Évaluation des tiers : tous les tiers doivent-ils être évalués ? 

L’évaluation des tiers est une obligation légale de la loi Sapin 2. Mais, au-delà du programme de conformité contre la corruption, l’évaluation est surtout une recommandation forte de l’Agence Française Anticorruption (AFA) pour toutes les entreprises, collectivités et administrations.

Mais comment intégrer cette nouvelle exigence dans un programme déjà saturé de normes ? Comment vous y retrouver quand vous devez composer avec des dizaines, des centaines, voire des milliers de tiers différents ? L’usine à gaz n’est jamais loin.

Faut-il réellement évaluer tous vos tiers ? La réponse ne peut être ni binaire, ni uniforme. Si ignorer un tiers crée des angles morts dangereux, tous les partenaires n’exposent pas l’organisation au même niveau de risque. L’enjeu n’est donc pas d’évaluer tous les tiers. L’enjeu est de prévenir les risques en construisant un processus d’évaluation des tiers proportionné et réellement efficace.

🎯 Le défi du volume : pourquoi l’exhaustivité est un piège

L’évaluation des tiers dépasse aujourd’hui le cadre de l’article 17 de la loi Sapin 2 de lutte contre la corruption. Elle est devenue un levier clé de conformité et de performance durable pour les entreprises, collectivités et administrations. Mais si son principe fait consensus, sa mise en œuvre se heurte rapidement à un défi de taille : le volume de tiers à analyser. 

Les tiers : un vecteur essentiel de risques

Les tiers interviennent, au nom de l’organisation ou dans son intérêt, sur l’ensemble de la chaîne de valeur de l’entreprise, collectivité ou administration. Ces contacts de proximité ouvrent une brèche dans le dispositif de prévention et de maîtrise des risques. 

Les tiers sont le point d’entrée de nombreux risques : corruption, conflits d’intérêts, atteintes aux droits humains et sociaux, manquements environnementaux, risques de réputation et d’éthique, ruptures de la chaîne d’approvisionnement, risques commerciaux et opérationnels, non-conformité réglementaire ou encore failles dans la sécurité informatique. Loi Sapin 2, devoir de vigilance, protection des données personnelles : les législations en vigueur sont claires. Les organisations sont responsables des pratiques de leurs partenaires. L’évaluation de l’intégrité des tiers leur permet de prouver leur diligence et leur bonne foi, tout en limitant les risques associés aux tiers.

Un obstacle majeur : le nombre de tiers

Dans un monde interconnecté, le nombre de tiers ne cesse d’augmenter. Potentiellement illimitée, cette hausse engendre flambée des coûts de l’évaluation, charge opérationnelle et complexité organisationnelle. Le seuil de saturation dépend de la structure et des ressources de l’organisation : une PME ou une petite collectivité pourra être mise en difficulté dès 50 tiers à gérer ; une grande entreprise atteindra ses limites à partir de plusieurs centaines.

⚖️ Évaluer tous les tiers : oui, mais de façon différenciée !

Face à la diversité, l’hétérogénéité et le volume des tiers, la question se pose : faut-il tous les évaluer ? La réponse est oui, mais pas tous de la même façon. 

Les limites d’une évaluation des tiers uniforme

Évaluer tous les tiers, sans distinction, peut rassurer l’entreprise, la collectivité ou l’administration. Mais cette méthode se heurte vite aux réalités du terrain.
Loin de renforcer le dispositif de maîtrise des risques, une évaluation des tiers systématique peut au contraire l’affaiblir. Elle génère : 

• Une charge opérationnelle excessive, difficilement à soutenir dans le temps. 
• Des coûts élevés, parfois disproportionnés au regard des enjeux réels.  
• Une dilution de l’attention, au détriment des tiers véritablement critiques. 
• Une perte de confiance dans la relation d’affaires, lorsque les exigences sont perçues par les tiers comme injustifiées ou excessives. 
• Un faible engagement des équipes métiers, confrontées à des procédures d’évaluation jugées complexes et inadaptées. 

Tous les tiers ne présentent pas le même niveau de risque

Les tiers n’exposent pas l’entreprise, la collectivité ou l’administration aux mêmes risques. Le niveau de criticité dépend de nombreux critères d’évaluation des tiers :

• La nature de la relation (commerciale, financière, institutionnelle…)
• La date d’entrée en relation et la fréquence des échanges.
• Le secteur d’activité.
• Le degré de dépendance économique.
• Le pays d’implantation ou d’intervention.
• Le type d’opérations effectuées.
• Les antécédents d’affaires financières ou de corruption.
• La présence d’une personne publiquement exposée (PEP).

