La valeur unique de cet article : nous vous donnons accès à un outil qui vous permet d’évaluer les risques liés à un tiers en un clic.
– 16 contrôles croisés (GDA, PPE, médias négatifs, informations et contrôles SIREN, informations et contrôles BODACC, fraude…)
– basé sur des sources officielles,
– statut de vigilance et possibilité de générer une piste d’audit,
– conforme RGPD/DORA : aucun data broker.
Vous avez une cartographie des risques.
Vous avez une procédure d’évaluation des tiers.
Vous disposez probablement d’un questionnaire d’intégrité et d’un outil de screening.
Si l’AFA vous contrôle demain, la question ne sera pas :
« Avez-vous un document formalisé ? »
Elle sera :
« Comment décidez-vous qu’un tiers est acceptable et pouvez-vous le démontrer ? »
C’est à ce stade que l’analyse devient décisive.
Dans la pratique, l’évaluation des tiers constitue souvent le point de tension entre le juridique, la conformité et les opérationnels :
- les achats doivent contractualiser rapidement ;
- le commerce doit sécuriser la signature ;
- les équipes conformité disposent de ressources limitées ;
- les données sont incomplètes ;
- le niveau de risque est insuffisamment hiérarchisé.
Le résultat est souvent le même : des procédures homogènes pour des tiers hétérogènes, des diligences standardisées là où la loi impose une approche proportionnée et un dispositif formel dont la robustesse opérationnelle peut être questionnée.
L’article 17 de la loi Sapin 2 n’impose pas un questionnaire, il impose une évaluation fondée sur les risques.
Cela signifie trois exigences concrètes :
- Identifier de manière exhaustive les tiers réellement concernés.
- Justifier le niveau de diligence appliqué à chacun d’eux.
- Assurer un suivi dans le temps, et pas uniquement à l’entrée en relation.
L’enquête publiée par l’AFA en 2024 confirme que les difficultés persistent, notamment sur le recensement des tiers, la collecte des informations réellement sensibles, la proportionnalité des diligences et la réévaluation dans la durée.
La question n’est donc plus de savoir s’il faut une procédure d’évaluation des tiers Sapin 2 mais de savoir si l’évaluation des tiers est réellement maîtrisée et démontrable.
Parlons méthode, lacunes courantes observées et mise en œuvre concrète dans votre quotidien.
L’évaluation des tiers : cadre juridique et exigences opérationnelles
L’obligation d’évaluer les tiers résulte de l’article 17 de la loi Sapin 2.
Cet article impose aux sociétés employant au moins 500 salariés et réalisant un chiffre d’affaires supérieur à 100 millions d’euros, ainsi qu’aux sociétés appartenant à un groupe répondant à ces critères, de mettre en place un dispositif anticorruption comprenant huit mesures obligatoires. L’une d’elles consiste en une procédure d’évaluation des tiers.
Sont visés les clients, fournisseurs de premier rang et intermédiaires.
L’évaluation doit être réalisée au regard de la cartographie des risques. Elle ne constitue pas une vérification isolée, mais une déclinaison opérationnelle des risques identifiés par l’entreprise. L’alignement entre cartographie et procédure d’évaluation fait partie des points examinés lors des contrôles.
Les recommandations de l’Agence française anticorruption publiées en janvier 2021 précisent les modalités attendues.
Elles rappellent que :
- l’évaluation repose sur une approche fondée sur les risques ;
- le niveau de diligence est proportionné au risque identifié ;
- la procédure doit être effectivement appliquée et intégrée aux processus métiers.
En juillet 2025, l’AFA a mis en consultation publique un projet de fiches pratiques consacré à l’évaluation des tiers. Ces documents détaillent les étapes du dispositif : recensement, catégorisation, évaluation à l’entrée en relation, réévaluation des tiers existants, formalisation et traçabilité des décisions.
Ces fiches n’introduisent pas d’obligation supplémentaire, elles explicitent les attentes opérationnelles issues des contrôles et de l’enquête menée par l’Agence auprès des entreprises.
Les lacunes récurrentes mises en évidence par l’enquête AFA 2024
En 2024, l’AFA a publié les résultats d’une enquête dédiée à l’évaluation des tiers. Les réponses sont déclaratives. Elles n’en sont pas moins révélatrices.
