Know Your Supplier (KYS) : contexte, intérêt, mise en œuvre et bonnes pratiques

La gestion des risques fournisseurs est au cœur des préoccupations des entreprises, que ce soit pour des raisons de conformité légale, des considérations business ou dans le cadre de leur politique RSE.

Dans ce contexte, le concept de « connaissance fournisseur » s’est progressivement imposé comme une brique essentielle de la fonction Achat. Encadré par la loi Sapin II et la loi sur le devoir de vigilance, le processus Know Your Supplier, ou KYS, consiste en une diligence raisonnable continue des fournisseurs pour identifier et gérer les risques de corruption, de violations des droits de l’Homme et de l’environnement. Décryptage…

Know Your Supplier (KYS) : origines et contexte

Le concept de la « connaissance fournisseur » s’est matérialisée dans un contexte où la gestion des risques fournisseurs est devenue une préoccupation croissante pour les entreprises, à la fois pour des raisons de conformité réglementaire, des facteurs business et des considérations RSE. Plusieurs éléments du macroenvironnement ont contribué à cette dynamique.

D’une part, la mondialisation des marchés a logiquement abouti à des chaînes d’approvisionnement plus complexes. Les entreprises opérant à l’échelle internationale dans un premier temps, puis les autres, ont progressivement élargi leurs sources d’approvisionnement, avec des partenaires situés dans différents pays et répondant à des réglementations variées. Dans ce contexte, la « connaissance fournisseur » est passée d’une pratique qui coule de source à une brique à part entière de la fonction achat.

D’autre part, les préoccupations environnementales, sociales et de gouvernance d’entreprise (ESG) ont gagné du terrain. La responsabilité sociale des entreprises est plus que jamais liée aux acteurs de leur microenvironnement, notamment les tiers fournisseurs.

Enfin, les scandales impliquant des entreprises et leurs fournisseurs ont mis en évidence les risques de réputation et les coûts associés à une mauvaise gestion du risque tiers. Les entreprises ont pris conscience de la nécessité d’adopter des pratiques rigoureuses de vérification et de contrôle des fournisseurs, parfois au-delà des obligations légales, pour préserver leur image et attirer des investisseurs.

KYS : conséquence de la loi Sapin II et du devoir de vigilance

Le KYS est un processus de due diligence des fournisseurs actionné par les entreprises dans un cadre réglementaire défini par la loi Sapin II de 2016 et la loi sur le devoir de vigilance de 2017. Ces deux lois imposent aux entreprises des obligations de transparence, d’éthique et de responsabilité dans leurs relations commerciales, notamment avec leurs fournisseurs.

La loi Sapin II, adoptée en novembre 2016, est un ensemble de réglementations visant à renforcer la lutte contre la corruption. Elle impose aux entreprises françaises de mettre en place des programmes de conformité pour prévenir et détecter les risques de corruption et de trafic d’influence dans leurs activités.

La loi sur le devoir de vigilance, adoptée en mars 2017, oblige les entreprises françaises de plus de 5 000 employés (ou plus de 10 000 employés pour les groupes internationaux) à établir et à mettre en œuvre un plan de vigilance pour identifier et prévenir les risques de violations des droits de l’Homme, des droits sociaux et de l’environnement dans leurs chaînes d’approvisionnement.

Concrètement, le KYS est un processus continu de collecte, d’évaluation et de surveillance des informations sur les fournisseurs pour identifier et gérer les risques de corruption, de violations des droits de l’Homme, des droits sociaux et de l’environnement. S’il a d’abord fait son chemin dans les institutions financières et les grandes entreprises, le KYS s’impose de plus en plus dans les structures de toutes tailles qui souhaitent faire de la conformité des fournisseurs (légale et vis-à-vis normes internes) un levier de performance.

Quelles sont les étapes du KYS ?

Le KYS commence par l’identification et l’évaluation des fournisseurs potentiels, avec notamment la collecte d’informations sur ces tiers : les données d’identification comme le nom, l’adresse et le numéro d’identification fiscale, des informations sur la structure de l’entreprise, la propriété, les antécédents financiers, les licences et les certifications. Pour analyser les risques potentiels liés à chaque fournisseur, les entreprises mobilisent des outils de screening et de due diligence afin d’identifier d’éventuels liens avec la corruption, le blanchiment d’argent ou d’autres activités illégales dans le cadre de la loi Sapin II et du devoir de vigilance, à minima.

