À propos
Nos solutions
Donneurs d'ordresOrganisations suivies
Partenaires
Tarifs
Ressources
BlogRessources téléchargeablesMédaillesCas clientsFormations
Se connecterRéserver une démo
BlogConformitéRéférencement fournisseur : comment structurer votre due diligence fournisseurs à grande échelle

Référencement fournisseur : comment structurer votre due diligence fournisseurs à grande échelle

Depuis une dizaine d’années, le référencement fournisseur s’est imposé comme un maillon important de la conformité achats. D’abord limité à la création administrative d’un tiers dans l’ERP, il s’est transformé sous la pression combinée de la réglementation (Sapin II, RGPD, LCB-FT, devoir de vigilance), des référentiels qualité (ISO 9001, 20400…) et des exigences clients ou donneurs d’ordre.

Aujourd’hui, le référencement fournisseur ne consiste plus à « ouvrir une fiche ». Il implique la collecte des justificatifs à jour, le contrôle de leur validité, la vérification de la cohérence des informations transmises, la documentation des contrôles effectués et le suivi des mises à jour dans le temps.

Mais dans les faits, le processus reste encore largement informel dans de nombreuses structures : collecte manuelle, absence de vérification croisée, relances aléatoires, fichiers Excel… Résultat : un faux sentiment de maîtrise, et des risques juridiques, financiers ou réputationnels latents.

Dans cet article, la rédaction de Provigis revient sur les fondements du référencement fournisseur, les documents attendus, les risques d’un contrôle qui se limite à la documentation et les étapes clés de la due diligence.

Qu’est-ce que le référencement fournisseur ?

Le référencement fournisseur désigne le processus par lequel l’entreprise autorise formellement un tiers (prestataire, sous-traitant, fournisseur de biens ou de services) à travailler avec elle en l’inscrivant dans sa base fournisseurs active.

Le processus de référencement permet à la direction des achats, à la direction financière ou à la direction juridique d’engager le tiers sur le plan contractuel et comptable dans un cadre validé. Le référencement du fournisseur signifie que l’entreprise :

  • a obtenu une série de documents justificatifs (administratifs, fiscaux, juridiques, RSE…) ;
  • a vérifié que ces documents sont valides, à jour, conformes aux exigences internes ou légales ;
  • considère que le fournisseur est éligible à une contractualisation ou à une mise en service dans ses outils (ERP, portail fournisseur, etc.).

Dans quels cas le référencement fournisseur est-il exigé ?

Le référencement fournisseur s’est progressivement structuré sous l’effet combiné de la réglementation (Sapin II, RGPD, devoir de vigilance), des normes qualité et des exigences clients. Il n’était pas systématique il y a encore quinze ans, même dans les grandes structures.

La logique dominante était souvent administrative : créer une fiche fournisseur pour pouvoir le payer. La notion de preuve, de conformité ou de gestion du risque était secondaire, quand elle n’était pas simplement absente.

Aujourd’hui encore, le référencement fournisseur reste informel dans de nombreuses entreprises, notamment dans les TPE, PME et même certaines ETI. Le fournisseur est souvent intégré sur simple demande opérationnelle. Mais ce fonctionnement devient intenable dès qu’une entreprise cherche à sécuriser ses achats, à démontrer sa conformité réglementaire ou à répondre aux exigences de ses clients.

Grandes entreprises / groupes multisites : Nécessité de maîtriser les risques fournisseurs à l’échelle du groupe : éviter les doubles référencements, harmoniser les critères de validation, fiabiliser la base active et tracer les engagements contractuels inter-entités. En cas de défaillance fournisseur, la responsabilité peut s’étendre à l’ensemble du groupe ; une politique de référencement unifiée est donc impérative.

Structures certifiées (ISO 9001, 20400…) : Les référentiels imposent une évaluation fournisseur selon des critères formalisés (qualité, sécurité, environnement, éthique), avec des grilles de notation, des seuils de criticité, des revues périodiques et un archivage opposable. L’auditabilité de la chaîne fournisseur fait partie intégrante du processus de certification.

Quand la loi l’impose : Pour les structures relevant de Sapin II, du devoir de vigilance ou de la LCB-FT, le référencement fournisseur permet de structurer les vérifications exigées : intégrité, conformité RGPD, absence de sanctions, traçabilité des contrôles. Ces obligations ne s’appliquent pas à toutes les entreprises, mais elles deviennent contraignantes dès qu’un seuil ou un périmètre à risque est franchi.

Appels d’offres publics ou privés : Le référencement conditionne l’éligibilité du fournisseur : tout dossier incomplet ou non vérifiable est rejeté d’office. De plus en plus de cahiers des charges exigent des preuves de conformité RSE, de transparence financière ou de procédures internes (cybersécurité, éthique, lutte contre la corruption). L’absence de structure documentaire empêche simplement de concourir.

Référencement fournisseur : quels documents exiger ?

La demande de documents démarre généralement lorsque l’acheteur souhaite engager un fournisseur sur une prestation : commande, mission, contrat cadre ou même un devis formalisé. Dans les grandes entreprises, cette étape est souvent intégrée dans un workflow d’onboarding ou une plateforme fournisseurs.