Un recensement incomplet des tiers
31,3 % des répondants déclarent ne pas recenser l’ensemble de leurs tiers.
Les difficultés évoquées sont opérationnelles : identification des tiers occasionnels, multiplicité des systèmes d’information, absence de centralisation des données, ressources limitées.
Un tiers non recensé ne peut pas être évalué : le recensement est le point d’entrée de la maîtrise du risque.
Une collecte d’informations peu discriminante
Les entreprises déclarent collecter largement les données accessibles via des bases externes : identité juridique, statut, présence sur des listes de sanctions.
Les informations susceptibles de faire émerger un risque spécifique sont moins systématiquement intégrées : modalités de rémunération, dépendance économique, rôle d’intermédiaire, contexte d’intervention, recommandation par un agent public.
Dans de nombreuses organisations, le même socle d’informations est appliqué à tous les tiers, indépendamment de leur niveau d’exposition.
Cette homogénéité rassure : même questionnaire, même check-list, même circuit.
Elle neutralise pourtant la logique de priorisation : quand tout le monde passe par le même tunnel, les cas réellement sensibles se retrouvent traités “comme les autres” ou bloquent tout le flux.
Des difficultés d’accès et de qualité des données
69,2 % des répondants déclarent rencontrer des difficultés pour collecter les informations nécessaires à l’évaluation.
Les obstacles concernent notamment : les tiers étrangers, les structures de petite taille, les données non publiques, la coopération du tiers.
À ces difficultés s’ajoutent des problématiques de fiabilité, de mise à jour et d’exploitation des informations collectées.
Concrètement, cela signifie que la décision se prend souvent avec une information imparfaite : pièces manquantes, réponses partielles, sources hétérogènes, signaux difficiles à qualifier.
À ce stade, la question n’est plus “avons-nous un dossier complet ?” mais “qui arbitre, sur quelle base, avec quelles mesures compensatoires, et comment le documente-t-on ?”.
Une réévaluation encore largement pilotée par le calendrier contractuel
34,5 % des entreprises déclarent réévaluer leurs tiers principalement à l’occasion du renouvellement du contrat.
Le niveau de risque constitue le critère principal pour 29,3 % des répondants.
La fréquence de réévaluation devrait pourtant être corrélée au niveau de risque, et non à l’échéance contractuelle.
Une traçabilité perfectible des décisions
Les répondants signalent des difficultés liées :
- à la formalisation des analyses ;
- à la coordination entre services ;
- à l’objectivation des décisions ;
- à l’archivage des éléments justificatifs.
La capacité à retracer la logique suivie est systématiquement examinée en contrôle.
Le point de bascule, ce n’est pas “avoir une procédure”, c’est d’être capable, pour chaque tiers sensible, d’expliquer une chaîne simple :
- Pourquoi est-il dans le périmètre ?
- Comment est-il classé ?
- Quelles diligences en découlent ?
- et sur quoi repose la décision.
C’est exactement ce que demande une approche fondée sur les risques.
Méthodologie : comment structurer une évaluation des tiers objectivement fondée sur les risques ?
L’approche fondée sur les risques suppose des critères explicites, une méthode formalisée et une capacité à justifier les décisions prises.
Avant de prendre connaissance de la méthodologie, nous pouvons également vous faire gagner du temps sur ce sujet en accédant à notre outil qui permet d’évaluer en un clic les risques liés à un tiers.
Voici en exemple, un extrait d’un résultat ci-dessous :
Vous pouvez lancez vos premières analyse en cliquant sur ce lien : j’accède à l’outil d’évaluation des risques des tiers →
1. Définir un périmètre cohérent avec la cartographie des risques
Le périmètre des tiers concernés doit refléter l’exposition réelle de l’entreprise.
Dans certaines organisations, seuls les fournisseurs référencés par les achats sont intégrés au dispositif. Les consultants ponctuels, apporteurs d’affaires ou partenaires locaux échappent au radar.
Un agent commercial intervenant dans une zone à risque ne peut être appréhendé de la même manière qu’un prestataire informatique local sans interaction externe.
Le recensement suppose un travail transverse : achats, commerce, finance, conformité. Sans alignement des bases et des définitions, toute hiérarchisation devient fragile.
