Édouard Gergondet, counsel chez Mayer Brown,
compliance, investigations and regulatory, nous donne son regard d’expert sur
le CSDDD, à travers un entretien mené par le think tank french compliance society.
French compliance society : Pouvez-vous nous donner un aperçu des
principales dispositions de la dernière version de la Directive sur le Devoir
de Vigilance en Matière de Durabilité d'Entreprise (CSDDD) et de son impact sur
les entreprises opérant dans l'Union européenne, notamment à la lumière des
compromis réalisés lors de son élaboration ?
Édouard Gergondet : La CSDDD a vocation à établir un socle
minimum d'obligations en matière de vigilance portant sur les droits de l'homme
et l'environnement pour certaines grandes entreprises et grands groupes
d'entreprises, y compris certaines entreprises financières réglementées. Ces
obligations s'appliqueront, dès lors que ces entreprises ou groupes remplissent
des seuils spécifiques de chiffre d'affaires et/ou de nombre de salariés, peu
importe que leur siège soit établi dans ou en dehors de l'Union européenne.
Ainsi, la CSDDD ne concerne pas que les entreprises établies en Europe, mais
toute entreprise ayant des activités en Europe.
Si le texte a eu un parcours législatif
tumultueux, avec un compromis initialement annoncé en décembre 2023, puis
finalement modifié en mars 2024, les dernières modifications ont principalement
réduit le champ des entreprises assujetties à la CSDDD, renforcé l'application
progressive du texte et clarifié les dispositions applicables aux groupes.
Les principales obligations qui découleront de
la CSDDD demeurent, cependant, identiques. Ainsi, les entreprises assujetties
seront tenues de mettre en œuvre des mesures de diligence raisonnables, sur la
base d'une approche fondée sur les risques, afin d'identifier, prévenir,
atténuer et remédier aux incidences négatives sur les droits de l'homme et
l'environnement résultant (i) de leurs propres activités, (ii) des activités de
leurs filiales et (iii) des activités de leurs partenaires commerciaux dans le
cadre de leurs chaines d'activité. Par ailleurs, les entreprises assujetties
auront l'obligation de mettre en place un plan de transition relatif à
l'atténuation du changement climatique, conformément aux objectifs de l'Accord
de Paris. Le respect de ces obligations fera l'objet d'un double mécanisme de
responsabilité : l'une administrative, l'autre civile.
F.C.S. : Comment la dernière version de la CSDDD
définit-elle la portée des entreprises soumises aux exigences de conformité, en
tenant compte des seuils et critères spécifiques établis ?
É. G. : La CSDDD s'appliquera (i) aux entreprises à
responsabilités limitées, telles que définies dans la Directive 2013/34/UE,
qu'elles soient établies ou non dans l'Union européenne et (ii) à certaines catégories
d'entreprises financières réglementées, telles que les institutions de crédit,
les entreprises d'assurance, les établissements de paiement, etc.
L'assujettissement à la CSDDD découlera de
facteurs liés, pour les entreprises européennes, au chiffre d'affaires mondial
et au nombre d'employés et, pour les entreprises non-européennes, au chiffre
d'affaires réalisés dans l'Union européenne. Des dispositions transitoires
prévoient l'application progressive des obligations liées à la CSDDD, avec une
augmentation progressive des seuils (5,000 salariés et 1,5 milliards d'EUR
après trois ans et 3,000 salariés et 900 millions d'EUR après quatre ans).
Au terme d'une période transitoire de cinq
ans, la CSDDD s'appliquera ainsi à toute entreprise européenne ayant plus de
1,000 salariés et réalisant un chiffre d'affaires net mondial supérieur à 450
millions d'EUR, ainsi qu'à toute entreprise non-européenne ayant un chiffre
d'affaires dans l'Union européenne supérieur à 450 millions d'EUR. En outre,
seront également assujetties les entreprises réalisant un chiffre d'affaires
net supérieur à 80 millions d'EUR (mondial pour les entreprises européennes et
dans l'Union européenne pour les autres), lorsqu'elles ont conclu des contrats
de franchise ou de licence avec des entreprises tierces dans l'Union européenne
pour un montant de redevance supérieur à 22,5 millions d'EUR.