Ailleurs, elle se déclenche par l’envoi d’un formulaire ou d’un email type avec une liste de pièces à fournir et une date limite.

C’est en général la direction des achats qui initie la démarche, parfois avec l’appui du juridique, du contrôle de gestion ou de la conformité selon la criticité du fournisseur. Certains documents sont systématiquement demandés, d’autres dépendent du montant engagé, de la durée du contrat ou du périmètre d’intervention du fournisseur (site sensible, données personnelles, prestation externalisée, etc.).

On vise deux objectifs à ce stade :

  1. Vérifier que le fournisseur existe, qu’il est en règle et qu’il dispose d’une assurance responsabilité civile professionnelle couvrant son activité ;
  2. Collecter des éléments factuels permettant une évaluation plus poussée si nécessaire (due diligence, scoring, audit, etc.).

💡 Ce qui est exigé par la loi, et ce qui relève de la politique interne

Certains documents sont exigés par la loi, en particulier pour prévenir les risques de travail dissimulé ou de défaut de couverture : Kbis, attestation URSSAF, preuve d’assurance et régularité fiscale. D’autres relèvent de la politique interne, notamment sur les critères RSE, la performance financière et la cybersécurité. Dans tous les cas, le référencement est bloqué si le dossier est incomplet, avec l’impossibilité de contractualiser ou d’émettre une commande.

#1 Extrait Kbis ou équivalent

L’extrait Kbis permet de vérifier l’existence juridique du fournisseur, sa forme sociale, son immatriculation au registre du commerce, l'identité de ses représentants légaux et l’activité déclarée. Il doit dater de moins de 3 mois au moment de la transmission.

Ce document est indispensable pour toute contractualisation avec une entreprise française. Pour les structures étrangères, un équivalent est généralement accepté (registre du commerce local, certificat d’enregistrement, etc.), à condition qu’il mentionne les informations essentielles.

Certaines entreprises ajoutent un contrôle formel sur la cohérence entre le nom de la société sur le Kbis et celui qui figure sur les devis ou le RIB afin d’éviter les erreurs de création de tiers dans l’ERP ou les tentatives de fraude documentaire.

🔗 Pour aller plus loin

Tout savoir sur la fraude au faux fournisseur : principe, conséquences et prévention

#2 Attestation URSSAF (ou équivalent)

L’attestation de vigilance URSSAF est obligatoire pour tout contrat supérieur à 5 000 € HT avec un prestataire établi en France. Elle permet de vérifier que le fournisseur est à jour de ses déclarations sociales et du paiement de ses cotisations. Elle doit être datée de moins de 6 mois au moment de la transmission.

Le document mentionne le nombre de salariés déclarés et le régime d’affiliation. Sa non-production peut engager la responsabilité du donneur d’ordre en cas de travail dissimulé. C’est pourquoi de nombreuses entreprises bloquent automatiquement toute contractualisation en l’absence d’attestation valide.

Pour les fournisseurs étrangers, une attestation émise par l’équivalent local (sécurité sociale, assurance sociale ou organisme de collecte) peut être acceptée, à condition encore une fois qu’elle couvre les mêmes obligations de déclaration.

🔗 Pour aller plus loin

Attestation de vigilance : origine, utilité et risques

#3 Attestation de régularité fiscale

Ce document certifie que le fournisseur est à jour de ses déclarations et paiements vis-à-vis de l’administration fiscale (TVA, impôt sur les sociétés ou impôt sur le revenu). En France, elle est délivrée par la Direction générale des finances publiques (DGFiP) et peut être obtenue via l’espace professionnel sur impots.gouv.fr.

#4 Attestation d’assurance responsabilité civile professionnelle

La responsabilité civile professionnelle (RC Pro) couvre les dommages matériels, immatériels ou corporels causés à un client ou à un tiers dans le cadre de l’activité du fournisseur. Ce document est généralement exigé pour tout prestataire de services, tout intervenant sur site ou toute activité qui expose le donneur d’ordre à un risque indirect (erreur, retard, sinistre, incident technique, etc.).

L’attestation doit préciser la nature de l’activité couverte, la période de validité du contrat d’assurance et les plafonds de garantie.

💡 À savoir

En l’absence de RC Pro, certaines entreprises refusent tout référencement ou ajoutent une clause de décharge de responsabilité.

#5 Relevé d’identité bancaire (RIB)

Le RIB permet d’enregistrer le fournisseur dans les outils comptables pour procéder au paiement. Il doit être au nom exact de l’entité juridique qui figure sur le Kbis, sans écart typographique. Sinon, l’enregistrement est bloqué ou déclenche une alerte.

Certaines entreprises exigent en complément un IBAN signé et tamponné par la banque pour éviter les tentatives de fraude (arnaque au faux RIB notamment).

#6 Liste Nominative des Travailleurs Étrangers (LNTE)

La LNTE est exigée dès lors que le montant cumulé d’un contrat ou d’une commande dépasse 5 000 € HT. Elle permet de vérifier que le fournisseur respecte la réglementation sur l’emploi de salariés étrangers hors Espace Économique Européen (EEE), conformément aux articles D.8222-5 et R.8222-1 du Code du travail.

