Due Diligences : guide complet pour sécuriser vos relations d’affaires

En tant que Tiers de Collecte Probatoire (TCP) et expert en solutions de gestion de la conformité depuis 2009, Provigis accompagne les grandes entreprises dans la mise en œuvre de leurs Due Diligences. Notre plateforme digitale automatise la collecte et l'authentification des documents des tiers pour assurer leur conformité aux obligations légales et aux standards internes.

Dans cet article, la rédaction vous propose d'explorer en détail la Due Diligence : sa définition et ses spécificités, son cadre légal, les différents types de Due Diligence, les acteurs impliqués et les étapes de mise en œuvre. Nous vous proposons également divers outils et templates pour vous aider dans la conduite de vos Due Diligences.

Qu'est-ce que la Due Diligence ?

La définition

La Due Diligence, que l’on traduit parfois par « diligence raisonnable » en français, désigne l'ensemble des vérifications et des analyses qu'une organisation, en l’occurrence ici une entreprise, effectue pour évaluer avec précision les risques liés à ses relations d'affaires.

Dans la pratique, la Due Diligence est une démarche d'investigation qui examine minutieusement la situation d'une entité tierce, qu'il s'agisse d'un fournisseur, d'un client, d'un sous-traitant ou d'un partenaire commercial.

Les Due Diligences vs. les concepts proches

La compréhension de cette pratique passe par sa comparaison avec des concepts similaires :

• L'audit est ponctuel. La Due Diligence est continue et s'inscrit dans la durée.
• Le contrôle interne examine les processus internes. La Due Diligence analyse les tiers.
• Le compliance monitoring vérifie la conformité réglementaire. La Due Diligence évalue tous les risques : financiers, opérationnels, réputationnels.

Plus que toute autre pratique de vigilance, la Due Diligence couvre toute la transversalité de l’activité de l’entreprise. Elle s’articule autour de huit domaines d’investigation que nous développerons dans un instant.

Les trois moments de la Due Diligence

La Due Diligence s’opère à trois « moments » de la vie de l’entreprise : avant la signature d’un contrat, pendant la collaboration avec les tiers, ou encore avant une opération stratégique d’envergure.

1. La Due Diligence précontractuelle

Elle intervient avant toute signature d'un contrat avec un tiers (fournisseur, sous-traitant, prestataire, client). Cette investigation détermine si l'entreprise peut s'engager ou non dans la relation d'affaires.

Le périmètre et l’objet de cette analyse dépendent de la culture et de la maturité de l’entreprise, ainsi que des enjeux du contrat en question. En règle générale, elle s’intéressera aux éléments suivants :

• Les états financiers du tiers pour évaluer sa solidité financière ;
• Sa conformité aux obligations réglementaires (fiscales, sociales, environnementales) ;
• Sa structure de gouvernance et ses bénéficiaires effectifs ;
• Ses contentieux passés et en cours ;
• La validité de ses certifications métiers et accréditations sectorielles.

2. La Due Diligence continue

Il s’agit ici de surveiller en permanence les tiers avec lesquels l'entreprise travaille déjà. Cette surveillance permet de détecter toute dégradation de situation nécessitant une action corrective. On s’intéressera par exemple aux éléments suivants :

• La variation des indicateurs financiers clés (chiffre d'affaires, résultats, ratio d’endettement) ;
• Les changements dans l’actionnariat ou la direction ;
• Le renouvellement des certifications ;
• Le respect continu de leurs obligations légales.

3. La Due Diligence transactionnelle

Comparable à la Due Diligence précontractuelle, cette investigation est conduite pour sécuriser les opérations stratégiques (rachat, fusion, prise de participation). Elle examine notamment :

• La valorisation réelle de l’entreprise cible ;
• Ses engagements hors bilan et les risques cachés ;
• Les opportunités de synergies post-opération ;
• Les contraintes réglementaires spécifiques à l'opération (droit de la concurrence, autorisations sectorielles, etc.).

Les trois fondamentaux opérationnels des Due Diligences

Les Due Diligences s'articulent autour de trois processus complémentaires : la collecte documentaire, l’analyse des données et l’évaluation des risques.

1. La collecte documentaire

Il s’agit de la collecte et de la centralisation méthodique des documents légaux (K-bis, attestations sociales et fiscales), financiers (bilans, rapports d'audit), opérationnels (certifications qualité, agréments sectoriels), et contractuels (polices d'assurance, accords commerciaux).

