Le KYC fournisseur n'est plus une option en 2026. Le dispositif LCB-FT français (Code monétaire et financier articles L. 561-1 et suivants) et le devoir de vigilance issu de la loi Sapin II imposent à toute entreprise contractualisant avec des tiers de mettre en place un processus structuré. Voici la checklist 10 points incontournable, applicable France et Maroc, accompagnée d'une justification SEO et d'une note d'action en cas d'échec.
Pourquoi cette checklist existe
Une PME française qui contractualise avec 50 fournisseurs par an est exposée à plusieurs risques cumulés : impayés en cas de défaillance fournisseur, complicité involontaire de blanchiment ou de violation de sanctions, redressement fiscal sur factures de société fictive, et atteinte réputationnelle si un fournisseur est médiatiquement compromis. Les sanctions financières directes peuvent atteindre 1,5 million d'euros en cas de manquement LCB-FT caractérisé, sans compter la responsabilité personnelle des dirigeants.
Cette checklist en 10 points couvre les vérifications minimales avant entrée en relation. Elle ne remplace pas une analyse approfondie pour les contrats à enjeu élevé (> 100 K€ ou risque réputationnel), mais constitue le filet de sécurité de base pour les volumes courants.
La checklist en 10 points
- Vérifier l'existence légale
France : Kbis de moins de 3 mois via Infogreffe ou Pappers. Vérifier que le SIREN est actif sur sirene.fr. Maroc : extrait OMPIC du registre de commerce, ICE à 15 chiffres vérifié auprès de la DGI.
Pourquoi c'est important : 30 % des sociétés en cessation d'activité figurent encore dans des listings commerciaux. Un Kbis périmé est le premier signal d'une société-écran ou d'une fraude documentaire.
- Identifier les dirigeants
Récupérer la liste complète des dirigeants statutaires (président, gérant, DG). Croiser avec leurs autres mandats actifs : un dirigeant à plus de 20 mandats simultanés est presque toujours un nominee professionnel.
Pourquoi c'est important : les nominees masquent les vrais bénéficiaires effectifs et augmentent le risque de blanchiment.
- Identifier les bénéficiaires effectifs
Toute personne physique détenant > 25 % du capital ou exerçant un contrôle effectif. France : RBE consultable sur data.inpi.fr. Maroc : registre des bénéficiaires effectifs (en cours de modernisation).
Pourquoi c'est important : la cascade capitalistique peut masquer un PEP ou un sanctionné OFAC en bout de chaîne.
- Croiser avec les listes de sanctions internationales
OFAC SDN, ONU, UE, OFSI. Inclure variantes orthographiques (translittérations cyrilliques et arabes). Mise à jour minimum mensuelle, idéale quotidienne.
Pourquoi c'est important : violation OFAC = jusqu'à 8,9 Md$ d'amende (cas BNP Paribas 2014), exclusion bancaire, pénal pour les dirigeants.
- Vérifier le statut PEP
Personne politiquement exposée (élu, haut fonctionnaire, dirigeant d'entreprise publique, parents et associés). Base PEP minimum 700 K entrées mondiales pour couverture sérieuse.
Pourquoi c'est important : les PEP imposent une vigilance renforcée + approbation hiérarchique avant relation.
- Analyser la santé financière
Bilans déposés au greffe (3 derniers exercices), évolution CA, résultat net, fonds propres. France : via Pappers. Maroc : Bourse de Casablanca pour les sociétés cotées, sinon demande directe.
Pourquoi c'est important : une société en perte récurrente est à risque de défaillance — vos paiements en cours peuvent être perdus.
- Vérifier l'absence de procédures collectives
BODACC (France) ou bulletins officiels marocains. Idéalement scanner toutes les heures pour détecter une ouverture de redressement judiciaire en quasi-temps réel.
Pourquoi c'est important : une procédure ouverte modifie immédiatement les conditions juridiques de la relation (gel des paiements, mandataire désigné).
- Croiser la presse économique
Google News, L'Économiste, Medias24, Challenge.ma, sur les 24 derniers mois. Recherche par nom d'entreprise et noms des dirigeants.
Pourquoi c'est important : un fournisseur cité dans la presse pour fraude, scandale ou enquête en cours doit déclencher une vigilance accrue avant signature.
- Vérifier la cohérence digitale
Site web actif, ancienneté du domaine WHOIS, profil LinkedIn cohérent avec l'effectif déclaré. Une entreprise prétendant 50 salariés avec 3 profils LinkedIn est incohérente.
Pourquoi c'est important : la présence digitale est un indicateur indirect mais robuste de réalité opérationnelle.
- Documenter et archiver
Tout dossier KYC doit être tracé et conservé 5 ans (France) ou 10 ans (Maroc). Format coffre-fort numérique horodaté, accessible en cas de contrôle Tracfin / ANRF.
Pourquoi c'est important : en cas de contrôle, c'est la documentation horodatée qui démontre votre bonne foi et votre diligence.
Que faire si un point échoue
Si l'un des 10 points révèle une anomalie : ne pas signer immédiatement, demander des pièces complémentaires (statuts certifiés, attestations bancaires, déclaration RBE signée), et escalader la décision au niveau direction. Pour les anomalies critiques (sanction confirmée, RBE absent depuis 2017, dirigeant à 100+ mandats), refuser la relation est la décision rationnelle. Le coût d'un mauvais fournisseur dépasse toujours le coût de la perte commerciale d'un refus.
FAQ
Combien de temps prend une checklist complète ?
En manuel : 2-3 heures par fournisseur. Avec un outil automatisé qui interroge les sources publiques en parallèle : 60 secondes pour les 7 premiers points (la documentation et la confirmation orale restent manuelles).
Faut-il refaire la checklist chaque année ?
Oui pour les fournisseurs récurrents > 50 K€/an, et à chaque événement déclencheur (alerte presse, mise à jour sanctions, changement de dirigeant). Idéalement, mettre en place une surveillance continue automatisée plutôt que des révisions périodiques.
RiskSonnar exécute cette checklist automatiquement sur 24 sources officielles (France + Maroc) en 60 secondes, avec rapport PDF auditable archivable 5 ans. Tester gratuitement →