Le fournisseur doit transmettre :

  • Soit la liste nominative, qui inclut pour chaque salarié concerné : nom, nationalité, date d’embauche, type et numéro du titre de séjour ;
  • Soit une attestation sur l’honneur de non-emploi de travailleurs étrangers hors EEE si aucun salarié n’est concerné.

Ce document a une durée de validité de 6 mois et engage la responsabilité du donneur d’ordre. Sa non-production, sa falsification ou une simple omission peuvent entraîner des sanctions pénales et financières en cas de contrôle.

🔗 Pour aller plus loin

Liste Nominative des Travailleurs Étrangers (LNTE) : enjeux et défis pour les donneurs d’ordre

Référencement fournisseur : pourquoi la collecte documentaire seule ne suffit pas…

La collecte des bons documents n’est qu’une étape. Elle est nécessaire mais insuffisante. Trop d’entreprises s’arrêtent à la « checklist » sans vérifier le contenu, sans mettre à jour les pièces, sans recouper les informations... Résultat : un faux sentiment de sécurité… et des risques bien réels.

Ce que le contrôle documentaire ne permet pas de voir

Collecter un document sans s’assurer qu’il est valide, à jour et cohérent avec la prestation fournie revient à se créer un faux alibi de conformité.

Une attestation URSSAF datant de 9 mois, un extrait Kbis expiré ou une RC Pro dont les garanties ont changé ne protègent en rien l’entreprise. Ce défaut de vérification se double d’un problème de suivi : une pièce peut être valide au moment de la contractualisation, puis devenir caduque sans qu’aucun mécanisme ne vienne alerter les équipes.

⚠️ On continue de collaborer avec un fournisseur non conforme sans le savoir.

Autre dérive possible : les incohérences ou falsifications inaperçues. Une RC Pro qui ne couvre pas l’activité exercée, un RIB dont le nom n’est pas aligné avec le Kbis, une attestation reprise d’une autre entité juridique : ces cas ne sont pas rares. Ils passent sous les radars dès lors que l’entreprise se contente d’un contrôle qui ne recoupe pas les informations et qui ne remonte pas aux sources officielles.

Vérifications incomplètes : des cas concrets qui engagent la responsabilité du donneur d’ordre

Les manquements dans l’analyse, la mise à jour ou la vérification croisée des pièces exposent directement le donneur d’ordre à des risques juridiques, financiers et réputationnels. Le tableau suivant détaille quelques exemples courants.

Situation constatée & Risque réel pour le donneur d’ordre

  • Situation : Une entreprise d’ingénierie a transmis une assurance RC Pro qui couvre uniquement les études, alors qu’elle assurait aussi la maîtrise d’œuvre sur site.
  • Risque : Lors d’un effondrement partiel d’un échafaudage, l’assurance a refusé de couvrir les dommages. Le client a été mis en cause pour manquement à la vérification.

----

  • Situation : Un prestataire informatique a fourni une attestation URSSAF de février, mais le contrat a démarré en octobre.
  • Risque : L’entreprise a été redressée pour travail dissimulé après contrôle : le prestataire avait cessé ses déclarations sociales entre-temps.

----

  • Situation : Sur un chantier de rénovation, le contrat était signé avec « X Bâtiment », mais les ouvriers portaient les tenues de « Y Travaux ».
  • Risque : Lors d’un accident sur un chantier, l’enquête a révélé que la prestation avait été exécutée par une autre entité que celle référencée.

----

  • Situation : Une PME a transmis un RIB au nom d’une société récemment dissoute, bien que le devis ait été signé par la société mère.
  • Risque : Un virement de 38 000 € a été effectué à tort sur le compte d’un tiers. La banque a refusé le rappel de fonds pour cause de divergence d’identité.

----

  • Situation : Un fournisseur de matériel a transmis un Kbis avec une activité de « commerce de détail », mais livrait des produits chimiques classés.
  • Risque : Après un incident de stockage, la société cliente a été sanctionnée pour avoir contracté avec un fournisseur non habilité à manipuler ces produits.

Référence fournisseur : l’intérêt de la due diligence

La due diligence fournisseur désigne l’ensemble des vérifications menées pour s’assurer que le tiers est fiable, conforme et apte à remplir ses obligations contractuelles et réglementaires. Elle ne se limite pas à l’analyse des documents transmis. Elle mobilise des sources indépendantes (registres publics, bases financières, listes de sanctions, audits, scoring) pour valider les déclarations et détecter les signaux faibles.

Dans un processus de référencement rigoureux, la due diligence permet de :

  • Croiser les informations déclaratives avec des données tierces vérifiées, par exemple issues d’un Tiers de Collecte Probatoire (TCP) comme Provigis ;
  • Objectiver la décision d’engagement en fonction de critères de risque, de solvabilité et de conformité ;
  • Documenter les contrôles pour répondre aux exigences réglementaires (Sapin II, LCB-FT, RGPD, devoir de vigilance) ou aux normes internes (qualité, RSE, sécurité).

Les 5 grands volets de la due diligence dans le cadre du référencement fournisseur

La due diligence est déployée selon le niveau de criticité du fournisseur, le montant du contrat et la nature des prestations.

