Pendant longtemps, la connaissance des fournisseurs relevait des achats : un KBIS, une attestation URSSAF, un RIB valide suffisaient à sécuriser la relation, cette approche n’est plus adaptée.
Le Know Your Supplier (KYS) désigne l’ensemble des procédures permettant d’identifier un fournisseur, de comprendre qui le contrôle réellement, d’évaluer les risques associés à la relation d’affaires et d’assurer une surveillance continue pendant toute la durée de la relation.
Depuis la loi Sapin 2 et la loi sur le devoir de vigilance en 2017, complétées par le renforcement des dispositifs LCB-FT, l’extension des régimes de sanctions et les textes européens de durabilité, les entreprises doivent démontrer qu’elles connaissent leurs tiers et qu’elles en évaluent les risques. Un fournisseur insuffisamment évalué peut exposer l’entreprise à des risques de corruption, d’atteintes aux droits humains, de violation d’un régime de sanctions, de défaillance opérationnelle ou de réputation.
La procédure de connaissance du fournisseur n’est donc plus un processus administratif de référencement, c’est un dispositif de conformité à part entière, et une exigence de gouvernance autant qu’un impératif réglementaire.
Know Your Supplier : ce que recouvre vraiment la connaissance fournisseur
Le terme Know Your Supplier (KYS) est aujourd’hui utilisé pour désigner des réalités très différentes. Selon les acteurs, il peut s’agir d’un simple processus de référencement fournisseur, d’un dispositif de collecte documentaire, d’un outil de prévention de la fraude au paiement ou encore d’une démarche de conformité.
Cette diversité d’usages entretient une confusion préjudiciable. Car si ces dispositifs répondent chacun à des besoins légitimes, ils ne couvrent pas nécessairement les obligations réglementaires auxquelles les entreprises sont aujourd’hui confrontées.
Du KYC au KYS : la même logique appliquée aux fournisseurs
Le KYS reprend les principes des dispositifs Know Your Customer (KYC) des secteurs réglementés : identifier la contrepartie, vérifier les informations recueillies, évaluer le niveau de risque, adapter les mesures de vigilance, puis réévaluer cette connaissance tout au long de la relation.
La différence tient à la nature des risques analysés. Le KYC vise principalement le blanchiment, le financement du terrorisme, la fraude et le contournement des sanctions. Le KYS ajoute à ces dimensions la prévention de la corruption, le devoir de vigilance, les droits humains, l’environnement, la dépendance opérationnelle et la sécurité des systèmes d’information.
Le fournisseur devient ainsi un point de convergence de plusieurs cadres réglementaires historiquement traités séparément. Le KYS ne répond pas à une réglementation autonome : il constitue la réponse opérationnelle à un ensemble d’obligations qui imposent toutes, à des degrés divers, de connaître les tiers avec lesquels l’entreprise travaille.
Ce que la connaissance fournisseur n’est pas
Collecter un KBIS, vérifier une attestation URSSAF ou valider un RIB sont des étapes utiles, mais elles ne permettent pas d’évaluer le risque présenté par un fournisseur. Un outil anti-fraude au virement, une plateforme de sourcing ou une solution d’extraction documentaire répondent à des besoins spécifiques : ils peuvent contribuer à la connaissance fournisseur sans la constituer.
Le terme Know Your Supplier ne doit pas non plus être confondu avec le KYB (Know Your Business), qui désigne la connaissance des personnes morales clientes dans le cadre LCB-FT. Les mécanismes sont proches (identification de la structure, remontée des bénéficiaires effectifs, screening), mais le KYB s’applique aux clients d’un assujetti, tandis que le KYS transpose ces réflexes à la relation fournisseur.