Ainsi, deux tiers appartenant à la même typologie peuvent présenter des profils de risque très différents en raison du contexte de leur intervention. Par exemple, la collaboration avec une entité dans un environnement réglementaire exigeant n’appellera pas la même vigilance qu’une entité qui intervient dans un pays vulnérable à la corruption.

Les risques d’une évaluation mal ciblée

Traiter tous les tiers de manière uniforme expose à deux écueils : la sur-évaluation et la sous-évaluation. 

Un processus d’évaluation des tiers mal calibré peut entraîner :

• Un faux sentiment de maîtrise, lorsque trop d’efforts sont concentrés sur des tiers peu sensibles.
• Des angles morts, laissant de côté des tiers réellement à risque.
• Une perte de crédibilité du dispositif de compliance, en interne et auprès de toutes les parties prenantes externes.

🛠️ Méthodologie : 3 étapes pour une évaluation efficace

Identifier l’ensemble des tiers est nécessaire. Mais cela ne signifie pas qu’ils doivent tous être évalués de la même manière. L’efficacité du processus d’évaluation ne se mesure pas à la quantité de tiers analysés, mais à la pertinence des arbitrages. Le défi : prioriser intelligemment.

1️⃣ Première étape : le recensement des tiers

Dans la mesure du possible, l’entreprise, la collectivité ou l’administration doit identifier a minima tous ses tiers de niveau 1.
En 2024, l’étude de l’Agence Française Anticorruption (AFA) révèle qu’en France, seuls deux tiers des entreprises interrogées liste l’ensemble de leurs partenaires. Le tiers restant est freiné par : 

• Un accès difficile aux données. 
• Un manque de ressources dans les équipes. 
• La difficulté à appréhender la diversité des tiers. 
• La mise en place d’un seuil volontaire (par exemple, ignorance des transactions occasionnelles ou de faibles montants). 

Cette première phase d’identification est pourtant essentielle pour une vision globale des risques.
Plusieurs outils aident à fiabiliser la cartographie des tiers : 

• Logiciels internes (outils comptables, juridiques, de relation clients et de contrôle de gestion).
• Cartographie des risques de corruption. 
• Registres internes (cadeaux, invitations, dons, partenariats, mécénat, conflits d’intérêts…) 
• Rapports de contrôles et d’audits internes. 
• Questionnaires internes transmis aux différents services de l’organisation. 
• Etc.

2️⃣ Deuxième étape : une première classification par typologies de tiers

La deuxième phase consiste à regrouper les tiers par grandes typologies. Chaque catégorie expose l’entreprise, la collectivité ou l’administration à des risques propres : 

• La faillite d’un fournisseur fragilise la chaîne d’approvisionnement. 
• Les investisseurs et actionnaires influencent la gouvernance, la stratégie et la réputation de l’organisation. 
• Un intermédiaire expose aux risques de corruption ou de procédés commerciaux déloyaux. 
• Un prestataire de services manipule des données sensibles ou s’introduit dans des systèmes critiques. 

Cette première segmentation par typologie pose un cadre clair et met en lumière les premières zones de vigilance.

3️⃣ Troisième étape : l’approche par les risques

Méthode d’évaluation des tiers la plus robuste, l’approche par les risques affine cette première lecture.

Elle concentre l’effort sur les tiers aux profils les plus risqués pour l’entreprise, la collectivité ou l’administration. Subjective et contextuelle, cette évaluation du niveau de risques tient compte des spécificités de l’organisation : son activité, son site géographique, ses priorités stratégiques, sa robustesse.  

Pour repérer les tiers les plus sensibles, cette méthode de notation croise les typologies de tiers et les niveaux de risque, à partir de critères pertinents, personnalisés et hiérarchisés. 

Établir ce classement par groupes de risques tiers (faible, moyen, élevé, critique) facilite la prise de décision. Les résultats permettent d’ajuster l’évaluation au niveau de risque identifié, et non d’imposer une logique uniforme et inefficace. Ainsi :

• Les tiers à faible risque bénéficieront d’un processus d’évaluation allégé, rapide et peu intrusif (approche déclarative, dénomination sociale, forme juridique, date de création…)
• Les tiers à risque élevé nécessiteront des vérifications complémentaires et une évaluation approfondie (due diligence renforcée).

🔎 Qui sont les tiers ?

La catégorie des tiers regroupe des acteurs divers et hétérogènes : fournisseurs, sous-traitants, prestataires de service, administrés, clients, usagers, investisseurs, partenaires financiers, actionnaires, sponsors, délégataires de service public, titulaires de marché public, distributeurs, acteurs publics, etc.

