Après un rapport d’initiative propre du Parlement européen en 2021, et de longues négociations commencées en 2022, le Conseil de l’Union européenne a définitivement adopté la Directive sur le devoir de vigilance des entreprises (« Corporate Sustainability Due Diligence Directive» ou « CS3D ») vendredi 24 mai 2024[1].
Largement inspirée par la loi française (n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre - la « Loi sur le devoir de vigilance » ou la « Loi »), CS3D aura toutefois vocation à élargir le champ d’application de cette dernière. En outre, CS3D apporte des précisions sur le contenu des obligations qui vont s’imposer aux entreprises en matière de vigilance.
Afin de guider les sociétés lors du déploiement de leurs dispositifs de vigilance, la Commission européenne devrait publier des lignes directrices générales, des spécifiques applicables à des secteurs ou à des incidences négatives spécifiques, ainsi que des modèles de clauses contractuelles types, dans un délai de trente mois à compter de la date d’entrée en vigueur de la Directive.
Les sociétés assujetties à CS3D
CS3D élargit le nombre de sociétés assujetties à des obligations en matière de vigilance par rapport à la Loi[2] en distinguant deux catégories principales de sociétés assujetties[3] :
- Les sociétés constituées conformément à la législation d’un Etat membre employant en moyenne plus de 1.000 personnes et ayant réalisé un chiffre d’affaires net mondial de plus de 450 millions d’euros au cours du dernier exercice, ou les sociétés mère ultimes d’un groupe atteignant les seuils précités, ou les sociétés concluant des contrats de franchise ou de licence dans l’UE en contrepartie de redevances (sous certaines conditions) ; et
- Les sociétés constituées conformément à la législation d’un pays tiers ayant réalisé dans l’UE un chiffre d’affaires net supérieur à 450 millions d’euros au cours de l’avant-dernier exercice, ou les sociétés mère ultimes d’un groupe atteignant les seuils précités, ou les sociétés concluant des contrats de franchise ou de licence dans l’UE en contrepartie de redevances (sous certaines conditions).
Par ailleurs, la Directive prévoit que lorsque la société mère a pour activité principale la détention de parts dans des filiales opérationnelles et ne participe pas à la prise de décisions de gestion, opérationnelles ou financières affectant le groupe ou une ou plusieurs de ses filiales, elle peut être exemptée de l’exécution des obligations prévues par la directive.
Le périmètre d’application de CS3D
Le devoir de vigilance prévu par CS3D porte sur les activités de la société assujettie, celles de ses filiales ainsi que sur les activités de leurs partenaires commerciaux directs et indirects tout au long de leur chaîne d’activités.
La notion de « chaîne d’activités » dépasse ainsi largement le périmètre de la Loi[4], en ce qu’elle couvre aussi bien les activités en amont des partenaires commerciaux d'une entreprise que les activités des partenaires commerciaux en aval d'une entreprise (distribution, transport, stockage), lorsque les partenaires commerciaux effectuent ces activités pour l'entreprise ou en son nom.
S’agissant des entreprises financières réglementées, leur chaîne d’activités inclut uniquement les partenaires commerciaux en amont de leur chaine d’activités et non les partenaires commerciaux en aval qui reçoivent leurs services et produits[5]. CS3D prévoit en outre que la Commission européenne préparera un rapport sur la nécessité de fixer des exigences supplémentaires relatives au devoir de vigilance en matière de durabilité qui soient adaptées aux entreprises financières réglementées.
Les obligations s’imposant aux entreprises assujetties à CS3D en matière de vigilance
CS3D introduit plusieurs obligations de vigilance[6], reprenant en substance les obligations issues de la Loi.
La Directive apporte toutefois quelques précisions importantes, auxquelles devront s’adapter les entreprises déjà assujetties à la Loi (figurant ci-dessous en gras) :
- L’intégration d’une politique de vigilance fondée sur le risque, après consultation des parties prenantes, devant comprendre (i) une description de l’approche de l’entreprise en matière de vigilance, (ii) un code de conduite et, (iii) un processus de mise en place des due diligences[7] ;
- L’établissement d’une cartographie des risques permettant d'identifier, d'analyser et de hiérarchiser les risques que l’entreprise fait peser sur les droits humains et l’environnement. La Directive détaille la méthodologie de hiérarchisation des risques à adopter en fonction de leur gravité et de leur probabilité. Les annexes de la Directive listent par ailleurs les textes auxquels les sociétés doivent se référer concernant la protection des droits humains et de l’environnement afin de procéder à la détermination des incidences négatives ;
- La prise de mesures appropriées pour prévenir ou atténuer les incidences négatives potentielles recensées. A ce titre, la CS3D donne plusieurs exemples de mesures appropriées, dont notamment l’obtention de garanties contractuelles de la part des partenaires commerciaux, l’adoption de codes de bonne conduite, la mise en place de plan d’actions de remédiation, la réalisation d’investissements, la fourniture de soutiens opérationnels ou financiers aux PME, la suspension ou, en dernier ressort, la cessation de toute relation d’affaires ;
- La mise en œuvre des procédures d’évaluation régulières des filiales, sous-traitants et des partenaires commerciaux pour évaluer régulièrement les risques découlant de leurs activités ;
- Des évaluations périodiques des activités et mesures mises en œuvre par la société, ses filiales et ses partenaires commerciaux, afin d’évaluer leur implémentation et de garantir l’adéquation et l’efficacité de ces mesures ;
- La mise en place d’une procédure de plainte et d’un mécanisme de notification.
