Devoir de vigilance des entreprises : obligations, sanctions et enjeux pratiques en 2025

La France a été pionnière en adoptant, le 27 mars 2017, la loi n° 2017-399 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre. Ce texte impose aux plus grandes entreprises françaises d’identifier et de prévenir les atteintes graves aux droits humains, aux libertés fondamentales, à la santé et à la sécurité des personnes, ainsi qu’à l’environnement, résultant de leurs activités et de celles de leur chaîne de valeur. Près de huit ans après son entrée en vigueur, le cadre juridique continue d’évoluer sous l’impulsion du droit européen et d’une jurisprudence en construction.

1. Le fondement légal : l’article L. 225-102-4 du Code de commerce

Le devoir de vigilance est codifié aux articles L. 225-102-4 et L. 225-102-5 du Code de commerce (devenu L. 225-102-1 et L. 225-102-2 après renumérotation par l’ordonnance n° 2024-1106 du 4 décembre 2024 transposant la directive CSRD). Ces dispositions imposent aux sociétés concernées d’établir, de publier et de mettre en oeuvre de manière effective un plan de vigilance.

L’article dispose que le plan de vigilance est relatif à l’activité de la société, de l’ensemble des filiales ou sociétés qu’elle contrôle au sens de l’article L. 233-3 du Code de commerce, ainsi que des sous-traitants et fournisseurs avec lesquels est entretenue une relation commerciale établie.

La loi française sur le devoir de vigilance a constitué une avancée législative sans précédent au niveau mondial, en instaurant pour la première fois une obligation contraignante de prévention des atteintes aux droits humains et à l’environnement tout au long de la chaîne de valeur.

2. Quelles entreprises sont concernées ?

Le devoir de vigilance s’applique à deux catégories de sociétés ayant leur siège social fixé sur le territoire français :

• Les sociétés qui emploient, à la clôture de deux exercices consécutifs, au moins 5 000 salariés en leur sein et dans leurs filiales directes ou indirectes dont le siège social est fixé sur le territoire français
• Les sociétés qui emploient, à la clôture de deux exercices consécutifs, au moins 10 000 salariés en leur sein et dans leurs filiales directes ou indirectes dont le siège social est fixé sur le territoire français ou à l’étranger

La loi précise que les filiales ou sociétés contrôlées qui dépassent ces seuils sont réputées satisfaire à leurs obligations dès lors que la société mère qui les contrôle établit et met en oeuvre un plan de vigilance les couvrant. En pratique, environ 250 à 300 entreprises sont directement concernées par cette obligation en France.

3. Le contenu obligatoire du plan de vigilance

Le plan de vigilance doit comporter les cinq mesures de vigilance raisonnable suivantes, propres à identifier les risques et à prévenir les atteintes graves :

• Une cartographie des risques destinée à identifier, analyser et hiérarchiser les risques d’atteintes graves aux droits humains et à l’environnement
• Des procédures d’évaluation régulière de la situation des filiales, sous-traitants et fournisseurs avec lesquels est entretenue une relation commerciale établie, au regard de la cartographie des risques
• Des actions adaptées d’atténuation des risques ou de prévention des atteintes graves identifiées
• Un mécanisme d’alerte et de recueil des signalements relatifs à l’existence ou à la réalisation des risques, établi en concertation avec les organisations syndicales représentatives
• Un dispositif de suivi des mesures mises en oeuvre et d’évaluation de leur efficacité

Le plan de vigilance et le compte rendu de sa mise en oeuvre effective doivent être rendus publics et inclus dans le rapport de gestion prévu à l’article L. 225-100 du Code de commerce (désormais dans le rapport de durabilité en application de la directive CSRD).

4. Le périmètre de vigilance : filiales, sous-traitants et fournisseurs

L’un des aspects les plus novateurs de la loi française réside dans l’étendue du périmètre de vigilance. Celui-ci dépasse largement le cadre de la société elle-même pour englober :

• Les filiales contrôlées directement ou indirectement au sens de l’article L. 233-3 du Code de commerce, quel que soit leur lieu d’implantation
• Les sous-traitants avec lesquels la société entretient une relation commerciale établie
• Les fournisseurs avec lesquels la société entretient une relation commerciale établie

La notion de « relation commerciale établie », empruntée à l’article L. 442-1 du Code de commerce, a été précisée par la jurisprudence comme une relation d’affaires qui revêt un caractère suivi, stable et habituel (Cass. com., 15 septembre 2009, n° 08-19.200). En matière de devoir de vigilance, cette notion oblige la société mère à s’intéresser à l’ensemble de sa chaîne d’approvisionnement, y compris les sous-traitants de rang 2 ou 3 lorsqu’ils sont identifiables.