Illustration :
Les consultants ponctuels, les apporteurs d’affaires ou les partenaires introduits par la direction générale échappent souvent aux circuits formalisés. C’est précisément dans ces angles morts que l’exposition peut se concentrer.
Un exemple possible de matrice de catégorisation des risques tiers
Croisement type de tiers × zone géographique × secteur d’activité → niveau de diligence à appliquer
| Type de tiers | 🟢 Zone à faible risque TI CPI ≥ 60 |
🟡 Zone à risque modéré TI CPI 40 – 59 |
🔴 Zone à risque élevé TI CPI < 40 |
|||
|---|---|---|---|---|---|---|
| Secteur standard | Secteur sensible* | Secteur standard | Secteur sensible* | Secteur standard | Secteur sensible* | |
| Fournisseurs & Prestataires | ||||||
| Fournisseur courant | Faible | Faible | Faible | Modéré | Modéré | Élevé |
| Sous-traitant | Faible | Modéré | Modéré | Modéré | Élevé | Élevé |
| Prestataire IT / conseil | Faible | Faible | Modéré | Modéré | Modéré | Élevé |
| Intermédiaires & Agents | ||||||
| Agent commercial | Modéré | Modéré | Modéré | Élevé | Élevé | Élevé |
| Apporteur d’affaires | Modéré | Élevé | Élevé | Élevé | Élevé | Élevé |
| Lobbyiste / consultant politique | Modéré | Élevé | Élevé | Élevé | Élevé | Élevé |
| Partenaires & Clients | ||||||
| Client (si pertinent) | Faible | Faible | Faible | Modéré | Modéré | Modéré |
| Partenaire co-entreprise (JV) | Modéré | Modéré | Élevé | Élevé | Élevé | Élevé |
| Distributeur / franchisé | Faible | Modéré | Modéré | Élevé | Élevé | Élevé |
* Secteurs sensibles : BTP, extractif, défense, pharma, immobilier, énergie — selon cartographie des risques AFA
TI CPI = Indice de Perception de la Corruption de Transparency International (score /100 — plus le score est bas, plus le risque est élevé)
💡 Comment évaluer le risque intrinsèque d’un type de tiers ?
Contrairement au risque pays (TI CPI) ou au secteur (liste AFA), il n’existe pas d’indice universel pour les catégories de tiers. Le risque intrinsèque se détermine en croisant 5 critères :
Agit-il au nom de votre entreprise auprès de tiers ?
OUI → risque élevé (agent, apporteur d’affaires)
NON → risque réduit (fournisseur, prestataire)
Interagit-il avec des agents publics ?
OUI → risque élevé (lobbyiste, consultant politique)
NON → risque réduit (prestataire IT, fournisseur)
Sa rémunération est-elle liée au résultat ?
OUI → risque élevé (commission au succès)
NON → risque réduit (forfait, tarif horaire)
La prestation est-elle difficile à vérifier ?
OUI → risque élevé (conseil stratégique, influence)
NON → risque réduit (livraison de matériel, SaaS)
Dispose-t-il d’une délégation de pouvoir ou de signature ?
OUI → risque élevé (JV, mandataire)
NON → risque réduit (client, fournisseur classique)
Risque faible
Risque modéré
Risque élevé
Nous avons 2 outils complémentaires pour vous aider à définir le niveau de risque pour le pays ou le secteur d’activité :
- Accéder à la map des pays à risques.
- Accéder à l’outil de classification des risques par secteur d’activité.
2. Formaliser des critères de catégorisation
La catégorisation ne peut reposer sur l’intuition.
Un tiers intervenant dans un pays classé à risque élevé, rémunéré au succès et recommandé par un partenaire local n’appelle pas le même niveau d’analyse qu’un fournisseur logistique historique opérant en France.
Les critères doivent être définis en amont, formalisés et appliqués de manière constante :
- géographie d’intervention ;
- interaction avec des agents publics ;
- nature de la mission ;
- structure de rémunération ;
- dépendance économique.
Un classement “modéré” dépourvu de justification documentée n’est pas neutre, il constitue déjà une décision.
3. Adapter les diligences au niveau de risque
La proportionnalité s’apprécie concrètement.
Pour un tiers à faible exposition, une vérification documentaire et un screening peuvent être suffisants.
