INTERVIEW. Quid de la directive sur le devoir de vigilance en matière de durabilité des entreprises (CSDDD) ?

Édouard Gergondet, counsel chez Mayer Brown, compliance, investigations and regulatory, nous donne son regard d’expert sur le CSDDD, à travers un entretien mené par le think tank french compliance society.

French compliance society : Pouvez-vous nous donner un aperçu des principales dispositions de la dernière version de la Directive sur le Devoir de Vigilance en Matière de Durabilité d'Entreprise (CSDDD) et de son impact sur les entreprises opérant dans l'Union européenne, notamment à la lumière des compromis réalisés lors de son élaboration ?

Édouard Gergondet : La CSDDD a vocation à établir un socle minimum d'obligations en matière de vigilance portant sur les droits de l'homme et l'environnement pour certaines grandes entreprises et grands groupes d'entreprises, y compris certaines entreprises financières réglementées. Ces obligations s'appliqueront, dès lors que ces entreprises ou groupes remplissent des seuils spécifiques de chiffre d'affaires et/ou de nombre de salariés, peu importe que leur siège soit établi dans ou en dehors de l'Union européenne. Ainsi, la CSDDD ne concerne pas que les entreprises établies en Europe, mais toute entreprise ayant des activités en Europe.

Si le texte a eu un parcours législatif tumultueux, avec un compromis initialement annoncé en décembre 2023, puis finalement modifié en mars 2024, les dernières modifications ont principalement réduit le champ des entreprises assujetties à la CSDDD, renforcé l'application progressive du texte et clarifié les dispositions applicables aux groupes.

Les principales obligations qui découleront de la CSDDD demeurent, cependant, identiques. Ainsi, les entreprises assujetties seront tenues de mettre en œuvre des mesures de diligence raisonnables, sur la base d'une approche fondée sur les risques, afin d'identifier, prévenir, atténuer et remédier aux incidences négatives sur les droits de l'homme et l'environnement résultant (i) de leurs propres activités, (ii) des activités de leurs filiales et (iii) des activités de leurs partenaires commerciaux dans le cadre de leurs chaines d'activité. Par ailleurs, les entreprises assujetties auront l'obligation de mettre en place un plan de transition relatif à l'atténuation du changement climatique, conformément aux objectifs de l'Accord de Paris. Le respect de ces obligations fera l'objet d'un double mécanisme de responsabilité : l'une administrative, l'autre civile.

F.C.S. : Comment la dernière version de la CSDDD définit-elle la portée des entreprises soumises aux exigences de conformité, en tenant compte des seuils et critères spécifiques établis ?

É. G. : La CSDDD s'appliquera (i) aux entreprises à responsabilités limitées, telles que définies dans la Directive 2013/34/UE, qu'elles soient établies ou non dans l'Union européenne et (ii) à certaines catégories d'entreprises financières réglementées, telles que les institutions de crédit, les entreprises d'assurance, les établissements de paiement, etc.

L'assujettissement à la CSDDD découlera de facteurs liés, pour les entreprises européennes, au chiffre d'affaires mondial et au nombre d'employés et, pour les entreprises non-européennes, au chiffre d'affaires réalisés dans l'Union européenne. Des dispositions transitoires prévoient l'application progressive des obligations liées à la CSDDD, avec une augmentation progressive des seuils (5,000 salariés et 1,5 milliards d'EUR après trois ans et 3,000 salariés et 900 millions d'EUR après quatre ans).

Au terme d'une période transitoire de cinq ans, la CSDDD s'appliquera ainsi à toute entreprise européenne ayant plus de 1,000 salariés et réalisant un chiffre d'affaires net mondial supérieur à 450 millions d'EUR, ainsi qu'à toute entreprise non-européenne ayant un chiffre d'affaires dans l'Union européenne supérieur à 450 millions d'EUR. En outre, seront également assujetties les entreprises réalisant un chiffre d'affaires net supérieur à 80 millions d'EUR (mondial pour les entreprises européennes et dans l'Union européenne pour les autres), lorsqu'elles ont conclu des contrats de franchise ou de licence avec des entreprises tierces dans l'Union européenne pour un montant de redevance supérieur à 22,5 millions d'EUR.