Cette phase prévoit également la vérification systématique de l'authenticité des documents et leur mise à jour régulière.

2. L'analyse des données

À ce stade, il s’agira de croiser les informations collectées avec les bases de données externes, les études sectorielles et les différents signaux du marché. On cherche à identifier d’éventuelles incohérences entre les différentes sources.

L’entreprise doit également évaluer la fiabilité des données et détecter les zones grises qui nécessitent des investigations complémentaires. Nous détaillerons ce point dans la partie dédiée aux étapes de mise en œuvre des Due Diligences.

3. L'évaluation des risques

Sur la base des documents collectés et des données analysées, l’entreprise réalise une cartographie détaillée des risques identifiés.

Ils peuvent être d’ordre financier (solvabilité, endettement), opérationnel (dépendance clients/fournisseurs), réglementaire (non-conformité, sanctions), réputationnel (controverses ESG), etc.

L’entreprise engage par la suite les décisions habituelles de la gestion des risques, notamment la quantification de la probabilité et de l’impact potentiel, la définition des seuils d’acceptabilité et les mesures de mitigation appropriées.

Le cadre légal des Due Diligences en France et dans l’UE

Le législateur a progressivement construit un arsenal juridique pour obliger les entreprises à exercer leur vigilance sur leurs relations d'affaires.

Cette évolution répond à plusieurs impératifs : prévenir les risques de corruption, protéger les droits humains, préserver l’environnement, lutter contre le blanchiment d’argent dans les chaînes de valeur mondialisées, etc.

D'abord pratique volontaire, la Due Diligence est graduellement devenue une obligation légale structurante à partir de la deuxième moitié de la décennie 2010, notamment avec l’entrée en vigueur du devoir de vigilance, de la loi Sapin II et du RGPD.

La loi sur le devoir de vigilance (2017)

Cette loi oblige les sociétés mères et entreprises donneuses d'ordre de plus de 5 000 salariés en France (ou 10 000 dans le monde) à exercer une Due Diligence sur toute leur chaîne de valeur. Concrètement, elles doivent :

• Cartographier les risques d'atteintes graves aux droits humains, à la santé-sécurité et à l'environnement ;
• Évaluer la situation de leurs filiales, sous-traitants, prestataires et fournisseurs ;
• Mettre en place des actions de prévention et d'atténuation des risques ;
• Créer un mécanisme d'alerte ;
• Suivre l'efficacité des mesures.

🔗 Pour aller plus loin, vous pouvez consulter notre article « Devoir de vigilance vs. Obligation de vigilance ».

La loi Sapin II (2016)

Pour les entreprises de plus de 500 salariés et 100 millions d'euros de chiffre d'affaires, la loi impose une Due Diligence anti-corruption structurée autour des actions suivantes :

• L'évaluation systématique des clients, fournisseurs de premier rang et intermédiaires ;
• La mise en place de procédures de contrôles comptables ;
• Un dispositif de formation pour les cadres et personnels exposés ;
• Un code de conduite qui définit les comportements à proscrire ;
• Un régime disciplinaire permettant de sanctionner les violations du code de conduite.

L'Agence Française Anticorruption (AFA) contrôle le respect des obligations imposées par la loi Sapin II. En cas de manquement, elle peut émettre des recommandations ou saisir la commission des sanctions de la Haute Autorité pour la transparence de la vie publique (HATVP), seule habilitée à prononcer des sanctions administratives.

🔗 Pour aller plus loin, vous pouvez consulter notre article « Lutte anticorruption : de la loi Sapin 2 à la loi Sapin III ****»

Le RGPD (2018)

Le Règlement Général sur la Protection des Données impose aux entreprises une Due Diligence sur leurs sous-traitants en matière de traitement des données personnelles.

Cette obligation se traduit notamment par l’évaluation préalable des garanties techniques et organisationnelles du sous-traitant, la vérification des certifications et des codes de conduite, le contrôle des transferts de données hors UE et l'audit régulier des mesures de sécurité mises en place.

La CNIL peut sanctionner le manquement à ces obligations de Due Diligence par des amendes allant jusqu'à 4 % du chiffre d'affaires mondial.

🔗 Pour aller plus loin, vous pouvez consulter notre article « RGPD : la conformité de vos tiers conditionne la vôtre (+ nos conseils pratiques) »

La directive CSRD (2024)

La directive européenne sur le reporting de durabilité des entreprises (Corporate Sustainability Reporting Directive ou CSRD) a significativement renforcé les obligations de Due Diligence en matière ESG (Environnement, Social, Gouvernance).