Pour un intermédiaire chargé d’obtenir des autorisations administratives à l’étranger, une analyse approfondie s’impose : identification des bénéficiaires effectifs, compréhension du réseau local, examen des clauses contractuelles, vérification des références.
Appliquer un questionnaire standardisé à ces deux profils revient à neutraliser la logique fondée sur les risques.
Les situations les plus sensibles ne sont pas seulement celles où le risque est manifeste (et donc faciles à qualifier).
Elles sont celles où l’analyse fait apparaître un risque significatif, mais où la relation reste portée par un enjeu business : lancement de marché, dépendance fournisseur, agent local incontournable, pression de signature.
C’est dans ces zones grises que l’approche fondée sur les risques cesse d’être un principe et devient un arbitrage documenté.
Exemple arbre de décision : quel niveau de diligence appliquer ?
Partez du type de tiers, puis ajustez selon la zone géographique et le secteur d’activité.
apporteur d’affaires, lobbyiste
OU secteur sensible ?
obligatoire
partenaire JV, franchisé
= vérification approfondie
délégation de pouvoir (JV) ?
prestataire, client
ET secteur sensible ?
= risque maximum
(zone modérée + secteur sensible) ?
4. Motiver et tracer la décision
L’évaluation aboutit à une décision opérationnelle.
Accepter un tiers malgré un signal d’alerte suppose d’en documenter l’analyse et les mesures compensatoires : clauses contractuelles renforcées, engagements d’intégrité spécifiques, validations hiérarchiques supplémentaires, mécanismes de contrôle adaptés.
Refuser un tiers doit également être motivé.
Les décisions les plus exposées ne sont pas toujours celles qui paraissent risquées à première vue, elles sont celles où l’analyse révèle un risque significatif, mais où l’enjeu commercial ou stratégique conduit à rechercher un équilibre plutôt qu’un refus.
La robustesse du dispositif tient alors à la qualité du raisonnement formalisé, pas à l’absence de risque.
En contrôle, la question portera sur la cohérence du raisonnement : quels éléments ont été examinés, quels risques identifiés, quelles mesures décidées.
Illustration :
Une entreprise industrielle recourt à un agent commercial dans un pays classé à risque élevé.
L’agent est recommandé par un partenaire historique.
La rémunération est proportionnelle aux contrats obtenus.
Le scoring interne classe le tiers “élevé”.
La décision ne consiste pas seulement à valider ou refuser la relation. Elle suppose d’examiner les diligences complémentaires à mettre en œuvre, les clauses contractuelles à renforcer, le niveau de validation requis et les modalités de suivi.
Ce n’est pas le classement en lui-même qui sera examiné en cas de contrôle, mais la manière dont cette décision aura été structurée et documentée.
5. Organiser une réévaluation cohérente avec le niveau de risque
La réévaluation ne peut dépendre exclusivement de l’échéance contractuelle.
Le niveau de risque initial doit déterminer la fréquence du suivi.
Un tiers classé à risque élevé appelle un contrôle renforcé et plus fréquent, indépendamment du calendrier contractuel.
À l’inverse, un fournisseur stable à faible exposition peut faire l’objet d’un suivi plus espacé, sous réserve qu’aucun événement significatif n’intervienne.
La fréquence doit être corrélée au niveau de risque, définie en amont et appliquée avec constance.
Outiller et organiser le dispositif : de la méthode à l’exécution
Définir des critères de risque est nécessaire. Tenir ces critères dans la durée est le vrai test : les appliquer de façon constante, sur des centaines ou des milliers de tiers, dans des délais contraints.
Entre la théorie et la pratique s’intercalent les délais, les arbitrages et les contraintes opérationnelles.
L’évaluation des tiers s’inscrit dans un environnement opérationnel :
- pression commerciale ;
- délais contractuels ;
- multiplicité des systèmes d’information ;
- hétérogénéité des profils analysés.
La méthode doit rester applicable malgré ces contraintes.
1. Définir une gouvernance lisible
Un dispositif efficace repose sur un circuit décisionnel explicite :
- Analyse initiale
- Validation du niveau de risque
- Arbitrage en cas de signal d’alerte
- Décision finale
Chaque étape doit être attribuée.
L’absence de clarification produit deux effets connus :
- soit la décision est diluée ;
- soit elle repose sur une validation informelle.
