Entreprises 11 min de lecture

Due diligence fournisseur : enquête et audit 2026

Cartographier, auditer et monitorer ses fournisseurs en 2026 : Sapin II, devoir de vigilance, CS3D et apport de l'enquête détective CNAPS.

Par Ianis M. — Détective privé agréé CNAPS — Spécialiste contentieux et enquêtes B2B
due-diligence-fournisseurdevoir-de-vigilancesapin-2cs3drenseignement-affairescompliance-achatscnaps

Au 1er janvier 2026, le défaut de plan de vigilance est devenu un motif d’exclusion facultatif des marchés publics et contrats de concession, par l’effet conjugué de la loi n° 2023-973 du 23 octobre 2023 dite Industrie verte et de l’ordonnance n° 2023-1142 du 6 décembre 2023 prise sur son habilitation, qui a créé les articles L. 2141-7-1 et L. 3123-7-1 du Code de la commande publique. Six mois plus tôt, par arrêt du 17 juin 2025 (Pôle 5 chambre 12, RG n° 24/05193), la Cour d’appel de Paris confirmait la première condamnation civile au fond sur ce fondement, dans l’affaire Groupe La Poste, stabilisant la responsabilité du donneur d’ordre sur ses sous-traitants de rang 1. Pour les directions achats et juridiques des ETI et grands comptes, la question n’est plus « faut-il auditer ses fournisseurs critiques », mais « avec quelle profondeur de preuve, à quelle fréquence, et selon quel cadre opposable ». La cartographie des risques fournisseurs cesse d’être un exercice de conformité : elle devient une chaîne de preuve.

Pourquoi 2026 force la direction achats à réoutiller sa due diligence

Trois textes vivants se télescopent en 2026 sur le bureau du directeur des achats. La loi n° 2017-399 du 27 mars 2017, codifiée à l’article L. 225-102-4 du Code de commerce, impose depuis 2017 un plan de vigilance aux sociétés de plus de 5 000 salariés en France ou 10 000 dans le monde. La loi Sapin II du 9 décembre 2016 prévoit en son article 17 une procédure d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard d’une cartographie des risques de corruption. La directive (UE) 2024/1760 du 13 juin 2024 sur le devoir de vigilance des entreprises en matière de durabilité, dite CS3D, vient harmoniser ces obligations à l’échelle européenne.

Le paquet Omnibus I a été définitivement adopté : le Conseil de l’Union européenne a approuvé le texte le 24 février 2026, la directive (UE) 2026/470 a été publiée au Journal officiel de l’Union européenne le 26 février 2026 et est entrée en vigueur le 18 mars 2026. La transposition CS3D est désormais reportée au 26 juillet 2028, son application aux premières entreprises au 26 juillet 2029, et les seuils définitifs relevés à plus de 5 000 salariés et plus de 1,5 milliard d’euros de chiffre d’affaires net mondial pour les entreprises UE (1,5 milliard d’euros de CA réalisé dans l’Union pour les entreprises non-UE). Cette pause apparente ne réduit pas le risque français. Le droit national de la vigilance, lui, est entré en application : exclusion des marchés publics au 1er janvier 2026 via la loi 2023-973 du 23 octobre 2023 et son ordonnance d’application n° 2023-1142 du 6 décembre 2023, premier procès au fond contre TotalEnergies les 19 et 20 février 2026 devant la 34e chambre du tribunal judiciaire de Paris, et publication attendue mi-2026 des lignes directrices de la Commission sur le devoir de diligence en matière de travail forcé prévues par le règlement (UE) 2024/3015. La fenêtre 2026-2027 est ainsi paradoxalement un moment de risque maximal pour les directions achats : le cadre national est en place, le cadre européen est suspendu, et c’est le donneur d’ordre français qui porte la charge probatoire.

Plutôt que d’empiler les régimes, la pratique 2026 organise la due diligence fournisseur selon le cycle de vie réel du contrat. Quatre phases en jalonnent le déroulé.

