les grandes entreprises et les ETI qui travaillent avec des dizaines ou centaines de fournisseurs, les directions Achats et Conformité accumulent généralement les attestations URSSAF, les KBIS, les certificats d'assurance et les documents exigés par le Code du travail. Ces documents sont stockés dans l'ERP, dans des dossiers partagés, parfois dans les boîtes mail des opérationnels.

Le problème survient au moment où il faut répondre à quelques questions simples :

Combien de fournisseurs sont réellement conformes aujourd'hui ?

Quels sont les documents qui expirent dans les 30 prochains jours ?

Quels tiers présentent un risque juridique immédiat ?

Sans tableau de bord et sans rapport structuré, ces questions imposent plusieurs jours de travail manuel : compiler les données dispersées, vérifier les dates de validité ligne par ligne, recalculer les taux de conformité, relancer les fournisseurs en retard...

Le rapport de conformité des tiers structure ces informations dans un document de synthèse qui centralise le statut de chaque fournisseur, liste les documents manquants ou périmés et permet de piloter les actions de mise en conformité. Provigis vous propose d’explorer ce document dans le détail.

Qu'est-ce qu'un rapport de conformité des tiers ?

Le rapport de conformité compile les données et les documents qui prouvent que vos tiers externes, à savoir les fournisseurs, les prestataires et les sous-traitants, respectent bien :

Leurs obligations légales qui impactent votre conformité au titre de l’obligation de vigilance, de la loi Sapin II, du Code du travail, de la CSRD, du RGPD, des obligations sectorielles, etc. ;

Vos normes mieux-disantes, que vous imposez dans votre politique Achat ou votre charte éthique, par exemple.

Il centralise, entre autres, les attestations de vigilance (URSSAF, SSI, MSA), les justificatifs d'immatriculation, les assurances professionnelles, les certifications QHSE et l'ensemble des documents exigés par le Code du travail ou par vos propres exigences contractuelles.

Le rapport de conformité des tiers présente deux niveaux d’information :

Il affiche d'abord une vue synthétique du taux de conformité global, du nombre de tiers en règle et du volume de documents manquants ou périmés ;

Il détaille ensuite la situation document par document : date de validité, statut de vérification, alertes sur les échéances à venir.

Quel est le format du rapport de conformité des tiers ?

Les directions Achats travaillent généralement avec des tableaux de bord dynamiques qui actualisent les données de compliance en temps réel et permettent de filtrer par critères, par exemple :

Catégorie de fournisseur ;

Zone géographique ;

Niveau de risque ;

Statut (à jour ou documents manquants)

De leur côté, les services juridiques et financiers extraient des fichiers Excel détaillés qui listent chaque tiers, ligne par ligne, pour une photographie exhaustive à un moment donné. Les auditeurs externes privilégieront des exports PDF horodatés, auxquels sont jointes les pièces justificatives scannées et les preuves de relance (archive opposable juridiquement).

Dans les grandes entreprises, où il faut gérer plusieurs dizaines, centaines voire milliers de fournisseurs, le rapport est généralement au moins mensuel. Dans les ETI, les rapports sont plutôt trimestriels, pour alimenter les comités de direction.

Dans tous les cas, l’élaboration et la mise à jour du rapport de conformité des tiers sont généralement automatisées ou semi-automatisées pour gagner du temps et limiter les erreurs.

Que contient le rapport de conformité des tiers, concrètement ?

Le rapport commence par identifier la période d'analyse et le périmètre couvert. La date d'extraction figure en en-tête, par exemple : « État de la conformité des tiers au 15 novembre 2025 » ou « Rapport du troisième trimestre 2025 ».

Le périmètre précise les tiers concernés : l'ensemble des fournisseurs, une catégorie spécifique (prestataires informatiques, sous-traitants BTP), une zone géographique (France uniquement, Europe, international) ou un niveau de risque (fournisseurs critiques uniquement).

Ensuite, le rapport donne des éléments de contexte, par exemple pour indiquer s’il s’agit d’un rapport mensuel de routine, d'un rapport préparatoire à un audit ou d'un document commandé par le comité de direction.