5. Les sanctions et la responsabilité civile

La mise en demeure et l’injonction judiciaire

Lorsqu’une société ne respecte pas ses obligations, toute personne justifiant d’un intérêt à agir peut la mettre en demeure de les respecter. Si la société ne s’exécute pas dans un délai de trois mois à compter de la mise en demeure, le juge peut, saisi par toute personne justifiant d’un intérêt à agir, lui enjoindre de respecter ses obligations, le cas échéant sous astreinte.

La responsabilité civile de droit commun

L’article L. 225-102-2 du Code de commerce (anciennement L. 225-102-5) prévoit que, dans les conditions des articles 1240 et 1241 du Code civil, le manquement aux obligations de vigilance engage la responsabilité de son auteur et l’oblige à réparer le préjudice que l’exécution de ces obligations aurait permis d’éviter.

Il convient de noter que le Conseil constitutionnel, dans sa décision n° 2017-750 DC du 23 mars 2017, a censuré le mécanisme d’amende civile initialement prévu par le législateur, considérant que l’imprécision de la définition des obligations de vigilance ne permettait pas de fonder une sanction ayant le caractère d’une punition. La responsabilité civile de droit commun demeure toutefois pleinement applicable.

6. L’évolution européenne : la directive CS3D

Le 24 mai 2024, le Conseil de l’Union européenne a adopté la directive (UE) 2024/1760 sur le devoir de diligence des entreprises en matière de durabilité (dite directive CS3D — Corporate Sustainability Due Diligence Directive). Ce texte européen, qui doit être transposé par les États membres avant le 26 juillet 2026, s’inscrit dans le prolongement de la loi française tout en l’élargissant considérablement.

Les principales différences et apports de la directive CS3D par rapport à la loi française sont les suivants :

• Seuils abaissés : la directive s’applique progressivement aux entreprises de plus de 1 000 salariés et 450 millions d’euros de chiffre d’affaires net mondial (à partir de 2027), puis à celles de plus de 5 000 salariés et 1 500 millions d’euros (dès 2026)
• Chaîne d’activités élargie : le concept de « chaîne d’activités » remplace la « chaîne de valeur » et inclut les partenaires commerciaux en amont et en aval
• Sanctions administratives : les États membres doivent prévoir des sanctions effectives, proportionnées et dissuasives, incluant des amendes pouvant atteindre 5 % du chiffre d’affaires net mondial
• Responsabilité civile harmonisée : la directive prévoit un régime de responsabilité civile pour les dommages causés par un manquement aux obligations de diligence
• Plan de transition climatique : obligation d’adopter un plan de transition compatible avec l’objectif de limitation du réchauffement à 1,5°C

7. Les contentieux en cours : état des lieux

Depuis l’entrée en vigueur de la loi, plusieurs actions judiciaires ont été engagées contre de grandes entreprises françaises, notamment dans les secteurs de l’énergie, de l’agroalimentaire et de la grande distribution. Ces contentieux portent principalement sur :

• L’insuffisance du plan de vigilance au regard des risques identifiés dans les pays d’opération
• L’absence de mesures concrètes de prévention malgré des signalements d’atteintes aux droits humains dans la chaîne d’approvisionnement
• L’insuffisance des engagements climatiques au regard des objectifs de l’Accord de Paris

La Cour d’appel de Paris a également été saisie de questions relatives à la compétence juridictionnelle et à la recevabilité des demandes formées par des ONG et des collectivités territoriales étrangères (CA Paris, 18 juin 2024).

8. Recommandations pratiques pour les entreprises

Face à l’évolution rapide du cadre juridique, les entreprises concernées doivent adopter une démarche proactive :

• Réaliser un audit de conformité du plan de vigilance existant au regard de la loi française et anticiper les exigences de la directive CS3D
• Renforcer la cartographie des risques en intégrant les risques climatiques et environnementaux, au-delà des seuls risques liés aux droits humains
• Structurer le mécanisme d’alerte en s’appuyant sur les exigences de la loi Sapin II (loi n° 2016-1691 du 9 décembre 2016) et de la directive européenne sur la protection des lanceurs d’alerte
• Impliquer les parties prenantes : syndicats, ONG, communautés locales, dans l’élaboration et le suivi du plan de vigilance
• Documenter les diligences réalisées : conserver les preuves des audits, évaluations et mesures correctives pour se prémunir contre d’éventuelles actions en responsabilité
• Anticiper la transposition de la directive CS3D en adaptant dès à présent les processus internes aux nouvelles exigences européennes