Phase 1 — Référencement ex-ante : cartographier avant de signer

C’est la phase fondatrice. Avant la signature d’un contrat-cadre, la direction achats doit pouvoir démontrer qu’elle a évalué le tiers selon une grille proportionnée. L’Agence française anticorruption (AFA), dans ses recommandations actualisées, demande de raisonner par groupes homogènes de risque plutôt que par évaluation individuelle systématique : risque pays (indices Transparency International, exposition sanctions), risque secteur (intermédiation, sous-traitance, contrefaçon), risque relationnel (criticité opérationnelle, volume d’affaires, accès aux données). Le plan de vigilance prévu à l’article L. 225-102-4 du Code de commerce ajoute la dimension droits humains, santé-sécurité et environnement, étendue à la relation commerciale établie.

Six familles de risques se vérifient ex-ante à effort raisonnable :

  • Sanctions et contrôle export : criblage simultané de la liste consolidée des sanctions financières de l’Union européenne, de l’OFAC Sanctions List Service et de la liste HM Treasury — les sanctions contre la Russie prorogées au 31 juillet 2026 imposent désormais la vérification des entités « contrôlées » au-delà du seul gel d’avoirs nominatif.
  • Corruption et probité (Sapin II) : criblage PEP, antécédents judiciaires médias, vérification des intermédiaires et de leur rémunération.
  • Travail forcé et ESG : règlement (UE) 2024/3015 applicable progressivement à partir du 13 décembre 2024 et pleinement opérationnel au 14 décembre 2027, croisé avec la base de données publique des zones à risque que la Commission publiera mi-2026.
  • Signaux financiers : états financiers Infogreffe, annonces BODACC, ratios de structure, dépendance commerciale.
  • Bénéficiaires effectifs réels : à la suite de l’arrêt CJUE WM et Sovim (affaires jointes C-37/20 et C-601/20) du 22 novembre 2022, l’accès au Registre des bénéficiaires effectifs tenu par l’INPI a été restreint, à compter du 31 juillet 2024, aux autorités de contrôle, aux personnes assujetties aux obligations LCB-FT et aux personnes justifiant d’un intérêt légitime. Ce régime a été transposé en droit français par la loi n° 2025-391 du 30 avril 2025 (DDADUE 5, JORF du 2 mai 2025), puis précisé par le décret n° 2026-310 du 24 avril 2026, qui formalise notamment la procédure de demande auprès de l’INPI ou du greffier compétent, avec délivrance d’un certificat d’accès valable trois ans.
  • Contrefaçon en sous-traitance : signal majeur depuis le rapport conjoint OCDE-EUIPO « Mapping Global Trade in Fakes 2025: Global Trends and Enforcement Challenges » publié le 7 mai 2025, qui chiffre le commerce mondial de produits contrefaits à 467 milliards de dollars en 2021, soit 2,3 % du commerce mondial, et les importations de contrefaçons dans l’Union européenne à 4,7 % de l’ensemble des importations extra-UE la même année.

À cette étape, le criblage automatisé (World-Check, Dow Jones Risk Center, Pappers, Creditsafe, Ellisphere) est nécessaire mais ne dispense pas d’une investigation humaine ciblée sur les segments rouges. C’est précisément la couche que sécurise un détective privé agréé CNAPS — vérification de l’identité du bénéficiaire effectif réel au-delà du déclaratif, contrôle physique de l’existence du siège, reconstitution d’un historique entrepreneurial masqué — étape que nous détaillons dans notre analyse de la contrefaçon marketplace 2026 et de l’arrêt Airbnb DSA pour le volet ex-post de défense de marque.

