Le 24 mai dernier, à l’issue d’un parcours long et chaotique La directive corporate sustainability due diligence a finalement été adoptée. Ce texte dont la transposition en France doit être opérée au plus tard le 26 juillet 2026 a pour objectif de favoriser le comportement durable et responsable des entreprises et d’ancrer les considérations liées aux droits de l’homme et à l’environnement dans leurs activités de gouvernance, sur l’ensemble de leur chaine de valeur au sein et en dehors de l’Union européenne (UE), ces dernières jouant un rôle essentiel dans la mise en place d’une économie et d’une société durables. Dans le rapport publié en 2023 par SKEMA Publika : « Devoir de vigilance, ce que pensent les ONG de la loi de 2017 ? Est-elle adaptée, Est-elle efficace ? » les organisations interrogées, si elles ont salué l’adoption de ce texte comme étant un outil fondamental, n’en ont pas moins pointé d’importantes carences. La directive CS3D vient, sur un certain nombre de points, après avoir consulté les différentes parties prenantes, leur donner satisfaction.
Les organisations non gouvernementales (ONG) interrogées lors de mon enquête ont émis sept préconisations qui leur semblent indispensables pour que le devoir de vigilance soit efficacement traité. Selon elles :
- les seuils définis doivent être revus à la baisse, car ils sont trop élevés et excluent des entreprises qui du fait de leurs activités devraient légitimement être visées par la loi;
- toutes les sociétés quelle que soit leur forme sociale doivent être concernées par la loi vigilance dès lors qu’elles dépassent les seuils afin d’éviter les stratégies de contournement;
- la notion de relation commerciale établie doit être redéfinie de façon plus claire en prenant en compte toute la chaîne de valeur en incluant les fournisseurs indirects ;
- la mesure du devoir de vigilance doit évoluer avec une prise en compte, outre la cartographie des risques, d’une cartographie du type d’activité, du risque inhérent aux opérations dépassant ainsi le seul critère de la taille de l’entreprise ;
- les pouvoirs publics doivent mettre en place un organisme ad hoc chargé d’établir, de publier et de mettre à jour annuellement la liste des entreprises soumises au devoir de vigilance, de rendre accessible l’ensemble des plans de vigilance sur une base de données publique, de renforcer les exigences de transparence afin de rendre plus accessibles les données financières et extra financières sur les entreprises ;
- un renversement de la charge de la preuve doit être opéré pour une véritable efficacité de la loi ;
- une amende civile dissuasive doit être mise en place.
Si l’on reprend point par point les remarques des ONG à l’aune de la directive, force est de constater que sur les points essentiels repris un à un dans ce développement, elles ont obtenu des avancées significatives.
En premier lieu, le périmètre de la loi de 2017 n’est, du point de vue des ONG, pas adapté.
La Loi cible en effet :
- toute société qui emploie, à la clôture de deux exercices consécutifs, au moins cinq mille salariés en son sein et dans ses filiales directes ou indirectes dont le siège social est fixé sur le territoire français,
- toute société d’au moins dix mille salariés en son sein et dans ses filiales directes ou indirectes dont le siège social est fixé à l’étranger,
- les filiales ou sociétés contrôlées qui dépassent les seuils mentionnés au premier alinéa sont également concernées.
La directive a significativement réduit les seuils.
Dans un premier temps le texte prévoyait que le seuil serait abaissé de façon très significative. Conformément aux demandes des ONG, les entreprises visées étaient celles de plus de 500 salariés et de plus de 150 millions d’euros de chiffres d’affaires annuel. À terme, dans certains secteurs à risques, les entreprises de plus de 250 salariés et de plus de 40 millions de chiffres d’affaires annuel devaient également être concernées.
Les eurodéputés ont finalement adopté, après d’âpres échanges, des mesures moins drastiques.
