Violation de données de deux opérateurs de tiers payants, plus de 33 millions de personnes...
Où s’arrêtera la responsabilisation sociétale des entreprises ?
Quelles conséquences pratiques de cette régulation pour les Géants du Web ?
Il y a quelques semaines, ALTIJ vous faisait part des déboires de la Région Occitanie, suite à une...
Loi de programmation militaire : diverses dispositions intéressant la défense visent à moderniser...
Cour administrative d’appel de Paris - 2ème chambre, 22 mars 2023, n°21PA04911
L’État propose une aide financière aux entreprises grandes consommatrices d’énergie qui...
Créée en 2000 dans la région de Toulouse, avec une part de marché de 22% sur le segment chaussures...
Littéralement « vendredi noir », importé des États-Unis, le Black Friday est fixé en France depuis...
L’association DATA RING a diligenté un recours afin que le passe sanitaire puisse bénéficier du...
Le reporting extra-financier, les critères environnementaux, sociaux et de gouvernance (ESG), les engagements éthiques ou encore l’investissement socialement responsable, font désormais partie de l’écosystème législatif et réglementaire imposant aux entreprises des obligations au nom de leur responsabilité sociétale (RSE).
La loi n° 2017-399 du 27 mars 2017 est, à son tour, venue mettre à la charge des grandes entreprises un devoir de vigilance en leur qualité de sociétés mères et/ou d’entreprises donneuses d'ordre (1).
Les risques juridiques et financiers d’une non-conformité pouvant s’avérer très conséquents (atteinte à la réputation, exclusion de marchés publics, dommages-intérêts, etc.) (2), il est alors essentiel que les entreprises soient suffisamment informées et outillées pour les prévenir (3), d’autant qu’un projet de directive européenne prévoit désormais de soumettre les entreprises de taille intermédiaire à une obligation de vigilance[1].
La loi du 27 mars 2017 s’applique à toutes les sociétés employant au moins 5 000 salariés en France, en leur sein ou dans leurs filiales directes ou indirectes, ou 10 000 salariés dans le monde.
Doivent alors être prises en compte les activités de l’entreprise assujettie, des sociétés qu’elle contrôle, ainsi que des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie. Comme la directive NIS 2 s’agissant de la cybersécurité, l’application de la loi sur le devoir de vigilance participe au durcissement de la supplychain.
Les sociétés mères et les entreprises donneuses d'ordre sont ainsi tenues d’établir un plan de vigilance permettant d’identifier les risques et de prévenir les atteintes graves aux droits humains, aux libertés fondamentales, à la santé et la sécurité des personnes et à l’environnement[2].
Il doit obligatoirement être constitué :
Ce plan et le compte rendu de sa mise en œuvre effective doivent être rendus publics et inclus dans le rapport de gestion de l’entreprise.
Si cette obligation concernait jusqu’alors les grandes entreprises, la proposition de directive européenne sur le devoir de vigilance en matière de durabilité[3], en cours d’élaboration, risque de l’étendre à toutes les entreprises de taille intermédiaire.
La proposition entend, en effet, considérablement assouplir le champ d’application du devoir de vigilance de telle sorte qu’il s’appliquera notamment aux entreprises employant plus de 500 personnes et réalisant un chiffre d’affaires supérieur à 150 millions d’euros ou celles employant plus de 250 personnes et réalisant un chiffre d’affaires supérieur à 40 millions d’euros à condition qu’au moins 50 % de ce dernier ait été réalisé dans un secteur identifié comme à risque (tel que notamment le textile, l’agriculture, ou encore le secteur minier).
A ce stade, le projet de directive entend également imposer aux États membres la désignation d’une autorité nationale de contrôle[4] en charge de surveiller le respect des obligations de vigilance, et de prononcer des sanctions administratives (et notamment des sanctions pécuniaires), ce que les dispositions légales actuellement en vigueur ne prévoient pas.
Avant même la transposition de cette directive, les risques encourus, à ce jour, en cas de non-conformité à l’obligation de vigilance sont déjà lourds et nombreux.
Une entreprise négligente peut, en effet, être mise en demeure, par toute personne, de se conformer à la loi. Si elle n’y satisfait pas dans un délai de trois mois, une juridiction saisie peut lui enjoindre de les respecter, le cas échéant, sous astreinte[5].
L’entreprise pourra également voir sa responsabilité civile engagée, être condamnée au versement de dommages et intérêts et être exclue des contrats de la commande publique[6].
Les actions en justice intentées par les ONG et organisations syndicales se sont d’ailleurs multipliées ces dernières années. La plupart des procédures sont toujours en cours. Les jugements du Tribunal judiciaire de Paris, juridiction compétente en la matière[7], sont très attendus pour connaître plus avant les attentes du juge.
Et pour cause, aucun décret d’application n’est venu préciser les dispositions de la loi du 27 mars 2017. Les entreprises soumises aux obligations de vigilance n’ont, dès lors, aucune indication sur le degré de précision que doit présenter la cartographie des risques au sein du plan de vigilance[8], la fréquence de la conduite des procédures d’évaluation, la définition des « parties prenantes » ou encore les acteurs internes de la gouvernance du plan de vigilance.
Par conséquent, les grandes entreprises doivent prendre toutes les précautions d’usage pour se mettre en conformité et satisfaire à leur obligation de vigilance.