Phase 2 — Audit annuel et monitoring continu

La vigilance n’est pas un instantané. L’article L. 225-102-4 du Code de commerce parle de « procédures d’évaluation régulière » et de « dispositif de suivi des mesures mises en œuvre et d’évaluation de leur efficacité ». Le monitoring continu repose sur trois mouvements : la veille événementielle (rachat, changement de gouvernance, condamnation, sanction, alerte médias), la réévaluation périodique des segments à risque élevé (l’AFA recommande une cadence annuelle a minima), et la mise à jour de la cartographie elle-même lorsque le contexte géopolitique ou réglementaire évolue.

C’est ici que l’écart se creuse entre les organisations matures et les autres. Une cartographie qui n’aurait pas été retravaillée depuis la première mise en conformité 2017-2018 ne tient plus au regard des standards 2026. La pratique constatée chez les ETI fournisseurs de grands comptes consiste à industrialiser le screening automatisé en continu sur la totalité du portefeuille, et à déclencher une investigation humaine — interne ou externalisée à un cabinet d’enquête — sur les seuls tiers stratégiques ou à risque élevé. Cette segmentation est essentielle : elle rend la dépense compatible avec la réalité budgétaire d’une direction achats et concentre la profondeur de preuve là où le risque la justifie.

Phase 3 — Procédure d’alerte et plan d’atténuation

L’article L. 225-102-4 impose un « mécanisme d’alerte et de recueil des signalements relatifs à l’existence ou à la réalisation des risques », établi en concertation avec les organisations syndicales représentatives. En pratique, ce mécanisme reçoit des signaux de qualités très inégales — courrier anonyme, dénonciation interne, article de presse régionale, alerte ONG, alerte client final. Avant tout plan d’atténuation, le donneur d’ordre doit donc qualifier le signal.

Cette phase de qualification touche aux données personnelles. Pour les vérifications portant sur les dirigeants, mandataires sociaux et bénéficiaires effectifs d’un fournisseur, la base légale pertinente est l’intérêt légitime de l’article 6.1.f du RGPD, sous réserve d’une proportionnalité documentée et d’une durée de conservation limitée. Le contrat passé avec un prestataire d’enquête doit comporter les clauses de sous-traitance de l’article 28 RGPD. Le détective privé titulaire de l’agrément délivré au titre des articles L. 622-6 et suivants du Code de la sécurité intérieure agit, lui, dans un cadre déontologique opposable (mandat écrit, traçabilité, proportionnalité), ce que les solutions de screening automatisé pures n’apportent pas et que les juges retiennent au moment d’examiner la recevabilité d’un rapport.

Phase 4 — Contentieux et chaîne de preuve

Le contentieux du devoir de vigilance a basculé en 2024-2026 du procédural au fond. Le 18 juin 2024, la chambre 5-12 de la Cour d’appel de Paris a rendu trois arrêts fondateurs sur la recevabilité, déclarant recevables les actions contre TotalEnergies et EDF, irrecevable celle contre Vigie Groupe pour défaut de lien entre la mise en demeure et l’assignation. Ces arrêts ont fixé deux règles cardinales : la mise en demeure préalable est une condition impérative, mais le plan de vigilance visé peut avoir évolué entre la mise en demeure et l’assignation. La 34e chambre du tribunal judiciaire de Paris, créée en 2024 pour traiter ces contentieux émergents, a tenu les 19 et 20 février 2026 le premier procès au fond contre TotalEnergies à la demande de plusieurs ONG et de la Ville de Paris.

Côté donneur d’ordre, l’enseignement est direct : la traçabilité documentaire de la due diligence devient un actif juridique. Le rapport d’enquête fournisseur doit pouvoir être produit en justice sans difficulté — sources datées, méthode décrite, proportionnalité justifiée, conservation des éléments pendant cinq ans par référence à l’article L. 561-12 du Code monétaire et financier. C’est précisément ce qu’apporte un détective agréé CNAPS, dont le statut professionnel et l’agrément personnel rendent le rapport opposable, dans la continuité de ce que nous décrivons dans notre guide rapport de détective privé : ce qu’attend le juge en 2026 et notre analyse des preuves recevables en justice via détective.

