Évaluation des tiers : quels critères retenir ?

À l’heure où les exigences de conformité réglementaire se renforcent, l’évaluation des tiers s’impose comme un pilier de la maîtrise des risques pour les entreprises, collectivités et administrations, assujetties ou non à l’obligation légale Sapin 2. Cette loi de lutte contre la corruption rappelle une évidence : les risques proviennent aussi des partenaires avec lesquels l’organisation interagit. Aux États-Unis, la FCPA (Foreign Corrupt Practices Act) estime que plus de 90 % des cas de corruption en entreprise impliquent des tiers. 

Évaluer les tiers, c’est apprécier le niveau de risque associé à chaque relation. L’objectif ? Identifier les signaux faibles pour qu’ils ne se transforment pas en menaces réelles. Encore faut-il savoir sur quels critères fonder l’évaluation. L’efficacité de la procédure d’évaluation repose sur l’utilisation d’indicateurs de risque de qualité : ceux-ci doivent être pertinents, discriminants et hiérarchisés, pour permettre la création de groupes de tiers homogènes. 

Quels sont les critères structurants pour évaluer le risque tiers ? Comment les choisir et les utiliser pour une évaluation des risques efficace, au service de la performance des entreprises, collectivités et administrations ?

🧭 Rappel : qu’est-ce que l’évaluation des tiers ?

À l’origine, l’évaluation des tiers est une obligation de la loi Sapin 2, imposée par l’article 17. Ce cadre juridique impose aux grandes entreprises, collectivités et administrations un programme de mise en conformité, incluant l’évaluation de l’intégrité de leurs tiers.

Progressivement, toutes les organisations – quelles que soient leur taille et leur activité – s’emparent de cette méthodologie. Les avantages sont nombreux. L’évaluation des risques associés aux partenaires externes limite les coûts juridiques et financiers, sécurise la chaîne d’approvisionnement, protège la réputation ou encore garantit l’éthique et la conformité.

🔎 Quels critères structurants pour évaluer les risques tiers ?

Conformité réglementaire, enjeux sociaux et environnementaux, continuité opérationnelle, performance commerciale, sécurité informatique, responsabilité légale… : les risques auxquels sont exposées les entreprises, collectivités et administrations sont infinis. En regard, les critères d’évaluation des tiers sont potentiellement infinis. 

L’activité et le pays : deux critères déterminants de l’évaluation des tiers

La loi anticorruption Sapin 2 place deux critères au cœur de la cartographie des risques et de l’évaluation de l’intégrité des tiers : la localisation géographique et le secteur d’activité. 

Le critère géographique constitue souvent le premier niveau d’alerte. Certains pays sont en effet plus vulnérables aux risques géopolitiques et de corruption. L’entreprise, collectivité ou administration doit être vigilante à : 

• La localisation du partenaire ou de l’entité avec laquelle elle interagit
• Le pays où l’opération est réalisée. 
• La domiciliation bancaire. 

À ces éléments s’ajoute le secteur d’activité. Certains domaines sont connus pour être plus exposés aux atteintes à la probité : bâtiment, travaux publics, santé, énergie…

➡️ Ces indicateurs constituent souvent descritères d’entrée pour l’évaluation du niveau de risque tiers. Ils permettent de repérer rapidement les premiers tiers sensibles, sans multiplier les vérifications inutiles. 

Les critères liés à la nature et au profil du tiers

L’évaluation du niveau de risque du tiers porte aussi sur le tiers lui-même. Évaluer sa fiabilité, son niveau de maturité et sa transparence repose sur la vérification de plusieurs éléments, dont : 

• L’existence légale et la transparence de l’identité. 
• La nature du tiers (personne morale ou physique, entité publique ou privée, fournisseur, sous-traitant, client, investisseur, prestataire, grande entreprise ou PME…)
• L’ancienneté de la relation (entrée en relation ou engagement de longue durée). 
• La fréquence des échanges.
• La gouvernance et la structure capitalistique. 
• Les ressources financières et humaines (chiffre d’affaires, effectifs…)
• Les capacités techniques, certifications et compétences. 

➡️ Pris isolément, ces critères peuvent sembler anodins. Croisés entre eux, ils peuvent révéler des incohérences ou des signaux faibles organisationnels, porteurs de risques potentiels.

Les critères relatifs à la relation commerciale

La relation entretenue entre un acteur externe et l’entreprise, collectivité ou administration s’apprécie à la lumière de plusieurs critères :

• Le volume d’affaires et les montants financiers engagés.
• La nature de l’opération. 
• Le type de marché conclu (intermédiation, appel d’offre, concession, marché public…)
• La dépendance économique.
• Les modalités de rémunération.

➡️ Ces critères peuvent faire basculer le niveau de risque d’un tiers. Par exemple, un prestataire apparemment à faible risque peut devenir sensible s’il intervient comme intermédiaire dans un pays à risque, avec une rémunération conditionnée à l’obtention d’un marché.