Vient ensuite la première lecture, avec les indicateurs de performance globaux comme :

Le taux de conformité général qui indique le pourcentage de tiers conformes au moment « M » ;

Le volume de documents manquants ou invalides, qui quantifie le nombre de pièces justificatives absentes, périmées ou rejetées.

Le nombre de tiers en règle et le nombre de tiers à risque pour quantifier l’exposition au risque.

Le corps du rapport détaille ensuite la situation de chaque tiers dans un tableau structuré. On y lit, ligne par ligne :

La raison sociale, le SIRET, l’adresse du siège social ;

Le statut de conformité du tiers (conforme, non conforme…) ;

La liste des documents déposés avec leur date de validité ;

La date du dernier dépôt et la date de la dernière relance envoyée ;

Le nom et les coordonnées du contact fournisseur ou sous-traitant.

Les échéances à surveiller apparaissent dans une colonne du tableau avec un code couleur. Si une attestation URSSAF expire dans 15 jours, si une assurance RC arrive à terme dans 30 jours, si un KBIS date de plus de 12 mois, la ligne correspondante est marquée en rouge ou orange selon le seuil paramétré.

💡 À savoir

Les rapports de compliance tiers destinés aux audits externes contiennent aussi les pièces justificatives en annexes. Les attestations URSSAF, les KBIS, les certificats d'assurance et les certifications QHSE sont joints au format PDF avec leur horodatage de vérification, au même titre que les preuves de relance (captures d'emails, dates d'envoi, nombre de rappels) qui démontrent que l'entreprise a exercé son devoir de vigilance.

Quels sont les destinataires du rapport de conformité des tiers ?

Les entreprises produisent ces rapports pour plusieurs destinataires :

En interne, les directions achats, juridiques et financières s'en servent pour suivre l'évolution de la conformité et prendre des décisions sur les relations commerciales.

Lors d'audits externes (URSSAF, inspection du travail, commissaires aux comptes), le rapport fournit les preuves documentaires opposables qui démontrent le respect du devoir de vigilance.

Les investisseurs et les comités de direction l'utilisent également pour évaluer l'exposition au risque tiers.

Pourquoi le rapport de conformité des tiers est-il indispensable ?

La multiplication des tiers impose aux entreprises d’aller au-delà de la collecte des documents de manière ad hoc. Elles doivent prouver dans la durée qu’elles maîtrisent la conformité de leur écosystème tiers.

Le rapport de conformité des tiers joue ce rôle : il concentre, en un document daté, ce que la loi impose, ce que l’entreprise choisit d’exiger en plus et la façon dont ces exigences sont réellement appliquées sur le terrain.

Il transforme un ensemble dispersé de textes, de procédures et de contrôles en un support lisible par tous : directions opérationnelles, fonctions risques, juridique, RSE, comités de direction... À partir de ce rapport, il devient possible de répondre simplement à des questions complexes :

Sommes-nous alignés avec nos obligations ?

Où se situent les principaux écarts ?

Quels tiers doivent être traités en priorité ?

Pour comprendre l’importance du rapport dans la compliance des tiers, il doit être examiné sous trois enjeux : le cadre légal qui le justifie, les normes mieux-disantes définies par l’entreprise elle-même, et enfin son rôle dans la gestion des risques.

#1 Le cadre légal qui justifie le rapport de conformité des tiers

Les lois n’imposent pas l’élaboration ou la tenue d’un rapport de conformité, mais ce dernier est un outil de preuve et de pilotage très utile pour assurer la compliance des tiers dans le cadre de la vigilance.

Nous avons résumé dans le tableau suivant les obligations légales qui justifient le rapport de conformité des tiers.

#2 Les normes mieux-disantes imposées par votre politique interne

Au-delà des obligations légales, les entreprises peuvent définir leurs propres exigences de conformité dans leurs politiques Achat, leurs chartes éthiques ou, plus largement, leurs engagements RSE. Le rapport de conformité centralise également les preuves que les tiers respectent ces normes mieux-disantes.

