Le devoir de vigilance de 2017 : Les actions mises en place pour se conformer à la Loi

La première action structurante observée dans l’ensemble des organisations étudiées réside dans la mise en place ou le renforcement d’une gouvernance dédiée au devoir de vigilance, souvent initiée tardivement. Cette structuration apparaît d’ailleurs moins comme une réponse immédiate à la loi de 2017 que comme une conséquence indirecte de la pression réglementaire européenne croissante. Le mode opératoire est très divers selon les sociétés.

À La Banque Postale, filiale du groupe La Poste, non soumise directement à la loi de 2017, c’est la direction de l’engagement citoyen qui coordonne et reporte à la direction de la conformité du groupe La Poste. Cette coordination est déclinée par thématiques : les enjeux liés aux achats responsables et aux fournisseurs relèvent de la direction des achats, ceux relatifs aux droits humains et à la santé-sécurité sont traités par la direction des risques et les ressources humaines, tandis que la dimension environnementale est pilotée par la direction de l’engagement citoyen. Chaque entité adresse un sujet. Cette organisation traduit un choix pragmatique consistant à s’appuyer sur les compétences métiers existantes pour une meilleure gestion des filiales, plutôt que de créer une entité unique dédiée au devoir de vigilance. L’organisation est donc très satellisée avec des référents vigilance dans chaque filiale, un comité groupe qui consolide et remonte les informations à la direction de la conformité de la société mère qui est directement soumise à la Loi.

Chez Groupama, l’approche adoptée repose sur une intégration étroite entre les travaux relevant de la CSRD et ceux relatifs au devoir de vigilance. Les deux dispositifs sont traités de manière parallèle, en s’appuyant sur une analyse approfondie de la chaîne de valeur afin d’identifier les impacts, risques et opportunités. Cette articulation est justifiée par la proximité des enjeux, notamment en matière de responsabilité extra financière et de responsabilité civile et pénale. Même si les périmètres juridiques diffèrent, la cible est la même car on ne peut pas parler de la responsabilité extra-financière d’une société sans évoquer le devoir de vigilance. L’idée est donc de mutualiser les analyses en travaillant en parallèle sur les mêmes chaînes de valeur, les même risques et indicateurs afin d’être plus efficace et d’éviter les doublons.

Le cas d’Électro Dépôt illustre quant à lui une dynamique plus récente. Intégrée au groupe United B en 2020, l’entreprise ne disposait pas initialement de dispositif formalisé de devoir de vigilance. Sous l’impulsion du groupe, à la suite d’une prise de conscience progressive de l’importance des enjeux, un comité de pilotage dédié a été créé. Ceci a marqué une première étape visant à structurer un sujet jusque-là traité de manière diffuse et non centralisée. Cette instance a pour objectif de recenser les initiatives existantes, d’identifier les manques, de définir des plans d’actions prioritaires par risque, d’établir un reporting de vigilance par entité et de le remonter au niveau du Holding qui va consolider ces éléments avec ceux de Boulanger, autre société du groupe pour bâtir son plan de vigilance au niveau d’United B.

Un second enseignement majeur de cette enquête est le constat que les dispositifs de devoir de vigilance ne se construisent pas ex nihilo. Les organisations étudiées ont largement capitalisé sur des pratiques déjà existantes, sans nécessairement les qualifier auparavant comme relevant du devoir de vigilance.

Électro Dépôt souligne que des procédures strictes étaient déjà en place en matière de santé-sécurité des salariés et des clients, notamment dans le cadre des activités de manutention en magasin (ex : fermeture de rayons lors de manutentions à risque). De même, des contrôles qualité et des visites régulières de fournisseurs, en particulier en Chine et en Turquie, permettaient de vérifier les conditions de production. Ces pratiques répondent de facto aux objectifs du devoir de vigilance, bien qu’elles n’aient pas été pensées initialement dans ce cadre juridique spécifique.

