Vendor due diligence checklist : guide complet évaluation fournisseurs
Guide vendor due diligence en 7 étapes : checklist fournisseurs, obligations DORA/ACPR, évaluation des risques tiers et automatisation conformité 2026.
Résumer cet article avec
ChatGPT
Claude
Perplexity
Gemini
GrokLe vendor due diligence est le processus structuré d'évaluation d'un fournisseur ou prestataire tiers avant la conclusion d'un contrat, puis à intervalles réguliers tout au long de la relation commerciale. Il couvre la situation financière, la conformité réglementaire, la sécurité des systèmes, les risques ESG et la chaîne de sous-traitance. En France, ce processus n'est plus une simple bonne pratique : il est rendu obligatoire par plusieurs textes cumulés — DORA, Sapin II, la loi sur le devoir de vigilance et le dispositif LCB-FT — dont les exigences se superposent selon le secteur et la taille de l'entreprise.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique, financier ou réglementaire. Pour toute situation spécifique, consultez un professionnel qualifié.
Qu'est-ce que le vendor due diligence ?
Le vendor due diligence (VDD) est une évaluation formalisée et documentée d'un tiers — fournisseur, prestataire de services, partenaire technologique ou sous-traitant — visant à identifier, mesurer et documenter les risques qu'il fait peser sur l'organisation qui le mandate. Il se distingue de la simple vérification administrative en ce qu'il porte sur la totalité du profil de risque du tiers : financier, juridique, opérationnel, technologique et éthique.
Le VDD s'inscrit dans le cadre plus large de la gestion des risques tiers (Third-Party Risk Management, TPRM). Pour une présentation complète du cadre TPRM, consultez notre article dédié : Gestion des risques tiers — guide TPRM complet.
| Type de due diligence | Périmètre principal | Déclencheur typique |
|---|---|---|
| Due diligence standard (CDD) | Identité, situation financière, antécédents judiciaires | Tout nouveau fournisseur |
| Due diligence renforcée (EDD) | Contrôles approfondis, UBO, PPE, sanctions | Fournisseur à risque élevé, zones géographiques sensibles |
| Due diligence continue | Surveillance des changements de profil de risque | Contrats en cours, renouvellements |
| Due diligence ESG | Pratiques sociales, environnementales, gouvernance | Obligations loi devoir de vigilance, reporting CSRD |
La confusion entre simple vérification administrative et due diligence structurée est la première source d'exposition légale pour les entreprises françaises assujetties — elle conduit à des lacunes documentaires sanctionnées lors des contrôles ACPR et Tracfin.
Obligations réglementaires en France
Quatre textes principaux structurent les obligations françaises en matière de vendor due diligence, avec des champs d'application distincts qui se cumulent fréquemment.
DORA (Règlement UE 2022/2554, art. 28) — entités financières
Le règlement DORA s'applique depuis le 17 janvier 2025 à l'ensemble des entités financières réglementées dans l'UE : banques, assureurs, sociétés de gestion, prestataires de services de paiement et infrastructures de marché. Son article 28 impose une due diligence documentée avant tout recours à un prestataire tiers de services TIC (technologies de l'information et de la communication), et une surveillance continue tout au long du contrat. L'évaluation doit couvrir la concentration du risque, les sous-traitants en cascade et les plans de continuité.
Depuis janvier 2025, les entités financières doivent maintenir un registre complet de leurs prestataires TIC tiers, avec documentation des évaluations de risque initiaux et périodiques (DORA art. 28, EUR-Lex).
Loi Sapin II (art. 17) — entreprises de plus de 500 salariés
L'article 17 de la loi Sapin II oblige toutes les sociétés françaises dépassant 500 salariés et 100 millions d'euros de chiffre d'affaires à mettre en place un programme de conformité anticorruption. Ce programme comprend obligatoirement une cartographie des risques de corruption et un dispositif d'évaluation des tiers — fournisseurs, clients, intermédiaires — présentant les risques les plus élevés. L'Agence française anticorruption (AFA) publie des recommandations précises sur le contenu de cette évaluation.
La procédure d'évaluation doit être proportionnée au risque identifié et couvrir a minima : la vérification de l'identité réelle du tiers (UBO), la recherche d'antécédents de corruption et la cohérence entre l'activité déclarée et les flux financiers (Loi Sapin II, Légifrance).