Un tiers à risque élevé engage la responsabilité de l’organisation.
Le niveau de validation doit être proportionné.
2. Consolider l’information pertinente
L’évaluation mobilise des données dispersées : bases achats, CRM, données financières, outils de screening, informations déclaratives du tiers.
Accumuler l’information ne suffit pas, on doit pouvoir en disposer de manière cohérente et exploitable.
Une analyse fragmentée conduit à des décisions partielles, une vision consolidée permet d’apprécier l’ensemble du contexte.
3. Encadrer l’analyse pour limiter l’arbitraire
L’évaluation implique un jugement.
Sans cadre formalisé, deux analystes peuvent aboutir à des conclusions divergentes face à une situation comparable.
La formalisation de critères, de seuils et de scénarios types renforce la solidité de l’analyse.
L’objectif n’est pas d’automatiser la décision, il est de garantir qu’elle repose sur des paramètres identifiés et partagés.
4. Rendre le dispositif explicable
En cas de contrôle, la question portera sur le raisonnement suivi.
- Quels éléments ont été examinés ?
- Comment le niveau de risque a-t-il été déterminé ?
- Pourquoi la relation a-t-elle été acceptée ou encadrée ?
La robustesse du dispositif se mesure à la qualité de cette démonstration. Si vous êtes en pleine réflexion, nous avons rédigé un article pour vous aider à bien définir quelle solution logicielle choisir.
Intégrer l’évaluation des tiers dans le cycle de vie de la relation
L’évaluation des tiers ne se limite pas à un contrôle préalable, elle accompagne la relation d’affaires dans la durée et gagne en robustesse lorsqu’elle est intégrée au cycle de vie du tiers.
1. L’entrée en relation : un moment structurant
L’entrée en relation constitue le point d’ancrage de l’analyse.
C’est à ce stade que sont définis :
- le niveau de risque initial ;
- le socle de diligences applicables ;
- les éventuelles mesures contractuelles spécifiques ;
- le niveau de validation requis.
Une qualification imprécise à l’origine conditionne toute la suite.
Un tiers classé trop rapidement à risque modéré sera rarement réévalué à la hausse sans événement déclencheur.
La qualité de l’analyse initiale conditionne l’ensemble des décisions ultérieures.
2. L’exécution du contrat : maintenir la vigilance
La relation d’affaires évolue.
- Un périmètre d’intervention peut s’élargir.
- Un tiers peut accéder à des marchés publics.
- Un changement d’actionnariat peut intervenir.
L’évaluation doit être suffisamment connectée aux opérations pour capter ces évolutions.
Un dispositif déconnecté des flux opérationnels devient théorique.
3. Les événements déclencheurs de réévaluation
La réévaluation peut être périodique ou déclenchée par un événement.
Parmi les situations susceptibles de justifier une actualisation :
- modification de la gouvernance ;
- signalement interne ;
- information externe défavorable ;
- extension géographique ;
- modification substantielle des conditions financières.
L’existence d’événements déclencheurs prédéfinis sécurise la cohérence du suivi.
4. La fin de relation : conserver la mémoire du risque
La clôture d’une relation n’efface pas l’analyse réalisée.
L’historique des évaluations et des décisions constitue une mémoire utile en cas de contrôle ou de contentieux ultérieur.
La conservation structurée de ces éléments participe à la démonstrabilité du dispositif.
Évaluer la maturité du dispositif et structurer sa montée en puissance
Les entreprises soumises à l’article 17 doivent disposer d’une procédure d’évaluation des tiers.
Dans les faits, le degré de structuration varie fortement : méthode intégrée pour certaines organisations, outils partiels ou application hétérogène pour d’autres.
La maturité ne se mesure pas au volume de documents, mais à l’alignement entre cartographie, classification, diligences et décisions.
1. Identifier les points de fragilité
Plusieurs indices permettent d’apprécier le degré de structuration :
- une concentration excessive des tiers dans une même catégorie de risque ;
- l’absence de justification formalisée des classements ;
- des diligences identiques quel que soit le profil du tiers ;
- une réévaluation déclenchée principalement par l’échéance contractuelle ;
- une difficulté à retracer l’historique des décisions.
Ces situations révèlent un écart entre la méthode affichée et son application effective.