Pour la défense ex-post lorsqu’une concurrence déloyale ou un détournement de clientèle est suspecté en aval d’une relation fournisseur, le cadre est traité séparément dans notre article sur le rôle du détective dans les enquêtes de concurrence déloyale — la présente analyse se concentre sur la phase préventive en amont.

Ce que change concrètement le recours à un détective agréé CNAPS

Pour une direction achats d’ETI ou de grand compte basée en Sud France, l’apport d’un cabinet d’enquête agréé se mesure sur trois plans concrets. D’abord la couche d’investigation humaine que les outils SaaS ne couvrent pas : reconstitution du dirigeant réel derrière des hommes de paille, contrôle terrain de l’existence physique d’un site, recherche de bénéficiaires effectifs occultes, indices de contrefaçon en sous-traitance. Ensuite le cadre opposable : mandat écrit, contrat conforme au référentiel CNAPS, traçabilité des sources, qui permet la production du livrable devant le juge commercial en cas de litige post-contractuel. Enfin la segmentation budgétaire : le détective n’intervient pas sur le criblage de masse, mais sur les tiers stratégiques cartographiés en zone rouge — typiquement quelques dizaines de fournisseurs critiques par portefeuille, là où la profondeur de preuve a un retour direct sur la maîtrise du risque.

Notre cabinet intervient sur la zone Sud + Méditerranée (06, 83, 84, 13, 30, 34) et au-delà sur mission ponctuelle pour le renseignement d’affaires B2B et l’investigation OSINT, agréé au titre du livre VI du Code de la sécurité intérieure. Pour cadrer un audit ou un dispositif de monitoring fournisseur, vous pouvez nous joindre via notre page contact.

À retenir

  • Au 1er janvier 2026, le défaut de plan de vigilance devient un motif d’exclusion facultatif des marchés publics et contrats de concession via la loi n° 2023-973 du 23 octobre 2023 dite Industrie verte et l’ordonnance n° 2023-1142 du 6 décembre 2023 prise sur son habilitation, qui ont créé les articles L. 2141-7-1 et L. 3123-7-1 du Code de la commande publique — premier effet opérationnel concret pour les donneurs d’ordre.
  • Le paquet Omnibus I a été définitivement adopté par le Conseil le 24 février 2026 et publié au JOUE le 26 février 2026 (directive (UE) 2026/470, entrée en vigueur le 18 mars 2026). Il repousse la transposition CS3D au 26 juillet 2028 et son application au 26 juillet 2029, et relève les seuils définitifs à plus de 5 000 salariés et plus de 1,5 milliard d’euros de CA net mondial pour les entreprises UE — mais le cadre français issu de la loi 2017-399 reste pleinement applicable.
  • Par arrêt du 17 juin 2025 (Pôle 5 chambre 12, RG n° 24/05193), la Cour d’appel de Paris a confirmé en toutes ses dispositions la première condamnation civile au fond sur le fondement du devoir de vigilance, dans l’affaire Groupe La Poste, stabilisant la jurisprudence sur l’opposabilité du plan aux sous-traitants et fournisseurs.
  • La due diligence se déploie en quatre phases : référencement ex-ante, audit annuel et monitoring continu, qualification des alertes, chaîne de preuve contentieuse — chacune adossée à un texte précis qui la rend opposable.
  • Le criblage automatisé reste la couche socle (sanctions, PEP, états financiers) mais ne tranche pas les zones d’incertitude — bénéficiaire effectif réel, contrôle physique du siège, historique entrepreneurial masqué — que sécurise une investigation humaine encadrée par l’article L. 621-1 du Code de la sécurité intérieure.
  • Le détective privé agréé CNAPS apporte un rapport opposable au juge commercial, à mobiliser sur les tiers stratégiques cartographiés en risque élevé plutôt que sur le portefeuille fournisseurs dans son ensemble.