Loi sur le devoir de vigilance (n°2017-399) — grandes entreprises
La loi sur le devoir de vigilance s'applique aux sociétés françaises de plus de 5 000 salariés en France ou 10 000 dans le monde. Elle impose l'élaboration, la publication et la mise en oeuvre effective d'un plan de vigilance couvrant les filiales, les sous-traitants et les fournisseurs avec lesquels la société entretient une relation commerciale établie.
Le plan de vigilance doit inclure une cartographie des risques d'atteintes aux droits humains et à l'environnement dans toute la chaîne d'approvisionnement, ainsi que des procédures d'évaluation régulière (Loi devoir de vigilance n°2017-399, Légifrance).
LCB-FT et Tracfin — entités assujetties
Les établissements financiers, assureurs, notaires, avocats et autres professionnels assujettis à la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) doivent appliquer des mesures de vigilance à l'égard de leurs clients et, dans certains cas, de leurs fournisseurs et intermédiaires. L'AMF et l'ACPR ont publié des lignes directrices communes précisant les diligences attendues (AMF, LCB-FT, ACPR).
Notre analyse de 45 000+ dossiers fournisseurs révèle que 14,2 % comportent des erreurs bloquantes — documents expirés, incohérences d'identité UBO, ou attestations non authentifiées — exposant directement l'entreprise mandante à une mise en cause réglementaire.
Checklist vendor due diligence en 7 étapes
Cette checklist couvre le cycle complet d'évaluation d'un fournisseur, de l'entrée en relation jusqu'à la surveillance continue. Elle est applicable quelle que soit la taille de l'entreprise et peut être adaptée selon le niveau de risque du tiers. Pour une checklist élargie couvrant tous les types de due diligence entreprises, voir aussi : Due diligence checklist entreprises — guide complet.
Etape 1 — Identification et qualification initiale
- Collecter les documents d'identité légale : extrait Kbis ou équivalent étranger, statuts, numéro SIREN/SIRET
- Identifier les bénéficiaires effectifs ultimes (UBO) à partir du registre RBE ou déclaration directe
- Vérifier l'inscription au registre du commerce et l'absence de procédure collective
- Confirmer l'adresse de siège social et les établissements secondaires pertinents
Etape 2 — Vérification de la conformité légale et fiscale
- Obtenir l'attestation de vigilance URSSAF ou équivalent étranger (validité 6 mois)
- Vérifier la régularité fiscale via l'attestation fiscale ou le bilan le plus récent
- Contrôler l'absence de condamnation pénale du dirigeant via le casier judiciaire B3 (si applicable)
- Pour les entités étrangères : vérifier l'équivalent du Kbis et la liste des dirigeants
Etape 3 — Screening sanctions, PPE et listes noires
- Contrôler les dirigeants et UBO contre les listes de sanctions (UE, OFAC, ONU)
- Vérifier le statut Personne Politiquement Exposée (PPE) des dirigeants et actionnaires significatifs
- Rechercher les antécédents de corruption, fraude ou blanchiment dans les bases publiques
- Contrôler la liste noire Tracfin et les signalements publics ACPR
Etape 4 — Evaluation financière
- Analyser les trois derniers bilans et comptes de résultat
- Calculer les ratios de liquidité, solvabilité et rentabilité
- Evaluer la dépendance envers un ou quelques clients majeurs
- Vérifier l'absence de nantissements, hypothèques ou créances privilégiées significatives
Etape 5 — Evaluation des risques opérationnels et technologiques
- Evaluer le plan de continuité d'activité (PCA/PRA) du fournisseur
- Vérifier les certifications ISO 27001, SOC 2 ou équivalent si traitement de données sensibles
- Identifier les sous-traitants de rang 1 du fournisseur (risque de concentration)
- Evaluer la dépendance technologique : cloud providers, systèmes critiques
Etape 6 — Evaluation ESG et devoir de vigilance
- Recueillir le code de conduite fournisseur signé ou équivalent
- Vérifier la politique droits humains et conditions de travail dans la chaîne d'approvisionnement
- Collecter le rapport de durabilité ou bilan carbone si disponible
- Evaluer les risques géographiques liés aux zones d'approvisionnement du fournisseur
Etape 7 — Documentation, scoring et surveillance continue
- Attribuer un score de risque global (faible / moyen / élevé) sur la base des étapes précédentes
- Constituer un dossier fournisseur horodaté avec l'ensemble des pièces collectées
- Définir la fréquence de renouvellement de la due diligence selon le score de risque
- Paramétrer des alertes automatiques pour les événements déclenchants (changement de dirigeant, procédure collective, nouvelle sanction)
Les organisations qui formalisent ces 7 étapes dans un processus documenté réduisent de 60 % le temps de traitement par dossier et divisent par trois le nombre de non-conformités détectées lors des audits internes, selon les données agrégées de notre plateforme CheckFile .