Un dispositif KYS complet combine l’identification juridique du fournisseur, la remontée de ses bénéficiaires effectifs, le screening sanctions et personnes politiquement exposées, l’analyse des risques de corruption, l’évaluation des risques droits humains et environnement, et la surveillance continue de l’ensemble. Il ne cherche pas seulement à savoir si un fournisseur existe, mais s’il est acceptable de travailler avec lui et dans quelles conditions.
Les 3 couches de risque à maîtriser
Le terme KYS recouvre plusieurs familles de risques, souvent pilotées par des équipes différentes alors qu’elles concernent les mêmes fournisseurs, trois couches complémentaires se distinguent.
La couche n°1 est le socle réglementaire et de conformité : existence légale du fournisseur, identification des personnes qui le contrôlent, évaluation du risque de corruption (Sapin 2), screening sanctions, gel des avoirs, PPE et médias défavorables. C’est généralement le terrain des fonctions conformité, juridique ou contrôle interne.
La couche n°2 couvre le devoir de vigilance et les risques extra-financiers : travail forcé, travail des enfants, conditions de travail, pollution, respect des communautés locales. Elle mobilise les directions RSE, conformité corporate et achats responsables. Cette couche soulève la difficulté de la sous-traitance en cascade : lorsque l’évaluation se limite au fournisseur de rang 1, elle laisse dans l’ombre les rangs suivants, alors que la loi sur le devoir de vigilance couvre les sous-traitants en relation commerciale établie et que la CS3D vise les partenaires commerciaux indirects. Les référentiels anglophones nomment ce sujet fourth-party risk : le risque porté par les sous-traitants de vos sous-traitants. La cartographie doit donc qualifier, au minimum pour les fournisseurs stratégiques, le degré de visibilité disponible sur les rangs inférieurs.
La couche n°3 regroupe les risques opérationnels, financiers et cyber : solidité financière, dépendance, capacité opérationnelle, maturité en sécurité de l’information. Une compromission chez un prestataire ayant accès au système d’information peut produire des conséquences considérables pour le donneur d’ordre, ce qu’illustre l’essor du Third Party Risk Management (TPRM) et de son volet cyber.
Ces trois couches s’additionnent. Un fournisseur solvable et ponctuel peut présenter un risque majeur de corruption ; un fournisseur irréprochable réglementairement peut être un risque opérationnel critique. Un dispositif KYS mature rend ces risques visibles simultanément, les hiérarchise et documente les décisions.
Le cadre réglementaire du Know Your Supplier en France et en Europe
Le KYS ne résulte pas d’une réglementation unique. Il s’est construit par accumulation d’exigences poursuivant des objectifs différents, mais reposant sur des besoins d’information largement identiques. D’où l’intérêt de mutualiser la connaissance fournisseur dans un socle commun.
Tableau de synthèse réglementaire
| Réglementation | Qui est concerné ? | Ce qu’elle exige sur les fournisseurs |
|---|---|---|
| Sapin 2 | Entreprises de plus de 500 salariés et plus de 100 M€ de chiffre d’affaires | Évaluation de l’intégrité des tiers selon une approche par les risques |
| Devoir de vigilance | Sociétés d’au moins 5 000 salariés en France, ou 10 000 en France et à l’étranger, sur deux exercices consécutifs (loi du 27 mars 2017) | Cartographie des risques, procédures d’évaluation et mesures de vigilance sur les fournisseurs et sous-traitants en relation commerciale établie |
| LCB-FT | Personnes assujetties à l’article L.561-2 du Code monétaire et financier | Identification des bénéficiaires effectifs, vigilance adaptée au risque, screening de certaines contreparties |
| Sanctions internationales et gel des avoirs | Toutes les entreprises | Interdiction de traiter avec les personnes ou entités désignées et obligation de détecter ces situations |
| CSRD | Entreprises et groupes dépassant 450 M€ de chiffre d’affaires net et 1 000 salariés (directive 2026/470 du 24 février 2026, dite paquet Omnibus) ; PME cotées sorties du champ obligatoire | Reporting de durabilité intégrant la chaîne de valeur (normes ESRS en cours de révision). Plafond de la chaîne de valeur : les fournisseurs de moins de 1 000 salariés peuvent refuser de communiquer au-delà des futures normes volontaires |
| CS3D | Entreprises de l’UE de plus de 5 000 salariés et 1,5 Md€ de chiffre d’affaires mondial ; entreprises non européennes au-delà de 1,5 Md€ dans l’UE (seuils relevés par la directive 2026/470). Application en une seule vague au 26 juillet 2029 | Identification, prévention et atténuation des incidences négatives (droits humains, environnement) dans la chaîne d’activités, partenaires directs et indirects |
Les seuils et calendriers de ce tableau intègrent les modifications de la directive (UE) 2026/470 du 24 février 2026, qui a clos la phase de proposition du paquet Omnibus. Certains textes d’application restent attendus d’ici 2027 (normes ESRS révisées, normes volontaires, lignes directrices CS3D).