En revanche, les dispositions prévues dans le cadre du compromis de décembre 2023 visant à abaisser les seuls d'assujettissement pour les entreprises opérant dans des secteurs considérés comme à risque n'ont pas été retenues dans le texte final. L'opportunité d'étendre le champ d'assujettissement dans de telles circonstances fera l'objet d'une revue, après six ans, par la Commission européenne.

Enfin, il est important de noter que l'appréciation des seuils devra être effectuée au niveau des groupes d'entreprises, les entreprises mères pouvant alors – sous certaines conditions – assurer le respect des obligations liées à CSDDD au niveau du groupe, bien que les mécanismes de responsabilité continueront de s'appliquer, possiblement de manière conjointe, au niveau de chaque entreprise assujettie au sein du groupe.

F.C.S. : Quelles sont les principales obligations imposées aux entreprises en vertu de la dernière version de la CSDDD en matière de devoir de vigilance dans la chaîne d'approvisionnement et de reporting en matière de durabilité ?

É. G. : La CSDDD impose aux entreprises assujetties une obligation de vigilance concernant les incidences négatives sur les droits de l'homme et l'environnement, définis par référence à certains instruments internationaux, résultant (i) de leurs propres activités, (ii) des activités de leurs filiales et (iii) des activités de leurs partenaires commerciaux dans le cadre de leurs chaines d'activité.

Le concept de chaîne d'activité est entendu de manière large et comprend les activités en amont, ainsi que, de manière plus limitées, les activités en aval. Ces activités en aval sont couvertes dès lors qu'elles sont liées à la distribution, au transport ou au stockage de biens. Les activités en aval des entreprises financières réglementées sont cependant, pour le moment, exclues.

Pour satisfaire à ces obligations, les entreprises assujetties seront tenues de mettre en œuvre les mesures de diligence raisonnable suivantes, établies sur une approche fondée sur les risques :

• Intégrer les diligences raisonnables au sein des politiques et des mécanismes de gestion des risques ;
• Identifier, évaluer et prioriser les incidences négatives réelles et potentielles ;
• Prévenir et atténuer les incidences négatives potentielles ;
• Mettre un terme aux incidences négatives réelles, minimiser leur étendue et les remédier ;
• S'engager auprès des parties prenantes ;
• Etablir un mécanisme d'alerte et de traitement des plaintes ;
• Contrôler régulièrement l'efficacité des politiques et des mesures de diligence raisonnable ;
• Communiquer publiquement sur leurs mesures de diligence raisonnable ;
• Conserver les documents liés aux mesures de diligence raisonnable.

Concernant les obligations de reporting en particulier, ces dernières ne s'appliqueront que dans la mesure où l'entreprise assujettie n'est pas également soumise aux obligations d'informations au titre de la CSRD, autre Directive phare portant sur l'information des entreprises en matière de durabilité. Le contour précis des obligations de reporting au titre de la CSDDD, pour les entreprises qui y seraient soumises, devra cependant faire l'objet de clarifications par la Commission européenne d'ici au 31 mars 2027.

F.C.S. : Pourriez-vous nous expliquer les sanctions potentielles en cas de non-conformité avec la dernière version de la CSDDD, y compris les publicités des infractions et les amendes pouvant aller jusqu'à 5 % du chiffre d'affaires mondial net de l'entreprise ?

É. G. : Il est important de considérer que la CSDDD prévoit un double mécanisme de mise en œuvre.

D'une part, les Etats membres auront l'obligation de désigner une autorité de supervision, laquelle pourra conduire des enquêtes, de sa propre initiative ou sur la base d'une plainte, et in fine adopter diverses mesures allant de l'injonction à l'adoption de sanctions, y compris des sanctions pécuniaires allant jusqu'à 5% du chiffre d'affaires net mondial de la société ou du groupe, ainsi que la publication de décisions constant les manquements afin de nommer et blâmer (name & shame) les entreprises qui n'auraient pas satisfait à leurs obligations de vigilance.

