La France a voté, en mars 2017 [1], au terme d’un parcours législatif chaotique, un texte « anti-Rana Plaza » aussi précurseur, que flou, imposant aux grands groupes un devoir de « vigilance raisonnable » visant à prévenir ou atténuer les atteintes graves résultant de leurs activités sur les droits humains, les libertés fondamentales, l’environnement, la santé et la sécurité des personnes. Ce texte a commencé à trouver application en 2019.

Un texte d’application difficile

Dès le vote de la loi, le Conseil constitutionnel a reconnu « la généralité des termes […] employés », « insuffisamment clairs et précis » et le « caractère large et indéterminé de la mention des “droits humains” et des “libertés fondamentales” ». Un rapport remis au Bureau international du travail a ensuite souligné que « l’objectif de la loi et le sens de la vigilance ne semblent pas toujours parler clairement aux professionnels responsables de leur mise en place », citant l’un d’eux se comparant à « un lapin devant les phares de la voiture ». En janvier 2020, un rapport du Conseil général de l’économie pointait que « les faiblesses de la loi résident dans la compréhension encore floue […] du devoir de vigilance, sa lisibilité [et] le niveau de détail pertinent […] ». En 2022, la Commission des lois de l’Assemblée nationale a enfin mis en exergue la difficulté qu’avaient les opérateurs à appliquer la loi, au regard de son « caractère succinct et flou ».

Des enjeux croissants

Après la disparition d’un mécanisme de sanction dans la loi de 2017, qui avait assuré une mise en conformité assez rapide en matière de lutte contre la corruption, le risque de mise en cause effective de la responsabilité des entreprises est vite apparu théorique en matière de vigilance. Ce qui a pu justifier parfois que certains, entre texte flou, engagement social modéré et risques faibles, y voient un exercice formel, relevant en interne des seules prérogatives des acteurs de la conformité et de la responsabilité sociétale des entreprises (RSE), voire de la communication financière, en conjonction avec les exigences CSRD (ndlr : Corporate Sustainability Reporting Directive). Là où nombre de politiques anticorruption (bâties selon la même structure : cartographie, évaluation, etc.) étaient quant à elles, plus généralement assignées, eu égard à la matière (pénale) et aux risques (sanctions de l’Agence française anticorruption-AFA), aux juristes.

Mais les enjeux s’accroissent. La multiplication des recours d’organisations non gouvernementales (ONG) souligne combien ce texte est devenu l’un des leviers favoris de la médiatisation de leurs critiques, dans des champs aussi divers que la transition climatique, les expropriations, le travail forcé, la biodiversité, les discriminations… Par ailleurs, la loi « Climat et résilience » permet d’exclure des marchés publics les entreprises contrevenantes. Enfin, sur un terrain moins juridique, l’impact de la non-conformité des entreprises, avérée ou prétendue, accentue la perception d’impostures sociales et écologiques, de moins en moins audibles pour les talents (les « bifurqueurs »), les investisseurs (finance verte ou éthique), voire les consommateurs.

Les difficultés rencontrées : le cas de la cartographie

Malgré la pression montante, les professionnels demeurent dans le flou s’agissant du texte, surtout sur son « pilier » central – si l’on met à part l’engagement des dirigeants qui relève d’une autre problématique – qu’est la cartographie des risques. Son objet, nous dit-on, est d’identifier, d’analyser et de hiérarchiser les risques. D’emblée, on se heurte à la difficulté d’identifier les « risques ou atteintes graves » concernés, qui sont ceux que son activité (directe, incluant les sociétés de son groupe, ou indirecte, via ses sous-traitants et fournisseurs) fait peser. A minima, le Conseil constitutionnel, dans sa décision de 2017, a confirmé que si les atteintes à atténuer doivent être « graves », cette épithète ne s’applique pas aux risques, qui doivent tous être identifiés.