Le risque le plus important demeure toutefois l’atteinte au capital réputationnel, notamment en cas d’incident et/ou de procédure judiciaire. Pour rappel, la réputation d’une entreprise cotée en bourse représente de nos jours 35,3% de la capitalisation totale des 15 principaux indices boursiers mondiaux[9], les investisseurs étant particulièrement sensibles aux engagements éthiques et à la réputation des organisations[10].
À titre d’exemples, on peut ainsi imaginer l’ampleur des possibles répercussions financières des actions engagées à l’encontre de TotalEnergies, XPO Logitics, Casino, EDF SA ou encore McDonald’s France.
En outre, compte tenu de la fondamentalisation du droit à la preuve, des mesures d’instruction pourraient être ordonnées par le juge et porter atteinte à l’actif informationnel des entreprises, tout comme la généralisation de l’exercice du droit d’accès par les salariés. Les risques d’atteinte à la réputation s’en trouvent augmentés.
À noter que le secret des affaires n’est pas opposable lorsque « l’obtention, l’utilisation ou la divulgation du secret est requise ou autorisée par le droit de l’Union européenne, les traités ou accords internationaux en vigueur ou le droit national »[11].
La prévention de l’ensemble de ces risques implique nécessairement la mise en place d’une documentation interne efficace et pertinente.
Les entreprises entrant dans le champ d’application de la loi relative au devoir de vigilance peuvent, dans la mise en œuvre de leur obligation, adopter plusieurs codes et/ou chartes, le cas échéant annexés au règlement intérieur, tels qu’un Code de conduite, une Charte éthique, une Charte environnementale, une Charte informatique, une Charte télétravail ou déconnexion, etc.
Sans prétendre à l’exhaustivité, cette documentation permet notamment aux entreprises de :
Il importe toutefois de mettre en perspective cette documentation avec celle visant à se conformer aux autres réglementations existantes telles que le RGPD[12], la loi Sapin 2[13], la loi Climat Résilience[14], la directive CSRD[15], etc ., ou celles à venir, telles que la transposition de la directive NIS 2[16].
S’agissant des manquements aux obligations définies par le RGPD, le montant des sanctions pécuniaires peut atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, pour les plus graves[17]. La loi Sapin 2 prévoit, quant à elle, notamment que toute personne qui fait obstacle, de quelque façon que ce soit, à la transmission d’un signalement est punie d’un an d’emprisonnement et de 15 000 € d’amende.
La construction d’une documentation interne adéquate et actualisée s’avère essentielle pour prévenir et gérer ces risques. Nos avocats du Pôle Compliance sont à votre disposition pour vous aider dans l’élaboration ou l’actualisation de cette dernière et former vos équipes à son application.
À retenir :
La loi du 27 mars 2017 met à la charge des grandes entreprises un devoir de vigilance les obligeant à s’assurer du respect des droits humains, des libertés fondamentales, de la santé et la sécurité des personnes et de l’environnement sur l’ensemble de la chaîne d’approvisionnement. En cas de manquement à leurs obligations, celles-ci s’exposent notamment à de lourdes sanctions, notamment pécuniaires, et à des atteintes à leur réputation.
La directive européenne en cours de préparation entend étendre le champ d’application de cette obligation de vigilance à l’ensemble des entreprises de taille intermédiaire. Les sanctions seront renforcées et une autorité de contrôle créée.
Les entreprises doivent, en conséquence, s’outiller pour satisfaire à cette obligation. À cette fin, une réglementation interne adéquate et actualisée constitue une brique de conformité essentielle.
L'équipe compliance
[1] https ://eur-lex.europa.eu/legal-content/FR/TXT/ ?uri=CELEX :52022PC0071
[2] C. com, art. L. 225-102-4
[3] Directive dite Corporate sustainability due diligence directive, ou directive « CSDD »
[4] comme l’AFA pour la lutte contre la corruption, l’ANSSI pour la cybersécurité ou la CNIL en matière de protection des données à caractère personnel
[5] C. com, art. L. 225-102-4 II
[6] CCP, art. L. 2141-7 et L. 3123-7-1
[7] COJ, art. L.211-21
[8] CGE, Evaluation de la mise en œuvre de la loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre, janv. 2020. p. 27 : www.economie.gouv.fr/files/files/directions_services/cge/devoirs-vigilances-entreprises.pdf).
[9]https://www.australasianir.com.au/common/Uploaded%20files/AIRA%20Documents/Member%20Update%20Documents/AMO_What_Price_Reputation_report_R2[2]%20(1).pdf ;https://havasparis.com/la-reputation-dune-entreprise-est-plus-importante-que-jamais-lorsquil-sagit-de-valorisation-boursiere/
[10]https://www.australasianir.com.au/common/Uploaded%20files/AIRA%20Documents/Member%20Update%20Documents/AMO_What_Price_Reputation_report_R2[2]%20(1).pdf ;https://havasparis.com/la-reputation-dune-entreprise-est-plus-importante-que-jamais-lorsquil-sagit-de-valorisation-boursiere/
[11] Article L.151-7 du Code de commerce
[12] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
[13]LOI n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique
[14]LOI n° 2021-1104 du 22 août 2021 portant lutte contre le dérèglement climatique et renforcement de la résilience face à ses effets
[15]Directive (UE) 2022/2464 du Parlement européen et du Conseil du 14 décembre 2022 modifiant le règlement (UE) no 537/2014 et les directives 2004/109/CE, 2006/43/CE et 2013/34/UE en ce qui concerne la publication d’informations en matière de durabilité par les entreprises
[16] Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148
[17]RGPD, art. 83