• La politique d’Achat responsable: certifications environnementales (ISO 14001, label Lucie 26000, RFAR), labels de responsabilité sociale (label Diversité, label Égalité professionnelle), scores minimaux aux évaluations RSE (EcoVadis, questionnaires personnalisés), etc.
• La charte éthique de l’entreprise ****peut engager les fournisseurs et sous-traitants à respecter des principes de conduite, par exemple par la signature d’un engagement et/ou la fourniture de preuves de conformité.
• Les normes sectorielles relatives à la qualité/fiabilité, par exemple la certification EN 9100 dans l’aéronautique, l’ISO 22000 pour l’alimentaire, QUALIBAT ou QUALIFELEC dans le BTP, etc.

💡 À savoir

Le rapport de conformité centralise les certificats, les réponses aux questionnaires, les scores d'évaluation et les chartes signées pour démontrer que l'entreprise pilote activement la conformité de son écosystème.

#3 Le rapport de conformité des tiers comme outil de gestion des risques

Utilisé comme un outil de gestion des risques, le rapport de conformité des tiers organise les informations pour répondre à la question : « Quel est le degré d’exposition de l’entreprise au risque tiers ? ».

Il permet dans un premier temps de relier chaque tiers à un niveau de risque en agrégeant les données (statut de conformité, volume et nature des documents manquants, dates de validité, criticité du fournisseur, secteur d’activité, pays d’implantation, etc.). Une même non-conformité n’aura pas le même poids selon qu’il s’agit d’un fournisseur stratégique, d’un prestataire en contact avec le public ou d’un sous-traitant secondaire.

Concrètement, le rapport de conformité des tiers permet de segmenter le parc fournisseur par niveau de risque. Il devient possible de classer les tiers en catégories opérationnelles pour agir :

• Fournisseurs critiques à sécuriser en priorité (volumes d’achats élevés, activité sensible, exposition médiatique ou réglementaire forte) ;
• Fournisseurs à surveiller (retards récurrents, changements fréquents de situation) ;
• Fournisseurs maîtrisés (dossiers complets, historique de conformité stable).

Cette segmentation permet ensuite de piloter les plans d’action. Le rapport ne se limite plus à signaler des documents manquants, mais oriente les décisions à prendre. Les équipes Achats, juridiques, conformité et RSE peuvent, à partir du rapport :

• Définir des priorités de remédiation (quels tiers relancer en premier, sur quels documents, avec quels délais) ;
• Décider de mesures conservatoires (gel de commandes, suspension de nouveaux contrats, limitation du périmètre d’intervention) lorsque le niveau de risque dépasse un seuil défini ;
• Planifier des revues approfondies sur certaines catégories de tiers (par exemple les sous-traitants à forte exposition sociale ou environnementale).

Le rapport de conformité contribue aussi à objectiver les arbitrages. En documentant, noir sur blanc, le nombre de tiers non conformes dans une catégorie donnée, le type de risques associés et l’évolution dans le temps, il fournit aux comités risques et aux comités de direction une base factuelle pour :

• Allouer des ressources supplémentaires sur certaines familles d’achats ou zones géographiques ;
• Ajuster la politique d’acceptation du risque (seuils de tolérance, exigences documentaires renforcées, fréquence des revues) ;
• Décider d’engager ou non un nouveau fournisseur dans un contexte déjà sensible.

💡 Suivre l’évolution de l’exposition au risque tiers dans le temps

En comparant plusieurs périodes, l’entreprise visualise si son exposition au risque tiers s’améliore, stagne ou se dégrade. La part de fournisseurs non conformes, la nature des écarts récurrents, la réactivité aux relances ou encore la fréquence des incidents nourrissent les indicateurs de risque. Le rapport de conformité des tiers devient ainsi un composant à part entière du dispositif de gestion des risques, connecté aux cartographies et aux tableaux de bord de contrôle interne.

Comment construire un rapport de conformité ?

1. Définir le périmètre, la période et les destinataires du rapport de conformité

La construction du rapport commence par la définition de trois paramètres qui structurent l'ensemble du travail :

• Les tiers qui seront couverts: tous les tiers référencés (fournisseurs, prestataires, sous-traitants) ? Les 100 premiers fournisseurs en volume d’achats ? Les sous-traitants qui interviennent sur site ? Les fournisseurs d’une Business Unit (BU) ou d’une zone géographique ? Les prestataires informatiques ?
• La période de référence: mensuelle ? Trimestrielle ? Annuelle ? Une période personnalisée pour répondre à un contrôle ou audit, pour préparer une fusion-acquisition ?
• Le ou les destinataires du rapport de conformité: la direction Achats (indicateurs opérationnels) ? La direction juridique (traçabilité et pièces justificatives) ? Le comité de direction (synthèse globale de l’exposition au risque tiers) ?

