Vendor due diligence checklist : guide pour les entreprises québécoises

Le vendor due diligence est le processus structuré d'évaluation d'un fournisseur ou prestataire tiers avant la conclusion d'un contrat, puis à intervalles réguliers tout au long de la relation commerciale. Il couvre la situation financière, la conformité réglementaire, la cybersécurité, les pratiques ESG et la chaîne de sous-traitance. Au Québec et au Canada, ce processus n'est plus une simple bonne pratique : plusieurs textes le rendent obligatoire — la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT), les obligations déclaratives envers le CANAFE, les lignes directrices B-10 du BSIF pour les institutions financières fédérales, et la Loi 25 québécoise sur la protection des renseignements personnels, qui est entrée en pleine vigueur en septembre 2023 et dont les exigences sont plus strictes que celles de la loi fédérale LPRPDE.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique, financier ou réglementaire. Pour toute situation spécifique, consultez un professionnel qualifié.

Qu'est-ce que le vendor due diligence ?

Le vendor due diligence (VDD) est une évaluation formalisée et documentée d'un tiers — fournisseur, prestataire de services, partenaire technologique ou sous-traitant — visant à identifier, mesurer et documenter les risques qu'il fait peser sur l'organisation qui le mandate. Il va bien au-delà de la simple vérification administrative : il couvre la totalité du profil de risque du tiers — financier, juridique, opérationnel, technologique et éthique.

Le VDD s'inscrit dans le cadre plus large de la gestion des risques tiers (Third-Party Risk Management, TPRM). Pour une présentation complète du cadre TPRM, consultez notre article dédié : Gestion des risques tiers — guide TPRM complet.

La confusion entre simple vérification administrative et due diligence structurée est la première source d'exposition réglementaire pour les entreprises québécoises — elle produit des lacunes documentaires que les examinateurs du CANAFE et les réviseurs du BSIF identifient en priorité lors des examens de conformité.

Cadre réglementaire canadien et québécois (LRPCFAT, CANAFE, BSIF B-10, LPRPDE / Loi 25)

Cinq textes principaux structurent les obligations en matière de vendor due diligence pour les organisations québécoises et canadiennes en 2026.

LRPCFAT (Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes, L.C. 2000, ch. 17)

La LRPCFAT est la loi canadienne fondamentale en matière de lutte contre le blanchiment de capitaux et le financement des activités terroristes. Elle s'applique à un large éventail d'entités déclarantes — institutions financières, entreprises de services monétaires (ESM), courtiers immobiliers, comptables, négociants en métaux précieux et autres désignés en vertu de la loi. Les entités déclarantes doivent identifier leurs clients, vérifier leur identité, conserver les documents prescrits et déclarer certaines opérations au CANAFE.

Le seuil de déclaration pour les opérations en espèces en vertu de la LRPCFAT est de 10 000 $ CAD. Toute opération en espèces d'un montant égal ou supérieur à ce seuil doit être déclarée au CANAFE dans les 15 jours ouvrables. Les déclarations d'opérations douteuses (DOD) doivent être soumises quel que soit le montant lorsqu'il y a des motifs raisonnables de soupçonner qu'une opération est liée au blanchiment de capitaux ou au financement des activités terroristes (LRPCFAT, L.C. 2000, ch. 17).

À noter : ne pas confondre l'AMF Québec avec l'AMF France. L'Autorité des marchés financiers du Québec (AMF Québec) est un organisme de réglementation provincial indépendant qui encadre les marchés de valeurs mobilières, les assurances et les institutions de dépôt au Québec. L'AMF France est une autorité financière française entièrement distincte, sans lien avec l'AMF Québec.

CANAFE (Centre d'analyse des opérations et déclarations financières du Canada)

Le CANAFE est l'unité de renseignement financier du Canada et le principal organisme de réglementation en matière de LBC/FAT. Toutes les entités déclarantes en vertu de la LRPCFAT doivent s'inscrire auprès du CANAFE et se conformer à ses lignes directrices sur l'identification des clients, la conservation des documents et les déclarations. Le CANAFE peut mener des examens de conformité et imposer des sanctions administratives pécuniaires (SAP) pouvant atteindre 500 000 $ par violation pour les personnes physiques et 1 000 000 $ par violation pour les entités.