On distingue généralement cinq volets de due diligence à intégrer dans une politique de référencement fournisseur robuste : financière, juridique, compliance, ESG/RSE et cybersécurité.

#1 La due diligence financière : évaluer la solidité économique avant tout engagement

Le référencement du fournisseur n’engage pas seulement l’entreprise sur la qualité ou la conformité d’une prestation. Il l’engage également sur sa continuité.

Toute défaillance économique pourrait provoquer l’interruption d’un chantier, l’échec d’un projet ou la perte de données critiques. La due diligence financière vise donc à évaluer la solvabilité du fournisseur en amont de toute contractualisation. Elle s’appuie sur plusieurs indicateurs objectifs :

  • Structure financière : niveau de fonds propres, ratio dettes financières / capitaux propres, niveau d’endettement à court terme (encours fournisseurs, dettes fiscales et sociales), indicateurs de solvabilité (ratio de liquidité générale ou de trésorerie si données disponibles) ;
  • Solidité opérationnelle : chiffre d’affaires sur 2 à 3 exercices, stabilité ou tendance (croissance, décroissance), dépendance à un client unique (analyse de concentration si mentionnée dans l’annexe), etc. ;
  • Résultat : résultat net et/ou d’exploitation, présence de pertes récurrentes, capacité à dégager un bénéfice sur plusieurs exercices ;
  • Signaux d’alerte : dépôt de comptes irrégulier ou inexistant, procédure collective passée ou en cours (redressement, liquidation, sauvegarde), incidents de paiement connus (si accès à une base type Ellisphere ou Altares)…
  • Indicateurs complémentaires (si disponibles) : notation financière (source privée), cotation Banque de France, situation URSSAF en cas de lien juridique (groupe, sous-traitance récurrente)…

💡 À savoir

Selon les cas, cette analyse peut être réalisée par l’examen direct des liasses comptables et fiscales, en interrogeant des bases spécialisées (Diane, Ellisphere, CreditSafe…), en calculant un score de défaillance ou encore en demandant explicitement au fournisseur de fournir les ratios clés sur les trois derniers exercices.

#2 La due diligence juridique : vérifier l’existence, la capacité et le périmètre contractuel

Une société peut présenter tous les documents exigés sans pour autant être juridiquement en mesure de contractualiser. Le rôle de la due diligence juridique est de vérifier que l’entité existe légalement, qu’elle est habilitée à signer le contrat et que les informations fournies correspondent bien à la structure qui exécutera la prestation.

On compte plusieurs points de contrôle à ce niveau :

  • Existence légale : extrait Kbis à jour (ou équivalent étranger), statut actif, absence de procédure de radiation ou de dissolution… ;
  • Représentation : identité du signataire, pouvoir de représentation (dirigeant inscrit, délégation régulière), contrôle du lien entre le signataire et la société ;
  • Périmètre juridique : cohérence entre l'entité contractante et l’entité qui réalise effectivement la prestation (pas de sous-traitance non déclarée ou de transfert à une autre entité du groupe sans formalisation) ;
  • Objet social : compatibilité de l’activité exercée avec l’objet social déclaré, pour éviter les prestations hors cadre.
  • Litiges connus : recherches sur les procédures en cours ou passées via les bases publiques (tribunaux, Bodacc, Infogreffe…).

💡 À vérifier dans les structures multi-entités

Un contrat peut être signé avec une société mère, mais exécuté par une filiale ou une entité sœur.

Dans ce cas, il faut :

·        S’assurer que l’entité réellement prestataire est identifiée dans le contrat (ou via une annexe signée) ;

·        Demander une attestation RC Pro qui couvre spécifiquement cette entité pour l’activité concernée ;

·        Vérifier la cohérence des documents fournis : l’attestation URSSAF, le Kbis et le RIB doivent correspondre à l’entité qui interviendra réellement.

#3 La due diligence compliance : détecter les risques réglementaires et réputationnels

Les entreprises doivent s’assurer que leurs fournisseurs ne présentent pas de risques légaux, éthiques ou réputationnels. La due diligence « compliance » cible ces risques en s’appuyant sur des bases tierces, des listes officielles et des procédures internes.

Elle est particulièrement utile pour les secteurs réglementés ou les donneurs d’ordre soumis à la loi Sapin II, le RGPD, la CSRD, la CS3D, le devoir de vigilance ou la réglementation LCB-FT. Le tableau suivant résume les points de contrôles usuels :

Point de contrôle et Objectif / Méthode

  • Vérification des bénéficiaires effectifs : Identifier les personnes physiques qui contrôlent la société via les registres (registre des bénéficiaires effectifs en France, équivalents étrangers).
  • Contrôle des sanctions et embargos: Croiser le nom de l’entité et des dirigeants avec les listes OFAC, UE, ONU, etc.
  • Recherche de condamnations ou poursuites : Consulter les bases judiciaires publiques (Bodacc, Infogreffe, décisions de justice) pour détecter les antécédents.
  • Contrôle anti-corruption (Sapin II)Vérifier l’existence d’un dispositif interne anticorruption (code de conduite, alerte, cartographie des risques) si le fournisseur est éligible.
  • Conformité LCB-FT : Évaluer les dispositifs mis en place pour prévenir le blanchiment d’argent et le financement du terrorisme (questionnaire, certification ISO 37001, etc.).
  • Respect des embargos sectoriels ou géographiques : Vérifier que le fournisseur ne traite pas avec des pays ou secteurs interdits ou à risque selon les réglementations en vigueur.
  • Présence dans des juridictions à fiscalité non coopérative : Identifier si l’entreprise est enregistrée ou opère dans un pays listé par l’UE (liste noire/grise) ou l’OCDE comme non coopératif à des fins fiscales.
  • Analyse de réputation : Rechercher des articles, plaintes, controverses publiques susceptibles d’impacter la marque (veille presse, bases de données spécialisées, réseaux sociaux).