💡 Un exemple concret…

Dans un groupe industriel de 5 000 salariés, le rapport de conformité couvre tous les fournisseurs et sous-traitants actifs sur le trimestre écoulé, en distinguant les tiers critiques (maintenance des sites, sécurité, transport et IT) du reste du panel. La période de référence est le trimestre civil (T1, T2, T3, T4) afin de coïncider avec les clôtures comptables et les réunions du comité de direction. Le rapport est utilisé par la direction Achats, la direction juridique et le comité de direction.

2. Recenser et fiabiliser les données de conformité des tiers

Les données de conformité des tiers proviennent généralement de plusieurs briques :

• Référentiel fournisseurs ;
• Contrats ;
• Outils métiers (ERP notamment) ;
• Dossiers partagés ;
• Plateforme de collecte documentaire ;
• Échanges par email avec les opérationnels, etc.

Avant de construire le rapport, les équipes identifient ces sources et vérifient que chaque tiers possède un identifiant commun (SIRET, code fournisseur interne, numéro de contrat) pour éviter les doublons ou les lignes éclatées entre plusieurs systèmes.

Les pièces justificatives doivent ensuite être rapprochées de chaque tiers : attestations de vigilance, justificatifs d’immatriculation, assurances, certifications, questionnaires RSE, etc. Pour chaque document, les données clés sont extraites et contrôlées : date de validité, présence du bon tiers, cohérence des informations (adresse, raison sociale), statut de vérification, etc.

Si les documents manquants ou périmés sont identifiés à ce stade, les équipes peuvent lancer une campagne de mise à jour avant la génération du rapport.

💡 Harmonisation des statuts de conformité

Il faut impérativement définir des règles communes pour toute la population couverte : qu’est-ce qui bascule un tiers de la conformité à la non-conformité ? Qu’est-ce qui doit déclencher une alerte (automatisée ou manuelle) ? Comment gérer les cas particuliers (changement de raison sociale, par exemple) ?

3. Construire la vue de synthèse du rapport de conformité

La vue de synthèse occupe généralement la première page ou le premier onglet du rapport et s'adresse aux directions et aux comités qui ont besoin d'une vision globale sans forcément entrer dans le détail.

Les indicateurs de conformité globale quantifient la situation à l'instant « T » :

• Taux de conformité général (pourcentage de tiers conformes sur le périmètre couvert) ;
• Nombre de tiers conformes vs. nombre de tiers non conformes ;
• Volume de documents manquants ou périmés ;
• Nombre de tiers à risque (selon la classification définie en amont).

En fonction de l’activité et de l’organisation de l’entreprise, cette partie peut segmenter par catégories pour mieux identifier les zones de fragilité. On peut par exemple imaginer un taux de conformité par famille d'achats (IT, maintenance, transport, services généraux...), par zone géographique, par niveau de criticité (tiers stratégiques, tiers secondaires), etc.

Cette partie peut être conclue par l’évolution du taux de conformité par rapport à la période précédente (mois M-1, trimestre T-1), et éventuellement la part du chiffre d’affaires portée par des tiers non conformes.

4. Structurer le détail par tiers et par document

Le corps du rapport liste chaque tiers dans un tableau structuré. Chaque ligne correspond à un tiers et affiche les informations nécessaires pour piloter les actions de mise en conformité.

Les données d'identification figurent dans les premières colonnes : raison sociale, SIRET, adresse du siège social, code fournisseur interne, famille d'achats, zone géographique, niveau de criticité…

Les colonnes suivantes détaillent le statut documentaire : pour chaque document attendu (attestation URSSAF, KBIS, assurance RC, certification ISO), le rapport indique si le document est validé, périmé ou manquant, avec sa date de validité.

Les dates de dernier dépôt et de dernière relance tracent l'historique des échanges avec le tiers, et les coordonnées du contact fournisseur (nom, prénom, fonction, email, téléphone) facilitent les relances ciblées.