De manière comparable, La Banque Postale a fait le choix de s’appuyer sur les dispositifs de gestion des risques, de conformité et de contrôle interne déjà en place dans le secteur bancaire, fortement réglementé, afin d’y intégrer progressivement les exigences du devoir de vigilance.

Toutes les sociétés affirment que la cartographie des risques constitue le point de départ central du dispositif de vigilance. Elle est souvent construite à partir de leur cartographie des risques groupe ou des audits interne diligentés et couvre trois types de risques majeurs :

• les droits humains et les libertés fondamentales (travail forcé, travail des enfants, discrimination, santé-sécurité)
• l’environnement (pollution, déforestation, biodiversité, climat)
• la chaîne de sous-traitance et d’approvisionnement étendue

Sur ce point toutes ne sont pas parvenues au même degré de granularité, certaines se limitant à l’analyse des fournisseurs ou sous-traitants de rang 1 alors que d’autre descendent jusqu’au rang 2, voire 3, de la chaîne.

Pour élaborer leur cartographie, certaines organisations ont adopté des méthodes particulièrement structurées. L’Oréal s’appuie par exemple explicitement sur le référentiel de l’Organisation des Nations unies, l’UNGP (United Nation Guiding Principles Reporting Framework), pour identifier les risques les plus saillants en prenant en considération la gravité du risque, sa remédiabilité et son occurrence. La démarche « bottom-up » part du terrain pour identifier dans chacune des filiales du groupe les risques les plus saillants, de façon à les traiter localement le plus rapidement possible. Par ailleurs, quand des risques communs apparaissent dans les 70 marchés adressés, la société établit une cartographie spécifique sur la base des retours consolidés communs et collectifs. Elle dresse alors une liste des risques à traiter, la partage au comité exécutif et au conseil d’administration pour approbation avant publication dans le plan de vigilance et dans le document universel.

D’autres sociétés, comme AUCHAN, proposent de telles quantités de marchandises de provenance diverse qu’il est impossible d’analyser article par article si tous les composants, tous les ingrédients ou encore le sourcingrespectent bien les attendus de la Loi de 2017. Il leur a donc été nécessaire de s’appuyer sur des bases de données externes et de dialoguer avec les fournisseurs, afin qu’ils communiquent des informations précises sur l’origine de leurs produits. Ils ont également sollicité l’aide d’un cabinet externe pour mettre en place des cartographies adaptées secteur par secteur. Ces cartographies opérationnelles, sont assorties d’un codage couleur permettant de distinguer les risques qui relèvent de la responsabilité directe de l’entreprise de ceux situés dans la chaîne de valeur afin de les classer par niveau de risque. Cela permet de cibler de façon plus fine les actions à déployer soit en interne, soit avec les fournisseurs et sous-traitants afin qu’ils mettent en place des plans d’action d’atténuation des risques détectés. Ces cartographies sont ensuite partagées à toute l’entreprise, aux directeurs généraux, au comité d’audit et au conseil d’administration dans un premier temps, puis aux comités de direction pays, aux directeurs RSE, aux directions techniques (sourcing, produits, achats indirects) afin que tous les acteurs de la société s’emparent du sujet.

Certaines autres sociétés comme VEOLIA fondent leur approche sur une logique de priorisation des risques contrôlables, en lien avec la structure même de leurs activités. Véolia pour établir sa cartographie, privilégie une réflexion basée sur une approche par les risques en triple entrée en considérant l’impact, la fréquence et la contrôlabilité des risques inhérents à l’activité de l’entreprise.

Les cartographies ont donc des visages très différents suivant les priorités des sociétés. Elles sont souvent jugées imparfaites par les ONG qui les trouvent trop génériques, notamment dans les chaînes de valeurs longues et internationales.

Le second pilier sur lequel s’appuient les sociétés interrogées est l’intégration des attendus de la loi dans les processus existants.

Les entreprises ont progressivement intégré la vigilance dans leurs processus de gestion à travers la mise en place de différentes pratiques.