D'autre part, les Etats membres devront prévoir un mécanisme de responsabilité civile, permettant d'engager la responsabilité d'une entreprise assujettie qui aurait manqué intentionnellement ou par négligence aux obligations liées au traitement des incidences négatives, si ce manquement a causé un préjudice au demandeur. Ces actions pourront être intentées par un spectre large de demandeur, y compris les personnes ayant subi un préjudice, mais également des syndicats, ONG ou autres institutions nationales des droits de l'homme agissant au nom de victimes.

F.C.S. : Comment la dernière version de la CSDDD tient-elle compte des préoccupations soulevées lors du processus de consultation, en particulier en ce qui concerne la faisabilité et la praticabilité de la mise en œuvre ?

É. G. : Par rapport au compromis de décembre 2023, la dernière version de la CSDDD ne contient pas de dispositions supplémentaires en ce qui concerne les préoccupations liées à la faisabilité et la praticabilité de la mise en œuvre des obligations de vigilance. Néanmoins, le texte sur lequel les législateurs européens s'étaient initialement accordés prévoient plusieurs mécanismes visant à faciliter la mise en œuvre effective des obligations de vigilance.

Notamment, la CSDDD clarifie les facteurs déterminant les mesures devant être adoptées afin de traiter les incidences négatives, réelles ou potentielles, sur les droits de l'homme et l'environnement, ainsi que la nature des mesures pouvant être mises en œuvre, en fonction des contraintes auxquelles les entreprises assujetties font face. En outre, la CSDDD prévoit divers mécanismes visant à soutenir les entreprises assujetties dans leurs efforts de diligence. Ces mécanismes sont soit d'initiative publique, avec par exemple la publication anticipée de guides, d'information et de lignes directrices, soit d'initiative privée, encourageant notamment la mise en place d'initiatives sectorielles et multipartites ou le recours à des vérifications indépendantes par des tiers.

Édouard Gergondet

F.C.S. : Quels sont, selon vous, les défis les plus importants auxquels les entreprises peuvent être confrontées lors de la transition vers la conformité avec la dernière version de la CSDDD ?

É. G. : En 2017, la France est devenue le premier pays européen à introduire des obligations contraignantes en matière de vigilance, avec l'adoption de la loi relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre. Bien que d'autres Etats membres ait également adopté leur propre législation, les entreprises françaises ont un temps d'avance sur la plupart de leurs homologues européens.

Toutefois, à terme, le champ d'application de la CSDDD sera plus large que celui de la loi française actuelle. Par ailleurs, pour les entreprises d'ores et déjà assujetties à un devoir de vigilance contraignant, si les obligations établies dans la CSDDD s'inspirent de celles de la loi française, elles ne sont, d'une part, pas identiques et, d'autre part, significativement plus détaillées.

Un travail de compréhension et de sensibilisation des différentes parties prenantes aux nouvelles normes contraignantes sera donc nécessaire, afin de pouvoir correctement établir et mettre en œuvre les mesures visant à s'y conformer.

F.C.S. : Y a-t-il des nouvelles dispositions ou des clarifications dans la dernière version de la CSDDD auxquelles vous pensez que les entreprises devraient prêter une attention particulière ?

É. G. : La dernière version de la CSDDD a principalement restreint son champ d'application, en augmentant les seuils d'assujettissement et en excluant un assujettissement sur la base de seuils spécifiques, moins élevés, pour les entreprises opérant des secteurs à risque. Néanmoins, les entreprises devraient considérer avec attention dans quelle mesure elles, ou les autres entreprises du groupe dont elles font parties, peuvent être assujetties à la CSDDD et à partir de quand.

Si la CSDDD prévoit des périodes transitoires plus ou moins longues, l'étendue de la tâche afin de s'assurer d'une pleine conformité au jour de l'application des obligations liées à la CSDDD requiert des préparatifs soignés en amont.

F.C.S. : Comment envisagez-vous l'évolution des interprétations juridiques et de l'application de la dernière version de la CSDDD au fil du temps ?