Les entreprises, collectivités et administrations sont au centre d’une véritable toile d’araignée de tiers. On parle de tiers de premier rang lorsqu’ils entretiennent une relation directe avec l’organisation. Mais il existe aussi des « tiers de tiers » de niveau 2, 3 ou 4 qui peuvent générer des risques potentiels par effet domino.

🚀 La digitalisation : évaluer « moins » pour évaluer « mieux »

La digitalisation soutient le passage d’une logique d’évaluation exhaustive – lourde et inefficace – à une approche ciblée, cohérente et proportionnée, valorisée par les autorités de contrôle. 

Catégoriser et différencier : une évaluation des tiers plus fine

Les solutions digitales d’évaluation des tiers aident à prioriser avec finesse et rapidité les tiers à évaluer. Elles facilitent une évaluation individuelle, proportionnée, cohérente et systématique. 

Grâce à sa capacité à agréger automatiquement les données, l’outil d’évaluation numérique offre une vision claire et objective des niveaux de risque. Il permet de :

• Définir des niveaux d’évaluation distincts selon les groupes de risques tiers.
• Automatiser, fiabiliser et partager les parcours d’évaluation (simple, standard, renforcé).
• Assurer un respect homogène des règles de scoring par l’ensemble des collaborateurs.
• Faciliter la collecte d’informations et le recueil des déclarations.

Documenter et tracer : la base d’un dispositif d’évaluation fiable

Un dispositif d’évaluation crédible repose aussi sur la capacité à documenter chaque étape, tracer les décisions et justifier les arbitrages. Une solution digitale d’évaluation des tiers apporte :

• Une centralisation des informations dans un référentiel unique.
• Des workflows automatisés pour recueillir les données sur le tiers, vérifier les documents nécessaires et solliciter les équipes internes.
• Une description et historisation complètes des actions, utile en cas de contrôle ou d’audit.
• Des tableaux de bord pour suivre l’avancement des évaluations.

Suivre et adapter : une évaluation des tiers vivante et évolutive

L’évaluation de la situation d’un tiers n’est jamais figée. Un tiers peu risqué aujourd’hui peut devenir sensible demain, suite  à un changement de pays d’intervention, de dirigeant ou de réglementation. À l’inverse, un tiers initialement classé à risque peut voir son exposition diminuer après des actions correctives. 

Choisir un outil d’évaluation digital apporte :

• Un suivi continu des tiers grâce à des alertes automatiques (sanctions, changements juridiques, incidents publics, comportement du tiers suspect, nouveaux tiers). 
• Une réévaluation périodique et dynamique des scores de risque. 
• Une mise à jour régulière de la cartographie des tiers et des risques, sans repartir de zéro.
• Une capacité à réorienter rapidement les efforts d’évaluation en fonction des signaux faibles détectés.

🚀 Et si vous passiez d’une évaluation exhaustive à une évaluation réellement performante ?

Gagnez en agilité et en pertinence avec la solution digitale d’évaluation des tiers de Values Associates. Notre outil d’évaluation vous accompagne pour personnaliser vos vérifications, cibler vos efforts sur les tiers à enjeux et déployer des mesures de maîtrise des risques proportionnées et efficaces.

Découvrir le logiciel

Évaluer tous les tiers semble rassurant. C’est néanmoins une fausse bonne idée. L’efficacité d’un processus d’évaluation ne se mesure pas à l’exhaustivité des contrôles, mais à la pertinence des arbitrages. Une démarche proportionnée, appuyée sur une lecture fine et évolutive des risques, est la clé d’une évaluation des tiers efficace, sans épuiser ni décourager les équipes. En adoptant une approche ciblée, structurée et digitalisée, l’entreprise, collectivité ou administration concilie obligation de conformité, performance opérationnelle, maîtrise durable des risques et qualité de la relation avec les tiers.

❓ FAQ : Faut-il évaluer tous les tiers ?

Est-il obligatoire d’évaluer 100% de mes tiers ?

S’il est nécessaire d’identifier l’ensemble des tiers pour la cartographie des risques, l’AFA valorise une approche proportionnée. L’enjeu est la pertinence de l’arbitrage plutôt que l’exhaustivité aveugle.

Quels sont les risques d’une évaluation trop systématique ?

Une approche uniforme peut affaiblir votre dispositif en créant une saturation des équipes et une perte de crédibilité interne. Elle peut aussi engendrer des coûts disproportionnés par rapport aux enjeux réels.

Comment justifier de ne pas évaluer certains tiers en profondeur ?

C’est l’objectif du scoring par les risques : en documentant des critères objectifs (montant, pays, PEP), vous pouvez justifier un processus allégé pour les tiers à faible risque.