Dans le cadre du reporting extra-financier, elle impose aux entreprises concernées une Due Diligence approfondie sur leur chaîne de valeur pour :

• Évaluer les impacts sociaux et environnementaux de leurs activités ;
• Identifier les risques de durabilité qui affectent leur business model ;
• Collecter et vérifier les données extra-financières de leurs partenaires ;
• Documenter leur conformité aux standards européens de durabilité.

La vérification des informations publiées doit être certifiée par un organisme tiers indépendant.

🔗 Pour aller plus loin, vous pouvez consulter notre article « CSRD : qui est concerné, l’application, les sanctions prévues ».

Quels sont les acteurs impliqués dans les Due Diligences de l’entreprise ?

En règle générale, la mise en œuvre d'une Due Diligence rigoureuse sur l'ensemble de la chaîne de valeur d'une grande entreprise nécessite des équipes internes dédiées et l'intervention ponctuelle d'experts externes dans les cas complexes : évaluation d'actifs, analyse de marchés étrangers, investigation de structures opaques ou Due Diligence transactionnelle d'envergure.

La répartition classique suit généralement une règle de Pareto (80 % en interne – 20 % en externe), même si ce ratio varie naturellement selon la maturité du dispositif de l'entreprise et la complexité des investigations à conduire.

Les équipes internes de l’entreprise

C’est le département Compliance qui pilote le processus des Due Diligences. Il conçoit les grilles d'analyse des risques, déploie les procédures d'investigation et supervise leur application systématique.

Dans les grands groupes, des équipes spécialisées en Due Diligence se constituent progressivement, à mesure que la chaîne de valeur s’allonge et que les tiers se multiplient. Séparées des équipes conformité traditionnelles, elles viennent répondre à la complexité des exigences réglementaires (à la hauteur des risques encourus).

La Direction Juridique intervient sur deux aspects critiques : l'analyse des structures contractuelles existantes et l'évaluation des risques légaux. Elle vérifie notamment la validité des titres de propriété, l'existence de garanties octroyées, les clauses de changement de contrôle, etc. Elle cartographie également les contentieux passés, en cours ou potentiels.

La Direction Financière mobilise ses analystes pour évaluer la solidité financière des tiers. Elle examine les ratios de solvabilité, la structure d'endettement et la qualité des actifs. Elle peut également modéliser les projections financières. Son expertise brille notamment lors des Due Diligences transactionnelles.

La Direction des Achats intègre les critères de Due Diligence directement dans ses processus de qualification et d'évaluation des fournisseurs. Elle collecte en continu les documents probants et remonte les alertes en cas de dégradation des indicateurs de performance ou de conformité.

La Direction des Systèmes d'Information (DSI) évalue les infrastructures technologiques des tiers, leur niveau de cybersécurité et leur conformité aux standards de protection des données, surtout s’il existe des interconnexions informatiques avec l’entreprise.

Enfin, les équipes RSE/ESG conduisent les investigations sur les aspects environnementaux et sociaux : certifications environnementales, politiques sociales, alignement avec les engagements RSE du groupe, etc.

Les experts externes

Le recours aux expertises externes répond à des besoins d'investigation que les équipes internes ne peuvent couvrir seules, soit par manque de ressources, soit par nécessité d'indépendance, soit en l’absence de l’expertise technique requise.

Les cabinets d'audit et de conseil en stratégie interviennent principalement sur les Due Diligences transactionnelles complexes. Leur valeur ajoutée réside dans leur capacité à modéliser des scenarii financiers avancés, à évaluer des actifs complexes (propriété intellectuelle, goodwill) et à identifier les synergies potentielles post-opération.

Les cabinets d'avocats spécialisés apportent leur expertise sur des problématiques juridiques pointues comme la conformité aux réglementations sectorielles, l’analyse des montages contractuels complexes et l’évaluation des risques dans des juridictions étrangères. Leur intervention est généralement systématique lors d'opérations transfrontalières ou dans des secteurs fortement régulés.

Les sociétés d'intelligence économique peuvent être sollicitées, à l’occasion, pour enrichir les investigations par leur capacité à collecter et analyser des informations difficiles d'accès comme les structures actionnariales opaques, les réseaux d'influence, la réputation sur des marchés émergents, l’exposition aux sanctions internationales, etc.