Une fois les fournisseurs sélectionnés, les entreprises procèdent à un audit et à une vérification de leur conformité, le plus souvent suivant les normes ISA. Les entreprises vérifient également les pratiques des fournisseurs en matière de travail, d’éthique et de durabilité. Elles peuvent par exemple exiger que les fournisseurs adhèrent à des codes de conduite comme la BSCI (Business Social Compliance Initiative) ou l’Ethical Trading Initiative.

Les entreprises vérifient par la suite la conformité des fournisseurs aux réglementations spécifiques à leur secteur, par exemple les réglementations REACH pour les produits chimiques en Europe, les normes de qualité ISO 9001 pour la gestion de la qualité, les normes HACCP pour la sécurité alimentaire, etc. Des mesures peuvent également être prises pour garantir la qualité des produits et/ou services fournis par les fournisseurs comme les inspections de qualité sur site, les tests de laboratoire sur les produits ou l’examen des certifications de qualité des fournisseurs.

Enfin, les entreprises doivent mettre en place des systèmes de surveillance continue pour suivre et maintenir la conformité des fournisseurs. On parle ici de la mise à jour régulière des informations sur les fournisseurs et de la veille sur l’actualité, les médias sociaux et les bases de données de conformité pour identifier tout problème potentiel. En cas de non-conformité détectée, il s’agira de prendre actions correctives qui peuvent aller de l’audit de suivi et la mise en œuvre de plans d’amélioration, jusqu’à la résiliation du contrat avec le fournisseur en cas de non-conformité persistante.

Bonnes pratiques pour une mise en œuvre efficace du KYS

La mise en œuvre d’un processus KYS (Know Your Supplier) efficace représente un défi majeur pour les entreprises, étant donné la complexité croissante des chaînes d’approvisionnement mondiales et la quantité des données à gérer, surtout pour les entreprises qui ne sont pas forcément matures sur le volet Data. Aussi, la formation des équipes impliquées nécessite du temps et des ressources. Pour relever le défi et déverrouiller les nombreux avantages du KYS (tendre vers l’excellence opérationnelle, se prémunir du risque légal, préserver sa réputation, muscler sa politique RSE), les entreprises doivent mettre en œuvre un certain nombre de bonnes pratiques.

Le poids des antécédents dans le choix des fournisseurs

Les entreprises doivent choisir des fournisseurs qui justifient d’un historique de conformité et d’une réputation positive dans leur secteur. Il s’agira donc de vérifier les antécédents, notamment en recherchant des sanctions, des poursuites judiciaires ou des plaintes en matière de droits de l’Homme ou d’éthique. Les entreprises peuvent également consulter des rapports de notation fournisseurs, par exemple ceux fournis par EcoVadis ou Dun & Bradstreet pour évaluer la conformité passée et la réputation des fournisseurs.

Collaboration avec les parties prenantes internes et externes

Le succès du processus KYS dépend en grande partie de la qualité de la collaboration entre les différentes parties prenantes. Les équipes Achat, conformité, juridique et audit doivent travailler en bonne intelligence pour garantir une approche coordonnée de la conformité des fournisseurs. Les entreprises doivent également travailler avec les fournisseurs eux-mêmes pour les aider à comprendre et à respecter les exigences de conformité. Pour ce faire, elles peuvent organiser des ateliers de formation, fournir des ressources éducatives et encourager les fournisseurs à adopter les bonnes pratiques.

Utilisation de logiciels spécialisés pour faciliter le processus KYS

Le processus KYS se prête tout particulièrement à la digitalisation et à l’automatisation. En tant que Tiers de Collecte Probatoire (TCP), Provigis propose une solution logicielle innovante en mode SaaS qui automatise la collecte, l’authentification et la validité des documents légaux des tiers, en l’occurrence ici les fournisseurs. Vous pourrez créer et évaluer vos fournisseurs selon votre propre cartographie des risques, notamment au regard de vos politiques Achat et RSE.