É. G. : Cette question est particulièrement intéressante sous le prisme du droit français. Bien que la loi française sur le devoir de vigilance ait été adoptée en 2017, son interprétation demeure, pour le moment, essentiellement prétorienne. En effet, en l'absence d'autorité de supervision et en l'absence d'adoption du décret devant clarifier les obligations incombant aux entreprises au titre de ce devoir de vigilance, l'étendue précise de ces obligations fait l'objet à l'heure actuelle d'un certain flou juridique.

La CSDDD, a contrario, devrait encourager une plus grande certitude juridique, par le biais d'informations, d'interprétations et de lignes directrices communiquées par la Commission européenne et les différentes autorités de supervision, mais également à la suite de contrôles menés et de décisions adoptées par ces dernières.

F.C.S. : Quelles mesures recommandez-vous aux entreprises pour s'assurer qu'elles sont adéquatement préparées à la conformité avec la dernière version de la CSDDD ?

É. G. : Les entreprises concernées, qu'elles soient situées dans ou en dehors de l'Union européenne, doivent anticiper l'application effective de la CSDDD. Pour de nombreuses grandes entreprises qui entreront dans le champ d'application de CSDDD, la conception et la mise en œuvre de mesures de vigilance raisonnables constituera un exercice complexe, multipartite, s'étendant sur plusieurs années. Il est donc impératif que ces dernières profitent pleinement de la période transitoire pour se préparer à ces nouvelles obligations.

Les entreprises concernées devraient donc déjà cartographier leurs politiques et procédures existantes afin de les aligner sur les exigences anticipées au titre de la CSDDD et identifier toute lacune ou piste d'amélioration avant l'application effective de cette directive.

A cette fin, les entreprises peuvent s'appuyer sur les leçons tirées des expériences passées au titre de législations contraignantes existantes, telles que celles en France ou en Allemagne. Les entreprises peuvent également chercher à aligner leurs politiques et procédures sur les meilleures pratiques internationales, qui inspirent fortement la CSDDD.

En particulier, les entreprises doivent considérer comment elles peuvent efficacement :

• Déterminer précisément le champ des entreprises au sein de leur groupe qui seront assujetties à CSDDD et comment respecter les obligations liées ;
• Intégrer les problématiques de vigilance dans les politiques et plans stratégiques du groupe ;
• Définir les responsabilités en matière de vigilance ;
• Former les employés et partenaires commerciaux sur les enjeux de vigilance ;
• Assurer la transparence des considérations liées aux sujets de vigilance ;
• Réaliser une évaluation des problématiques de vigilance, prendre des mesures proportionnées et les communiquer adéquatement en interne, comme en externe ;
• Revoir et renforcer les mécanismes de plainte et d'alerte ;
• S'assurer que l'entreprise est équipée pour faire face aux "crises" ;
• Examiner dans quelle mesure leur conseil d'administration est prêt à faire face aux problématiques liées aux chaînes d'activités ;
• Revoir le rôle, les ressources et l'expertise des fonctions juridiques et conformité, qui devront jouer un rôle clé pour relever les défis liés à la CSDDD.

F.C.S. : Enfin, prévoyez-vous des amendements ou des mises à jour à la dernière version de la CSDDD à l'avenir, et comment cela pourrait-il impacter les entreprises ?

É. G. : La CSDDD elle-même prévoit une clause de revue, selon laquelle la Commission européenne devra soumettre différents rapports traitant de la nécessité de mettre en place des exigences supplémentaires en matière de vigilance. Notamment, dans un délai de deux ans, la Commission européenne devra traiter de la nécessité d'étendre les obligations de vigilance pour les entreprises financières réglementées, afin de couvrir leurs activités en aval relatives à la fourniture de services financiers et leurs activités d'investissement. Dans un délai de six ans, la Commission devra publier un rapport couvrant, entre autres, l'impact sur les PMEs, le champ d'application de la CSDDD, la notion de "chaine d'activités", l'extension des problématiques liées aux droits de l'homme et à l'environnement devant être couvertes par les obligations de vigilance et l'efficacité des mécanismes de mise en œuvre.

Ces rapports, ainsi que les retours d'expérience des entreprises assujetties et des autorités de supervision, informeront les modifications de CSDDD.

Propos recueillis par Édouard Shailendrasingh Leeleea
Think tank french compliance society