Sapin 2 : l’évaluation de l’intégrité des tiers
La loi n° 2016-1691 du 9 décembre 2016 impose aux entreprises de son champ un dispositif anticorruption en huit piliers, dont l’évaluation de l’intégrité des tiers : fournisseurs, intermédiaires, partenaires commerciaux et toute contrepartie exposant l’entreprise à un risque de corruption ou de trafic d’influence.
Les recommandations de l’Agence française anticorruption (adoptées le 4 décembre 2020, publiées en janvier 2021) attendent une méthodologie documentée, proportionnée et actualisée : identifier les facteurs de risque, hiérarchiser les tiers, adapter le niveau de vigilance. Contrôler tous les fournisseurs avec la même intensité produit un dispositif coûteux et peu exploitable.
Un point d’attention : la notion de bénéficiaire effectif LCB-FT ne se confond pas avec l’approche AFA. En LCB-FT, le seuil de 25 % de détention constitue une présomption légale déclenchant l’identification. Le recueil de fiches pratiques de l’AFA (mars 2023) parle de « bénéficiaire final » : toute personne physique propriétaire, en tout ou partie, de la personne morale doit pouvoir être examinée, sans seuil. Un actionnaire à 10 % sort du périmètre du bénéficiaire effectif LCB-FT mais reste dans le périmètre d’analyse Sapin 2.
Nous vous permettons d’évaluer en un clic le niveau de risque d’un fournisseur en saisissant son numéro de SIREN.
Loi sur le devoir de vigilance : le plan de vigilance fournisseurs
La loi du 27 mars 2017 introduit une logique nouvelle : l’entreprise doit s’interroger sur les impacts négatifs que ses activités peuvent générer, directement ou indirectement, à travers sa chaîne de valeur.
Les sociétés du champ d’application (au moins 5 000 salariés en France, ou 10 000 en France et à l’étranger, sur deux exercices consécutifs) élaborent et publient un plan de vigilance reposant sur une cartographie des risques, des procédures d’évaluation régulière des filiales, sous-traitants et fournisseurs, des actions d’atténuation, un mécanisme d’alerte et un dispositif de suivi.
Pour un responsable conformité, l’apport au KYS est considérable : là où Sapin 2 évalue le risque de corruption, le devoir de vigilance élargit l’analyse aux droits humains, aux conditions de travail, à la santé et à l’environnement. Un sous-traitant implanté dans une zone exposée au travail forcé peut ne présenter aucun signal de corruption ou de blanchiment, et constituer pourtant un risque juridique et réputationnel majeur. Sans cartographie des fournisseurs (qui est stratégique, dans quels pays, avec quels risques), aucun plan de vigilance n’est crédible.
La procédure de connaissance des fournisseurs devient alors l’un des outils opérationnels permettant d’alimenter cette cartographie et de démontrer que les évaluations réalisées reposent sur une méthodologie documentée, cohérente et proportionnée.