Elles promeuvent en premier lieu une politique d’achats responsables, grâce notamment à l’intégration dans leurs contrats, de clauses spécifiques. Ainsi, les groupes Fnac Darty, Mobivia, ou Danone par exemple, imposent des codes de conduite aux fournisseurs, exigent des certifications (Ecovadis, SMETA), blacklistent certaines matières ou ingrédients, interdisent certaines origines comme le bœuf brésilien ou le soja du Cerrado et enrichissent leurs cahiers des charges de plans d’audits fournisseurs, notamment pour ce qui concerne les marques propres dans les pays et chez les fournisseurs à risque.

Certains groupes qui évoluent dans les secteurs sensibles comme ceux de la défense et de l’armement procèdent à des audits interne et à des actions de compliance renforcés dans l’ensemble des établissements qui interagissent avec eux. Ils fixent des normes standard minimales plus exigeantes que celle de la loi, avec des vérifications systématiques et rapprochées afin de contrôler que les attendus légaux sont a minima respectés. Dans l’un de ces groupes d’armement, à titre d’exemple est établi un document appelé « yearly attestation », signé par l’ensemble des directeurs d’établissements du groupe, qui liste des risques qu’il faut adresser. En signant le document, le directeur d’établissement, responsable de l’entité légale, s’engage à adresser tous ces risques. L’objectif final est la mise en place d’un outil d’analyse et de contrôle qui permette d’identifier avec finesse et de façon intégrée les risques afin de les circonscrire et de les traiter de façon efficace.

D’autres sociétés comme Véolia intègrent les exigences du test aux référentiels existants, comme la CSRD, et utilisent les méthodes de lutte anticorruption (connaissance des tiers, évaluations, mesures correctrices) pour structurer la mise en place du devoir de vigilance en l’intégrant dans le cadre d’une politique coordonnée globale de compliance, la segmentation risquant, selon eux, de conduire à des incohérences dans les documents de reporting et dans les pratiques qui en découlent.

Certaines des sociétés visées par la loi mettent en place des dispositifs d’alerte. Il peut s’agir, comme cela est pratiqué à la SNCF de création d’une plateforme unifiée, externalisée et ouverte aux collaborateurs et aux tiers ; les organisations syndicales ont d’ailleurs été associées à cette démarche et peuvent faire valoir leur vision des risques opérationnels. Leurs remarques sont prises en compte dans la rédaction du plan de vigilance.

D’autres, comme Véolia ou Auchan, mettent en place des systèmes d’alerte interne harmonisés au niveau du groupe, ouverts aux salariés et à certain tiers, avec un processus de traitement des alertes, des audits ciblés et des plans correctifs en cas d’incident avéré.

Le troisième pilier repose sur la formation et l’acculturation des salariés, partenaires sous-traitants et fournisseurs.

Toutes les sociétés interrogées ont élaboré des programmes de formation et de sensibilisation ciblés pour ancrer la vigilance dans les pratiques quotidiennes des salariés. La montée en compétence des équipes, et en particulier des acheteurs, des responsables de filiales et des managers opérationnels est un axe majeur pour de nombreux groupes. C’est ainsi qu’Auchan Retail ou Fnac Darty ont massivement investi dans la formation et dans la sensibilisation des personnels, considérées comme un levier central de la transformation managériale.

Enfin les sociétés font des actions ciblées sur certains pays et chaînes de valeur  : Auchan a ainsi mis en place des exigences spécifiques en Ouzbékistan où la culture du coton fait l’objet, de sa part, d’une analyse conjointe du risque social et de l’impact sur la mer d’Aral. Le groupe interdit également certaines origines jugées non conformes aux obligations de vigilance comme le bœuf brésilien nourrit de soja cultivé dans le Cerrado où la déforestation illégale est observée.

Force est de constater que les plans d’actions mis en place sont assez hétérogènes. Leur suivi et leur évaluation sont menés, comme nous allons le voir, de façon plus ou moins stricte, ce qui peut créer une suspicion de « greenwashing » de la part des organisations non gouvernementales.

Dans les sociétés impactées indirectement par la loi de 2017, le suivi des actions mises en œuvre repose essentiellement sur des dispositifs internes, dont le degré de formalisation varie selon la structuration des organisations.