En revanche, les dispositions prévues dans le
cadre du compromis de décembre 2023 visant à abaisser les seuls
d'assujettissement pour les entreprises opérant dans des secteurs considérés
comme à risque n'ont pas été retenues dans le texte final. L'opportunité
d'étendre le champ d'assujettissement dans de telles circonstances fera l'objet
d'une revue, après six ans, par la Commission européenne.
Enfin, il est important de noter que
l'appréciation des seuils devra être effectuée au niveau des groupes
d'entreprises, les entreprises mères pouvant alors – sous certaines conditions
– assurer le respect des obligations liées à CSDDD au niveau du groupe, bien
que les mécanismes de responsabilité continueront de s'appliquer, possiblement
de manière conjointe, au niveau de chaque entreprise assujettie au sein du
groupe.
F.C.S. : Quelles sont les principales obligations
imposées aux entreprises en vertu de la dernière version de la CSDDD en matière
de devoir de vigilance dans la chaîne d'approvisionnement et de reporting en
matière de durabilité ?
É. G. : La CSDDD impose aux entreprises assujetties une obligation
de vigilance concernant les incidences négatives sur les droits de l'homme et
l'environnement, définis par référence à certains instruments internationaux,
résultant (i) de leurs propres activités, (ii) des activités de leurs filiales
et (iii) des activités de leurs partenaires commerciaux dans le cadre de leurs
chaines d'activité.
Le concept de chaîne d'activité est entendu de
manière large et comprend les activités en amont, ainsi que, de manière plus
limitées, les activités en aval. Ces activités en aval sont couvertes dès lors
qu'elles sont liées à la distribution, au transport ou au stockage de biens.
Les activités en aval des entreprises financières réglementées sont cependant,
pour le moment, exclues.
Pour satisfaire à ces obligations, les
entreprises assujetties seront tenues de mettre en œuvre les mesures de
diligence raisonnable suivantes, établies sur une approche fondée sur les
risques :
• Intégrer les diligences raisonnables au
sein des politiques et des mécanismes de gestion des risques ;
• Identifier, évaluer et prioriser les incidences négatives réelles et
potentielles ;
• Prévenir et atténuer les incidences négatives potentielles ;
• Mettre un terme aux incidences négatives réelles, minimiser leur étendue et
les remédier ;
• S'engager auprès des parties prenantes ;
• Etablir un mécanisme d'alerte et de traitement des plaintes ;
• Contrôler régulièrement l'efficacité des politiques et des mesures de
diligence raisonnable ;
• Communiquer publiquement sur leurs mesures de diligence raisonnable ;
• Conserver les documents liés aux mesures de diligence raisonnable.
Concernant les obligations de reporting en
particulier, ces dernières ne s'appliqueront que dans la mesure où l'entreprise
assujettie n'est pas également soumise aux obligations d'informations au titre
de la CSRD, autre Directive phare portant sur l'information des entreprises en
matière de durabilité. Le contour précis des obligations de reporting au
titre de la CSDDD, pour les entreprises qui y seraient soumises, devra
cependant faire l'objet de clarifications par la Commission européenne d'ici au
31 mars 2027.
F.C.S. : Pourriez-vous nous expliquer les sanctions
potentielles en cas de non-conformité avec la dernière version de la CSDDD, y
compris les publicités des infractions et les amendes pouvant aller jusqu'à 5 %
du chiffre d'affaires mondial net de l'entreprise ?
É. G. : Il est important de considérer que la CSDDD prévoit un
double mécanisme de mise en œuvre.
D'une part, les Etats membres auront
l'obligation de désigner une autorité de supervision, laquelle pourra conduire
des enquêtes, de sa propre initiative ou sur la base d'une plainte, et in
fine adopter diverses mesures allant de l'injonction à l'adoption de
sanctions, y compris des sanctions pécuniaires allant jusqu'à 5% du chiffre
d'affaires net mondial de la société ou du groupe, ainsi que la publication de
décisions constant les manquements afin de nommer et blâmer (name &
shame) les entreprises qui n'auraient pas satisfait à leurs obligations de
vigilance.