LCB-FT : quand la connaissance des fournisseurs croise la lutte anti-blanchiment
Pour les assujettis à l’article L.561-2 du Code monétaire et financier, certains fournisseurs peuvent relever du périmètre de vigilance et justifier des mesures d’identification et d’évaluation adaptées. Les entreprises non assujetties ne sont pas pour autant indifférentes : une relation avec une contrepartie impliquée dans des schémas illicites ou visée par des mesures restrictives emporte des conséquences juridiques, financières et réputationnelles.
Le point de rencontre entre KYS et LCB-FT est la connaissance du bénéficiaire effectif. Une société d’apparence régulière peut être contrôlée, directement ou indirectement, par une personne exposée à un risque particulier : la remontée de la chaîne de détention (détaillée à l’étape 2 ci-dessous) est ce qui permet de le révéler. La logique LCB-FT rappelle aussi un principe structurant pour tout dispositif KYS : la proportionnalité. Ni confiance aveugle, ni méfiance systématique, mais une évaluation du risque suffisamment robuste pour justifier le niveau de vigilance retenu.
Sanctions internationales et gel des avoirs
Contrairement aux dispositifs fondés sur une appréciation du risque, les régimes de sanctions et de gel des avoirs sont binaires : aucune relation économique avec une personne ou entité désignée. Les lignes directrices conjointes ACPR / DG Trésor du 16 mars 2026 rappellent que l’application des mesures de gel « ne relève pas d’une approche par les risques » et constitue une « obligation de résultat ».
Les listes évoluent en permanence : un fournisseur sans risque au référencement peut devenir problématique quelques semaines plus tard. Et le risque ne se limite pas au fournisseur lui-même. Les lignes directrices précisent que, pour détecter les mises à disposition indirectes de fonds, il est nécessaire de filtrer les bénéficiaires effectifs, les mandataires, les associés figurant sur un registre officiel (lorsque ces informations sont disponibles) et les dirigeants sociaux. Un fournisseur absent des listes peut être détenu (au moins 50 % des droits de propriété) ou contrôlé par d’autres moyens par une personne désignée.
La fréquence de filtrage est elle aussi encadrée. Le filtrage doit intervenir « sans délai » à l’entrée en vigueur de tout nouveau texte. La Commission des sanctions de l’ACPR a jugé un filtrage hebdomadaire insuffisant pour détecter une personne désignée avant l’entrée en relation (AXA France Vie, 2016) et des fréquences annuelles ou mensuelles incompatibles avec l’obligation de détection immédiate (Mutuelle de Poitiers Assurances, 2023). Pour les prestataires de virements instantanés, le filtrage de la base clients doit être au minimum quotidien (règlement européen 2024/886).
Le screening des sanctions est donc un processus continu, calé sur le rythme de mise à jour des listes et non sur un calendrier interne.
Si vous souhaitez visualiser les régimes de sanctions applicables aux pays d’implantation de vos fournisseurs, nous avons développé une carte interactive qui vous permet de vérifier en quelques secondes.
J’accède à la map des pays à risques.
CSRD et CS3D : la nouvelle vague européenne
La CSRD impose aux grandes entreprises (plus de 450 M€ de chiffre d’affaires net et 1 000 salariés depuis la directive 2026/470) un reporting détaillé de durabilité qui s’étend à la chaîne de valeur : il faut collecter, fiabiliser et actualiser des informations relatives aux fournisseurs. La CS3D va plus loin avec une logique de diligence raisonnable : identifier, prévenir, atténuer et faire cesser les incidences négatives liées aux droits humains ou à l’environnement dans la chaîne d’activités.
La directive (UE) 2026/470 du 24 février 2026 a entériné la révision du paquet Omnibus : champ de la CS3D concentré sur les plus grandes entreprises (plus de 5 000 salariés et 1,5 Md€ de chiffre d’affaires mondial), application en une seule vague au 26 juillet 2029, suppression de l’obligation de plan de transition climatique. La direction reste claire : démontrer que l’on connaît ses fournisseurs et que l’on dispose de mécanismes crédibles d’évaluation et de suivi.
