Know Your Supplier (KYS) : checklist de vérification fournisseurs
Know Your Supplier (KYS) : guide complet pour les équipes achats. Checklist des 12 vérifications, cadre réglementaire Sapin II, devoir de vigilance et automatisation.
Résumer cet article avec
ChatGPT
Claude
Perplexity
Gemini
GrokLe Know Your Supplier (KYS) est le processus par lequel une organisation vérifie systématiquement l'identité légale, la situation de conformité et les coordonnées bancaires de ses fournisseurs avant et pendant toute relation commerciale. Issu des pratiques KYC (Know Your Customer) du secteur bancaire, le KYS s'est imposé dans tous les secteurs comme une obligation de gestion des risques depuis l'entrée en vigueur de la loi Sapin II en 2016 et de la loi sur le devoir de vigilance en 2017.
En France, deux textes fondateurs encadrent les obligations de vérification des partenaires commerciaux : la loi n° 2016-1691 du 9 décembre 2016 (Sapin II), qui oblige les grandes entreprises à évaluer l'intégrité de leurs partenaires tiers dans le cadre de leur programme anticorruption, et la loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance, qui impose aux sociétés mères de plus de 5 000 salariés de prévenir les risques tout au long de leur chaîne d'approvisionnement (Légifrance — Loi n° 2017-399).
D'après notre analyse de plus de 180 000 dossiers traités mensuellement, les équipes achats qui automatisent leur processus KYS réduisent de 83 % le temps de traitement des vérifications fournisseurs et de 67 % le coût par dossier (analyse interne CheckFile, 2026). Ce gain s'explique par l'élimination des contrôles manuels redondants et la collecte automatisée des documents officiels.
Qu'est-ce que le Know Your Supplier (KYS) ?
Le KYS est la due diligence structurée appliquée aux fournisseurs. Il couvre trois dimensions complémentaires : la vérification de l'identité légale du fournisseur, l'authentification de ses coordonnées bancaires, et l'évaluation continue de son profil de risque tout au long de la relation commerciale.
Un programme KYS complet inclut obligatoirement :
- La vérification de l'existence légale et du statut de la société (active, en liquidation, radiée)
- L'identification des bénéficiaires effectifs (UBO — Ultimate Beneficial Owners)
- Le screening sur les listes de sanctions internationales (UE, OFAC, ONU)
- La vérification des PEP (personnes politiquement exposées) au sein de la direction
- L'analyse des actualités négatives (adverse media screening)
- L'authentification des coordonnées bancaires pour prévenir la fraude au changement de RIB
La 6e directive anti-blanchiment (AMLD6), transposée au niveau européen via la Directive (UE) 2024/1640, impose à toutes les entités assujetties d'appliquer des mesures de vigilance renforcée à leurs partenaires commerciaux présentant un risque élevé (Directive (UE) 2024/1640, Art. 22).
Cadre réglementaire français du KYS
Quatre cadres législatifs distincts structurent les obligations de connaissance des fournisseurs en France :
Loi Sapin II (2016) : toute entreprise de plus de 500 salariés et de plus de 100 millions d'euros de chiffre d'affaires est tenue de mettre en place des procédures d'évaluation de l'intégrité de ses clients et fournisseurs dans le cadre de son programme anticorruption. L'Agence Française Anticorruption (AFA) publie des recommandations pratiques actualisées pour la mise en œuvre de ces contrôles.
Loi relative au devoir de vigilance (2017) : les sociétés mères ayant au moins 5 000 salariés en France (ou 10 000 à l'international) doivent établir et publier un plan de vigilance incluant une cartographie des risques liés aux fournisseurs et sous-traitants. Cette obligation s'étend désormais à la chaîne d'approvisionnement de second rang.
Obligations LCB-FT (5e et 6e directives) : les entités assujetties à la réglementation anti-blanchiment (banques, assureurs, notaires, experts-comptables) doivent exercer une vigilance renforcée sur leurs prestataires et fournisseurs stratégiques selon les orientations TRACFIN.
RGPD et CNIL : la collecte et le traitement des données personnelles dans le cadre du KYS doivent respecter les principes de minimisation et de limitation des finalités définis par le Règlement (UE) 2016/679.
| Réglementation | Seuil d'application | Obligation principale |
|---|---|---|
| Loi Sapin II | >500 salariés + >100 M€ CA | Programme d'évaluation des tiers |
| Devoir de vigilance | >5 000 salariés (France) | Plan de vigilance publié annuellement |
| LCB-FT / AMLD6 | Entités assujetties | Vigilance renforcée fournisseurs à risque élevé |
| CSDDD (à partir de 2027) | >1 000 salariés, >450 M€ CA | Due diligence sur toute la chaîne de valeur |
La directive européenne sur le devoir de vigilance (CSDDD — Directive (UE) 2024/1760) étendra ces obligations à partir de 2027 à toutes les grandes entreprises européennes, abaissant le seuil et rendant la due diligence fournisseurs incontournable.