Sources citées

  1. LOI n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre — Légifrance (2017-03-27)
  2. Article L. 225-102-4 du Code de commerce — Légifrance (2024-01-01)
  3. Directive (UE) 2024/1760 du 13 juin 2024 sur le devoir de vigilance des entreprises en matière de durabilité (CS3D) — EUR-Lex (2024-06-13)
  4. LOI n° 2023-973 du 23 octobre 2023 relative à l'industrie verte — Légifrance (2023-10-23)
  5. Code de la sécurité intérieure — Livre VI, activités privées de sécurité, chapitre II Activités de recherches privées (art. L. 621-1 et s.) — Légifrance (2024-01-01)
  6. Article L. 2141-7-1 du Code de la commande publique (créé par l'ordonnance n° 2023-1142 du 6 décembre 2023) — Légifrance (2023-12-06)
  7. Cour d'appel de Paris, Pôle 5 chambre 12, 17 juin 2025, RG n° 24/05193 (affaire La Poste) — décision intégrale (2025-06-17)
  8. Conseil de l'Union européenne — Adoption définitive du paquet Omnibus simplifiant CSRD et CS3D (2026-02-24)
  9. LOI n° 2025-391 du 30 avril 2025 portant diverses dispositions d'adaptation au droit de l'Union européenne (DDADUE 5) — Légifrance (2025-05-02)
  10. Décret n° 2026-310 du 24 avril 2026 relatif à l'accès au registre des bénéficiaires effectifs — Légifrance (2026-04-26)
  11. OCDE-EUIPO — Mapping Global Trade in Fakes 2025: Global Trends and Enforcement Challenges (2025-05-07)

À propos de l'auteur

Ianis M.

Détective privé agréé CNAPS — Spécialiste contentieux et enquêtes B2B

Fondateur de Détective Company, 10 ans d'enquête en investigation privée. Spécialiste contrefaçon, renseignement d'affaires B2B et investigation numérique (OSINT). Agréments CNAPS AGD-092-2029-01-26-20230827194.

Besoin d'aide ?

Vous avez une question sur votre situation ?

Premier contact gratuit et confidentiel. Nous analysons votre dossier et vous conseillons sur la meilleure approche.

Prendre contact 06 82 36 43 05

Questions fréquentes

Quelle est la responsabilité du dirigeant si un fournisseur défaillant n'a pas été audité avant signature ?

La responsabilité civile de la société donneuse d'ordre peut être engagée sur le fondement des articles L. 225-102-4 et L. 225-102-5 du Code de commerce dès lors que le plan de vigilance ne couvrait pas la relation fournisseur en cause ou que les procédures d'évaluation régulière n'ont pas été mises en œuvre. Le dirigeant n'est pas personnellement débiteur de l'obligation de vigilance — qui pèse sur la société — mais sa responsabilité personnelle peut être recherchée séparément en cas de faute détachable de ses fonctions, notamment pour décision consciente d'écarter une alerte fournisseur documentée. La condamnation civile du Groupe La Poste, confirmée par l'arrêt de la Cour d'appel de Paris (Pôle 5 chambre 12) du 17 juin 2025, RG n° 24/05193, qui a validé en toutes ses dispositions le jugement du Tribunal judiciaire de Paris du 5 décembre 2023 (RG n° 21/15827), a montré que le juge accepte d'examiner au fond le caractère raisonnable du plan, y compris l'évaluation des sous-traitants de rang 1.

Le périmètre de la due diligence inclut-il les filiales étrangères et les sous-traitants de rang 2 ?