Les entreprises devront également adopter et mettre en œuvre un plan de transition pour l’atténuation du changement climatique permettant de garantir que leur stratégie commerciale est compatible avec la limitation du réchauffement planétaire à 1,5 °C conformément à l’accord de Paris, sans obligation de résultat mais en déployant tous les efforts possibles
Les sanctions
La CS3D laisse aux Etats la liberté de fixer des sanctions proportionnées, notamment pécuniaires, à l’encontre des sociétés contrevenantes. La Directive précise toutefois que les amendes devront se fonder sur le chiffre d’affaires mondial réalisé par la contrevenante (au niveau groupe), avec un plafond d’au moins 5% du chiffre d’affaires[8].
A l’instar de la Loi sur le devoir de vigilance, une société pourra être tenue pour responsable d'un dommage causé à une personne physique ou morale, si elle n'a pas respecté, intentionnellement ou par négligence, ses obligations de vigilance prévues[9]. Les Etats membres seront toutefois libres d’aménager les conditions des actions en responsabilité (charge de la preuve, délai de prescription, détermination du préjudice et du lien de causalité).
Les autorités de contrôle
Sur le modèle de la législation allemande en la matière, les Etats membres devront désigner une ou plusieurs autorité(s) administrative(s) nationale(s) chargée(s) de contrôler le respect de ces nouvelles règles, et d’infliger des amendes en cas d’infraction[10].
La transposition et l’entrée en vigueur de la Directive
Les Etats membres devront transposer la CS3D dans un délai de deux ans suivant son entrée en vigueur[11].
L'entrée en vigueur de la CS3D sera progressive (en principe entre 2027 et 2029), selon les seuils décroissants de salariés et de chiffres d'affaires suivants :
- 2027 pour les entreprises de plus de 5.000 salariés réalisant un chiffre d’affaires mondial net de plus de 1,5 milliard d’euros (ainsi que les entreprises de pays tiers dont le chiffre d’affaires dans l’Union est supérieur à 1,5 milliards d’euros) ;
- 2028 pour les entreprises de plus de 3.000 salariés réalisant un chiffre d’affaires mondial net de plus de 900 millions d’euros (ainsi que les entreprises de pays tiers dont le chiffre d’affaires dans l’Union est supérieur à 900 millions d’euros) ; et
- 2029 pour les entreprises de plus de 1.000 salariés réalisant un chiffre d’affaires net mondial de plus de 450 millions d’euros (ainsi que les entreprises de pays tiers dont le chiffre d’affaires dans l’Union est supérieur à 450 millions d’euros).
Enfin, l’adoption de la Directive n’implique pas que le cadre juridique est totalement arrêté.
La transposition de cette Directive devra encore avoir lieu et pourrait créer certains risques de divergences entre les Etats membres (s’agissant d’une Directive qui ne prévoit pas une harmonisation maximale). En tout état de cause, la Directive devrait modifier les pratiques et le fonctionnement opérationnels des sociétés opérant dans l’Union européenne, et plus particulièrement celles qui n’étaient pas assujetties à la Loi.
La publication par la Commission de lignes directrices générales, de lignes directrices applicables à des secteurs ou concernant des incidences négatives spécifiques, ainsi que les modèles de clauses contractuelles types, devraient compléter utilement le cadre de la Directive et éclairer les entreprises sur les modalités pratiques et concrètes de mise en œuvre des nouvelles obligations.
[1] L’idée d’une Directive en matière de vigilance remonte au dépôt d’une résolution du Parlement européen en mars 2021. La Commission européenne a ensuite présenté une proposition de Directive le 23 février 2022. Après des négociations complexes, la CS3D a été formellement validée lors d’un vote en session plénière du Parlement européen le 24 avril 2024.
[2] Selon l’article L.225-102-4 du Code de commerce, sont assujetties à la Loi sur le devoir de vigilance, les sociétés qui emploient, à la clôture de deux exercices consécutifs, au moins cinq mille salariés en leur sein et dans leurs filiales directes ou indirectes dont le siège social est fixé sur le territoire français, ou au moins dix mille salariés en leur sein et dans leurs filiales directes ou indirectes dont le siège social est fixé sur le territoire français ou à l'étranger.
[3] Article 2 de la CS3D.
[4] Selon l’article L. 225-102-4 du Code de commerce, sont concernées les activités de la société et de celles des sociétés qu'elle contrôle au sens du II de l'article L. 233-16 du même code, directement ou indirectement, ainsi que les activités des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie, lorsque ces activités sont rattachées à cette relation.
[5] La CS3D prévoit toutefois une clause de réexamen avec une possible extension à la partie aval de la chaîne d’activité dans un délai de deux ans après l’entrée en vigueur de la CS3D.
[6] Articles 4 à 11 de la CS3D.
[7] La politique en matière de vigilance devra être actualisée, sans retard injustifié, lorsqu’un changement significatif intervient et, en tout état de cause, au moins tous les 24 mois.
[8] Article 20 de la CS3D.
[9] Article 22 de la CS3D.
[10] Article 18 de la CS3D.
[11] Article 37 de la CS3D.