2. Objectiver l’exposition au risque
L’objectif est de remplacer l’intuition par une analyse formalisée.
Une évaluation solide repose sur :
- des critères de risque explicitement définis ;
- une catégorisation formalisée ;
- une graduation cohérente des diligences ;
- une traçabilité des arbitrages.
L’objectivation sécurise les décisions et renforce la démonstrabilité en cas de contrôle.
3. Disposer d’un outil de diagnostic
L’amélioration du dispositif suppose un état des lieux formalisé.
Une grille d’analyse structurée permet d’identifier les écarts : articulation avec la cartographie, pertinence des critères, organisation du suivi, formalisation des décisions.
Il ne s’agit pas d’un outil technique en soi, mais d’un référentiel permettant d’évaluer objectivement le niveau de structuration du dispositif.
L’enjeu n’est pas de standardiser les pratiques, il est de mesurer le niveau d’alignement avec les exigences légales et les recommandations de l’AFA.
4. Inscrire l’évaluation des tiers dans une logique de pilotage
L’évaluation des tiers participe au pilotage global du risque de corruption.
Le suivi des niveaux de risque, des décisions d’acceptation sous conditions ou des refus, ainsi que l’analyse des zones et activités exposées, alimentent la cartographie et permettent d’ajuster les critères.
L’évaluation gagne en pertinence lorsqu’elle est régulièrement réexaminée à la lumière des retours d’expérience.
Conclusion : quand évaluer un tiers devient une décision.
On peut formaliser des critères, pondérer des risques, documenter des diligences.
Mais l’évaluation des tiers commence réellement lorsque la décision devient inconfortable.
Lorsque le partenaire est stratégique.
Lorsque le signal est incertain.
Lorsque la pression opérationnelle s’invite dans l’analyse.
À cet instant, la conformité cesse d’être un exercice technique. Elle devient un acte de responsabilité.
Cette responsabilité ne repose pas sur l’intuition, elle suppose un cadre clair, des critères explicites, un outil et une organisation capables de soutenir la décision.
L’évaluation des tiers n’est pas une formalité du programme anticorruption, c’est le moment où l’organisation révèle la manière dont elle choisit d’arbitrer.
Et c’est là que se mesure, au-delà des procédures, la solidité réelle de son engagement.
FAQ sur l’évaluation des risques d’un tiers
Si l’AFA constate un écart entre ma cartographie des risques et ma procédure d’évaluation des tiers, quelles sont les conséquences concrètes ?
L’AFA ne vérifie pas seulement l’existence des deux documents : elle confronte leur contenu. Si la cartographie identifie un risque sectoriel ou géographique élevé et que la procédure d’évaluation ne prévoit aucune diligence renforcée correspondante, le dispositif est considéré comme formellement structuré mais opérationnellement défaillant. En contrôle, un tiers exposé à un risque cartographié comme élevé mais soumis à des diligences standard constitue un grief classique. L’enjeu est d’assurer une traçabilité explicite du lien entre chaque niveau de risque cartographié et les diligences effectivement déployées, tiers par tiers.
L’enquête AFA 2024 révèle que 31,3 % des entreprises ne recensent pas l’ensemble de leurs tiers, où se concentrent les angles morts ?
Trois zones d’ombre reviennent systématiquement. Les tiers introduits hors circuit achat : consultants mandatés par la direction, apporteurs d’affaires recommandés, prestataires mobilisés en urgence. Les tiers occasionnels sous les seuils de montant mais à risque intrinsèque élevé par leur rôle (interaction avec des agents publics, accès à des informations sensibles). Et les chaînes de sous-traitance, où le rang 1 est évalué mais pas les sous-traitants critiques qu’il mobilise. La démarche recommandée consiste à croiser les bases achats, CRM, comptabilité fournisseurs et données commerciales, puis à confronter ce recensement aux typologies de tiers des recommandations AFA.
Mon questionnaire d’intégrité tiers est standardisé, pourquoi est-ce une faiblesse ?