Ces textes encadrent aussi la manière de collecter l’information. La CSRD modifiée instaure un plafond de la chaîne de valeur : un fournisseur de moins de 1 000 salariés peut refuser de communiquer au-delà des normes volontaires, et toute clause contractuelle contraire est privée d’effet. La CS3D limite les demandes adressées aux partenaires de moins de 5 000 salariés aux cas où l’information ne peut pas être raisonnablement obtenue autrement. Ces protections renforcent l’intérêt d’un dispositif KYS s’appuyant d’abord sur des sources externes (registres, bases de données spécialisées, screening) plutôt que sur la sollicitation documentaire systématique des fournisseurs.
Enseignement transversal : les réglementations se multiplient, mais les données nécessaires convergent. L’enjeu n’est pas de construire un dispositif par texte, mais une connaissance fournisseur unique capable d’alimenter plusieurs obligations.
Mettre en place un dispositif KYS opérationnel
Un dispositif KYS efficace ne se réduit pas à un exercice documentaire réalisé au référencement puis classé jusqu’au prochain audit. Il repose sur une logique continue, en cinq étapes complémentaires.
Étape 1 : cartographier vos fournisseurs et leurs risques
Avant tout contrôle, l’entreprise doit savoir avec qui elle travaille, dans quels pays, dans quels secteurs et pour quels enjeux. Cette cartographie des risques est le point de départ de l’approche par les risques : elle combine pays d’implantation, secteur, nature des prestations, montants, accès à des données ou systèmes critiques, dépendance opérationnelle et exposition aux risques de corruption, de sanctions ou d’atteintes aux droits humains.
Exemple : un groupe industriel de 1 200 fournisseurs en distingue 800 français à faible risque, 300 européens à risque modéré et 100 exposés à des facteurs particuliers. Les diligences diffèrent selon la catégorie, dans une méthodologie cohérente et documentée. Sans cette segmentation, impossible de justifier pourquoi certains fournisseurs font l’objet de diligences renforcées et d’autres d’un dispositif simplifié.
Pour vous permettre de structurer l’évaluation de l’intégrité de vos tiers, nous avons conçu un modèle prêt à l’emploi qui respecte les dernières recommandations de l’AFA.
Étape 2 : identifier le fournisseur et son bénéficiaire effectif
L’identification commence par les vérifications de base : raison sociale, SIREN ou équivalent, adresse, forme juridique, représentants légaux. Mais le véritable enjeu est de comprendre qui contrôle réellement l’entreprise, derrière les holdings, sociétés écrans, trusts ou chaînes de participation internationales.
La remontée repose sur trois niveaux successifs. D’abord, identifier toute personne physique détenant directement ou indirectement plus de 25 % du capital ou des droits de vote (présomption légale). À défaut, rechercher le contrôle exercé par d’autres moyens : accords de gouvernance, droits particuliers, pouvoir de nomination. Enfin, si aucune personne physique n’est identifiée après épuisement des moyens disponibles (et à condition de le documenter), retenir le dirigeant ou représentant légal, situation qui constitue en elle-même un signal sur le niveau de transparence de la contrepartie.
Imaginons une société française dont les documents juridiques sont parfaitement réguliers : immatriculation à jour, statuts conformes, dirigeants clairement identifiés. La remontée de la chaîne de détention révèle pourtant qu’elle est détenue à 95 % par une holding luxembourgeoise, elle-même contrôlée par un trust enregistré dans une juridiction offshore. Au sommet de la structure, la personne physique qui exerce le contrôle effectif réside dans un pays présentant des facteurs de risque particuliers.