D'autre part, les Etats membres devront
prévoir un mécanisme de responsabilité civile, permettant d'engager la
responsabilité d'une entreprise assujettie qui aurait manqué intentionnellement
ou par négligence aux obligations liées au traitement des incidences négatives,
si ce manquement a causé un préjudice au demandeur. Ces actions pourront être
intentées par un spectre large de demandeur, y compris les personnes ayant subi
un préjudice, mais également des syndicats, ONG ou autres institutions nationales
des droits de l'homme agissant au nom de victimes.
F.C.S. : Comment la dernière version de la CSDDD
tient-elle compte des préoccupations soulevées lors du processus de
consultation, en particulier en ce qui concerne la faisabilité et la
praticabilité de la mise en œuvre ?
É. G. : Par rapport au compromis de décembre 2023, la dernière
version de la CSDDD ne contient pas de dispositions supplémentaires en ce qui
concerne les préoccupations liées à la faisabilité et la praticabilité de la
mise en œuvre des obligations de vigilance. Néanmoins, le texte sur lequel les
législateurs européens s'étaient initialement accordés prévoient plusieurs
mécanismes visant à faciliter la mise en œuvre effective des obligations de
vigilance.
Notamment, la CSDDD clarifie les facteurs
déterminant les mesures devant être adoptées afin de traiter les incidences
négatives, réelles ou potentielles, sur les droits de l'homme et
l'environnement, ainsi que la nature des mesures pouvant être mises en œuvre,
en fonction des contraintes auxquelles les entreprises assujetties font face.
En outre, la CSDDD prévoit divers mécanismes visant à soutenir les entreprises
assujetties dans leurs efforts de diligence. Ces mécanismes sont soit
d'initiative publique, avec par exemple la publication anticipée de guides,
d'information et de lignes directrices, soit d'initiative privée, encourageant
notamment la mise en place d'initiatives sectorielles et multipartites ou le
recours à des vérifications indépendantes par des tiers.
Édouard Gergondet
F.C.S. : Quels sont, selon vous, les défis les plus
importants auxquels les entreprises peuvent être confrontées lors de la
transition vers la conformité avec la dernière version de la CSDDD ?
É. G. : En 2017, la France est devenue le premier pays européen à
introduire des obligations contraignantes en matière de vigilance, avec
l'adoption de la loi relative au devoir de vigilance des sociétés mères et des
entreprises donneuses d'ordre. Bien que d'autres Etats membres ait également
adopté leur propre législation, les entreprises françaises ont un temps
d'avance sur la plupart de leurs homologues européens.
Toutefois, à terme, le champ d'application de
la CSDDD sera plus large que celui de la loi française actuelle. Par ailleurs,
pour les entreprises d'ores et déjà assujetties à un devoir de vigilance
contraignant, si les obligations établies dans la CSDDD s'inspirent de celles
de la loi française, elles ne sont, d'une part, pas identiques et, d'autre
part, significativement plus détaillées.
Un travail de compréhension et de
sensibilisation des différentes parties prenantes aux nouvelles normes
contraignantes sera donc nécessaire, afin de pouvoir correctement établir et
mettre en œuvre les mesures visant à s'y conformer.
F.C.S. : Y a-t-il des nouvelles dispositions ou des
clarifications dans la dernière version de la CSDDD auxquelles vous pensez que
les entreprises devraient prêter une attention particulière ?
É. G. : La dernière version de la CSDDD a principalement restreint
son champ d'application, en augmentant les seuils d'assujettissement et en
excluant un assujettissement sur la base de seuils spécifiques, moins élevés,
pour les entreprises opérant des secteurs à risque. Néanmoins, les entreprises
devraient considérer avec attention dans quelle mesure elles, ou les autres
entreprises du groupe dont elles font parties, peuvent être assujetties à la
CSDDD et à partir de quand.
Si la CSDDD prévoit des périodes transitoires
plus ou moins longues, l'étendue de la tâche afin de s'assurer d'une pleine
conformité au jour de l'application des obligations liées à la CSDDD requiert
des préparatifs soignés en amont.
F.C.S. : Comment envisagez-vous l'évolution des
interprétations juridiques et de l'application de la dernière version de la
CSDDD au fil du temps ?