#4 La due diligence RSE : valider les engagements sociaux, environnementaux et éthiques du fournisseur

Les donneurs d’ordre sont de plus en plus attendus sur la traçabilité et la conformité extra-financière de leur chaîne d’approvisionnement. La due diligence RSE (Responsabilité Sociétale des Entreprises) vise à identifier les risques liés à l’environnement, aux droits humains, à la santé/sécurité et aux pratiques éthiques dans l’ensemble du cycle fournisseur.

Elle peut s’appuyer sur des critères propres à l’entreprise ou sur des référentiels externes (ISO 26000, Ecovadis, Global Compact, etc.). Voici les principaux points de contrôle de cette due diligence :

Point de contrôle & Objectif / Méthode

  • Lieu d’hébergement des données confiées au fournisseur : Identifier le lieu exact d’hébergement (pays, région) et le cadre juridique applicable (hors/UE, Cloud Act, clauses contractuelles types, etc.).
  • Architecture des accès : Vérifier la segmentation réseau, la granularité des droits utilisateurs, la traçabilité des connexions et la présence d’un MFA (authentification forte).
  • Mises à jour et protection active : Contrôler les dispositifs de protection contre les malwares, la fréquence des patchs de sécurité et l’usage d’EDR/XDR ou d’outils de monitoring.
  • PCA / PRA : Exiger la formalisation d’un plan de continuité et/ou de reprise d’activité (objectifs de RTO/RPO, tests réalisés, périmètre couvert).
  • Conformité RGPD & violations de données : Vérifier l’existence de procédures de gestion des violations, la tenue d’un registre de traitement et la désignation d’un DPO (interne ou externe).
  • Certification ou référentiel sécurité : Demander une preuve de conformité à ISO 27001, SecNumCloud, HDS ou au minimum une grille interne alignée sur un standard reconnu (NIST, ANSSI, OWASP…).

💡 À creuser avant toute contractualisation

Les évaluations RSE autodéclaratives sont rarement suffisantes pour juger de la réalité des pratiques. Avant d’engager un fournisseur sur des prestations sensibles, il est recommandé d’analyser les rapports RSE sur plusieurs années pour détecter les écarts ou l’absence d’évolution, demander les certificats (ISO, labels) avec date, périmètre et organisme certificateur et identifier la présence de contrôles terrain ou d’audits tiers (notamment pour les fournisseurs hors UE). Il peut être utile d’exiger un plan de progrès documenté assorti d’un calendrier de mise en conformité, le cas échéant.

#5 La due diligence cybersécurité : sécuriser les échanges et prévenir les failles tiers

La digitalisation des processus achats, les interconnexions systèmes (portails fournisseurs, extranet, API) et la circulation de données sensibles (factures, données personnelles, contrats…) ont exacerbé le risque cyber depuis le milieu des années 2000.

Aujourd’hui, et comme nous le détaillons ici, l’IA est en train de bouleverser le paysage de la cybersécurité, puisqu’elle permet aux hackers de rendre plus crédibles les attaques de phishing et, plus largement, les cyberattaques de type « ingénierie sociale ». Citons également la professionnalisation des cybercriminels, qui s’organisent en écosystèmes structurés (RaaS, infostealers…).

Un seul (petit) prestataire mal sécurisé peut devenir une faille majeure vers ses clients grands comptes, dans le cadre d’une attaque par rebond. La due diligence cybersécurité est donc incontournable pour évaluer la robustesse des pratiques numériques du fournisseur, en particulier s’il accède à vos systèmes internes, héberge des données ou intervient sur des environnements critiques.

Les points de contrôle varient largement selon le niveau d’exposition. Le tableau suivant résume les minimas.

Point de contrôleObjectif / Méthode

  • Politique RSE déclarée : Identifier l’existence d’une démarche formalisée : charte RSE, engagements publics, publication de rapports RSE…
  • Respect des droits fondamentaux : Vérifier l’absence de travail forcé, travail des enfants ou discrimination via un questionnaire ou une clause contractuelle.
  • Santé et sécurité au travail : Évaluer les politiques de prévention des risques professionnels, les certifications (type ISO 45001) et les procédures internes
  • Pratiques environnementales : Contrôler les engagements liés à la gestion des déchets, à la consommation d’énergie, à l’empreinte carbone, etc.
  • Traçabilité des matières premières : Identifier les risques liés aux approvisionnements sensibles (minerais de conflit, bois, textiles, etc.).
  • Politique d’achats responsablesÉvaluer si le fournisseur applique lui-même des exigences RSE à ses propres sous-traitants.
  • Évaluations externesRechercher une notation extra-financière indépendante (Ecovadis, CDP, etc.) ou une labellisation (B Corp, ISO 14001…).
  • Clauses contractuelles RSEVérifier si le fournisseur accepte des clauses de conformité environnementale, sociale ou éthique dans les contrats.