Le rapport parlementaire de 2022 avait estimé qu’il ne semblait « pas nécessaire d’établir de liste – par essence limitative – de principes et de conventions internationales devant être intégrés dans le champ du devoir de vigilance », dès lors qu’« une approche légale trop précise transformerait le devoir de vigilance en une obligation essentiellement formelle, qui manquerait alors l’objectif même de la loi ». L’objectif est louable, le risque de box ticking étant majeur en la matière, mais la corrélation entre généralité du texte et efficacité de ses effets l’est moins. Ce qui a in concreto imposé aux entreprises un exercice d’autodétermination du socle de normes utilisable pour leurs due diligences, introduisant une certaine subjectivité dans les référentiels choisis. Quant à la méthodologie de l’exercice même de cartographie, aucun guidage officiel – contrairement au travail de l’AFA – n’est venu à l’aide des entreprises, qui sont confrontées à un vide qu’ont pu tenter de pallier certains acteurs engagés, comme l’ONG Sherpa, avec son Guide de référence, ou des avocats d’affaires spécialisés.

Une jurisprudence utile : La Poste

L’affaire La Poste (tribunal judiciaire de Paris du 15 décembre 2023), première décision au fond sur le sujet, a apporté un certain nombre d’éclairages, utiles sinon innovants. La cartographie doit être synthétique mais précise : si rien n’interdit une cartographie interne et confidentielle détaillée, la version publiée doit permettre au public d’identifier précisément les risques, atteintes et mesures. Elle doit également être concrète en permettant de comprendre quels facteurs précis liés à l’activité et à l’organisation engendrent un risque. Cette approche « bottom up » doit être combinée à celle, « top down », apparemment utilisée par La Poste à qui le tribunal judiciaire de Paris a reproché un exercice « à un très haut niveau de généralité », évaluant les risques au niveau des valeurs génériques (droits de l’homme, etc.) plutôt qu’au niveau de leurs déclinaisons sur le terrain. Enfin, la hiérarchisation des risques bruts ne peut préjuger de l’efficacité des mesures, d’ores et déjà décidées ou non, au risque sinon de « niveler l’ensemble des risques “nets” à un niveau de faible intensité ».

CS3D et devoir de vigilance

La Corporate Sustainability Due Diligence Directive de 2024 doit être transposée d’ici 2026. Son application se fera de manière progressive, en fonction de la taille des entreprises, entre 2027 et 2029. Il est trop tôt pour savoir comment la France envisagera cette transposition, qui nécessitera d’aménager notre dispositif actuel. Il est certain toutefois que certains des défauts de lisibilité du texte français s’en trouveront réduits.

D’une part, un régime de sanction sera applicable, sous la responsabilité d’une autorité de contrôle, comparable à l’AFA. D’autre part, les normes auxquelles les entreprises assujetties devront se référer sont détaillées à l’annexe de la CS3D, comme l’a fait l’Allemagne avec une loi de juillet 2021. Cette annexe couvre une large sélection d’instruments internationaux (traités, conventions, etc.) dans les champs suivants : droits de l’homme (interdiction de la torture, droit à la liberté et à la sécurité, liberté de conscience et de religion, liberté syndicale et droit de grève, droits de l’enfant, interdiction de l’esclavage, du travail forcé, etc.) ; et environnement (diversité biologique, protection des espèces en danger, interdictions de substances dangereuses, etc.). Il s’agira en pratique d’analyser ces nombreux textes pour identifier les obligations concrètes qu’ils imposent ; puis de vérifier s’ils sont appliqués dans les pays où l’entreprise ou ses sous-traitants opèrent ; et ensuite d’évaluer si ces derniers appliquent ces normes (imposées localement ou non), pour ensuite adopter les mesures adéquates.

Le devoir de vigilance s’installe progressivement mais profondément dans la vie de nos entreprises européennes (et étrangères par effet d’extra-territorialité), qui vont nécessairement devoir modifier certains de leurs processus opérationnels. L’exercice délicat (et coûteux en ressources) de la cartographie restera au cœur du sujet et nécessitera une bonne compréhension des injonctions normatives auxquelles le texte participe pour répondre à des exigences procédurales rigoureuses, comme en témoignent les recommandations de l’AFA ou du tribunal judiciaire de Paris, notamment.