Vigilance : les entreprises de taille intermédiaire bientôt soumises à l’obligation de vigilance

Où s’arrêtera la responsabilisation sociétale des entreprises ?

Le reporting extra-financier, les critères environnementaux, sociaux et de gouvernance (ESG), les engagements éthiques ou encore l’investissement socialement responsable, font désormais partie de l’écosystème législatif et réglementaire imposant aux entreprises des obligations au nom de leur responsabilité sociétale (RSE).

La loi n° 2017-399 du 27 mars 2017 est, à son tour, venue mettre à la charge des grandes entreprises un devoir de vigilance en leur qualité de sociétés mères et/ou d’entreprises donneuses d'ordre (1).

Les risques juridiques et financiers d’une non-conformité pouvant s’avérer très conséquents (atteinte à la réputation, exclusion de marchés publics, dommages-intérêts, etc.) (2), il est alors essentiel que les entreprises soient suffisamment informées et outillées pour les prévenir (3), d’autant qu’un projet de directive européenne prévoit désormais de soumettre les entreprises de taille intermédiaire à une obligation de vigilance[1].

1. Généralités sur l’obligation de vigilance

La loi du 27 mars 2017 s’applique à toutes les sociétés employant au moins 5 000 salariés en France, en leur sein ou dans leurs filiales directes ou indirectes, ou 10 000 salariés dans le monde.

Doivent alors être prises en compte les activités de l’entreprise assujettie, des sociétés qu’elle contrôle, ainsi que des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie. Comme la directive NIS 2 s’agissant de la cybersécurité, l’application de la loi sur le devoir de vigilance participe au durcissement de la supplychain.

Les sociétés mères et les entreprises donneuses d'ordre sont ainsi tenues d’établir un plan de vigilance permettant d’identifier les risques et de prévenir les atteintes graves aux droits humains, aux libertés fondamentales, à la santé et la sécurité des personnes et à l’environnement[2].

Il doit obligatoirement être constitué :

• d’une cartographie devant identifier, analyser et hiérarchiser les risques concernés ;
• de procédures d’évaluation régulière de la situation des filiales, des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie ;
• d’actions adaptées d’atténuation des risques ou de prévention des atteintes graves ;
• d’un mécanisme d’alerte et de recueil des signalements relatifs à l’existence ou à la réalisation des risques ;
• d’un dispositif de suivi et d’évaluation des mesures mises en œuvre.

Ce plan et le compte rendu de sa mise en œuvre effective doivent être rendus publics et inclus dans le rapport de gestion de l’entreprise.

Si cette obligation concernait jusqu’alors les grandes entreprises, la proposition de directive européenne sur le devoir de vigilance en matière de durabilité[3], en cours d’élaboration, risque de l’étendre à toutes les entreprises de taille intermédiaire.

La proposition entend, en effet, considérablement assouplir le champ d’application du devoir de vigilance de telle sorte qu’il s’appliquera notamment aux entreprises employant plus de 500 personnes et réalisant un chiffre d’affaires supérieur à 150 millions d’euros ou celles employant plus de 250 personnes et réalisant un chiffre d’affaires supérieur à 40 millions d’euros à condition qu’au moins 50 % de ce dernier ait été réalisé dans un secteur identifié comme à risque (tel que notamment le textile, l’agriculture, ou encore le secteur minier).

A ce stade, le projet de directive entend également imposer aux États membres la désignation d’une autorité nationale de contrôle[4] en charge de surveiller le respect des obligations de vigilance, et de prononcer des sanctions administratives (et notamment des sanctions pécuniaires), ce que les dispositions légales actuellement en vigueur ne prévoient pas.

Avant même la transposition de cette directive, les risques encourus, à ce jour, en cas de non-conformité à l’obligation de vigilance sont déjà lourds et nombreux.

2. Les risques en cas de non-respect de l’obligation de vigilance

Une entreprise négligente peut, en effet, être mise en demeure, par toute personne, de se conformer à la loi. Si elle n’y satisfait pas dans un délai de trois mois, une juridiction saisie peut lui enjoindre de les respecter, le cas échéant, sous astreinte[5].

L’entreprise pourra également voir sa responsabilité civile engagée, être condamnée au versement de dommages et intérêts et être exclue des contrats de la commande publique[6].

Les actions en justice intentées par les ONG et organisations syndicales se sont d’ailleurs multipliées ces dernières années. La plupart des procédures sont toujours en cours. Les jugements du Tribunal judiciaire de Paris, juridiction compétente en la matière[7], sont très attendus pour connaître plus avant les attentes du juge.

Et pour cause, aucun décret d’application n’est venu préciser les dispositions de la loi du 27 mars 2017. Les entreprises soumises aux obligations de vigilance n’ont, dès lors, aucune indication sur le degré de précision que doit présenter la cartographie des risques au sein du plan de vigilance[8], la fréquence de la conduite des procédures d’évaluation, la définition des « parties prenantes » ou encore les acteurs internes de la gouvernance du plan de vigilance.

Par conséquent, les grandes entreprises doivent prendre toutes les précautions d’usage pour se mettre en conformité et satisfaire à leur obligation de vigilance.

Le risque le plus important demeure toutefois l’atteinte au capital réputationnel, notamment en cas d’incident et/ou de procédure judiciaire. Pour rappel, la réputation d’une entreprise cotée en bourse représente de nos jours 35,3% de la capitalisation totale des 15 principaux indices boursiers mondiaux[9], les investisseurs étant particulièrement sensibles aux engagements éthiques et à la réputation des organisations[10].

À titre d’exemples, on peut ainsi imaginer l’ampleur des possibles répercussions financières des actions engagées à l’encontre de TotalEnergies, XPO Logitics, Casino, EDF SA ou encore McDonald’s France.