Un questionnaire cybersécurité intégré au processus de référencement

Provigis vous permet d’adresser un questionnaire cybersécurité et RGPD à vos tiers, avec un niveau d’exigence ajusté selon le risque et la criticité des prestations :

·        des questions personnalisées en fonction du périmètre d’intervention (hébergement, accès SI, traitement de données sensibles…) ;

·        un cyberscore d’auto-évaluation, utile pour repérer les fournisseurs sous-équipés ou à risque ;

·        la possibilité d’exiger des pièces justificatives (certificats, politiques de sécurité, etc.).

Ces éléments viennent compléter les documents transmis (attestation d’hébergement, politique de sécurité…) pour fonder une décision d’engagement éclairée.

6 cas d’usage concrets de la due diligence fournisseur

#1 Appel d’offres avec exigences renforcées

Certains marchés, notamment dans les secteurs régulés (énergie, défense, télécoms, infrastructures critiques, transport public), ou dans les appels d’offres émis par des grands donneurs d’ordre soumis à la loi Sapin II, au devoir de vigilance et/ou à la CSRD, imposent des conditions de conformité particulièrement élevées dès la phase de sélection.

C’est aussi le cas dans des contextes à forte exposition réputationnelle : partenariats institutionnels, projets liés à de grands événements sportifs (JO, Coupe du Monde de Football…) ou à des collectivités territoriales, chantiers industriels subventionnés, etc. Le risque n’est pas seulement juridique, il est aussi médiatique : un manquement du fournisseur peut entraîner une mise en cause publique du donneur d’ordre.

Dans ce cadre, la due diligence fournisseur est un outil de préqualification : elle permet de filtrer en amont les candidatures qui n’atteignent pas le niveau attendu en matière de solidité financière, d’intégrité (vérification des sanctions, antécédents judiciaires, conflits d’intérêts), de conformité LCB-FT, de cybersécurité ou d’engagements RSE. Elle permettra également de justifier le rejet d’une offre sur la base de manquements en matière de conformité.

✅ La bonne pratique : formalisez une grille de conformité opposable

Pour éviter toute contestation dans le cadre d’un appel d’offres, il faut établir une grille de conformité préalablement validée en interne avec des critères objectifs, notés et applicables à tous les candidats.

Cette grille peut prévoir, par exemple :

  • La présence d’un dispositif anticorruption (code, alerte, cartographie des risques) pour les marchés > 100 k€ ;
  • L’absence de procédures collectives sur les 3 dernières années ;
  • Une cotation financière supérieure à un seuil donné (par exemple 5/10 sur base CreditSafe ou équivalent) ;
  • une attestation d’assurance cybersécurité ou un questionnaire dûment rempli.

Le rejet d’un candidat sur la base de cette grille doit pouvoir être justifié a posteriori en cas de recours, notamment en appel d’offres public. Sans une grille de due diligence documentée et des critères formalisés dans le DCE, tout rejet peut être jugé arbitraire et entraîner un référé précontractuel.

⚠️ Le point de vigilance

Attention aux candidats qui déposent leur dossier à la dernière minute : ils comptent probablement sur l'urgence pour éviter les vérifications approfondies, sachant qu'un contrôle de due diligence rigoureux nécessite 5 à 10 jours ouvrés selon la complexité du dossier.

#2 Référencement d’un fournisseur sur un périmètre sensible

Quand un fournisseur intervient sur un périmètre sensible, comme par exemple la maintenance d’infrastructures critiques, l’hébergement de données clients, l’intervention sur des sites Seveso, l’accès au SI de l’entreprise ou encore le traitement de données RH ou médicales, son référencement doit être conditionné par les résultats d’une due diligence rigoureuse.

En France, plusieurs incidents récents illustrent l’importance capitale de la due diligence pour ce type de fournisseurs :

  • En février 2024, les opérateurs français spécialisés dans la gestion du tiers payant, Viamedis et Almerys, ont été victimes d'attaques informatiques entraînant la fuite de données personnelles de plus de 33 millions de personnes, soit près de la moitié de la population française. Ces attaques ont logiquement impacté les clients de ces deux opérateurs (des mutuelles et des complémentaires santé).
  • En avril 2022, la CNIL a sanctionné le sous-traitant Dedalus à hauteur de 1,5 million d'euros suite à une divulgation massive de données de santé de plus de 500 000 patients. La Commission a estimé que le leader européen des systèmes de gestion de laboratoire avait contribué, par négligence, à cette violation de données.

✅ La bonne pratique : imposez un circuit de validation renforcé pour les fournisseurs sensibles

Pour ce type de fournisseurs, la due diligence doit prévoir une vérification croisée de l’objet social, des agréments obligatoires et des compétences individuelles (habilitation électrique, autorisation d’accès, certifications requises).

