Skip to content
Détection IA & DeepfakeNouveau

Signaux IA, synthétiques, deepfakes

Cas clientTarifsSécuritéComparatifBlog
GlossaireGuides paysChecklistsCalculateur ROI

Europe

Americas

Oceania

Conformité9 min de lecture

Know Your Supplier (KYS) : vérification et conformité fournisseurs

Guide complet sur la démarche KYS : obligations légales, étapes de vérification, outils et bonnes pratiques pour sécuriser vos relations fournisseurs en 2026.

L'équipe CheckFile
L'équipe CheckFile·
Illustration for Know Your Supplier (KYS) : vérification et conformité fournisseurs — Conformité

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Le Know Your Supplier (KYS) désigne l'ensemble des procédures de vérification qu'une entreprise applique à ses fournisseurs avant et pendant une relation commerciale. À l'image du KYC (Know Your Customer) dans le secteur financier, le KYS vise à identifier les risques juridiques, financiers et réputationnels liés à chaque tiers. En France, les obligations découlant de la loi Sapin II (loi n° 2016-1691) et de la loi sur le devoir de vigilance (loi n° 2017-399) rendent cette démarche incontournable pour les grandes entreprises, et progressivement pour leurs sous-traitants.

Selon les données compilées par Trustpair, la fraude au faux fournisseur a représenté 230 millions d'euros détournés au premier semestre 2025 en France, soit une hausse de 44 % sur un an. La mise en place d'un programme KYS structuré est aujourd'hui l'une des réponses les plus efficaces pour prévenir ces détournements.

Qu'est-ce que le KYS et pourquoi est-il obligatoire en France ?

Le KYS couvre trois dimensions essentielles : l'identité légale du fournisseur (numéro SIRET, extrait Kbis, bénéficiaires effectifs), la solvabilité financière (bilans, cotation Banque de France), et la réputation réglementaire (présence sur des listes de sanctions, condamnations, enquêtes en cours).

La loi Sapin II impose aux entreprises de plus de 500 salariés (ou appartenant à un groupe dont l'effectif dépasse ce seuil) de mettre en place un programme anticorruption incluant une cartographie des risques tiers. Le non-respect de cette obligation expose l'entreprise à des sanctions pécuniaires de l'Agence française anticorruption (AFA) pouvant atteindre 200 000 € pour les personnes physiques et 1 million d'euros pour les personnes morales, selon l'article 17 de la loi n° 2016-1691.

La loi sur le devoir de vigilance (loi n° 2017-399) va plus loin en imposant aux sociétés mères employant plus de 5 000 personnes en France (ou 10 000 dans le monde) d'établir un plan de vigilance couvrant leurs fournisseurs directs et sous-traitants sur les atteintes aux droits humains et à l'environnement. Depuis 2024, la directive CSRD (Corporate Sustainability Reporting Directive) étend ces exigences à un périmètre élargi d'entreprises européennes.

Texte Champ d'application Obligation KYS principale
Loi Sapin II (2016) >500 salariés ou groupe >500 Cartographie risques tiers, due diligence anticorruption
Loi Vigilance (2017) >5 000 salariés France / 10 000 monde Plan de vigilance chaîne d'approvisionnement
6e directive LCB-FT (AMLD6) Entités assujetties Vérification identité tiers, bénéficiaires effectifs
CSRD (2024-2026) >250 salariés / >40 M€ CA progressivement Diligence raisonnée ESG sur la chaîne de valeur

Les 5 étapes d'un processus KYS efficace

Étape 1 – Collecte documentaire initiale. Avant toute commande ou engagement contractuel, demandez systématiquement le Kbis de moins de trois mois, le numéro SIRET actif, les statuts de la société, la liste des bénéficiaires effectifs inscrits au registre RBE (disponible sur data.inpi.fr), et un RIB accompagné d'un relevé d'identité bancaire certifié.

Étape 2 – Vérification des données légales. Croisez le SIRET sur avis-situation-sirene.insee.fr pour confirmer l'activité de l'entreprise. Consultez le Kbis via data.inpi.fr ou via un prestataire accrédité. Vérifiez l'absence de procédure collective sur bodacc.fr.