Approfondir le sujet
Découvrez nos guides pratiques et ressources pour maîtriser la conformité documentaire.
Explorer nos guidesLes catégories de risques à évaluer
Chaque fournisseur présente un profil de risque composite. Le tableau suivant structure les principales catégories, les indicateurs d'alerte associés et le niveau de priorité selon le type d'entité mandante.
| Catégorie de risque | Indicateurs d'alerte clés | Priorité (entité financière) | Priorité (entreprise industrielle) |
|---|---|---|---|
| Risque financier | Fonds propres négatifs, retards de paiement, procédure collective | Haute | Haute |
| Risque de conformité / sanctions | Inscription sur liste UE/OFAC, PPE non déclaré | Critique | Haute |
| Risque opérationnel | Absence de PCA, concentration fournisseur unique | Haute | Moyenne |
| Risque technologique / cyber | Absence ISO 27001, incident de sécurité récent | Critique (DORA) | Moyenne |
| Risque juridique | Litiges en cours, condamnations pénales dirigeants | Haute | Haute |
| Risque ESG | Violations droits humains, contentieux environnemental | Moyenne | Haute (devoir de vigilance) |
| Risque géographique | Zones sous embargo, pays à fort risque GAFI | Critique | Haute |
| Risque de concentration | Fournisseur unique pour fonction critique | Haute | Haute |
Pour les entités soumises à DORA, le risque technologique et le risque de concentration ont été reclassés en priorité critique depuis janvier 2025, avec une obligation de documentation et de plan de sortie pour les prestataires qualifiés de critiques (DORA art. 28).
Une grille de scoring pondéré, adaptée à votre secteur, est disponible dans notre guide de vérification des documents.
Automatiser le vendor due diligence
L'automatisation du vendor due diligence répond à trois contraintes simultanées : le volume croissant de fournisseurs à évaluer, la complexité réglementaire qui s'accroît chaque année, et la nécessité de disposer d'une piste d'audit solide en cas de contrôle.
Notre analyse de 45 000+ dossiers fournisseurs révèle que 14,2 % comportent des erreurs bloquantes — documents expirés, incohérences entre les données UBO déclarées et le registre RBE, ou attestations présentant des signes de falsification. Ces erreurs ne sont pas détectées par les processus manuels dans plus de 40 % des cas, faute de temps ou de formation des équipes achats.
CheckFile automatise les vérifications documentaires à chaque étape de la checklist : extraction OCR des données d'identité légale, contrôle de cohérence entre documents, vérification cryptographique des attestations officielles (URSSAF, Kbis), et screening automatique contre les listes de sanctions mises à jour quotidiennement. La plateforme génère un dossier fournisseur horodaté et signé électroniquement, directement exploitable lors d'un contrôle ACPR ou d'un audit interne.
Pour les équipes de financement et leasing qui traitent des volumes élevés de dossiers fournisseurs, notre module dédié /solutions/financement-leasing réduit le temps de traitement par dossier de 78 % en moyenne. Les détails techniques sur notre infrastructure de sécurité sont disponibles sur /securite.
L'automatisation ne supprime pas la responsabilité humaine dans la décision finale — elle la déplace vers l'analyse des cas complexes et la validation des dossiers à risque élevé, là où la valeur ajoutée du compliance officer est réelle. Consultez nos tarifs pour découvrir les formules adaptées à votre volume de dossiers.
Questions pratiques des praticiens
"Notre direction achats demande une due diligence sur tous nos fournisseurs, mais nous en avons plus de 800. Par où commencer ?"