Elle doit également prévoir un examen des clauses contractuelles clés (engagements de continuité, responsabilité, gestion des accès, sous-traitance) et la collecte d’attestations qui couvrent précisément les prestations et les risques associés, avec identification de l’assureur.

Ce type de fournisseur requiert un circuit de validation distinct, souvent piloté en lien avec la DSI, la direction technique et/ou la sécurité.

⚠️ Le point de vigilance

Certains prestataires masquent volontairement leur recours à la sous-traitance ou déclarent des périmètres d’intervention partiels pour éviter les contrôles les plus stricts. C’est pourquoi il faut analyser les clauses de sous-traitance et prévoir une obligation de déclaration préalable de tout sous-traitant, avec droit d’agrément. L’absence de cette clause expose l’entreprise à une dilution des responsabilités et à des failles non détectées dans la chaîne fournisseur. Voici quelques indices qui font suspecter une sous-traitance non déclarée :

·        Écart entre les effectifs déclarés et la charge de travail réelle : un prestataire qui prétend gérer seul un périmètre large avec peu de personnel est suspect ;

·        Badges ou adresses mails de domaines tiers détectés sur site ou dans les échanges ;

·        Facturation incohérente : présence d'entités non référencées dans les circuits de paiement ;

·        Difficulté à fournir des justificatifs nominatifs (habilitation, formations, assurances) pour les personnes en intervention.

En cas de doute, une clause de contrôle surprise ou d’audit inopiné peut être activée, si elle est prévue contractuellement.

#3 Fournisseur basé en zone géographique sensible

Lorsqu’un fournisseur est établi dans un pays classé à risque par les autorités européennes, américaines ou internationales (liste OFAC, liste consolidée de l’UE, liste noire du GAFI, classements Transparency International, rapports nationaux de la DG Trésor, etc.), son référencement nécessite un niveau de vérification renforcé.

Quelques exemples :

  • Les pays visés par des sanctions internationales (Russie, Iran, Corée du Nord…) ;
  • Les juridictions identifiées par le GAFI comme présentant des déficiences majeures en matière de lutte contre le blanchiment et le financement du terrorisme (Myanmar, Syrie, Yémen, Haïti…) ;
  • Les États à fort indice de corruption selon Transparency International comme le Venezuela, le Soudan du Sud, la Guinée équatoriale… ;
  • Les zones instables soumises à des conflits, à des embargos douaniers ou à une faillite de l’appareil étatique (région du Tigré en Éthiopie, République centrafricaine, Somalie, etc.).

Dans ces cas, le risque est multiforme. Il peut par exemple se matérialiser par des sanctions économiques ou pénales du donneur d’ordre si le fournisseur est listé ou si son bénéficiaire effectif est sous embargo.

L’entreprise peut également subir un blocage logistique ou douanier. Aujourd’hui, certaines matières premières ou composants électroniques originaires de Chine sont soumis à un contrôle renforcé par les douanes américaines et européennes, voire à des interdictions (loi américaine UFLPA sur le travail forcé au Xinjiang).

Citons également le risque de perte de contrôle juridique : en cas de litige, il est difficile d’obtenir une exécution judiciaire ou contractuelle efficace dans des États à système judiciaire opaque ou instable.

La bonne pratique : identifiez et tracez les bénéficiaires effectifs étrangers

Avant tout référencement, exigez une déclaration complète des bénéficiaires effectifs (UBO) et recoupez les données avec des listes de sanctions (OFAC, UE, ONU). Si le fournisseur est basé dans une juridiction sensible, analysez les flux financiers et les liens capitalistiques, même indirects, via une plateforme KYC dotée d’un module de screening international. Ne signez aucun contrat sans clause de résiliation automatique en cas de sanction ou de changement d’actionnariat non déclaré.

⚠️ Le point de vigilance

Certains fournisseurs implantés dans des pays à risque utilisent des sociétés écrans ou des relais commerciaux domiciliés dans des juridictions « plus neutres » pour masquer leur véritable origine ou contourner les contrôles. Sans une vérification rigoureuse des chaînes de propriété et des flux contractuels, notamment les mandats de représentation, les comptes bancaires et les clauses de livraison, l’entreprise peut se retrouver en infraction malgré elle en entretenant indirectement une relation d’affaires avec un acteur sous sanction ou exposé à des pratiques illicites.

#4 Projet de fusion – acquisition

Dans le cadre des opérations de croissance externe, la due diligence fournisseur est un volet incontournable de l’audit global. Dès la phase de pré-acquisition, l’acheteur doit identifier les risques de non-conformité associés aux tiers de la cible : fournisseurs, prestataires, distributeurs, partenaires techniques ou commerciaux, etc.

En France, la jurisprudence reconnaît la responsabilité pénale de l’entité absorbante en cas d’infractions commises par la cible avant l’opération… et cela concerne notamment les manquements à la loi Sapin II, les pratiques anticoncurrentielles, les fraudes fiscales et les atteintes aux droits humains commises via des fournisseurs sous contrat.