Un questionnaire unique neutralise la proportionnalité exigée par l’article 17. Appliquer le même socle à un fournisseur logistique français et à un agent commercial en zone à risque produit un double effet négatif : les cas sensibles sont sous-investigués, les cas simples mobilisent des ressources disproportionnées. L’enquête AFA 2024 le confirme : les entreprises collectent les données facilement accessibles mais beaucoup moins les informations réellement discriminantes : modalités de rémunération, dépendance économique, rôle d’intermédiaire auprès d’agents publics. La solution : des parcours de diligence différenciés (simplifiée, standard, renforcée), déclenchés par la catégorisation initiale du tiers.
Comment justifier l’acceptation d’un tiers classé à risque élevé sans fragiliser mon dispositif ?
Accepter un tiers à risque élevé n’est pas un manquement. L’AFA examine la rigueur du raisonnement et sa formalisation. Le dispositif doit démontrer une chaîne complète : identification du risque, analyse des éléments collectés, mesures compensatoires (clauses anticorruption renforcées, validation hiérarchique, suivi rapproché) et décision motivée au bon niveau. Le point critique est la traçabilité : chaque signal identifié, chaque mesure décidée, chaque arbitrage documenté. La robustesse ne se mesure pas à l’absence de tiers à risque dans le portefeuille, mais à la capacité de reconstituer le raisonnement qui a conduit à chaque décision.
34,5 % des entreprises réévaluent leurs tiers au renouvellement du contrat, pourquoi est-ce insuffisant ?
Un tiers peut voir son exposition changer significativement entre deux renouvellements : modification de gouvernance, entrée dans une zone à risque, informations défavorables, changement d’actionnariat. Pendant toute la durée du contrat, la vigilance reste celle définie à l’entrée en relation. L’AFA attend une fréquence corrélée au niveau de risque, complétée par des événements déclencheurs prédéfinis, signalement interne, information externe défavorable, modification substantielle du contrat, qui activent une réévaluation anticipée. Cette double mécanique (périodique et événementielle) garantit que la vigilance reste alignée avec la réalité du risque.
Comment articuler l’évaluation des tiers Sapin 2 avec les obligations LCB-FT quand mon organisation est assujettie aux deux cadres ?
Les deux cadres partagent l’approche fondée sur les risques mais diffèrent dans leur périmètre. Le risque principal pour les entités doublement assujetties est la duplication incohérente : deux dispositifs parallèles, deux grilles de scoring, deux circuits de validation sans passerelle. La bonne pratique consiste à construire une base de critères commune (zone géographique, nature du tiers, exposition PPE, secteur) alimentant une évaluation multi-risques, tout en conservant des critères spécifiques à chaque cadre. Le screening sanctions et la vérification PPE alimentent naturellement les deux dispositifs. La traçabilité doit être unifiée pour qu’un contrôle AFA ou ACPR puisse retrouver, à partir d’un même tiers, l’ensemble des diligences appliquées.
69,2 % des entreprises déclarent des difficultés de collecte sur leurs tiers, comment décider avec une information imparfaite ?
L’information parfaite est une fiction opérationnelle. L’enjeu est de documenter ce qui a été recherché, obtenu, ce qui manque et quelles conséquences ce manque a sur l’évaluation. Un refus de coopération du tiers sur des informations clés constitue en soi un signal de risque à intégrer à l’analyse. La consolidation des sources disponibles, registres officiels, screening, données déclaratives, signaux médiatiques, permet de constituer un faisceau exploitable même en l’absence de certaines pièces. La question posée en contrôle ne sera pas « aviez-vous toute l’information ? » mais « qu’avez-vous fait de l’information disponible, et comment avez-vous traité les lacunes ? ».
Comment passer d’un dispositif « formellement conforme » à un dispositif opérationnellement robuste sans démultiplier les ressources ?
La maturité se mesure à quatre indicateurs : la capacité à différencier effectivement les diligences selon le risque, la traçabilité du raisonnement pour chaque tiers sensible, la réactivité face aux événements déclencheurs et la cohérence cartographie-décisions. Commencez par identifier les fragilités : concentration excessive des tiers dans une même catégorie (grille peu discriminante), diligences identiques quel que soit le profil, réévaluation uniquement calendaire. L’automatisation des tâches à faible valeur ajoutée, screening, collecte de données officielles, scoring initial, libère du temps pour l’analyse qualitative des cas sensibles, là où l’intervention humaine est irremplaçable : les zones grises où un risque significatif coexiste avec un enjeu commercial.