Rien de tout cela n’apparaît à la lecture du KBIS. Ces éléments peuvent pourtant modifier l’évaluation du risque, le niveau de vigilance retenu ou les vérifications complémentaires demandées au fournisseur. Connaître l’identité d’une société est utile ; comprendre qui la contrôle réellement est souvent déterminant.
Étape 3 : screening sanctions, PPE et médias défavorables
Le screening confronte le fournisseur, ses dirigeants et ses bénéficiaires effectifs à trois catégories de sources externes.
Les sanctions internationales et le gel des avoirs d’abord : vérifier qu’aucune personne ou entité impliquée dans la relation ne fait l’objet de mesures restrictives, en incluant les personnes physiques qui contrôlent l’entité.
Les personnes politiquement exposées (PPE) ensuite, ici dans une logique anticorruption : leur présence parmi les dirigeants ou bénéficiaires effectifs n’interdit pas la relation, mais justifie des diligences complémentaires (nature du mandat, risques de corruption ou de trafic d’influence, conflits d’intérêts avec les décisions d’achat).
Les médias défavorables (adverse media) enfin : enquêtes, condamnations, fraude, blanchiment, atteintes aux droits humains, contentieux significatifs. Toute information négative n’est pas un motif d’exclusion ; le rôle du responsable conformité est de contextualiser et de déterminer l’impact réel sur la relation. Un fournisseur administrativement irréprochable peut concentrer des signaux d’alerte significatifs dans la presse : c’est la combinaison des sources qui transforme l’identification en évaluation du risque.
Étape 4 : évaluation par scoring multicritère
Les règles simplistes (tout fournisseur hors UE à risque élevé, tout fournisseur français à risque faible) sont faciles à mettre en oeuvre mais reflètent rarement la réalité : deux fournisseurs d’un même pays peuvent présenter des profils radicalement différents.
L’approche par les risques croise plusieurs facteurs : pays, secteur, structure actionnariale, difficulté d’identification des bénéficiaires effectifs, exposition aux sanctions, présence de PPE, médias défavorables, montants, criticité opérationnelle. Les dispositifs matures combinent deux mécanismes complémentaires. Des critères absolus d’abord, qui imposent une décision immédiate : sanction applicable, interdiction légale, impossibilité persistante d’identifier la contrepartie. Un scoring pondéré ensuite, qui gradue le niveau de risque et détermine le niveau de diligences approprié : simplifié, standard ou renforcé.
Cette articulation évite deux écueils : banaliser un risque majeur en le noyant dans une grille de notation, ou déclencher des diligences renforcées pour un nombre excessif de fournisseurs. En cas de contrôle, il faut pouvoir démontrer pourquoi un fournisseur a été classé à risque élevé, mais aussi pourquoi un autre a été jugé acceptable et selon quels critères.
Étape 5 : surveillance continue et mise à jour
L’erreur la plus fréquente : considérer la connaissance fournisseur comme un exercice ponctuel. Or l’actionnariat évolue, les dirigeants changent, une sanction peut être prononcée, une personne peut devenir PPE, un article de presse peut révéler un risque nouveau. Les dispositifs LCB-FT, les régimes de sanctions, les recommandations AFA et le devoir de vigilance convergent tous vers la même exigence d’actualisation.
L’enjeu n’est pas de refaire le KYS chaque semaine, mais de définir les événements déclencheurs d’une réévaluation : modification de l’actionnariat, entrée ou sortie d’un bénéficiaire effectif, changement de dirigeant, restructuration, mesure de sanctions ou statut PPE, informations défavorables, évolution importante de la relation, échéance de revue périodique. Un fournisseur référencé sans facteur de risque peut, quelques années plus tard, voir l’un de ses bénéficiaires effectifs visé par des mesures restrictives : sans veille, l’entreprise continue de traiter avec lui pendant des semaines sans le savoir.