Étape 3 – Contrôle des listes de sanctions. Le screening doit couvrir au minimum les listes de l'Union européenne (sanctions.eu), de l'OFAC américain, et les listes Tracfin. Les entreprises assujetties à la LCB-FT (directive 2015/849 transposée par l'ordonnance n° 2016-1635) ont une obligation légale de ce contrôle.

Étape 4 – Analyse des risques ESG et réputationnels. Intégrez une recherche sur les médias négatifs (adverse media screening) et, le cas échéant, un questionnaire d'auto-évaluation RSE conforme aux exigences de la norme ISO 20400 ou du référentiel ECOVADIS.

Étape 5 – Surveillance continue. Le KYS n'est pas une opération ponctuelle. Configurez des alertes automatiques sur les modifications du registre du commerce (changement de dirigeants, dépôt de bilan) et renouvelez la vérification à chaque modification bancaire — c'est précisément à ce moment que se concentre la fraude au virement.

La fraude au faux fournisseur : le risque le plus sous-estimé

Sur les forums professionnels et les réseaux de dirigeants financiers, la question revient régulièrement : « Comment valider un changement de RIB sans risquer de virer à un fraudeur ? »

La réponse tient en trois règles opérationnelles :

  1. Ne jamais modifier un RIB uniquement sur demande par email. Exiger un appel de confirmation sur le numéro enregistré dans votre système ERP, indépendamment du numéro fourni dans l'email.
  2. Systématiser la double validation : toute modification bancaire doit être approuvée par deux personnes différentes, dont au moins une appartenant à la direction financière.
  3. Utiliser un service de vérification RIB/IBAN automatisé qui recroupe les données avec les registres bancaires : les solutions de vérification documentaire automatisée comme CheckFile permettent de détecter les incohérences entre le titulaire du compte et les informations légales du fournisseur.

La directive AMLD6 (Directive (UE) 2024/1640), entrée en vigueur le 10 juillet 2027, renforce les obligations des entités assujetties concernant la vérification des contreparties. Dès 2026, les premières exigences de transposition s'appliquent aux établissements financiers français.

Pour en savoir plus sur la détection des signaux faibles dans les documents, consultez notre article sur la détection de fraude documentaire par l'IA.

Prêt à automatiser vos vérifications ?

Pilote gratuit sur vos propres documents. Résultats en 48 h.

Demander un pilote gratuit

KYS, KYC et KYB : quelles différences ?

Les trois acronymes couvrent des périmètres distincts mais complémentaires :

  • KYC (Know Your Customer) : vérification de l'identité des clients, obligatoire pour les entités assujetties à la LCB-FT (banques, assurances, notaires, experts-comptables).
  • KYB (Know Your Business) : vérification des entreprises clientes lors de l'onboarding B2B, incluant la structure juridique et les bénéficiaires effectifs. Voir notre guide KYB complet.
  • KYS (Know Your Supplier) : vérification des fournisseurs et sous-traitants, dans une logique de gestion des risques tiers et de conformité aux lois Sapin II et Vigilance.

Un programme de conformité mature intègre ces trois dimensions de manière cohérente, souvent au sein d'un système de gestion des tiers (Third-Party Management).

Automatiser le KYS : quels outils choisir ?

Les entreprises disposent aujourd'hui de plusieurs niveaux d'automatisation :

Niveau 1 — Vérification ponctuelle : des services d'API permettent d'interroger les registres officiels (INSEE, INPI, Banque de France) et de croiser automatiquement les données fournisseurs avec les listes de sanctions. CheckFile prend en charge plus de 3 200 types de documents dans 32 juridictions, permettant une vérification documentaire fournisseurs dans un contexte multi-pays.

Niveau 2 — Workflow documentaire : intégration dans l'ERP ou le système procure-to-pay (SAP Ariba, Coupa, Ivalua) pour automatiser la collecte des justificatifs à chaque événement déclencheur (premier référencement, modification bancaire, renouvellement annuel).

Niveau 3 — Surveillance continue : alertes en temps réel sur les modifications au registre du commerce, les publications BODACC, et les nouvelles inscriptions sur les listes de sanctions. Cette couche est la plus critique car elle couvre le risque post-onboarding, souvent négligé.

