Synthèse exécutive
L'audit ESG de la chaîne d'approvisionnement de TechCorp couvre 5 fournisseurs représentant €1.37M de dépenses annuelles (Tier 1 prioritaire). Le score ESG moyen du portefeuille est de 57/100, en dessous de la cible EcoVadis Gold de 65/100. Deux fournisseurs présentent un risque élevé : DevStudio Maroc (score 38/100, risques sociaux majeurs : contrats précaires + absence politique diversité) et HardwarePro FR (score 45/100, critère environnemental non satisfait : 60% de matériel neuf). CloudHosting Europe est le fournisseur le plus mature (74/100) malgré la transition énergétique en cours. Un plan de remédiation 90 jours est prescrit pour DevStudio et HardwarePro. SecurityAudit LTD (68/100) et PrintOffice SAS (62/100) sont à surveiller mais sans action urgente.
Vue d'ensemble du portefeuille
5
Fournisseurs audités
57
Score moyen /100
2
Risque élevé/critique
3
Fournisseurs certifiés
Tier 14 fournisseursSpend : €1 350 000Score moyen : 56/100
Tier 21 fournisseursSpend : €18 000Score moyen : 62/100
Scores ESG par fournisseur (5)
CloudHosting Europe
Tier 1 · €480 000/an
74/100
Risque moyenSurveiller🌿 Environnement
65
🤝 Social
78
⚖️ Gouvernance
82
🔗 Supply Chain
72
Drapeaux rouges
- 40% de l'alimentation datacenter encore issue de gaz naturel (transition prévue 2026-2027)
- Plan de neutralité carbone non audité par tiers
Points forts
- ISO 14001 + ISO 27001 certifiés
- Engagement public neutralité carbone 2027
- Politique diversité documentée et mesurée (42% femmes)
- Code de conduite anti-corruption + formation annuelle 100% équipes
- RGPD : DPO nommé + registre de traitements complet
DevStudio Maroc
Tier 1 · €720 000/an
38/100
Risque élevéPlan remédiation🌿 Environnement
45
🤝 Social
22
⚖️ Gouvernance
40
🔗 Supply Chain
45
Drapeaux rouges
- 80% des effectifs en statut freelance : absence de couverture sociale santé/retraite conforme OIT
- Pas de politique anti-discrimination ni de données diversité publiées
- Turnover estimé >40%/an (signalé par account manager TechCorp)
- Absence de dispositif d'alerte (lanceur d'alertes)
- Sous-traitance Tier 2 en Inde non déclarée (découverte lors de l'audit)
Points forts
- Offre de formation continue pour les freelances (3 jours/an minimum contractuel)
- Locaux certifiés LEED (bâtiment récent à Casablanca)
HardwarePro FR
Tier 1 · €95 000/an
45/100
Risque élevéPlan remédiation🌿 Environnement
32
🤝 Social
58
⚖️ Gouvernance
50
🔗 Supply Chain
40
Drapeaux rouges
- 60% de matériel neuf livré à TechCorp, objectif reconditionné 60% non atteint (score E faible)
- Pas de bilan carbone publié ni de données GES mesurées
- Sous-traitants Tier 2 en Asie du Sud-Est non évalués (risque Conflict Minerals)
Points forts
- EcoVadis Bronze obtenu (amélioration progressive documentée)
- Politique sociale française conforme (convention collective + intéressement)
- Code de conduite fournisseurs signé par 90% des fournisseurs directs
PrintOffice SAS
Tier 2 · €18 000/an
62/100
Risque moyenSurveiller🌿 Environnement
58
🤝 Social
65
⚖️ Gouvernance
60
🔗 Supply Chain
65
Drapeaux rouges
- Papier non certifié FSC pour 30% des références commandées
- Pas de données énergie renouvelable publiées
Points forts