Lorsqu'un fournisseur est lui-même une entité déclarante — processeur de paiements, ESM ou intermédiaire financier — la vérification de son inscription active au CANAFE et l'examen de son programme de conformité LBC/FAT constituent une étape centrale du processus de vendor due diligence.

BSIF Ligne directrice B-10 : Gestion du risque lié aux tiers (2023)

La Ligne directrice B-10 du Bureau du surintendant des institutions financières, révisée en 2023, expose les attentes du BSIF envers les institutions financières fédérales (IFF) en matière de gestion des risques liés aux tiers. La ligne directrice exige que les IFF maintiennent un programme complet de gestion des risques liés aux tiers couvrant l'identification, l'évaluation des risques, la diligence raisonnable, la gestion des contrats et la surveillance continue de tous les arrangements importants avec des tiers.

En vertu de la Ligne directrice B-10 du BSIF, une IFF doit réaliser une diligence raisonnable fondée sur le risque avant de conclure tout arrangement important avec un tiers et doit documenter son évaluation de la viabilité financière, de la résilience opérationnelle, des pratiques de sécurité de l'information et de la situation réglementaire du tiers. Le risque de concentration — lorsque plusieurs fonctions critiques dépendent d'un seul tiers ou d'un petit nombre de prestataires — doit être explicitement identifié et géré.

AMF Québec et réglementation provinciale des valeurs mobilières

L'Autorité des marchés financiers du Québec (AMF Québec) est l'organisme de réglementation et de surveillance du secteur financier québécois. Elle encadre les marchés de valeurs mobilières, les produits d'assurance, les courtiers en placement, les conseillers en crédit et les institutions de dépôt non fédérales au Québec. Toute entité qui exerce des activités réglementées au Québec sans être inscrite auprès de l'AMF Québec opère illégalement. Pour le vendor due diligence, il est essentiel de vérifier l'inscription des fournisseurs financiers directement auprès de l'AMF Québec, et non auprès de l'AMF France ou d'un autre organisme étranger.

Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) et LPRPDE

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est la loi fédérale canadienne sur la vie privée dans le secteur privé. La Loi 25 du Québec, en vigueur depuis septembre 2023, est plus stricte que la LPRPDE et s'applique à toute organisation qui collecte ou utilise des renseignements personnels concernant des résidents du Québec, peu importe où l'organisation est établie. La Loi 25 impose des évaluations des facteurs relatifs à la vie privée (ÉFVP) avant toute communication de renseignements personnels hors du Québec, le droit à la portabilité des données et des exigences accrues pour les décisions automatisées. La Commission d'accès à l'information (CAI) est l'autorité d'application québécoise ; l'OPC (Commissariat à la protection de la vie privée du Canada) supervise la conformité fédérale (Loi 25, Légisquébec).

Notre analyse de plus de 45 000 dossiers fournisseurs révèle que 14,2 % comportent des erreurs bloquantes — documents expirés, discordances dans les informations sur l'identité des bénéficiaires effectifs, ou numéros d'entreprise (BN/NEQ) incohérents — que les processus de révision manuelle ne détectent pas systématiquement.

Checklist vendor due diligence en 7 étapes pour les entreprises québécoises

Cette checklist couvre le cycle complet d'évaluation d'un fournisseur, de l'entrée en relation jusqu'à la surveillance continue. Elle est applicable quelle que soit la taille de l'entreprise. Pour une checklist élargie couvrant tous les types de due diligence, voir aussi : Due diligence checklist entreprises — guide complet.

Étape 1 — Identification et qualification initiale

• Collecter les documents d'identité légale : certificat de constitution (fédéral LCSA ou provincial), statuts constitutifs, adresse du siège social
• Obtenir et vérifier le numéro d'entreprise (BN) de l'ARC (numéro à 9 chiffres attribué par l'Agence du revenu du Canada) et, pour les compagnies québécoises, le NEQ (numéro d'entreprise du Québec, à 10 chiffres commençant par 1 ou 2) via le Registraire des entreprises du Québec (REQ)
• Identifier et vérifier tous les particuliers exerçant un contrôle significatif (PCS) détenant 25 % ou plus — croiser avec le registre des PCS de la LCSA (Corporations Canada) pour les compagnies fédérales ou le REQ pour les compagnies provinciales
• Confirmer l'absence de procédure d'insolvabilité via le Bureau du surintendant des faillites du Canada (BSF)
• Pour les fournisseurs étrangers : collecter les documents constitutifs équivalents et la liste des dirigeants