Les critères de compliance et d’intégrité

Certains critères constituent de véritables signaux d’alerte, identifiés comme prioritaires par la loi Sapin 2 :

• Les antécédents judiciaires ou l’inscription sur une liste de sanctions. 
• La réputation dans la presse ou d’autres bases de données (rapports d’organisations publiques…)
• L’existence – ou l’absence – d’un programme de mise en conformité (codes de conduite internes, cartographies des risques, procédures de contrôles, formations…)
• La présence d’une personne politiquement exposée (PPE). 
• Un relevé d’incidents, des retours d’expérience défavorables et des signaux comportementaux inquiétants. 

La loi Sapin 2 et les recommandations de l’AFA relèvent d’autres critères de comportement des tiers, susceptibles d’aggraver le risque de corruption, de fraude ou de trafic d’influence : 

• Les interactions avec des agents publics. 
• Les risques de conflits d’intérêts. 
• Les pratiques en matière de cadeaux et d’invitations. 

➡️ Tous signaux faibles en matière de compliance et de corruption appellent une vigilance accrue de toutes les entreprises, collectivités et administrations – assujetties ou non à la loi Sapin 2.

Cybersécurité et ESG : des critères à ne pas négliger

La montée des enjeux sociaux, climatiques, environnementaux et numériques fait apparaître de nouveaux risques. Une méthode d’évaluation des tiers efficace élargit la vision au-delà du seul risque de conformité réglementaire et de corruption : 

• Les critères de cybersécurité : protection des données personnelles, robustesse des dispositifs de sécurité, sécurité des paiements, gestion des incidents…
• Les critères ESG et de responsabilité sociétale : respect des droits humains et du travail, engagements RSE/ESG, engagement en faveur de l’environnement, alignement des valeurs avec la culture éthique de l’organisation…

➡️ Longtemps considérée comme secondaire, l’analyse des signaux ESG et informatiques doit dorénavant faire partie à part entière de l’évaluation des tiers.

Critères d’évaluation des tiers : les pratiques des entreprises

Dédiée aux risques de corruption, une enquête de l’Agence Française Anticorruption (AFA) a listé les critères retenus par les entreprises pour construire les groupes de risques tiers. En avril 2024, quatre grands critères dominaient les réponses :

• Risque pays (52,3%)
• Volume d’affaires (29,5%)
• Secteur d’activité (25%)
• Nature de l’opération (20,5%)

Cette étude révèle une faiblesse des entreprises françaises : seule une minorité (11,4%) retient comme critère les relations avec des agents publics, pourtant identifiées comme un facteur de risque majeur en matière de corruption.

⚙️ Comment bien choisir et exploiter les critères d’évaluation des tiers ?

Longue et non exhaustive : telle est la liste des critères mobilisables pour analyser les risques tiers. L’enjeu ? Choisir. L’exercice est délicat. La stratégie d’évaluation doit éviter une surévaluation – qui transformerait l’exercice en une usine à gaz -, tout en limitant les angles morts – susceptibles d’exposer l’organisation à des risques mal identifiés. La méthodologie d’évaluation nécessite le respect d’étapes clés. 

Étape 1 : choisir les critères d’évaluation des tiers

L’étude de l’AFA consacrée aux risques de corruption recense pas moins de 45 types d’informations collectées par les entreprises. Sans garde-fou, ce nombre peut devenir exponentiel, rendant impossible l’évaluation des tiers. 

Une méthode d’évaluation efficace applique à la cartographie des tiers des indicateurs réellement significatifs pour l’entreprise, la collectivité ou l’administration. 

Trois facteurs principaux donnent la direction pour choisir des critères spécifiques, adaptés à l’environnement de risques : 

• Les menaces dentifiées dans la cartographie des risques. 
• Le secteur d’activité. 
• La taille, la solidité financière et le niveau de maturité de l’organisation.

Étape 2 : hiérarchiser les critères d’évaluation des tiers

Après cette première phase, les critères ne doivent pas être traités de manière uniforme. L’organisation doit distinguer : 

• Les critères déclencheurs, qui entraînent automatiquement un niveau de vigilance accru : pays, secteur d’activité, présence d’agent public, antécédent avéré de corruption…
• Les critères contributifs, qui apportent de la nuance et affinent l’analyse globale du risque : ancien scandale réputationnel, conflit d’intérêts potentiel, politique affirmée de cadeaux et d’invitations…

Cette hiérarchisation des critères permet de concentrer les efforts sur les signaux faibles les plus significatifs. Chaque alerte justifie une évaluation approfondie du tiers.

Un seul critère d’évaluation ne suffit jamais

Évaluer un tiers sur la base d’un seul critère biaise la vision du risque. Par exemple, le critère financier, pris isolément, ne dit rien du risque de corruption : un partenaire de faible poids économique peut présenter un risque élevé s’il intervient auprès d’acteurs publics ou dans une zone géographique sensible. De même, une entreprise solide financièrement peut se révéler critique en raison d’engagements sociaux ou environnementaux critiquables. La combinaison de plusieurs critères structurants permet une évaluation plus subtile, synonyme de meilleures décisions.