- PME française, convention collective respectée
- Politique de tri et recyclage des déchets documentée
- Réponse rapide au questionnaire ESG (délai <72h)
SecurityAudit LTD
Tier 1 · €55 000/an
68/100
Risque faibleConserver🌿 Environnement
55
🤝 Social
70
⚖️ Gouvernance
85
🔗 Supply Chain
62
Drapeaux rouges
- Pas de bilan carbone Scope 3 publié
- Politique de déplacements professionnels non revue depuis 2021
Points forts
- ISO 27001 + SOC 2 Type II certifiés (gouvernance forte)
- RGPD : DPA signé + registre de traitements complet + sous-traitants EU uniquement
- Politique de diversité avancée : 48% femmes, 30% underrepresented minorities
- Formation anti-corruption 100% équipes, auditée annuellement
Plans de remédiation (2)
DevStudio Maroc
Risque élevéSuivi : Mensuel pendant 6 mois, puis trimestriel
🤝
Exiger la conversion d'au moins 50% des freelances en CDI ou en contrats conformes OIT avec couverture sociale (santé + retraite complémentaire)
KPI : 50% des effectifs en CDI ou contrat équivalent OIT, justificatif documentaire · Owner : DRH TechCorp + Account Manager DevStudio · Q3-2025
🤝
Mettre en place une politique de diversité formelle avec données publiées annuellement (% femmes, nationalités, RQTH)
KPI : Politique diversité publiée + première mesure annuelle effectuée · Owner : DRH DevStudio + CSO TechCorp · Q4-2025
⚖️
Déployer un dispositif d'alerte interne conforme (plateforme Whispli ou équivalent)
KPI : Dispositif opérationnel + communication à tous les effectifs · Owner : Direction DevStudio · Q4-2025
🔗
Déclarer et cartographier toute la sous-traitance Tier 2 (Inde incluse) avec questionnaire ESG initial
KPI : 100% de la sous-traitance Tier 2 cartographiée et soumise à questionnaire ESG · Owner : Directeur Achats TechCorp + Responsable Qualité DevStudio · Q3-2025
Escalade : Absence de progrès mesurable à 90 jours : mise en demeure contractuelle. À 180 jours sans amélioration : démarche de résiliation progressive avec plan de transition fournisseur alternatif (6 mois)
HardwarePro FR
Risque élevéSuivi : Trimestriel
🌿
Atteindre 60% de matériel reconditionné dans les livraisons à TechCorp (contractualiser la clause)
KPI : 60% du volume annuel TechCorp livré via reconditionné certifié (Recommerce / Remade) · Owner : Directeur Achats TechCorp + Directeur Commercial HardwarePro · H1-2026
🌿
Publier un premier bilan GES Scope 1+2 (méthode Bilan Carbone ADEME) avant fin 2025
KPI : Bilan GES publié sur le site HardwarePro et communiqué à TechCorp · Owner : Directeur HardwarePro · Q4-2025
🔗
Réaliser un audit Conflict Minerals sur les 5 principaux sous-traitants Asie du Sud-Est
KPI : Rapport d'audit Conflict Minerals fourni à TechCorp · Owner : Directeur Qualité HardwarePro + Cabinet SGS ou Bureau Veritas · Q4-2025
Escalade : Non-atteinte de 40% de matériel reconditionné à fin 2025 : pénalité contractuelle de 2% du CA HardwarePro/TechCorp. Non-publication bilan GES : résiliation à l'échéance contractuelle Q4 2026
Framework de monitoring
Cadence : Questionnaire ESG annuel (janvier) pour tous les fournisseurs significatifs. Revue trimestrielle des plans de remédiation. Audit sur site bi-annuel pour les 4 fournisseurs Tier 1. Dashboard KPIs mis à jour mensuellement.