Ainsi, les sociétés concernées sont :
- les sociétés constituées conformément à la législation d’un Etat membre employant en moyenne plus de 1.000 personnes et ayant réalisé un chiffre d’affaires net mondial de plus de 450 millions d’euros au niveau mondial au cours du dernier exercice;
- les franchises de l’Union ayant réalisée un CA mondial supérieur à 80 millions d’Euros, si les redevances ont atteint plus que €22.5 million ;
- les sociétés constituées hors UE ayant réalisé dans l’UE un chiffre d’affaires net supérieur à 450 millions d’euros dans l’Union au cours du dernier exercice ainsi que les franchises non européennes ayant réalisé un CA net de plus de 80 millions d’euros dans l’Union, si les redevances ont atteint plus de 22,5 millions d’euros dans l’Union.
Ce champ d’application très large permet d’aligner le traitement des entreprises ayant une activité dans l’Union, qu’importe leur nationalité.
L’entrée en application sera progressive comprise entre 3 et 5 ans à compter de l’entrée en vigueur de la directive selon la taille des entreprises :
- 3 ans après pour les entreprises de plus de 5 000 salariés réalisant un chiffre d’affaires mondial net de plus de 1,5 Md€ (ainsi que les entreprises de pays tiers dont le chiffre d’affaires dans l’Union est supérieur à 1,5 Md€) ;
- 4 ans après pour celles de plus de 3 000 salariés réalisant un chiffre d’affaires mondial net de plus de 900 M€ (ainsi que les entreprises de pays tiers dont le chiffre d’affaires dans l’Union est supérieur à 900 M€) ;
- 5 ans après, pour celles de plus de 1 000 salariés réalisant un chiffre d’affaires net mondial de plus de 450 M€ (ainsi que les entreprises de pays tiers dont le chiffre d’affaires dans l’Union est supérieur à 450 M€).
Certaines sociétés échappent indûment à l’application de la loi du fait de leur forme sociale
Les ONG souhaitent que toutes les formes sociales soient concernées par la loi vigilance, afin que puissent être déjouées les stratégies de contournement. En effet le texte de 2017 n’inclut pas toutes les sociétés. L’article L. 225-102-5 du Code de commerce est inséré dans le chapitre V du Code de commerce, relatif aux sociétés anonymes. Aucun article de ce type n’étant reproduit dans le chapitre III relatif aux sociétés à responsabilité limitée (SARL), on peut tout à fait en déduire, a contrario, que ces dernières n’y sont pas soumises. Cela peut amener certaines sociétés à opérer des stratégies pour échapper à la Loi. Les multinationales ZARA et H & M, régulièrement mises en cause par la société civile pour les conséquences environnementales et éthiques de leur modèle de production, n’ont ainsi, compte tenu de leur forme sociale (SARL) pas à se préoccuper de l’identification dans leur chaîne de production de quelconque violation des normes sociales ou environnementales sur le fondement de la loi française.
La directive CS3D n’opère pas de distinction quant à la nature des sociétés concernées ce qui devrait conduire, lors de sa transposition en France, à l’assujettissement des sociétés à responsabilité limitée et des sociétés en nom collectif qui y échappent encore au grand dam des ONG.
La notion de relation commerciale établit introduit un effet d’ambiguïté préjudiciable
Selon les ONG, l’une des carences de la loi de 2017 tient au fait que pour pouvoir engager la responsabilité d’une société sur le fondement du devoir de vigilance, il faut qu’une relation commerciale établie soit avérée entre la société mère et ses filiales, les sociétés contrôlées, les sous-traitants ou fournisseurs lorsque ces activités sont rattachées à cette relation. Cette mesure va bénéficier à certaines sociétés qui passeront à travers les mailles du filet législatif ce qui n’est pas forcément juste. En effet, les termes utilisés dans la loi sont très flous.
Comme le soulignent certaines organisations, la notion de « relation commerciale établie » peut être interprétée de diverses façons. La plupart des entreprises estiment que cette dernière ne doit s’entendre que de façon très stricte se limitant au maillon N-1 de la chaîne, alors que les ONG soutiennent elles, que cette relation doit s’appliquer à l’ensemble de la chaîne, les plus gros impacts se situant souvent au niveau de la production, impliquant des fournisseurs indirects. Pour elles, le point crucial est celui de la responsabilité d’un acteur final par rapport aux pratiques qu’il a sur sa chaîne et il existe aujourd’hui trop peu d’éléments juridiques suffisamment robustes pour pouvoir quantifier les impacts et délimiter la proportion de responsabilités d’un acteur final sur l’ensemble d’une chaîne. Il faudrait donc en complément de la cartographie des risques prévue dans le texte, établir une cartographie des impacts directs et indirects tout au long de la chaîne.