Étape 2 — Vérification de la conformité légale et réglementaire

• Vérifier le statut juridique actuel via Corporations Canada (fédéral) ou le REQ (provincial québécois)
• Obtenir les derniers états financiers vérifiés ou les déclarations fiscales les plus récentes
• Vérifier l'absence de jugements ou d'ordonnances d'exécution dans les registres judiciaires provinciaux compétents
• Confirmer les licences et inscriptions sectorielles : inscription au CANAFE (le cas échéant), inscription auprès de l'AMF Québec pour les services financiers et les valeurs mobilières, adhésion au Barreau du Québec pour les avocats, adhésion à l'Ordre des CPA du Québec pour les comptables
• Pour les intermédiaires financiers : confirmer l'inscription active au CANAFE et examiner la documentation du programme de conformité LBC/FAT

Étape 3 — Contrôle des sanctions, des PPE et de la réputation

• Contrôler tous les administrateurs et bénéficiaires effectifs contre la liste des sanctions autonomes du Canada (LMES), la liste consolidée de l'ONU et la liste SDN de l'OFAC
• Vérifier le statut de personne politiquement exposée (PPE) de tous les administrateurs, actionnaires importants et particuliers inscrits au registre des PCS — tant les PPE étrangers que les PPE nationaux (les banques et les ESM canadiennes doivent contrôler les deux catégories en vertu de la LRPCFAT)
• Effectuer une recherche d'antécédents défavorables sur les 5 dernières années : fraude, corruption, blanchiment de capitaux, sanctions réglementaires, enquêtes de la GRC (Gendarmerie royale du Canada)
• Contrôler les mesures d'application de l'AMF Québec, les examens de conformité du CANAFE et les décisions des organismes d'autoréglementation compétents

Étape 4 — Évaluation de la santé financière

• Analyser les trois derniers jeux d'états financiers annuels : état des résultats, bilan, état des flux de trésorerie
• Calculer les ratios clés : ratio de liquidité, ratio d'endettement, marge BAIIA, jours de ventes en suspens
• Évaluer la concentration de la clientèle — signaler si un seul client représente plus de 25 % du chiffre d'affaires
• Vérifier l'existence de sûretés mobilières ou immobilières au Registre des droits personnels et réels mobiliers (RDPRM) du Québec ou au Registre des nantissements selon la province

Étape 5 — Évaluation des risques opérationnels et technologiques

• Examiner le plan de continuité des activités (PCA) et la documentation de reprise après sinistre
• Vérifier les certifications ISO 27001, SOC 2 Type II ou équivalentes pour les fournisseurs qui traitent des données sensibles ou des renseignements personnels
• Cartographier les sous-traitants et les sous-processeurs — identifier le risque de concentration lorsqu'un seul sous-fournisseur est à la base de plusieurs relations fournisseurs critiques
• Pour les entités réglementées par le BSIF B-10 : vérifier la conformité du fournisseur aux exigences relatives à la sous-traitance, aux plans de sortie et aux dispositions en matière de portabilité des données
• Confirmer les droits d'audit contractuels, les obligations de notification des incidents importants et les dispositions d'accès réglementaire

Étape 6 — Protection des renseignements personnels et conformité à la Loi 25

• Confirmer la conformité du fournisseur à la LPRPDE ou à la Loi 25 du Québec pour le traitement des renseignements personnels
• Pour les fournisseurs qui traitent des renseignements personnels de résidents du Québec : confirmer la conformité à la Loi 25, notamment les procédures d'ÉFVP et les mesures de protection pour les transferts hors Québec
• Obtenir une entente de traitement des renseignements personnels signée qui précise la limitation des fins, les délais de conservation et les contrôles des sous-processeurs
• Vérifier l'existence d'un processus documenté de notification d'incident de confidentialité — la LPRPDE exige une notification en cas d'atteinte présentant un risque réel de préjudice grave ; la Loi 25 prévoit des délais de notification à la CAI de 72 heures dans certains cas