Enfin, les bureaux de certification et les laboratoires accrédités vérifient la conformité technique des processus industriels et la validité des certifications revendiquées. Leur intervention est particulièrement utile dans les secteurs à forts enjeux qualité ou sécurité (aéronautique, pharmaceutique, agroalimentaire, etc.).

Les 6 étapes à suivre pour conduire les Due Diligences

Si la profondeur des investigations s’adapte généralement aux enjeux, les 6 étapes que nous allons proposer constituent le socle méthodologique commun aux grandes entreprises.

À noter : il s’agit ici des étapes à suivre pour les Due Diligences précontractuelles, avant la signature d’un contrat avec un fournisseur.

1. Définition du périmètre et cadrage de la mission

Le département Compliance, en collaboration avec les directions concernées, établit la liste des domaines à investiguer en fonction des risques liés au tiers et au secteur d'activité. Cette phase de cadrage détermine également le niveau de profondeur des vérifications nécessaires (via une approche par les risques).

Ce premier cadrage fixe les éléments structurants de la mission : le calendrier des investigations, les ressources à mobiliser (internes et externes), les livrables attendus et les critères d'acceptabilité des risques. Il définit également les rôles et responsabilités des différentes parties prenantes ainsi que les circuits de validation.

Un document de cadrage formalise ces éléments et sert de feuille de route pour le déroulement des investigations. Il précise notamment les points d'attention liés au contexte. Prenons l’exemple d’un fournisseur de composants électroniques pour l’industrie automobile, envisagé par l’entreprise.

2. Collecte préliminaire et analyse des données publiques

Les équipes internes rassemblent et analysent systématiquement toutes les informations publiques disponibles sur le tiers envisagé. Objectif : déceler d'éventuels signaux d'alerte avant d'engager des ressources plus conséquentes.

Les analystes explorent les bases de données financières et commerciales (rapports annuels, notations crédit), les registres publics (greffes des tribunaux, bulletins officiels), la presse spécialisée et généraliste ainsi que les réseaux sociaux professionnels. Ils examinent également les listes de sanctions internationales et les bases de données sectorielles.

Cette phase établit une première cartographie de l'écosystème du tiers : la structure de son capital, ses dirigeants, ses implantations géographiques, ses principaux clients et fournisseurs déclarés.

⚠️ Point de vigilance : 5 signaux d’alerte prioritaires

Ces signaux ne constituent pas nécessairement des motifs de rejet définitif, mais ils appellent des investigations approfondies lors des phases suivantes :

1.      Changements fréquents de structure juridique ou d'actionnariat ;

2.      Présence dans des juridictions à risque sans justification opérationnelle claire ;

3.      Divergences importantes entre les données financières publiques et sectorielles ;

4.      Historique de litiges ou de défaillances dans des relations commerciales similaires ;

5.      Absence inhabituelle d'information sur certains aspects critiques de l'activité (sources de financement, engagements hors bilan…).

3. Établissement de la checklist documentaire et demande formelle

Cette étape marque le premier contact formel avec le tiers. L'équipe Compliance établit la liste exhaustive des documents à collecter, calibrée selon les conclusions de l'analyse préliminaire et le niveau de risque identifié.

La demande formulée au tiers est structurée par domaines d'investigation : documents juridiques (statuts, K-bis, procès-verbaux), financiers (états financiers certifiés, rapports d'audit), opérationnels (certifications, agréments), et ESG (rapports RSE, certifications environnementales).

Pour reprendre l’exemple de notre fournisseur de composants électroniques, une attention particulière est portée aux certifications techniques et aux autorisations d'export.

La demande documentaire est transmise via un portail sécurisé qui assure la traçabilité des échanges. Un délai de réponse raisonnable est fixé, généralement entre deux et quatre semaines selon la complexité du dossier. Les équipes définissent également les formats acceptables pour chaque document (originaux certifiés, copies conformes, etc.). Cette phase prévoit également la signature d'un accord de confidentialité (NDA) bilatéral.

Voici un exemple de template* pour la checklist documentaire (pour un fournisseur industriel).

4. Analyse documentaire et vérification d'authenticité

Les équipes Compliance vérifient systématiquement l'authenticité des documents officiels auprès des sources primaires : registre du commerce pour le K-bis, autorités de certification pour les normes ISO, portail URSSAF pour les attestations sociales. Les documents traduits, le cas échéant, font l'objet d'une validation par des traducteurs assermentés.