Checklist KYS : les 12 vérifications obligatoires
Les responsables achats et compliance signalent fréquemment que les deux étapes les plus souvent omises sont la vérification des bénéficiaires effectifs et le contrôle des listes de sanctions — deux angles qui peuvent exposer l'entreprise à de lourdes sanctions réglementaires.
1–4 : Vérification de l'identité légale
| Document | Source officielle | Fréquence de contrôle |
|---|---|---|
| Extrait Kbis | Infogreffe ou RNE-INPI | À l'entrée + annuellement |
| Statuts et actes de constitution | Greffe du tribunal de commerce | À l'entrée en relation |
| Registre des bénéficiaires effectifs (RBE) | INPI — Registre des BE | À l'entrée + si changement |
| Numéro SIRET actif et non radié | INSEE / SIRENE | À chaque virement >5 000 € |
5–6 : Vérification des coordonnées bancaires
L'authentification de l'IBAN et de la titularité du compte est la protection la plus efficace contre la fraude au changement de RIB. Ce type de fraude représente 31 % des cas de fraude documentaire fournisseur enregistrés dans notre analyse de portefeuille. La vérification doit être systématique à chaque modification bancaire notifiée, quel que soit le canal de communication utilisé.
7–9 : Screening sanctions, PEP et adverse media
Le contrôle des listes de sanctions (UE, OFAC, ONU) et la détection des personnes politiquement exposées doivent être effectués à l'entrée de la relation et renouvelés au minimum trimestriellement pour les fournisseurs classés à risque élevé. La recherche d'actualités négatives couvre les condamnations pénales, procédures collectives, scandales réputationnels et enquêtes anticorruption.
10–12 : Vérifications sectorielles spécifiques
Selon le secteur d'activité du fournisseur : certifications professionnelles (ISO 9001, ISO 27001), agréments réglementaires, attestations URSSAF et fiscales en cours de validité, et polices d'assurance responsabilité civile professionnelle. L'attestation de vigilance URSSAF est obligatoire pour tout contrat dépassant 5 000 € HT, conformément aux articles L8222-1 à L8222-5 du Code du travail.
Prêt à automatiser vos vérifications ?
Pilote gratuit sur vos propres documents. Résultats en 48 h.
Demander un pilote gratuitScoring de risque fournisseur
Un modèle de scoring par niveau de risque permet d'allouer les ressources de vérification aux fournisseurs les plus exposés plutôt que d'appliquer un niveau de contrôle uniforme à tous les partenaires.
| Niveau de risque | Critères | Fréquence de revue |
|---|---|---|
| Faible | Fournisseur établi en France/UE, <50 K€/an, secteur non régulé | Annuelle |
| Modéré | Fournisseur hors UE, 50 K€–500 K€/an, secteur à risque spécifique | Semestrielle |
| Élevé | Fournisseur >500 K€/an, pays à risque élevé (liste GAFI), secteur régulé | Trimestrielle + vigilance renforcée |
| Critique | Fournisseur stratégique, opérations dans des pays sous sanctions | Surveillance continue |
L'Indice de Risque Documentaire CheckFile positionne les dossiers fournisseurs dans les secteurs à fort volume transactionnel à un score moyen de 6,2/10 — un niveau qui justifie une automatisation des contrôles pour maintenir l'exhaustivité des vérifications.
KYS, KYC et KYB : quelles différences ?
Ces trois processus sont complémentaires mais ont des périmètres distincts. Confondre les obligations applicables à chaque type de contrepartie est l'une des sources d'erreur les plus fréquentes dans les programmes de conformité.
| Processus | Cible | Contexte principal |
|---|---|---|
| KYC (Know Your Customer) | Clients, investisseurs, particuliers | Banques, assurances, fintech |
| KYB (Know Your Business) | Partenaires commerciaux, distributeurs | Onboarding B2B, marchés publics |
| KYS (Know Your Supplier) | Fournisseurs, sous-traitants, prestataires | Achats, approvisionnement, supply chain |
Pour approfondir les obligations de vérification des entreprises partenaires, notre guide KYB : vérification des documents d'entreprise lors de l'onboarding détaille le processus complet applicable à toute relation B2B. Consultez également notre guide due diligence : checklist pour les entreprises pour une approche structurée de l'évaluation des risques.
