Les chiffres tirés du rapport 2026 de LRN sur l'efficacité des programmes d'éthique et de conformité ne laissent aucune place à la nuance. Sur un échantillon mondial de plus de 2 500 professionnels de l'éthique et de la conformité, seules 27 % des organisations déclarent consacrer des efforts significatifs à une surveillance systématique et continue des risques liés aux tiers. Parmi les programmes à fort impact, ce chiffre s'élève à 51 %. Parmi les programmes à impact moyen : 22 %. Parmi les programmes à faible impact : 15 %.
Il ne s'agit pas d'un déficit de capacités. C'est une faille structurelle qui traverse la plupart des programmes de conformité des entreprises, alors même que les régulateurs, les autorités de contrôle et les conseils d'administration ont décidé que la responsabilité des tiers n'était pas négociable.
La réglementation renforce les enjeux en matière de conformité des tiers
Cette évolution réglementaire n'est pas hypothétique. La loi britannique sur la criminalité économique et la transparence des entreprises (Economic Crime and Corporate Transparency Act) établit une norme de responsabilité pénale pour les organisations qui ne parviennent pas à prévenir la fraude, y compris celle commise par des tiers ou facilitée par leur intermédiaire. La défense repose sur l'existence de « procédures de prévention raisonnables », une norme qui suppose une surveillance continue et non un simple contrôle ponctuel. Au sein de l'UE, les obligations de diligence raisonnable en matière de droits de l'homme et d'environnement prévues par la directive sur la diligence raisonnable en matière de durabilité des entreprises imposent une surveillance proportionnée et fondée sur les risques tout au long des chaînes de valeur. Le ministère américain de la Justice a clairement indiqué dans ses lignes directrices mises à jour que l'efficacité d'un programme de conformité sera évaluée en partie en fonction de la qualité de la surveillance exercée sur les tiers ayant accès aux actifs, aux marchés ou aux données de l'entreprise.
Cette convergence est importante car elle met fin à l'argument le plus couramment avancé au sein des organisations, selon lequel la gestion des risques liés aux tiers relève des services des achats, du service juridique ou de l'audit plutôt que de ceux de l'éthique et de la conformité. Les autorités de régulation ne font pas cette distinction. Il en va de même pour les sanctions prononcées.
Comment les programmes de conformité de pointe intègrent les risques liés aux tiers dans la gouvernance
Ce qui distingue les programmes à fort impact des autres, ce n’est pas la sophistication de leurs questionnaires destinés aux fournisseurs ; c’est plutôt le fait que la surveillance des tiers soit intégrée dans des cadres de gouvernance qui fonctionnent en continu, génèrent des informations exploitables et font l’objet de rapports au niveau du conseil d’administration, parallèlement aux indicateurs de culture et de conduite. La conformité de la chaîne d’approvisionnement n’est incluse dans les formations que par 24 % des organisations dans l’ensemble, ce chiffre passant à 29 % parmi les programmes à fort impact. Pour la plupart des organisations, le fossé entre le fait de savoir qu'un risque existe et sa gestion systématique à l'échelle de l'entreprise étendue reste énorme.
L'implication pratique est un changement de philosophie dans la conception des programmes. La gestion des risques liés aux tiers, articulée autour de cycles périodiques de diligence raisonnable, crée une posture de conformité qui regarde perpétuellement vers le passé. Ce que les programmes à fort impact mettent en place est différent : des architectures de surveillance continue qui détectent les anomalies en temps réel, des voies d'escalade définies qui relient les signaux de risque des fournisseurs à l'attention des dirigeants et du conseil d'administration, et des cadres culturels qui étendent explicitement les attentes éthiques aux partenaires commerciaux.
Il existe également une dimension liée à la réputation que les responsables de la conformité commencent à évoquer plus ouvertement. Les incidents cybernétiques liés aux vulnérabilités de la chaîne d'approvisionnement, les manquements à l'intégrité chez les fournisseurs qui se répercutent sur l'image de marque, ainsi que les inexactitudes dans les données ESG provenant des fournisseurs ont tous démontré que les limites de la responsabilité organisationnelle se sont estompées. Un programme de conformité qui ne peut rendre compte de ce que ses fournisseurs font, disent ou ne parviennent pas à empêcher n'est pas un programme bien géré confronté à un problème externe. C'est un programme dont la conception est incomplète.