L'analyse croise les informations entre les différents documents pour détecter d'éventuelles incohérences. Par exemple, entre la structure capitalistique déclarée et les signataires des comptes, ou entre le périmètre des certifications et l'activité réelle.

Pour les documents financiers, les analystes examinent notamment la concordance entre les différents états et la cohérence des données dans le temps. Les équipes documentent précisément leurs conclusions dans un rapport d'analyse standardisé en notant les points qui nécessitent des clarifications ou des compléments d'information.

🔍 Voici un exemple pour la matrice de validation documentaire de cette étape.

5. Investigations complémentaires et entretiens

Sur la base des analyses documentaires, les équipes identifient les zones qui nécessitent des investigations plus approfondies. Idéalement, cette phase doit combiner des recherches ciblées et des entretiens avec les responsables clés du tiers.

Les investigations complémentaires consistent généralement en des visites de sites industriels, particulièrement pertinentes dans le cas de notre fournisseur de composants électroniques. Les équipes techniques vérifient sur place la réalité des capacités de production, les processus qualité et les conditions de stockage. Les équipes HSE examinent la conformité environnementale et les conditions de travail.

En parallèle, des entretiens structurés sont menés avec les dirigeants et responsables opérationnels du tiers. Ces échanges permettent de clarifier les points en suspens et d'évaluer la culture de conformité de l'organisation. Pour les aspects techniques critiques, des experts métiers participent aux entretiens.

Chaque investigation fait l'objet d'un rapport détaillé enrichi de preuves photographiques pour les visites sur site et de comptes-rendus signés pour les entretiens.

📝 Guide d'entretien type - Direction Générale du tiers

6. Évaluation finale des risques et recommandations

Cette dernière étape synthétise l'ensemble des investigations pour produire une évaluation globale des risques et formuler des recommandations claires pour la décision finale.

L'équipe Compliance consolide les données collectées dans une matrice d'évaluation standardisée. Chaque risque identifié est qualifié selon trois dimensions : sa probabilité d'occurrence, son impact potentiel et le niveau de maîtrise démontré par le tiers. Pour notre fournisseur de composants électroniques, une attention particulière est portée aux risques de rupture d'approvisionnement et aux enjeux de propriété intellectuelle.

Les analystes évaluent également la capacité du tiers à améliorer ses dispositifs de contrôle. Cette "dynamique de progrès" influence significativement les recommandations, particulièrement dans les domaines où des écarts ont été constatés mais sont jugés remédiables.

Le rapport final présente une recommandation claire : favorable, favorable sous conditions, ou défavorable. Dans le cas d'un avis favorable sous conditions, les mesures de remédiation requises sont précisément détaillées et priorisées.

🎯 Grille de décision standardisée

Provigis : la digitalisation des Due Diligences documentaires

La collecte et la vérification des documents constituent l'épine dorsale de toute Due Diligence rigoureuse. Pour les grands groupes qui gèrent des centaines, voire des milliers de tiers, cette tâche est évidemment complexe : multiplicité des documents à collecter, vérifications d'authenticité chronophages, suivis des dates d'expiration, relances des tiers retardataires, etc.

En tant que Tiers de Collecte Probatoire (TCP), nous avons développé la plateforme Provigis qui automatise et sécurise l'ensemble du processus documentaire des Due Diligences. Notre solution digitale vous permet de :

• Collecter automatiquement les documents auprès des tiers via une interface dédiée ;
• Vérifier systématiquement leur authenticité par connexion aux sources primaires (registre du commerce, URSSAF, etc.) ;
• Suivre en temps réel les dates d'expiration et génère automatiquement les relances ;
• Centraliser tous les documents dans un espace sécurisé et auditable ;
• Produire des reportings détaillés de conformité documentaire.

La plateforme s'intègre naturellement dans le processus global de Due Diligence, particulièrement lors des phases de collecte et d'analyse documentaire. Elle libère les équipes Compliance des tâches chronophages pour qu'elles se concentrent sur l'analyse des risques et les investigations approfondies.

Nous couvrons un spectre particulièrement large de documents : des documents légaux (K-bis, attestations sociales) aux certifications sectorielles (ISO, MASE) en passant par les documents financiers et les attestations d'assurance. Cette exhaustivité répond aux exigences documentaires des différentes réglementations : devoir de vigilance, Sapin II, RGPD ou encore CSRD. Réservez votre démo !