À La Banque Postale, la clarification de la gouvernance a permis l’élaboration de processus structurés, caractérisés par l’identification des chaînes de responsabilité, la mise en place de fiches de risques par processus et la réalisation de contrôles internes permanents de niveau 1 par les métiers eux‑mêmes. Ces mécanismes s’inscrivent dans les pratiques habituelles du secteur bancaire et visent à assurer un suivi régulier des obligations de vigilance.

Chez Groupama, le suivi s’appuie sur l’identification d’indicateurs susceptibles d’être mobilisés à la fois pour la CSRD et pour le devoir de vigilance. Ces indicateurs alimentent un système de reporting progressif à destination des instances de gouvernance, en particulier du conseil d’administration, selon une logique de filtrage et de consolidation des informations remontant de la chaîne opérationnelle.

À l’inverse, Électro Dépôt se situait, au moment de l’enquête à un stade plus exploratoire. En l’absence de reporting formalisé, les premiers plans d’action étaient ciblés sur les carences identifiées. Les actions sont suivies par des contrôles permanents de niveau 1 effectués par les métiers, complétés de plus en plus fréquemment par des contrôles de second niveau et des reportings réguliers vers la gouvernance centrale. On observe donc une montée en puissance des actions de suivi et de contrôle interne dans cette société.

L’évaluation externe du devoir de vigilance demeure à géométrie variable selon les sociétés.

Si l’on considère le cas de la Banque Postale. N’étant pas directement soumise aux obligations légales du fait de son effectif, elle n’opère pas ou peu de contrôle externe, mais elle doit néanmoins transmettre ses informations à La Poste, laquelle fait l’objet d’audits externes et doit garantir ce que font ses filiales. Il y a donc des éléments consolidés qui sont contrôlés. L’évaluation existe ainsi de manière indirecte, à travers la responsabilité de la société mère vis‑à‑vis de ses filiales.

En revanche, ni Électro Dépôt ni Groupama ne mentionnent de contrôle externe spécifiquement dédié au devoir de vigilance à ce stade. Pour Électro Dépôt, les seuls contrôles externes évoqués concernent la conformité réglementaire et la sécurité des établissements. La préfecture peut ainsi diligenter une inspection à l’ouverture d’un magasin ou encore une vérification ponctuelle. Ces contrôles réglementaires thématiques, sans viser directement la Loi vigilance, contribuent à apprécier le niveau réel de prévention des risques. Ils permettent également une amélioration progressive de la couverture des risques.

Le suivi repose principalement sur des indicateurs de moyens et sur un reporting régulier.

Les indicateurs de moyens sont notamment le nombre d’audits réalisés, le taux de fournisseurs évalués ou certifiés, le déploiement des formations et l’existence de plans d’action.

Ainsi par exemple L’Oréal diligente environ 1 200 audits sociaux par an, en adressant par priorité les rangs 1 et 2.

Danone a audité 184 sites en 2024-2025 et a intégré aux contrats avec ses fournisseurs stratégiques des conditions qui renforcent les obligations de diligence raisonnable, notamment en matière de droits humains. La société renforce également de façon continue, par des contrôles internes fréquents, la sécurité et la qualité de ses produits ainsi que le respect des engagement environnementaux qu’elle a décliné dans son document d’enregistrement universel.

Bouygues privilégie, compte tenu du nombre considérable de fournisseurs avec lesquels ils travaillent, ceux qui sont certifiés afin de limiter les risques potentiels.

Mobivia qui travaille beaucoup en Asie, y a implanté un bureau d’achat qui mène des audits en direct. Elle impose également des chartes d’achats, des codes de bonne conduite à la majorité de ses fournisseurs.

TotalEnergies met l’accent sur la formation de ses collaborateurs en organisant notamment au début de chaque réunion un « petit moment » de cinq minutes pour parler de la sécurité de façon à ce que tous les collaborateurs soient sensibilisés à cette question. Sur ce modèle, mis en place depuis de nombreuses années, la direction legal and sustainability développe désormais des « sustainables moments » sur les thèmes de l’agriculture, du développement durable afin que chacun ait pleinement conscience de l’importance de ces sujets.