É. G. : Cette question est particulièrement intéressante sous le
prisme du droit français. Bien que la loi française sur le devoir de vigilance
ait été adoptée en 2017, son interprétation demeure, pour le moment,
essentiellement prétorienne. En effet, en l'absence d'autorité de supervision
et en l'absence d'adoption du décret devant clarifier les obligations incombant
aux entreprises au titre de ce devoir de vigilance, l'étendue précise de ces
obligations fait l'objet à l'heure actuelle d'un certain flou juridique.
La CSDDD, a contrario, devrait
encourager une plus grande certitude juridique, par le biais d'informations,
d'interprétations et de lignes directrices communiquées par la Commission
européenne et les différentes autorités de supervision, mais également à la
suite de contrôles menés et de décisions adoptées par ces dernières.
F.C.S. : Quelles mesures recommandez-vous aux
entreprises pour s'assurer qu'elles sont adéquatement préparées à la conformité
avec la dernière version de la CSDDD ?
É. G. : Les entreprises concernées, qu'elles soient situées dans
ou en dehors de l'Union européenne, doivent anticiper l'application effective
de la CSDDD. Pour de nombreuses grandes entreprises qui entreront dans le champ
d'application de CSDDD, la conception et la mise en œuvre de mesures de
vigilance raisonnables constituera un exercice complexe, multipartite,
s'étendant sur plusieurs années. Il est donc impératif que ces dernières
profitent pleinement de la période transitoire pour se préparer à ces nouvelles
obligations.
Les entreprises concernées devraient donc déjà
cartographier leurs politiques et procédures existantes afin de les aligner sur
les exigences anticipées au titre de la CSDDD et identifier toute lacune ou
piste d'amélioration avant l'application effective de cette directive.
A cette fin, les entreprises peuvent s'appuyer
sur les leçons tirées des expériences passées au titre de législations
contraignantes existantes, telles que celles en France ou en Allemagne. Les
entreprises peuvent également chercher à aligner leurs politiques et procédures
sur les meilleures pratiques internationales, qui inspirent fortement la CSDDD.
En particulier, les entreprises doivent
considérer comment elles peuvent efficacement :
• Déterminer précisément le champ des
entreprises au sein de leur groupe qui seront assujetties à CSDDD et comment
respecter les obligations liées ;
• Intégrer les problématiques de vigilance dans les politiques et plans
stratégiques du groupe ;
• Définir les responsabilités en matière de vigilance ;
• Former les employés et partenaires commerciaux sur les enjeux de vigilance ;
• Assurer la transparence des considérations liées aux sujets de vigilance ;
• Réaliser une évaluation des problématiques de vigilance, prendre des mesures
proportionnées et les communiquer adéquatement en interne, comme en externe ;
• Revoir et renforcer les mécanismes de plainte et d'alerte ;
• S'assurer que l'entreprise est équipée pour faire face aux "crises"
;
• Examiner dans quelle mesure leur conseil d'administration est prêt à faire
face aux problématiques liées aux chaînes d'activités ;
• Revoir le rôle, les ressources et l'expertise des fonctions juridiques et
conformité, qui devront jouer un rôle clé pour relever les défis liés à la
CSDDD.
F.C.S. : Enfin, prévoyez-vous des amendements ou des
mises à jour à la dernière version de la CSDDD à l'avenir, et comment cela
pourrait-il impacter les entreprises ?
É. G. : La CSDDD
elle-même prévoit une clause de revue, selon laquelle la Commission européenne
devra soumettre différents rapports traitant de la nécessité de mettre en place
des exigences supplémentaires en matière de vigilance. Notamment, dans un délai
de deux ans, la Commission européenne devra traiter de la nécessité d'étendre
les obligations de vigilance pour les entreprises financières réglementées,
afin de couvrir leurs activités en aval relatives à la fourniture de services
financiers et leurs activités d'investissement. Dans un délai de six ans, la
Commission devra publier un rapport couvrant, entre autres, l'impact sur les
PMEs, le champ d'application de la CSDDD, la notion de "chaine
d'activités", l'extension des problématiques liées aux droits de l'homme
et à l'environnement devant être couvertes par les obligations de vigilance et
l'efficacité des mécanismes de mise en œuvre.
Ces rapports, ainsi que les retours
d'expérience des entreprises assujetties et des autorités de supervision,
informeront les modifications de CSDDD.
Propos recueillis par
Édouard Shailendrasingh Leeleea
Think tank french compliance society