Le devoir de vigilance prévu par CS3D porte sur les activités de la société assujettie, celles de ses filiales ainsi que sur les activités de leurs partenaires commerciaux directs et indirects tout au long de leur chaîne d’activités.
La notion de « chaîne d’activités » dépasse ainsi largement le périmètre de la Loi, en ce qu’elle couvre aussi bien les activités en amont des partenaires commerciaux d’une entreprise que les activités des partenaires commerciaux en aval d’une entreprise (distribution, transport, stockage), lorsque les partenaires commerciaux effectuent ces activités pour l’entreprise ou en son nom. S’agissant des entreprises financières réglementées, leur chaîne d’activités inclut uniquement les partenaires commerciaux en amont de leur chaine d’activités et non les partenaires commerciaux en aval qui reçoivent leurs services et produits.
L’évolution de la mesure du devoir de vigilance : une prise en compte des risques est nécessaire
La mesure du devoir de vigilance devrait, selon les ONG, dépendre du risque inhérent aux opérations, ce qui n’est pas pris en compte dans la loi Vigilance de 2017. Ces risques peuvent être liés aux lieux où l’on source, au type de produit qui rentre dans la chaîne de valeur, aux cocontractants qui interviennent tout au long de ladite chaîne de valeur, au type d’opérations menées ainsi qu’aux méthodes appliquées. A cet égard peu importe la taille de la société. Ainsi une PME peut parfaitement avoir la capacité, en termes de ressources financières et de ressources humaines, de se poser la question de l’évaluation de ses risques sur sa chaîne de valeur et suivant, de mettre en œuvre son devoir de vigilance. Celui-ci doit finalement être proportionné au type d’activité, lié fondamentalement aux risques et aux dommages et non à la taille de l’entreprise. Il est injustifiable, pour les ONG qu’une PME qui vend des logiciels de surveillance à des régimes répressifs de type libyen ou syrien à l’origine de violations graves des droits humain, puisse être complètement déchargée de sa responsabilité, sous prétexte de la taille de l’entreprise.
La directive CS3D a tenu compte des recommandations des parties prenantes lors de l’élaboration du texte en prévoyant l’intégration d’une politique de vigilance fondée sur le risque.
La Directive indique que « les États membres veillent à ce que les entreprises fassent preuve d’un devoir de vigilance en matière de droits de l’homme et d’environnement fondé sur les risques ».
Pour ce faire ils doivent prendre un certain nombre de mesures, listées ci-dessous.
- Intégrer le devoir de vigilance dans leurs politiques et leurs systèmes de gestion des risques et ce, en élaborant un code de conduite décrivant les règles et principes à suivre mais surtout une description des mesures prises pour vérifier la bonne application dudit code de conduite, notamment chez les partenaires commerciaux.
- Recenser et évaluer les incidences négatives réelles ou potentielles au moyen d’une cartographie des risques suivie d’une évaluation approfondie voire d’une hiérarchisation des risques.
- Prévenir et atténuer les incidences négatives potentielles grâce à des plans d’action en matière de prévention assortis de calendriers raisonnables.
- Mettre un terme aux incidences négatives réelles et en atténuer l’ampleur, si nécessaire en collaboration avec d’autres entreprises du même secteur afin de diminuer les incidences de façon globale.
- Réparer les incidences négatives réelles.
- Mener des échanges constructifs avec les parties prenantes à chaque étape du processus de vigilance, allant de la collecte d’information pour la cartographie des risques à la réparation des incidences négatives réelles.
- Etablir et maintenir un mécanisme de notification et une procédure relative aux plaintes.
- Contrôler l’efficacité de leur politique et de leurs mesures de vigilance, auprès de chaque partie prenante.
- Communiquer publiquement sur le devoir de vigilance.
Par ailleurs, la lutte contre le changement climatique fait l’objet d’une attention toute particulière car la Directive impose aux entreprises assujetties de mettre en œuvre un plan de transition pour l’atténuation du changement climatique qui vise notamment à garantir la comptabilité de leur stratégie avec la limitation du réchauffement climatique à 1,5 °C conformément à l’accord de Paris, sans toutefois prévoir de sanctions particulières.