Étape 7 — Documentation, notation et surveillance continue

• Attribuer un niveau de risque global (faible / moyen / élevé / critique) sur la base des éléments probants des étapes 1 à 6
• Constituer un dossier fournisseur horodaté regroupant l'ensemble des pièces collectées, les résultats des vérifications et la justification de la notation
• Définir la fréquence de révision : annuelle pour les fournisseurs à risque moyen, semestrielle pour les fournisseurs à risque élevé, déclenchée par événement pour les fournisseurs critiques
• Paramétrer des alertes automatiques pour les événements déclenchants : changements de dirigeants, procédures d'insolvabilité, nouvelles sanctions, mesures d'application du CANAFE ou de l'AMF Québec, atteintes à la confidentialité, ordonnances du BSIF

Les organisations qui formalisent ces 7 étapes dans un processus documenté réduisent de 60 % le temps de traitement par dossier et divisent par trois le nombre de non-conformités détectées lors des audits, selon les données agrégées de notre plateforme CheckFile.

Catégories de risques clés

Chaque fournisseur présente un profil de risque composite. Le tableau ci-dessous recense les principales catégories de risques, les indicateurs d'alerte associés et le niveau de priorité selon le type d'organisation mandante au Québec et au Canada.

Pour les entités assujetties à la Ligne directrice B-10 du BSIF, les risques TIC et de concentration sont classés comme catégories prioritaires critiques, avec des exigences obligatoires de documentation, de plans de sortie et d'obligations de notification pour les tiers désignés comme importants (BSIF).

Un modèle de matrice de notation pondérée, adapté aux exigences réglementaires canadiennes, est disponible dans notre guide de vérification des documents.

Automatiser le vendor due diligence

L'automatisation du vendor due diligence répond à trois contraintes simultanées : le volume croissant de fournisseurs à évaluer, la complexité des cadres réglementaires fédéraux et provinciaux qui se superposent, et la nécessité de disposer d'une piste d'audit solide en cas de contrôle du CANAFE, du BSIF ou de la CAI.

Notre analyse de plus de 45 000 dossiers fournisseurs révèle que 14,2 % comportent des erreurs bloquantes — documents expirés, discordances entre les renseignements sur les bénéficiaires effectifs déclarés et les registres de Corporations Canada ou du REQ, ou attestations présentant des signes de falsification. Ces erreurs ne sont pas détectées par les processus manuels dans plus de 40 % des cas, faute de temps ou de formation uniforme des équipes.

CheckFile automatise le contrôle documentaire à chaque étape de la checklist : extraction OCR des données d'identité légale, vérification de cohérence entre les documents, validation cryptographique des attestations officielles et contrôle automatique quotidien des listes de sanctions et des PPE. La plateforme génère un dossier fournisseur horodaté et signé électroniquement, directement exploitable lors d'un examen de conformité du CANAFE, d'un examen prudentiel du BSIF ou d'une enquête de la CAI.

La dualité du cadre réglementaire canadien — notamment la distinction entre la LPRPDE fédérale et la Loi 25 québécoise, et entre les exigences de la LCSA fédérale et les registres provinciaux comme le REQ — rend la documentation cohérente et structurée particulièrement importante. Les plateformes qui intègrent les exigences propres à chaque province réduisent le risque de lacunes de conformité provinciale.

Pour les équipes de financement et de leasing qui traitent des volumes élevés de dossiers fournisseurs, notre module dédié /solutions/financement-leasing réduit le temps de traitement par dossier de 78 % en moyenne. Les détails techniques sur notre infrastructure de sécurité sont disponibles sur /securite. Consultez nos tarifs pour découvrir les formules adaptées à votre volume de dossiers.

L'automatisation ne supprime pas la responsabilité humaine dans la décision finale — elle la déplace vers l'analyse des cas complexes et la validation des dossiers à risque élevé, là où la valeur ajoutée du responsable conformité est réelle.

Questions fréquemment posées

Qu'est-ce que le vendor due diligence et pourquoi est-il obligatoire au Québec et au Canada ?