⚖️ Le point légal

L'article 121-1 du Code pénal établit que « nul n'est responsable pénalement que de son propre fait », ce qui exclut à priori la transmission de la responsabilité pénale lors d'une fusion. Cependant, la Cour de cassation a opéré un revirement dans un arrêt du 25 novembre 2020 (n° 18-86.955), en jugeant que la société absorbante peut être condamnée pénalement pour des infractions commises par la société absorbée avant l'opération. Ce principe a récemment été confirmé et étendu par un arrêt du 22 mai 2024 (n° 23 – 83.180)

En plus du risque juridique évident, la cartographie des tiers permet aussi d’anticiper les coûts cachés : fournisseurs non assurés, dépendances critiques sans plan de continuité, contrats en contradiction avec les pratiques de l’acquéreur, exposition à des zones ou secteurs sous sanction.

💡 Le chiffre à connaître

Selon KPMG, 80 % des acteurs du M&A prévoient désormais une évaluation ESG des tiers dans leurs due diligences, dans la mesure où le passif en matière de compliance peut dégrader la valorisation et compromettre l’intégration post-acquisition (source).

#5 Fournisseur référencé dans le cadre d’un plan RSE ou d’un label exigeant

Dans les entreprises engagées dans une démarche formalisée d’achats responsables, la due diligence fournisseur s’inscrit (aussi) dans une logique de traçabilité et de maîtrise des impacts sociaux et environnementaux à chaque maillon de la chaîne.

C’est notamment le cas dans les groupes engagés dans une démarche ISO 20400, notés par EcoVadis ou intégrés à une stratégie CSRD.

🔗 Pour aller plus loin

Comment créer votre charte d’achats responsables ?

Dans ce contexte, les pratiques du fournisseur sont passées au crible : usage de matières premières à risque, recours à des sous-traitants non déclarés à l’étranger, absence de mécanismes internes de remontée des alertes, contrats de travail non conformes aux standards de l’OIT, etc.

Ces audits débouchent souvent sur des plans d’actions correctives et des clauses de suspension ou de déréférencement en cas de non-conformité persistante.

Le moindre écart peut remettre en cause la conformité du donneur d’ordre à son propre référentiel et impacter ses engagements extra-financiers, en particulier lorsque la notation RSE est communiquée aux clients, aux partenaires et/ou aux investisseurs.

#6 Réseau multi-entités et délégations d’achats

Dans les grands groupes multisites ou les réseaux décentralisés (enseignes, franchises et filiales notamment), les achats sont souvent pilotés en partie par les entités locales.

Résultat : le référencement d’un même fournisseur peut se faire sans coordination entre les branches avec des contrats différents, des conditions non homogènes, voire des risques non mutualisés. En cas de défaut du fournisseur ou de manquement éthique, c’est la réputation de l’ensemble du groupe qui peut être mise en cause.

Ce fonctionnement génère des angles morts, en particulier quand l’entité locale s’appuie sur des fournisseurs historiquement connus ou jugés de confiance sans vérification actualisée.

Dans ce type de configuration, la due diligence fournisseur permet de centraliser les données, d’identifier les doublons ou incohérences entre entités et de déclencher des alertes dès qu’un indicateur de risque est remonté dans l’une des branches.

💡 Le cas ENGIE AMEA

En 2020, la branche régionale AMEA du groupe ENGIE a mis en place un dispositif standardisé d’audit in situ pour les fournisseurs intervenant dans les pays du Golfe. Au total, 48 audits ont été réalisés sur les bases de vie de travailleurs étrangers aux Émirats arabes unis et à Bahreïn. L’évaluation portait sur quatre axes : planning de travail, santé-sécurité, RSE et qualité. Les scores obtenus ont été partagés avec l’ensemble des entités de la région afin d’aligner les pratiques et de définir des actions d’amélioration avec chaque fournisseur. Ce type de démarche permet de réduire les angles morts dans les réseaux multi-entités exposés à des risques éthiques différenciés selon les pays.

Provigis vous aide à fiabiliser, automatiser et sécuriser votre référencement fournisseur

Provigis est une solution SaaS qui digitalise de bout en bout la collecte, le contrôle et le suivi des documents fournisseurs. Vous définissez vos propres règles de conformité, et la plateforme les applique automatiquement : relances, contrôles sur API officielles (URSSAF, INSEE, MSA, Infogreffe…), scoring, alertes et blocages en cas de non-conformité.

Chaque fournisseur dispose d’un dossier en ligne : justificatifs actualisés, attestations vérifiées, cyberscore, questionnaire RGPD ou RSE prérempli, etc. Les données sont centralisées dans un référentiel unique, accessible aux donneurs d’ordre, avec une traçabilité complète et un archivage probatoire.

Provigis s’intègre à vos outils métiers (ERP, SRM, GED) via API et vous permet d’orchestrer vos workflows d’homologation selon votre propre cartographie des risques. Vous pouvez aussi déclencher des campagnes de complétude, suivre vos indicateurs en temps réel et exporter vos audits.

En automatisant les tâches répétitives et en fiabilisant chaque étape, Provigis réduit les angles morts, sécurise vos engagements contractuels et vous aide à répondre aux exigences réglementaires les plus strictes (Sapin II, LCB-FT, CSRD, RGPD, devoir de vigilance). Réservez votre démo.

Temps de lecture
28 min
Nous suivre
L’actu de Provigis

Abonnez-vous à notre newsletter pour recevoir nos dernières actualités.