En outre, compte tenu de la fondamentalisation du droit à la preuve, des mesures d’instruction pourraient être ordonnées par le juge et porter atteinte à l’actif informationnel des entreprises, tout comme la généralisation de l’exercice du droit d’accès par les salariés. Les risques d’atteinte à la réputation s’en trouvent augmentés.

À noter que le secret des affaires n’est pas opposable lorsque « l’obtention, l’utilisation ou la divulgation du secret est requise ou autorisée par le droit de l’Union européenne, les traités ou accords internationaux en vigueur ou le droit national »[11].

La prévention de l’ensemble de ces risques implique nécessairement la mise en place d’une documentation interne efficace et pertinente.

3. Les briques de conformité

Les entreprises entrant dans le champ d’application de la loi relative au devoir de vigilance peuvent, dans la mise en œuvre de leur obligation, adopter plusieurs codes et/ou chartes, le cas échéant annexés au règlement intérieur, tels qu’un Code de conduite, une Charte éthique, une Charte environnementale, une Charte informatique, une Charte télétravail ou déconnexion, etc.

Sans prétendre à l’exhaustivité, cette documentation permet notamment aux entreprises de :

• Répondre aux obligations légales et s’en aménager la preuve en cas de contrôle, de contentieux, d’audit, etc.,
• Diffuser les bonnes pratiques et règles de conduite adaptées à leurs spécificités et être opposée aux salariés, le cas échéant pour fonder une sanction disciplinaire,
• Prévenir les risques d’atteinte à la réputation, les cyber-risques, les RPS, etc.,
• Valoriser leurs engagements éthiques et leur performance extra-financière pour susciter l’investissement,
• Se positionner favorablement sur des marchés,
• Être assurées en cas d’incident.

Il importe toutefois de mettre en perspective cette documentation avec celle visant à se conformer aux autres réglementations existantes telles que le RGPD[12], la loi Sapin 2[13], la loi Climat Résilience[14], la directive CSRD[15], etc ., ou celles à venir, telles que la transposition de la directive NIS 2[16].

S’agissant des manquements aux obligations définies par le RGPD, le montant des sanctions pécuniaires peut atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, pour les plus graves[17]. La loi Sapin 2 prévoit, quant à elle, notamment que toute personne qui fait obstacle, de quelque façon que ce soit, à la transmission d’un signalement est punie d’un an d’emprisonnement et de 15 000 € d’amende.

La construction d’une documentation interne adéquate et actualisée s’avère essentielle pour prévenir et gérer ces risques. Nos avocats du Pôle Compliance sont à votre disposition pour vous aider dans l’élaboration ou l’actualisation de cette dernière et former vos équipes à son application.

À retenir :

La loi du 27 mars 2017 met à la charge des grandes entreprises un devoir de vigilance les obligeant à s’assurer du respect des droits humains, des libertés fondamentales, de la santé et la sécurité des personnes et de l’environnement sur l’ensemble de la chaîne d’approvisionnement. En cas de manquement à leurs obligations, celles-ci s’exposent notamment à de lourdes sanctions, notamment pécuniaires, et à des atteintes à leur réputation.

La directive européenne en cours de préparation entend étendre le champ d’application de cette obligation de vigilance à l’ensemble des entreprises de taille intermédiaire. Les sanctions seront renforcées et une autorité de contrôle créée.

Les entreprises doivent, en conséquence, s’outiller pour satisfaire à cette obligation. À cette fin, une réglementation interne adéquate et actualisée constitue une brique de conformité essentielle.

L'équipe compliance

[1] https ://eur-lex.europa.eu/legal-content/FR/TXT/ ?uri=CELEX :52022PC0071

^[2] C. com, art. L. 225-102-4

[3] Directive dite Corporate sustainability due diligence directive, ou directive « CSDD »

[4] comme l’AFA pour la lutte contre la corruption, l’ANSSI pour la cybersécurité ou la CNIL en matière de protection des données à caractère personnel

[5] C. com, art. L. 225-102-4 II

[6] CCP, art. L. 2141-7 et L. 3123-7-1

[7] COJ, art. L.211-21

[8] CGE, Evaluation de la mise en œuvre de la loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre, janv. 2020. p. 27 : www.economie.gouv.fr/files/files/directions_services/cge/devoirs-vigilances-entreprises.pdf).

[9]https://www.australasianir.com.au/common/Uploaded%20files/AIRA%20Documents/Member%20Update%20Documents/AMO_What_Price_Reputation_report_R2[2]%20(1).pdf ;https://havasparis.com/la-reputation-dune-entreprise-est-plus-importante-que-jamais-lorsquil-sagit-de-valorisation-boursiere/

[10]https://www.australasianir.com.au/common/Uploaded%20files/AIRA%20Documents/Member%20Update%20Documents/AMO_What_Price_Reputation_report_R2[2]%20(1).pdf ;https://havasparis.com/la-reputation-dune-entreprise-est-plus-importante-que-jamais-lorsquil-sagit-de-valorisation-boursiere/

[11] Article L.151-7 du Code de commerce

[12] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

^[13]LOI n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique

^[14]LOI n° 2021-1104 du 22 août 2021 portant lutte contre le dérèglement climatique et renforcement de la résilience face à ses effets

^[15]Directive (UE) 2022/2464 du Parlement européen et du Conseil du 14 décembre 2022 modifiant le règlement (UE) no 537/2014 et les directives 2004/109/CE, 2006/43/CE et 2013/34/UE en ce qui concerne la publication d’informations en matière de durabilité par les entreprises

[16] Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148

^[17]RGPD, art. 83