Pour évaluer la pertinence d'une solution par rapport au développement en interne, consultez notre comparatif build vs buy en validation documentaire.

Constituer et conserver le dossier KYS

La loi Sapin II impose une traçabilité des vérifications effectuées. Le dossier KYS doit contenir :

  • Les documents collectés et la date de leur vérification
  • Les résultats des contrôles (listes de sanctions, registres)
  • L'identité de la personne ayant réalisé et validé chaque contrôle
  • L'historique des modifications (notamment bancaires)

La durée de conservation légale est de 5 ans après la fin de la relation commerciale (art. L. 561-12 du Code monétaire et financier pour les entités assujetties LCB-FT). Pour les obligations Sapin II, l'AFA recommande de conserver les preuves de due diligence pendant la durée de la relation et 5 ans supplémentaires.

Découvrez comment CheckFile garantit la sécurité et la traçabilité de vos vérifications documentaires dans un environnement ISO 27001.

Questions fréquemment posées

Le KYS est-il obligatoire pour les PME ?

La loi Sapin II s'applique directement aux entreprises de plus de 500 salariés. Cependant, les PME sous-traitantes de grands groupes sont de plus en plus soumises à des questionnaires KYS par leurs donneurs d'ordre, dans le cadre du devoir de vigilance de ces derniers. L'adoption d'un process KYS simplifié est donc un avantage concurrentiel pour les PME souhaitant travailler avec de grands comptes.

Comment vérifier les bénéficiaires effectifs d'un fournisseur ?

En France, les bénéficiaires effectifs sont enregistrés au Registre des Bénéficiaires Effectifs (RBE) géré par l'INPI, accessible via data.inpi.fr. Depuis la loi n° 2021-1308 de décembre 2021, les informations sont consultables par toute personne justifiant d'un intérêt légitime.

Quelle différence entre une attestation de vigilance et un KYS ?

L'attestation de vigilance URSSAF (disponible sur urssaf.fr) certifie que le fournisseur est à jour de ses cotisations sociales. Elle constitue un élément du KYS, mais ne couvre pas la vérification d'identité, le screening sanctions ni l'analyse ESG. Le KYS est une démarche plus large qui intègre l'attestation de vigilance parmi d'autres contrôles.

À quelle fréquence renouveler la vérification KYS ?

Au minimum une fois par an pour les fournisseurs actifs, et à chaque événement déclencheur : changement de dirigeant, modification bancaire, renouvellement de contrat, signalement dans les médias. Pour les fournisseurs à risque élevé (secteurs à risque, pays sous surveillance), une surveillance en continu avec alertes automatiques est recommandée.

Quels sont les risques en cas d'absence de programme KYS ?

Les risques sont multiples : financiers (fraude au virement, paiement à une entité sanctionnée), juridiques (mise en cause de la responsabilité pénale du dirigeant pour complicité de corruption ou de blanchiment), et réputationnels (associations avec des fournisseurs impliqués dans des scandales ESG ou des violations des droits humains).

Cet article est fourni à titre informatif et ne constitue pas un conseil juridique. Les obligations légales varient selon la taille de l'entreprise, le secteur et la nature des relations commerciales. Consultez un conseiller juridique spécialisé pour une analyse adaptée à votre situation.

Restez informé

Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.

Prêt à automatiser vos vérifications ?

Pilote gratuit sur vos propres documents. Résultats en 48 h.

Articles associés

Conformité9 min

Conformité LCB-FT pour les gestionnaires de patrimoine 2026

Obligations LCB-FT des CGP, CIF et gérants de fortune en 2026 : KYC, vigilance renforcée, déclarations TRACFIN, sanctions ACPR et comment automatiser la vérification documentaire.

Lire
Conformité10 min

Directive lanceurs d'alerte : guide conformité et documentation 2026

Obligations documentaires complètes pour la conformité à la Directive UE 2019/1937 et la loi française 2022-401 : canaux de signalement, gestion des dossiers, sanctions.

Lire
Conformité8 min

Déclaration de soupçon TRACFIN : guide pratique 2026 pour les entités assujetties

Tout savoir sur la déclaration de soupçon TRACFIN en 2026 : qui est obligé, quand déclarer, comment utiliser ERMES, et quelles sanctions en cas de non-déclaration.

Lire