Outils : EcoVadis Engage (plateforme d'évaluation fournisseurs automatisée) · Tableau de bord RSE interne (Google Sheets + Looker Studio ou Greenomy) · Bureau Veritas / SGS pour audits sur site · Clauses contractuelles ESG standard (modèle juridique validé Q3 2025)
Score ESG moyen portefeuille
Seuil : ≥65/100 (cible EcoVadis Gold)
Action : Si <60 : revue d'urgence des 3 plus mauvais fournisseurs
% spend couvert par fournisseurs >60 ESG
Seuil : ≥85%
Action : Si <80% : plan de substitution fournisseur engagé pour les fournisseurs <50
Taux de réponse questionnaire ESG
Seuil : 100% des fournisseurs >€20k
Action : Relance J+15, puis mise en demeure J+30, résiliation à l'échéance J+60
Fournisseurs à risque élevé/critique en plan remédiation
Seuil : Zéro fournisseur critique sans plan actif
Action : Démarche de résiliation progressive si aucun progrès à 90 jours
% fournisseurs Tier 1 avec audit sur site
Seuil : 100% des Tier 1 audités sur site tous les 2 ans
Action : Budget audit SGS/BV prévu €12k/an (4 audits)
Incidents ESG fournisseurs signalés et traités
Seuil : 100% des incidents traités <30 jours
Action : Comité de crise ESG si incident critique (ex: scandale travail forcé)
Matrice d'escalade
Trigger : Score ESG fournisseur <30/100 ou incident grave signalé
Action : Mise en demeure contractuelle + plan remédiation 60 jours ou résiliation · Owner : CSO TechCorp + Directeur Achats
Trigger : Refus du questionnaire ESG 2 années consécutives
Action : Résiliation à l'échéance contractuelle + sourcing alternatif · Owner : Directeur Achats + CEO
Trigger : Scandale médiatique impliquant un fournisseur (travail forcé, corruption, pollution)
Action : Suspension des commandes en 72h + audit de crise + communication client proactive · Owner : CEO + CSO + Communication
Alertes actives (4)
DevStudio Maroc
Sous-traitance Tier 2 non déclarée en Inde détectée : risque de conformité Loi de Vigilance + risque réputationnel si conditions de travail non conformes
Action : Exiger cartographie complète Tier 2 dans les 30 jours. Suspendre les extensions de contrat jusqu'à déclaration conforme.
Délai : 2025-07-15
DevStudio Maroc
80% des effectifs en contrats précaires sans couverture sociale OIT : risque Loi de Vigilance (Article 1 chapitre 1) pour TechCorp
Action : Activer le plan de remédiation social (CDIsation 50% effectifs) dans les 90 jours. Documenter les actions engagées pour le rapport Vigilance 2025.
Délai : 2025-09-30
HardwarePro FR
Absence de bilan carbone publié et de données GES mesurées : TechCorp ne peut pas comptabiliser ce spend dans son Scope 3 Category 1 (achats de biens)
Action : Exiger publication bilan GES avant Q4 2025 sous peine d'exclusion du panel fournisseurs EcoVadis Gold.
Délai : 2025-12-31
CloudHosting Europe
40% de l'alimentation datacenter encore en gaz naturel : impact sur le calcul Scope 3 Category 1 de TechCorp (émissions indirectes liées à l'hébergement cloud)
Action : Demander plan de migration énergétique détaillé avec jalons trimestriels. Évaluer alternative AWS eu-north-1 (100% renouvelable) pour les workloads non-critiques.
Délai : 2025-10-31
Sources & références
“Les sociétés mères doivent établir un plan de vigilance couvrant les atteintes aux droits humains et à l'environnement dans leur chaîne d'approvisionnement.”
“EcoVadis évalue les fournisseurs sur 21 critères dans 4 domaines : Environnement, Social, Éthique, Achats responsables. Score Gold = ≥70/100.”
“Les 4 conventions fondamentales OIT couvrent : travail forcé, travail des enfants, discrimination, liberté syndicale. Applicables à tous les fournisseurs mondiaux.”
“Oblige les importateurs européens à identifier et atténuer les risques dans leur chaîne d'approvisionnement en étain, tantale, tungstène et or (3TG) de zones de conflit.”
“La CSRD exige un reporting de durabilité couvrant la chaîne de valeur, incluant les fournisseurs. Les PME B2B seront impactées via leurs clients grands comptes soumis à la directive dès 2024-2025.”