Le vendor due diligence est le processus d'évaluation formalisée d'un fournisseur couvrant sa situation financière, juridique, réglementaire et opérationnelle. Au Québec et au Canada, plusieurs textes le rendent obligatoire selon le secteur : la LRPCFAT et les règlements du CANAFE pour les entités déclarantes, la Ligne directrice B-10 du BSIF pour les institutions financières fédérales, la LPRPDE et la Loi 25 lorsque les fournisseurs traitent des renseignements personnels, et les exigences de bénéficiaires effectifs de la LCSA pour les contreparties constituées en personne morale. L'absence de due diligence documentée expose l'organisation à des sanctions administratives pécuniaires du CANAFE, à des mesures prudentielles du BSIF et à des sanctions de la CAI pouvant atteindre 25 000 000 $ ou 4 % du chiffre d'affaires mondial.

Quelle est la différence entre l'AMF Québec et l'AMF France ?

L'Autorité des marchés financiers du Québec (AMF Québec) et l'Autorité des marchés financiers française (AMF France) sont deux organismes de réglementation entièrement distincts et indépendants l'un de l'autre. L'AMF Québec est un organisme provincial québécois qui réglemente les valeurs mobilières, les produits d'assurance et les institutions de dépôt non fédérales au Québec. L'AMF France est l'autorité française de réglementation des marchés financiers. Il est essentiel de ne pas les confondre lors du vendor due diligence : un fournisseur inscrit auprès de l'AMF France n'est pas automatiquement inscrit ou autorisé à exercer des activités financières au Québec. La vérification de la conformité pour les fournisseurs de services financiers au Québec doit se faire directement auprès de l'AMF Québec.

Comment la Loi 25 du Québec affecte-t-elle le vendor due diligence pour les entreprises canadiennes ?

La Loi 25, en vigueur depuis septembre 2023, impose des obligations plus strictes que la LPRPDE fédérale pour toute organisation qui collecte ou utilise des renseignements personnels de résidents du Québec. Pour le vendor due diligence, cela signifie : la réalisation d'une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant toute communication de renseignements personnels à un fournisseur hors Québec, l'obtention d'un engagement écrit du fournisseur à protéger les renseignements selon un niveau de protection comparable, et l'intégration de dispositions contractuelles spécifiques. Les organisations dont le siège social est hors Québec mais qui détiennent des renseignements personnels de résidents du Québec — y compris des employés et des clients — sont pleinement assujetties à la Loi 25. La CAI peut imposer des pénalités allant jusqu'à 25 000 000 $ ou 4 % du chiffre d'affaires mondial pour les violations graves.

À quelle fréquence faut-il renouveler la due diligence fournisseurs au Québec et au Canada ?

La fréquence dépend du niveau de risque attribué au fournisseur et des obligations réglementaires applicables. La Ligne directrice B-10 du BSIF exige une surveillance continue de tous les arrangements importants avec des tiers et une révision formelle périodique au moins une fois par an. Les lignes directrices du CANAFE prévoient que l'obligation de surveillance continue s'applique aux fournisseurs agissant comme intermédiaires selon une approche fondée sur les risques. En pratique, la plupart des programmes de conformité canadiens appliquent une révision semestrielle pour les fournisseurs à risque élevé et critique, une révision annuelle pour les fournisseurs à risque moyen, et une révision déclenchée par événement — changement de dirigeant, acquisition, incident de sécurité, nouvelle sanction — pour tous les fournisseurs.

Quels documents faut-il collecter pour un dossier de vendor due diligence au Québec ?

Le socle documentaire minimum pour un fournisseur québécois comprend : certificat de constitution ou extrait du REQ (moins de 3 mois), confirmation du numéro d'entreprise (BN de l'ARC) et du NEQ (REQ), registre des PCS ou déclaration directe des bénéficiaires effectifs, derniers états financiers vérifiés, attestation d'assurance responsabilité professionnelle et responsabilité civile générale valide, et les licences ou inscriptions sectorielles applicables. Pour les fournisseurs traitant des renseignements personnels de résidents du Québec, ajouter : la documentation de l'ÉFVP, l'entente de traitement des renseignements personnels incluant les dispositions de la Loi 25, et la preuve des mesures de protection comparables. Pour les processeurs de paiements et les ESM, ajouter : la confirmation d'inscription active au CANAFE et le résumé du programme de conformité LBC/FAT.