Enfin la Directive détaille la méthodologie de hiérarchisation des risques à adopter en fonction de leur gravité et de leur probabilité. Les annexes de la Directive listent par ailleurs les textes auxquels les sociétés doivent se référer concernant la protection des droits humains et de l’environnement afin de procéder à la détermination des incidences négatives.
Mise en place de mesures d’accompagnement et de surveillance : souhait d’un renforcement du rôle de l’Etat
Les ONG soutiennent que l’État devrait jouer un rôle d’accompagnement, par la mise en place de services qui non seulement proposeraient aux entreprises des formations adaptées, mais aussi faciliteraient la création d’un certain nombre d’outils communs. Or force est de le constater, il n’y a pas de proactivité du secteur public à l’heure actuelle sur le suivi de la mise en œuvre de la loi. Il revient pourtant à l’État de faire œuvre pédagogique. À ce titre, les travaux d’associations comme Sherpa qui a produit un guide très détaillé sur la façon dont devrait être interprétée la loi et ce que serait un plan de vigilance adéquat pourrait être source d’inspiration.
Il faudrait également qu’une certaine transparence soit recherchée par l’État à travers la centralisation, dans un endroit facilement accessible via un moteur de recherche, des plans de vigilances des sociétés qui y sont assujetties, afin que chaque partie prenante puisse prendre connaissance de leur contenu. Un tel travail devrait être une mission d’État et non celle des ONG.
Sur ces points encore la directive apporte des réponses significatives.
- En matière d’accompagnement la CS3D prévoit la prise de mesures appropriées pour prévenir ou atténuer les incidences négatives potentielles recensées.
- La CS3D donne plusieurs exemples de mesures appropriées, dont notamment l’obtention de garanties contractuelles de la part des partenaires commerciaux, l’adoption de codes de bonne conduite, la mise en place de plan d’actions de remédiation, la réalisation d’investissements, la fourniture de soutiens opérationnels ou financiers aux PME, la suspension ou, en dernier ressort, la cessation de toute relation d’affaires.
- La mise en œuvre de procédures régulières par les filiales, sous-traitants et partenaires commerciaux pour évaluer régulièrement les risques découlant de leurs activités.
- Des évaluations périodiques des activités et mesures mises en œuvre par la société, ses filiales et ses partenaires commerciaux, afin d’évaluer leur implémentation et de garantir l’adéquation et l’efficacité de ces mesures.
- La mise en place d’une procédure de plainte et d’un mécanisme de notification.
- Les entreprises devront également adopter et mettre en œuvre un plan de transition pour l’atténuation du changement climatique permettant de garantir que leur stratégie commerciale est compatible avec la limitation du réchauffement planétaire à 1,5 °C conformément à l’accord de Paris, sans obligation de résultat mais en déployant tous les efforts possibles.
Charge au législateur français lors de la transcription de la directive de prévoir les moyens financiers et humains pour une mise en place effective de cet accompagnement par le biais de services dédiés.
- Concernant les autorités de contrôle
La loi de 2017 ne prévoit aucun organe de contrôle dédié.
Le texte impose juste la mise en place d’un dispositif d’alerte interne destiné à permettre le recueil des signalements émanant d’employés et portant sur l’existence de violation des droits protégés par la loi sans aucune précision complémentaire. La loi impose également aux sociétés concernées de mettre en place un dispositif de suivi des mesures mises en œuvre et d’évaluation de l’efficacité des obligations contenues dans le plan de vigilance. Des audits visant à tester l’efficacité de son fonctionnement au sein de la société devront être menés de façon régulière.
La mise en place d’une ou plusieurs autorités de contrôle, souhaitée par les ONG et prévue dans la Directive, chargée de vérifier la bonne application des obligations relatives au devoir de vigilance est donc une vraie nouveauté pour la France. Sur le modèle de la législation allemande en la matière, les Etats membres devront désigner une ou plusieurs autorité(s) administrative(s) nationale(s) chargée(s) de contrôler le respect de ces nouvelles règles. Les nouvelles autorités de contrôle se verront confier plusieurs pouvoirs aux fins d’assurer l’effectivité de la Directive. Elles pourront, notamment, ordonner à l’entreprise de mettre un terme aux infractions, d’apporter une réparation proportionnée pour réparer l’infraction, ou encore saisir les autorités judiciaires compétentes.