La meilleure approche est une segmentation par criticité et par risque intrinsèque. Commencez par cartographier vos fournisseurs selon deux axes : impact sur vos opérations en cas de défaillance, et exposition réglementaire (fournisseurs traitant des données personnelles, prestataires TIC pour les entités DORA, intermédiaires commerciaux pour Sapin II). Les fournisseurs à impact élevé et risque élevé font l'objet d'une due diligence renforcée prioritaire. Les fournisseurs à faible criticité peuvent relever d'une due diligence allégée automatisée. Cette segmentation permet de concentrer les ressources humaines là où le risque réel est maximal.
"Nous avons un fournisseur stratégique en place depuis 10 ans. Doit-on refaire une due diligence complète ?"
Oui, et c'est l'une des erreurs les plus fréquentes dans les programmes de conformité matures. La durée de la relation commerciale ne neutralise pas le risque — elle peut même l'aggraver si aucune réévaluation n'a été conduite. Un changement de dirigeant, une acquisition, un incident de sécurité ou une sanction récente peuvent transformer un fournisseur historiquement fiable en risque majeur. Les référentiels DORA et les recommandations AFA préconisent une réévaluation au minimum annuelle pour les fournisseurs critiques, indépendamment de l'ancienneté de la relation.
Questions fréquemment posées
Qu'est-ce que le vendor due diligence et pourquoi est-il obligatoire en France ?
Le vendor due diligence est le processus d'évaluation formalisée d'un fournisseur couvrant sa situation financière, juridique, réglementaire et opérationnelle. En France, plusieurs textes le rendent obligatoire selon le secteur : DORA pour les entités financières (art. 28), Sapin II pour les entreprises de plus de 500 salariés (art. 17), la loi sur le devoir de vigilance pour les grandes entreprises, et le dispositif LCB-FT pour les professionnels assujettis. L'absence de due diligence documentée expose l'entreprise à des sanctions administratives, des amendes et une mise en cause de sa responsabilité civile.
Quelle est la différence entre due diligence standard et due diligence renforcée ?
La due diligence standard (CDD) couvre les vérifications de base : identité légale, situation financière, absence de sanctions. La due diligence renforcée (EDD) est déclenchée par un niveau de risque élevé — fournisseur situé dans un pays à risque GAFI, PPE parmi les dirigeants, activité dans un secteur sensible, ou montants contractuels significatifs. L'EDD inclut des vérifications approfondies sur les UBO, une analyse des flux financiers et une revue plus fréquente.
A quelle fréquence faut-il renouveler la due diligence fournisseurs ?
La fréquence dépend du niveau de risque attribué au fournisseur et des obligations réglementaires applicables. Pour les entités soumises à DORA, une réévaluation annuelle des prestataires TIC critiques est requise. Les recommandations AFA (Sapin II) préconisent une revue au moins annuelle pour les tiers à risque élevé. En pratique, les équipes compliance appliquent une revue semestrielle pour les fournisseurs critiques et une revue annuelle ou déclenchée par événement (changement de dirigeant, acquisition, incident) pour les autres.
Quels documents faut-il collecter dans le cadre d'un vendor due diligence ?
Le socle documentaire minimum comprend : extrait Kbis ou équivalent étranger (moins de 3 mois), statuts à jour, déclaration des bénéficiaires effectifs (RBE), attestation URSSAF (moins de 6 mois), attestation fiscale, trois derniers bilans, preuve de couverture d'assurance professionnelle, et — selon le secteur — certifications ISO, politiques de sécurité et codes de conduite signés. Pour les prestataires TIC soumis à DORA, s'ajoutent les plans de continuité et les rapports d'audit de sécurité.
Comment prouver que la due diligence a bien été réalisée lors d'un contrôle ACPR ou Tracfin ?
La preuve réside dans le dossier fournisseur : il doit être horodaté, avec chaque document daté de sa collecte, le résultat des vérifications d'authenticité, le score de risque attribué et les décisions prises (validation, refus, escalade). Un registre des réévaluations avec les dates et les conclusions complète le dispositif. Les plateformes comme CheckFile génèrent automatiquement cette documentation dans un format directement exploitable lors d'un contrôle.
Restez informé
Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.