CS3D : De l’évaluation des tiers à l’audit des tiers

Depuis l’avènement de la loi Sapin 2, fin 2016, les entreprises assujetties se sont progressivement lancées dans la mise en place de procédures d’évaluation de leurs tiers, qu’il s’agisse de leurs clients, fournisseurs ou des intermédiaires.

Ces procédures traduisent généralement une approche graduée, ajustée en fonction du niveau de risque du tiers. Autrement dit, plus de tiers présentent des caractéristiques jugées à risque, que ce soit en raison de la zone géographique, du secteur d’activité ou encore de la nature des biens et services en jeu dans la relation d’affaires, plus l’entreprise va mettre en œuvre une démarche complète. La procédure peut ainsi, pour certains tiers, se limiter à un simple screening dans une base de données recensant les sanctions et condamnations des personnes morales et physiques en matière de corruption, jusqu’à une due diligence approfondie impliquant des travaux en source ouverte sur internet, voire une collecte documentaire au moyen d’un questionnaire.

Ce chantier constitue l’un des plus ardus des programmes de mise en conformité mis en œuvre par les entreprises à la suite de la publication de la loi Sapin 2, comme en atteste les 88 % de défaillance constatés sur ce sujet par l’AFA lors de ses contrôles initiaux.

Alors même que ces travaux ne sont pas terminés pour une part importante d’entreprises, le contexte réglementaire vient d’évoluer sur ce sujet de manière significative avec l’entrée en vigueur, le 25 juillet 2024, de la CSDDD (Corporate Sustainability Due Diligence Directive). Cette directive vient établir au niveau européen un devoir de vigilance à l’égard des entreprises. Cette nouvelle obligation s’inscrit dans la lignée de la loi Potier qui existait déjà sur ce sujet en France depuis 2017 mais en abaisse les seuils d’application à respectivement 1000 salariés et 450 millions d’euros de chiffre d’affaires (alors que la loi française ne touchait que les entreprises de plus de 5 000 salariés en France ou 10 000 dans le monde).

Cette nouvelle obligation porte pour l’essentiel sur l’identification et le traitement des risques sur les droits de l’homme et l’environnement, non seulement au niveau des activités propres de l’entreprise, mais également de ses partenaires commerciaux lorsqu’ils sont liés à sa chaîne de valeur. Cela implique donc de s’intéresser aux risques portés par ses fournisseurs et partenaires.

Cette évolution réglementaire est d’autant plus forte que la nouvelle directive européenne, contrairement à la loi française en vigueur jusqu’alors, fera l’objet de contrôles administratifs et pourra donner lieu à des sanctions. Les états membres disposent de deux ans, jusqu’au 26 juillet 2026, pour transposer la directive en droit national avec une entrée en vigueur échelonnée entre juillet 2027 et juillet 2029.

C’est sans doute dans cette perspective que nous constatons une évolution des pratiques des entreprises. Désormais, certains grands donneurs d’ordre, à l’instar de ce qu’ils pouvaient faire en matière de qualité par exemple, s’engagent dans une démarche d’audit de tiers.

Il ne s’agit plus de réaliser un screening ou de procéder à quelques recherches en source ouverte pour apprécier le risque mais bien d’évaluer, sur pièce ou sur place, les pratiques de leurs fournisseurs et partenaires.

A ce stade, il est intéressant de constater que les pratiques sont très diverses et sont encore en train de se mettre en place mais la tendance est réelle. Quelques illustrations pour permettre à chacun de mieux appréhender cette diversité des approches envisagées :

• Un grand groupe de logistique prévoit la réalisation d’environ 200 audits par an, de quelques jours chacun, basés sur 5 modules de compliance (anticorruption, devoir de vigilance, sanctions…),
• Un assureur de premier plan prévoit quant à lui une approche plus globale, basée sur 6 modules allant de l’analyse financière à l’analyse réputationnelle en passant par la compliance et la cybersécurité,
• Un big pharma nous demande de mettre en œuvre des audits très approfondis de plusieurs dizaines de jours chacun, pour évaluer les pratiques en matière de business ethics de ses distributeurs dans le monde,
• Un acteur majeur dans le secteur de l’eau se concentre sur des audits de fournisseurs en matière de devoir de vigilance sur une dizaine de pays à risque, réalisés principalement sur place et d’une durée très limitée.

On comprend aisément à travers ces quelques exemples que si la tendance « audit de tiers » semble se mettre en place, ses modalités sont loin d’être stabilisées.

De notre expérience, de tels audits nécessitent des processus robustes et outillés, de mobiliser de larges spectres de compétences pour couvrir les différents thèmes et modules visés, mais également une capacité à activer des ressources dans un grand nombre de géographies.

Enfin, et au-delà de l’audit à proprement parler, l’enjeu sera la capacité à positionner cette pratique dans une logique partenariale d’amélioration continue entre le donneur d’ordre et le fournisseur. Comme toujours, l’audit ne saurait constituer une finalité en soi, uniquement un levier d’optimisation de la sécurité et de l’efficacité des relations d’affaires ! Il s’agira ainsi d’optimiser la gouvernance de la relation entre le donneur d’ordre et le partenaire, de mettre en place les actions de remédiation et / ou de progrès.