Un reporting régulier est également mis en place. Il est adressé selon les sociétés, soit à la direction générale, soit aux comités RSE, audits ou compliance.

Chez Auchan Retail par exemple, c’est le comité compliance qui s’assure de la mise en place des indicateurs clé de performance, du suivi des process mis en place, du respect des modalités d’alerte. L’objectif à terme est celui de l’évaluation de l’impact de tous les indicateurs mis en place, la première étape étant celle de l’évaluation et de la consolidation de la mise en place des moyens.

À la SNCF, un programme de cinq actions prioritaires a été validé par le conseil d’administration après étude du comité d’audit et du comité RSE qui en sont deux émanations. Ce programme a été suivi et les objectifs atteints. Afin de vérifier que le déploiement des actions se fasse correctement dans chaque société du groupe, un réseau de correspondants, qui sont les référents pour le devoir de vigilance a été créé. En général il s’agit des directeurs conformité ou RSE.

TotalEnergies a créé un référentiel hygiène, sécurité, environnement (HSE) déclinant une série de règles applicables dans toutes les filiales contrôlées dans le monde. Ce référentiel fait l’objet d’un déploiement sur le terrain par des spécialistes des questions HSE qui mettent en place des outils, des formations et reportent leurs actions et les incidents à la direction HSE groupe. Dès qu’il y a une anomalie, cette dernière est remontée dans le système de reporting global de la compagnie qui lui-même est étudié par la direction HSE. Elle fait le point sur tous les accidents, incidents et « presque accidents sécurisés » afin de prévenir le plus sérieusement possible les risques, de garantir efficacement la sécurité et de permettre le déploiement de nouveaux process quand cela s’avère nécessaire. Pour compléter ce dispositif, une direction audit HSE a été créée au sein de la direction centrale qui, chaque année, fixe un programme d’audit des filiales établies dans les 130 pays où Total est présent. Les audits sont priorisés en fonction des niveaux de risque des différents actifs dans tous les sites ou pays sensibles.

Enfin, Danone a mis en place un comité interne dédiée au devoir de vigilance coprésidé par la directrice générale du développement durable et la direction juridique, affaires réglementaires et conformité. Ce comité de diligence raisonnable en matière de durabilité présente ses actions au comité impact mondial, qui lui fournit des conseils stratégiques, examine les initiatives en cours et approuve les plans d’action. Ce comité impact mondial est lui-même composé de trois membres du Comité exécutif de la société.

Les sociétés pour la plupart s’appuient sur des évaluations externes comme celles proposées par ICS ou encore EQUOVADIS qui viennent les challenger et les auditer sur leurs performances RSE dans les domaines de l’environnement, du social, des droits humains, de l’éthique et des achats responsables. Ainsi, Mobivia impose que 80 % du volume d’achat minimum soit couvert par la certification Equovadis.

Les entreprises utilisent également l’audit SMETA pour évaluer que les aspects norme de travail, santé, sécurité et facteurs environnementaux de leurs activités respectent bien les attendus légaux.

Le groupe Fnac Darty a fait appel à un cabinet d’audit pour faire un diagnostic très poussé des forces et faiblesses de leur plan de vigilance ce qui lui a permis de percevoir que pour améliorer la cartographie des risques il fallait créer plus d’interaction entre la direction des risques et la direction RSE.

TotalEnergies, quant à lui, soumet son référentiel HSE à un audit externe. Il l’a été dès sa conception et l’est encore dès que le plan subit des modifications substantielles afin que soit validée la pertinence du système.

L’Oréal, estimant que les audits internes seuls ne peuvent suffire face aux risques très évolutifs en matière de droits humains notamment, s’appuie sur certaines ONG locales et internationales afin de pouvoir établir des recueils de plaintes dès lors qu’une situation de risque est avérée de façon à la traiter dans les plus brefs délais.