Les codes couleur hiérarchisent les priorités selon les seuils définis : rouge pour les échéances imminentes (moins de 15 jours), orange pour les échéances proches (15 à 30 jours), vert pour les documents valides au-delà.

💡 Exemple simplifié d’un rapport de conformité

Voici un extrait simplifié du tableau de détail par tiers. Dans la pratique, ce tableau contient davantage de colonnes (zone géographique, code fournisseur interne, adresse complète, etc.) et peut porter sur plusieurs centaines ou milliers de lignes selon le périmètre défini.

• Obligation de vigilance (Code du travail, art. L. 8222-1 et suivants)
  Date d'entrée en vigueur : 2014

Qui est concerné ? Tous les donneurs d'ordres

Détail : Vérification tous les 6 mois que le cocontractant respecte ses obligations d'immatriculation, de déclaration sociale (URSSAF, SSI, MSA) et d'autorisation de travail pour les salariés étrangers.

- Devoir de vigilance (Loi n°2017-399)
Date d'entrée en vigueur : 27 mars 2017

Qui est concerné ? Sociétés françaises ou ayant leur siège en France employant au moins 5 000 salariés en France, ou au moins 10 000 salariés en France et à l'étranger

Détail : Obligation d'établir un plan de vigilance qui identifie et prévient les risques d'atteintes graves aux droits humains, à la santé, à la sécurité et à l'environnement dans leurs activités et celles de leurs fournisseurs et sous-traitants.

• Loi Sapin II (Loi n°2016-1691)

Date d'entrée en vigueur : 9 décembre 2016
Qui est concerné ? Sociétés françaises ou ayant leur siège en France : 500 salariés + 100 M€ de CA, ou appartenant à un groupe de 500 salariés + 100 M€ de CA

Détail : Mise en place d'un dispositif anti-corruption avec une cartographie des risques et des procédures d'évaluation des tiers (clients, fournisseurs, intermédiaires…).

- Directive CSDDD (Devoir de vigilance européen)
Date d'entrée en vigueur : 2027 (progressive : 2027, 2028, 2029)

Qui est concerné ? Entreprises UE : 2027 (+5 000 salariés + 1 500 M€ CA mondial), 2028 (+3 000 salariés + 900 M€ CA mondial), 2029 (autres entreprises du champ)
Détail : Due diligence renforcée sur l'ensemble de la chaîne de valeur pour identifier, prévenir et atténuer les atteintes aux droits humains et à l'environnement.

• RGPD

Date d'entrée en vigueur : 25 mai 2018

Qui est concerné ? Entreprises établies dans l'UE, ou entreprises hors UE traitant des données de résidents de l'UE
Détail : Obligation de s'assurer que les sous-traitants qui traitent des données personnelles respectent les exigences de sécurité et de confidentialité et peuvent en fournir la preuve documentaire.

- Obligations sectorielles :
Exemple : assurance décennale (BTP), licence de transport et capacité professionnelle (logistique), agrément CNAPS (sécurité privée), etc.

5. Formuler les recommandations et hiérarchiser les actions

Cette dernière section est généralement rédigée par la direction Achats ou le responsable Conformité, parfois en collaboration avec la direction juridique selon la criticité des situations identifiées.

Elle commence par un constat d'évolution qui compare les indicateurs de la période actuelle avec ceux du rapport précédent :

• Le taux de conformité a-t-il progressé ou reculé ?
• Le volume de documents manquants augmente-t-il ?
• Quels tiers sont sortis de la conformité depuis la dernière extraction ?

Le rapport liste ensuite les actions à mener, classées par ordre de priorité :

• Tiers critiques non conformes : nature de la non-conformité, action recommandée (relance urgente, suspension des commandes, audit), délai de mise en conformité, responsable de l'action ;
• Tiers à surveiller : documents arrivant à échéance dans les 30 à 60 jours, dates butoirs, calendrier de relances anticipées ;
• Tiers inactifs ou contacts obsolètes : identification des dossiers bloqués, actions de qualification des contacts ou de mise à jour du référentiel.