Étape 3 : constituer des groupes de risques tiers homogènes à partir des critères

Tous les critères ne représentent pas la même valeur. La difficulté : transformer une liste d’indicateurs de risques en outil efficace d’aide à la décision. 

Le processus d’évaluation se poursuit en deux phases : 

• Pondérer les critères selon le degré d’importance défini par l’organisation.  
• Croiser les données issues des différents critères pour classer les tiers en groupes homogènes (risque faible, modéré, élevé ou critique)

Largement utilisée comme outil d’évaluation des tiers, la méthode de scoring consiste à attribuer un score chiffré à chaque critère en croisant sa fréquence et la gravité de son impact. L’échelle de cotation facilite la comparaison objective des résultats.

Étape 4 : déployer un plan de maîtrise des risques proportionné

La création de groupes de risques tiers homogènes sur la base de critères pertinents permet à l’entreprise, la collectivité ou l’administration de bâtir son plan d’évaluation, fondé sur : 

• La définition de niveaux de vigilance différenciés par groupes de tiers. 
• La mise en place de mesures de maîtrise des risques, proportionnées à chaque catégorie de tiers :
  • contrôles allégés pour les partenaires à faible risque (informations de base, déclaration sur l’honneur, questionnaire d’auto-évaluation…)
  • contrôles renforcés pour les partenaires critiques (screening automatique, due diligence approfondie, clauses contractuelles, audit, suivi continu…)

💡 La digitalisation pour simplifier l’exploitation des critères d’évaluation

La complexité et la multiplicité des critères rendent difficile la gestion manuelle des indicateurs, notamment lorsque l’entreprise, la collectivité ou l’administration interagit avec un grand nombre de tiers.

Une solution d’évaluation des tiers digitale sécurise le dispositif tout en répondant aux exigences de documentation et de traçabilité. Elle transforme la stratégie d’évaluation en un processus fluide, homogène et auditable, dans le respect de la conformité réglementaire. 

La digitalisation permet de :

• Personnaliser et hiérarchiser les critères d’évaluation. 
• Automatiser et centraliser la collecte des informations dans un référentiel unique. 
• Pondérer et croiser les critères, via la méthode de scoring. 
• Catégoriser les tiers par groupes de risques homogènes. 
• Piloter le plan de maîtrise des risques, avec des mesures adaptées à chaque groupe de tiers.
• Recevoir des alertes et mettre à jour rapidement l’évaluation en cas de changement significatif chez le tiers évalué (changement de direction, changement d’actionnariat, incident financier, mouvement social…)
• Simplifier la mise à jour périodique des tiers, selon la fréquence définie en fonction du niveau de risque. 
• Garantir une traçabilité complète des décisions.
• Partager une vision commune des règles entre toutes les équipes pour une évaluation des tiers homogène.

⚙️ Concentrez-vous sur l’analyse des risques, pas sur l’administration

Vous souhaitez concentrer vos efforts sur les risques associés aux tiers, et non sur la démarche d’évaluation ?

Values Associates propose aux entreprises, collectivités et administrations une solution d’évaluation des tiers clé en main, flexible, sécurisée, intuitive et 100 % made in France, personnalisable selon vos enjeux, vos tiers et vos critères.

Demander une démonstration

L’efficacité d’un dispositif d’évaluation des tiers ne repose pas sur la multiplication des critères, mais sur la pertinence des choix. L’enjeu n’est pas de tout vérifier, mais de vérifier ce qui compte. Identifier les meilleurs critères, savoir les hiérarchiser et les croiser permet de détecter les signaux faibles, de qualifier les niveaux de risque et d’adapter les mesures de vigilance.

La mise en œuvre d’une approche d’évaluation structurée, fondée sur des critères clairs et activables, facilite la prise de décision, renforce la traçabilité des analyses et garantit la cohérence des pratiques dans le temps. Elle constitue un levier essentiel de prévention et de maîtrise des risques, mais également un outil efficace de conformité, de gouvernance et de performance.

🧠 FAQ – Critères d’évaluation des tiers

Quels sont les critères obligatoires pour évaluer un tiers ?

La loi Sapin 2 met en avant la localisation géographique, le secteur d’activité et les signaux d’intégrité. Toutefois, chaque organisation doit adapter ses critères à sa cartographie des risques.

Faut-il utiliser tous les critères possibles ?

Non. L’efficacité repose sur la sélection d’indicateurs réellement discriminants et adaptés à votre environnement de risques.

Un score suffit-il pour décider ?

Le scoring est un outil d’aide à la décision. Il doit être accompagné d’une analyse qualitative lorsque des signaux faibles apparaissent.

À quelle fréquence faut-il réévaluer un tiers ?

La fréquence dépend du niveau de risque : annuelle pour les tiers critiques, plus espacée pour les tiers à faible risque.