Oui. L'article L. 225-102-4 du Code de commerce vise expressément les filiales contrôlées au sens du I de l'article L. 233-16, ainsi que « les sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie », sans limitation géographique. La directive CS3D 2024/1760, dans sa version amendée par le paquet Omnibus définitivement adopté par le Conseil le 24 février 2026 et publiée au JOUE le 26 février 2026 (directive (UE) 2026/470), élargit ce périmètre à l'ensemble de la chaîne d'activités, incluant les partenaires commerciaux directs et indirects sur lesquels l'entreprise exerce une influence économique caractérisée — étant précisé que les seuils définitifs sont relevés à plus de 5 000 salariés et plus de 1,5 milliard d'euros de chiffre d'affaires net mondial pour les entreprises UE. Pour les ETI fournisseurs de grands comptes soumis à la CS3D, l'effet de ruissellement contractuel rend la vérification des sous-traitants de rang 2 économiquement nécessaire, même en l'absence d'obligation légale directe sur l'ETI elle-même.

Quelle est l'articulation entre criblage automatisé (World-Check, Pappers) et investigation humaine d'un détective ?

Le criblage automatisé constitue la couche socle d'une due diligence sérieuse : croisement des listes de sanctions consolidées UE, OFAC SDN, HM Treasury, identification PEP, alertes médias adverses, états financiers Infogreffe et BODACC. Cette couche est nécessaire mais ne tranche pas les zones d'incertitude que sont l'identité réelle du bénéficiaire effectif au-delà du déclaratif RBE-INPI, la corroboration physique d'un site de production, la reconstitution d'un historique entrepreneurial masqué par des changements de raison sociale, ou la qualification d'un signal faible de presse locale. Le détective privé agréé CNAPS intervient sur cette couche d'investigation humaine ciblée, dans le cadre défini à l'article L. 621-1 du Code de la sécurité intérieure, avec un mandat écrit et une traçabilité documentaire opposable au juge commercial.

Quelles sanctions concrètes en cas de manquement au devoir de vigilance fournisseur ?

Trois niveaux de sanctions cumulables. Sur le plan civil, l'article L. 225-102-4 II du Code de commerce permet à toute personne justifiant d'un intérêt d'obtenir l'injonction sous astreinte de respecter le plan, et l'article L. 225-102-5 ouvre une action en responsabilité pour réparer le préjudice qu'une vigilance effective aurait permis d'éviter. Sur le plan commercial, la loi n° 2023-973 du 23 octobre 2023 dite Industrie verte a habilité le Gouvernement à introduire un motif d'exclusion facultatif des marchés publics et contrats de concession pour défaut de plan de vigilance, transposé par l'ordonnance n° 2023-1142 du 6 décembre 2023 aux articles L. 2141-7-1 et L. 3123-7-1 du Code de la commande publique, entrés en vigueur le 1er janvier 2026 pour les consultations engagées à compter de cette date. Sur le plan réputationnel enfin, l'audience au fond du procès TotalEnergies devant la 34e chambre du tribunal judiciaire de Paris les 19 et 20 février 2026 a confirmé que la phase contentieuse est désormais publique et médiatisée.

À lire aussi

Entreprises

Contrefaçon sur marketplace en 2026 : ce qui change après l'arrêt Airbnb et le DSA

Arrêts Airbnb du 7 janvier 2026, jurisprudence Louboutin / Amazon, DSA applicable depuis février 2024 : pourquoi les marketplaces ne peuvent plus invoquer le simple statut d'hébergeur face à la contrefaçon.
Entreprises

Concurrence déloyale : le rôle du détective

Détournement clientèle, débauchage, clause non-concurrence : comment un détective privé prouve la concurrence déloyale devant le tribunal de commerce.
Entreprises

Clause de non-concurrence : la prouver

Clause de non-concurrence violée par un ex-salarié ? Découvrez comment un détective privé agréé CNAPS constitue un dossier de preuves recevable en justice.
Partager
Contact

Parlons de votre situation

Contact gratuit et confidentiel. Nos experts répondent 24h/24, 7j/7.

Prendre contact 06 82 36 43 05