À rebours, Véolia ne sollicite pas d’audit externe car elle estime que le suivi interne est suffisant. La SNCF ne le fait pas non plus de façon formelle car cela n’est pas imposée. Par ailleurs, elle estime que les relations qu’elle entretient avec les parties prenantes, notamment les organisations syndicales qu’elle associe à ses réflexions de démarche d’amélioration continue, peuvent s’apparenter à une forme de contrôle externe.

Beaucoup de sociétés reconnaissent donc être encore au stade du suivi de la mise en œuvre du devoir de vigilance par le biais de l’élaboration d’une cartographie des risques et l’élaboration de plans d’action mais pas encore à celui de l’évaluation des impacts réels de leurs activités, ce qui rend complexe la mesure de l’efficacité de la Loi.

Cette loi a permis de structurer les démarches RSE en mettant en place un socle solide basé sur une structuration de la gouvernance, l’élaboration d’une cartographie des risques détaillée, la mise en place de dispositifs d’alerte, l’enrichissement du cahier des charges et de clauses contractuelles spécifiques à destination des fournisseurs et sous-traitants ainsi que l’utilisation d’audits internes et parfois externes.

On observe également une montée en maturité progressive vers une mesure plus fine de l’impact réel sur les risques et non plus seulement des moyens déployés pour les prévenir.

Comme le souligne tous les dirigeants interrogés, la production responsable est devenue une question fondamentale et ce texte incite à une plus grande vigilance sur les chaînes d’approvisionnement. Il invite également à une meilleure prise de conscience en interne.

On observe dans toutes ces organisations un renforcement des audits ciblés sur certains pays ou sur diverses matières comme le bœuf, le soja ou certains minerais par exemple. 

Ces audits peuvent entraîner des décisions d’exclusion ou de restriction de certaines origines ou pratiques, comme c’est le cas pour les matières premières issues de la déforestation, ou encore de celles qui sont à l’origine du déplacement des populations. C’est également le cas pour toutes les marchandises issues du travail forcé ou du travail des enfants.

Une évolution significative se fait jour dans les pratiques d’implantation, d’achats et d’encadrement des sous-traitants. Chez Fnac Darty par exemple un comité de coordination national est mis en place de façon à vérifier que les filiales du groupe respectent bien les attendus de la Loi. L’idée est d’intégrer dans la cartographie des risques une cartographie de chacun des pays pour faire remonter les informations au niveau central et pouvoir proposer, si besoin, des plans de remédiation. La société Véolia se préoccupe, elle, particulièrement de l’impact direct et indirect de ses activités en s’assurant que lorsqu’une implantation est actée sur un territoire, il ne s’agit pas d’un site protégé. Si tel est le cas et qu’il n’est pas possible d’y renoncer, des mesures sont mises en œuvre pour préserver au mieux l’environnement.

La première tient au fait que le niveau d’exigence de la Loi est extrêmement élevé au regard des ressources humaine et financières disponibles. Quelles que soient la taille des organisations, toutes soulignent ce point.

Il est, par ailleurs, extrêmement complexe d’atteindre un niveau de traçabilité « parfait » sur l’ensemble des chaînes de valeur mondiales qui sont souvent complexes et peu maîtrisables. La mesure de l’impact réel sur les droits humain et l’environnement est notamment particulièrement difficile à quantifier. Le suivi qui est indéniablement réel est encore trop centré sur les moyens, avec peu de recul sur l’impact effectif des actions.

Les cartographies des risques sont encore perfectibles en termes de granularité, de lien plus systématique avec la direction des risques, de meilleure hiérarchisation des priorités comme le soulignent les directions compliance de la SNCF, ou de la Fnac, sans quoi les démarches des entreprises risquent d’être perçues comme de simples « tick the box ».

Enfin il y a une vraie nécessité de renforcer la mesure de l’efficacité, grâce à des indicateurs d’impact, des retours terrains, des analyses des incidents avérés pour progresser et affiner la cartographie dans une visée d’amélioration.