La fin de la relation mérite le même formalisme que son ouverture. Les référentiels de Third Party Risk Management traitent l’offboarding comme une phase à part entière : restitution ou destruction documentée des données confiées, révocation des accès au système d’information, traçabilité de la décision de sortie, conservation du dossier d’évaluation pendant cinq ans après la fin de la relation conformément aux recommandations de l’AFA. Une sortie non documentée prive l’entreprise de la capacité à démontrer, des années après, que la relation avait été correctement évaluée et que sa cessation a été maîtrisée.
Cas concrets : la connaissance de ses fournisseurs en situation
Les deux cas suivants, volontairement contrastés, illustrent la manière dont un dispositif KYS transforme des informations dispersées en décisions documentées.
Cas n°1 : groupe industriel et fournisseur à structure complexe
Un groupe soumis à Sapin 2 référence un fournisseur stratégique : société française, KBIS à jour, situation administrative et financière saine. La remontée des bénéficiaires effectifs révèle une holding luxembourgeoise contrôlée par un trust offshore, avec un bénéficiaire effectif ultime résidant aux Émirats arabes unis. Le screening sanctions est négatif, mais des médias défavorables mentionnent des soupçons de détournement de fonds publics impliquant des sociétés liées au bénéficiaire.
Aucun élément isolé ne justifie un refus ; leur combinaison (structure opaque, montages sans justification économique claire, exposition réputationnelle) fait basculer le dossier en diligences renforcées : informations complémentaires sur la détention, la gouvernance et l’origine des fonds. La décision finale (référencement, refus ou référencement sous garanties contractuelles) sera documentée et justifiable. Le KBIS n’était pas erroné : il était insuffisant.
Cas n°2 : ETI et sous-traitant en pays à risque
Une ETI textile dépend d’un sous-traitant d’Asie du Sud-Est au savoir-faire difficilement substituable. Aucun incident, screening sanctions, PPE et adverse media négatif. Mais la cartographie relève un pays à risque élevé de corruption, un secteur exposé aux problématiques de conditions de travail, des sous-traitants de second rang peu documentés et une visibilité limitée sur la chaîne de production.
Le risque ne réside pas dans l’intégrité du fournisseur mais dans son environnement opérationnel. Un dispositif limité aux sanctions et aux bénéficiaires effectifs conclurait à un risque modéré ; l’intégration du devoir de vigilance conduit à des diligences renforcées : collecte d’informations sur la chaîne de sous-traitance, audit social du site, clauses contractuelles spécifiques, suivi des actions correctives, réévaluation régulière. L’objectif n’est pas de supprimer le risque, mais de démontrer qu’il a été identifié, évalué et traité de manière proportionnée.
Comment BeCLM accompagne la mise en œuvre d’un dispositif de Know Your Supplier
Les responsables conformité connaissent les principes. La difficulté est ailleurs : appliquer ces contrôles de manière cohérente sur des centaines ou des milliers de fournisseurs, maintenir les informations à jour, et démontrer des années plus tard pourquoi un fournisseur a été accepté, surveillé ou écarté.
BeCLM rattache l’analyse fournisseur à la cartographie des risques de l’entreprise : les critères définis par l’organisation (pays, secteur, type de relation, exposition à la corruption, aux sanctions ou aux risques ESG) déterminent une vigilance réellement fondée sur les risques. La plateforme centralise les données nécessaires (identification, bénéficiaires effectifs, dirigeants, sanctions, gel des avoirs, PPE, médias défavorables, informations financières et juridiques) et les transforme en évaluation exploitable par un scoring adapté aux critères retenus.
Les évolutions affectant un fournisseur (changement d’actionnariat, nouveau bénéficiaire effectif, mesure de sanctions) sont intégrées dans l’analyse sans attendre la revue périodique. Enfin, la traçabilité des contrôles, l’historisation des données et le reporting permettent de reconstituer à tout moment les diligences effectuées et les raisons des décisions prises : un dispositif KYS n’a de valeur que s’il est démontrable.