La charge de la preuve : liberté d’aménagement laissée aux Etats
Les ONG estiment que le régime de la preuve prévu par la Loi de 2017 est insatisfaisant.
La loi relative au devoir de vigilance prévoit deux types de recours :
- Un premier type de recours peut être formé en cas de manquement à l’obligation d’établir, de publier et de mettre en œuvre un plan de vigilance. Une procédure en deux temps est organisée à cet effet : la mise en demeure et l’injonction ;
- Un second recours peut être formépour engager la responsabilité civile délictuelle de l’entreprise lorsqu’un dommage causé par une filiale ou un sous-traitant aura été constaté et qu’elle aurait raisonnablement pu éviter celui-ci avec un plan de vigilance effectif, c’est-à-dire comportant des mesures de vigilance raisonnables propres à identifier et prévenir les risques, et effectivement mises en œuvre. La responsabilité dont il s’agit ici est une responsabilité civile de droit commun pour faute, tel qu’elle résulte des articles 1240 et 1241 du Code civil.
La charge de la preuve incombe à la victime qui devra prouver le dommage, le préjudice le lien de causalité.
Seule la faute de la société mère ou donneuse d’ordre peut engager sa responsabilité. L’action en responsabilité peut être introduite par « toute personne justifiant d’un intérêt à agir ».
Les ONG souhaitent qu’un renversement de la charge de la preuve soit mis en place permettant de faire peser sur les entreprises la charge de démontrer qu’elles ne sont pas responsables des faits dont elles sont accusées, rétablissant ainsi une forme d’égalité des armes entre les personnes affectées et les multinationales.
Sur ce point la directive ne s’est pas prononcée, laissant aux Etats membres le soin d’aménager les conditions des actions en responsabilité et notamment de la charge de la preuve comme bon leur semble. Les ONG vont donc devoir continuer leur travail de persuasion afin d’amener le législateur à considérer leurs arguments.
Mise en place de sanctions de façon effective : un vœu exaucé
Le projet de loi initial de la loi de 2017 prévoyait des sanctions beaucoup plus impactantees que celles adoptées dans le texte final.
Le juge pouvait infliger une amende civile à la société de 10 millions d’euros « en proportion de la gravité du manquement et en considération des circonstances de celui-ci et de la personnalité de son auteur ».
L’amende passait à 30 millions si les dommages causés étaient considérés comme très importants.
L’article 4 de la loi qui prévoyait ces sanctions a été censuré par le Conseil Constitutionnel en raison du caractère trop général des termes de la Loi, ne permettant pas de définir les obligations passibles de sanctions de façon précise et contrevenant ainsi au principe de la légalité des délits et des peines.
Le texte de 2017 a, du point de vue des ONG, retenu des sanctions a minima prévoyant uniquement, si la responsabilité civile de la société mère ou donneuse d’ordre est engagée, une possibilité pour le juge de la condamner au paiement de dommages et intérêts pour réparer le préjudice subi, voir ordonner la publication, la diffusion ou l’affichage de sa décision.
Les ONG estiment que les amendes « auraient créé une incitation plus forte pour les entreprises à respecter cette loi ».
La directive répond à leur souhait. Il reviendra aux Etats-membres de déterminer le régime des sanctions, qui pourront être pécuniaire. Elle prévoit une amende pouvant atteindre 5% du Chiffre d’affaires net mondial des sociétés condamnées.
Enfin, en cas de non-respect des règles relatives au devoir de vigilance, les sociétés seront responsables des dommages causés à des personnes tant physiques que morales, ce qui est d’ores-et-déjà le cas en France. Elles devront indemniser intégralement les victimes d’incidences négatives. Les entreprises seront tenues responsables des dommages occasionnés en cas de manquement à leurs obligations de prévenir et d’atténuer les incidences négatives, potentielles ou de mettre un terme aux incidences négatives réelles ou d’en limiter l’ampleur.