Signaux d'alerte à surveiller
Les professionnels des achats sur les forums spécialisés et dans notre analyse terrain identifient plusieurs signaux qui doivent déclencher une vigilance renforcée immédiate :
- Coordonnées bancaires modifiées peu avant un virement important, communiquées par e-mail non sécurisé
- Absence de présence en ligne vérifiable (site web inexistant, non-répertorié à l'Infogreffe)
- Structure de propriété opaque avec des holdings dans des juridictions à risque (BVI, Panama)
- Incohérence entre le numéro SIRET fourni et le nom légal de la société
- Refus de fournir un Kbis récent ou l'extrait du registre des bénéficiaires effectifs
- Facturation depuis une adresse différente du siège social enregistré au registre du commerce
- Capital social symbolique pour des volumes d'affaires disproportionnés
Automatiser le processus KYS
La gestion manuelle d'un processus KYS pour un portefeuille de 100 fournisseurs actifs représente entre 200 et 300 vérifications par an. Le risque d'oubli et d'incohérence croît de façon exponentielle à mesure que le portefeuille s'élargit, créant des angles morts réglementaires difficilement défendables en cas de contrôle.
Notre plateforme traite plus de 180 000 documents de conformité par mois avec une précision OCR de 98,7 %, ce qui permet aux équipes achats de réduire de 83 % le temps consacré aux vérifications manuelles (source : analyse interne CheckFile, 2026).
CheckFile permet d'automatiser :
- La collecte et la vérification des Kbis, RIB et attestations URSSAF directement via les API officielles
- Le screening sanctions et PEP en temps réel, avec alertes sur changements de statut
- Les relances automatiques avant expiration des documents (J-30, J-15)
- L'archivage horodaté avec piste d'audit complète pour les contrôles réglementaires
- L'intégration avec les ERP (SAP, Oracle, Sage) via API REST documentée
Pour une vue d'ensemble des enjeux de conformité documentaire dans les relations avec les tiers, consultez le guide de vérification des documents et notre guide sur la gestion des risques liés aux tiers (TPRM).
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique, financier ou réglementaire. Pour toute situation spécifique, consultez un expert juridique ou un professionnel de la compliance.
Questions fréquemment posées
Qu'est-ce que le Know Your Supplier (KYS) ?
Le Know Your Supplier (KYS) est le processus de due diligence par lequel une organisation vérifie l'identité légale, la situation financière, le profil de conformité et les coordonnées bancaires de ses fournisseurs avant et pendant la relation commerciale. Il complète le KYC (clients) et le KYB (partenaires commerciaux) dans un programme complet de gestion des risques tiers.
Le KYS est-il obligatoire en France ?
Oui, pour les entreprises atteignant les seuils définis par la loi Sapin II (>500 salariés et >100 M€ de CA) et la loi sur le devoir de vigilance (>5 000 salariés en France). Pour les entités assujetties à la réglementation LCB-FT (banques, assureurs, notaires, experts-comptables), des obligations de vigilance s'appliquent également aux fournisseurs stratégiques, indépendamment de la taille de l'entreprise. À partir de 2027, la directive CSDDD étendra ces obligations à un périmètre plus large.
Quelle est la différence entre KYS et KYC ?
Le KYC (Know Your Customer) s'applique aux clients d'une entreprise — les contreparties qui achètent ses biens ou services. Le KYS (Know Your Supplier) s'applique à ses fournisseurs — les contreparties qui lui vendent biens ou services. Les deux processus partagent des étapes similaires (vérification d'identité, screening sanctions, identification des bénéficiaires effectifs) mais les documents collectés et les obligations réglementaires associées diffèrent selon le rôle de la contrepartie.
Quels documents collecter dans un processus KYS ?
Les documents fondamentaux d'un dossier KYS fournisseur sont : extrait Kbis récent (<3 mois), statuts de la société, extrait du registre des bénéficiaires effectifs (RBE), RIB officiel sur en-tête de l'entreprise, attestation de vigilance URSSAF valide, et attestation de régularité fiscale. Ces documents doivent être vérifiés dans leur source officielle et non simplement collectés tels quels auprès du fournisseur.
Comment mettre en place un programme KYS efficace ?
Un programme KYS se construit en quatre étapes : (1) Cartographier le portefeuille fournisseurs et attribuer un niveau de risque à chaque fournisseur selon des critères standardisés, (2) Définir les documents et vérifications requis par niveau de risque, (3) Établir un calendrier de renouvellement des contrôles avec alertes automatiques, (4) Documenter chaque vérification avec horodatage pour constituer la piste d'audit. L'automatisation via une plateforme dédiée devient indispensable dès 50 fournisseurs actifs.
Restez informé
Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.