La section se referme sur les décisions structurantes à soumettre au comité de direction ou au comité Risques. Il peut s’agir du renforcement des exigences documentaires sur certaines familles d'achats, de la révision de la politique de tolérance, de l’allocation de ressources supplémentaires sur les zones géographiques à forte exposition, etc.

Pourquoi automatiser ou semi-automatiser la construction du rapport de conformité ?

Les équipes Achats et Conformité qui gèrent manuellement la conformité de leurs tiers passent plusieurs jours, voire plusieurs semaines, à compiler les données nécessaires à l'élaboration du rapport.

Les documents de conformité sont en effet dispersés dans l'ERP, les boîtes mail, les dossiers partagés sur le réseau, les fichiers Excel locaux maintenus par chaque opérationnel, etc. La consolidation impose de récupérer les informations ligne par ligne, de vérifier leur cohérence, de rapprocher les pièces justificatives et de calculer manuellement les indicateurs.

Ce mode de fonctionnement génère plusieurs difficultés :

• Risque d'erreur de saisie et de consolidation : chaque copier-coller, chaque report manuel d'une date de validité ou d'un statut de document introduit un risque d'erreur ;
• Difficultés à maintenir les données à jour : si un fournisseur dépose un document le matin, l'équipe qui travaille sur le rapport depuis trois jours ne le voit pas, le rapport présente une situation déjà obsolète au moment de sa diffusion ;
• Temps de production incompressible : selon la taille du parc fournisseurs, il faut mobiliser une ou plusieurs personnes pendant plusieurs jours pour produire un rapport trimestriel complet… et qui sera déjà obsolète au moment de sa diffusion ;
• Traçabilité faible des actions de relance : les emails de relance partent de boîtes individuelles, les réponses se perdent dans les fils de discussion… impossible de savoir qui a relancé quel fournisseur et combien de fois ;
• Détection tardive des échéances : sans système d'alerte, les documents arrivent à expiration sans que personne ne s'en aperçoive, la non-conformité apparaît au moment de la consolidation du rapport, et il est trop tard pour agir ;

Comment Provigis facilite la génération de vos rapports de conformité

Chez Provigis, nous accompagnons les entreprises dans la conformité de leurs tiers depuis 2009. En tant que Tiers de Collecte Probatoire (TCP), nous avons développé une plateforme digitale qui centralise l'ensemble des données et documents de conformité dans un référentiel unique.

Nous partons d’une idée simple : mutualiser la collecte des documents obligatoires pour ne les demander qu’une seule fois, puis les mettre à disposition de tous les donneurs d’ordres concernés.

Plus de 15 années d'expérience nous ont permis d'affiner nos processus et d'anticiper les besoins opérationnels des directions Achats, juridiques et Conformité. Nous travaillons avec des start-up, des PME, des ETI et des Grands Comptes qui pilotent la conformité de dizaines, centaines voire milliers de tiers.

Notre plateforme génère vos rapports de conformité directement depuis le référentiel centralisé :

• Exports et rapports mensuels téléchargeables en quelques clics : vous générez vos rapports directement depuis votre interface sans compilation manuelle des données ;
• Statistiques et suivi des indicateurs de performance : les taux de conformité et les volumes de documents manquants se calculent automatiquement à partir du référentiel ;
• Extraction des métadonnées : les dates de validité, les statuts de vérification et les informations d'identification sont récupérés automatiquement depuis les documents déposés ;
• Notifications automatiques et relances prioritaires pour optimiser le suivi et maintenir votre taux de conformité ;
• Validation des documents avec contrôle automatisé : notre plateforme se connecte aux API gouvernementales pour vérifier les documents simples et typés (KBIS, attestations URSSAF). Vous réduisez le risque de fraude documentaire ;
• Piste d'audit et archivage documentaire sécurisé : vous disposez des preuves opposables nécessaires pour vos audits internes ou externes ;
• Intégrations API : nos connecteurs s'interfacent avec vos outils existants (ERP, SRM) pour alimenter automatiquement le référentiel et synchroniser les données.

Vous souhaitez automatiser la génération de vos rapports de conformité et gagner du temps et de la précision sur le pilotage de vos tiers ? Réservez votre démonstration personnalisée sans plus tarder.