Pourquoi le risque lié aux tiers est désormais une préoccupation au niveau du conseil d'administration
Les conseils d'administration qui commencent à comprendre cela posent désormais des questions différentes. Non plus « procédons-nous à une sélection rigoureuse de nos fournisseurs ? », mais « pouvez-vous me montrer comment les indicateurs de risque liés aux tiers ont évolué au cours des deux derniers trimestres, et quelles mesures nous avons prises à ce sujet ? ». Répondre à cette question exige bien plus que de bonnes intentions et une liste de fournisseurs bien tenue. Cela nécessite la capacité de mettre en évidence les tendances en matière de risques sous un format que les conseils d'administration peuvent analyser, comparer à des programmes similaires et sur lequel ils peuvent agir. C'est là le déficit de capacité que la plupart des programmes n'ont pas encore comblé, et c'est précisément là que des outils tels que Catalyst Reveal de LRN apportent une contribution substantielle : en traduisant les données de surveillance des tiers en tableaux de bord et en repères prêts à être présentés au conseil d'administration, qui permettent aux responsables de la conformité et aux administrateurs d'avoir une conversation factuelle plutôt que qualitative.
Les données de 2026 montrent que le reporting au niveau du conseil d'administration sur les risques liés aux tiers reste sous-développé, même dans les programmes à fort impact. C'est là que réside la prochaine frontière en matière de capacités.
Ce qu'exige une gestion efficace des risques liés aux tiers en 2026
Pour les responsables de la conformité qui préparent leurs programmes en fonction du cadre réglementaire déjà en vigueur, et non de celui qu'ils anticipent, trois éléments sont essentiels. Premièrement, la conception du programme en matière de risques liés aux tiers doit être repensée pour privilégier la surveillance continue plutôt que la phase d'intégration. Deuxièmement, les données issues de la surveillance des tiers doivent être intégrées aux données relatives à la culture et aux comportements internes, afin que les conseils d'administration puissent identifier des tendances à l'échelle de l'ensemble du paysage des risques. Troisièmement, et surtout, la norme des « procédures de prévention raisonnables » n'est pas auto-certifiante. Elle exige des preuves documentées que la surveillance fonctionne, qu'elle est proportionnée et réactive.
C'est au niveau de cette troisième exigence que les programmes découvrent le plus souvent qu'ils sont exposés. Les examens périodiques laissent des lacunes dans l'historique. Les décisions prises entre les cycles d'audit formels ne sont souvent pas documentées. Lorsque les régulateurs ou les autorités de contrôle demandent des preuves de ce qu'un programme a fait, quand et pourquoi, la réponse doit être accessible et structurée, et non reconstituée à partir de chaînes d'e-mails et de notes de réunion. Des plateformes telles que Catalyst Disclosures de LRN existent précisément pour cette raison : produire des preuves horodatées et prêtes pour l'audit, démontrant que la surveillance fonctionnait comme prévu, aux moments où cela comptait.
Les 73 % d'organisations qui ne disposent pas encore d'un niveau significatif de surveillance par des tiers ne font pas nécessairement preuve de négligence. Beaucoup sont limitées par l'allocation des ressources, les capacités d'analyse ou des structures organisationnelles qui répartissent la responsabilité entre les fonctions de manière à la diluer. Mais être limité n'est pas synonyme d'être justifiable. Et dans un environnement réglementaire où la charge de la preuve incombe désormais aux organisations de démontrer ce qu'elles ont fait, et non pas simplement ce qu'elles avaient l'intention de faire, l'écart entre les pratiques actuelles et la norme attendue se réduit plus rapidement que la plupart des budgets des programmes ne sont mis à jour pour en tenir compte.
Le risque lié aux tiers n'est plus une lacune à gérer. C'est un test permettant de déterminer si les programmes de conformité sont adaptés au monde tel qu'il fonctionne actuellement.