Devoir de vigilance européen : la directive CS3D et ses implications pour les entreprises
Directive CS3D et devoir de vigilance européen : obligations des entreprises, plan de vigilance, chaîne de valeur et sanctions. Guide d'avocat pour anticiper la transposition.
Devoir de vigilance européen : la directive CS3D et ses implications pour les entreprises
La directive (UE) 2024/1760 sur le devoir de vigilance en matière de durabilité des entreprises, dite directive CS3D (Corporate Sustainability Due Diligence Directive), adoptée le 13 juin 2024, instaure pour la première fois un cadre européen harmonisé imposant aux grandes entreprises une obligation de diligence raisonnable en matière de droits humains et d'environnement tout au long de leur chaîne de valeur. Profondément remaniée par le paquet Omnibus I entré en vigueur le 18 mars 2026 (directive 2026/470), la CS3D doit être transposée par les États membres avant le 26 juillet 2028. Ce guide analyse le dispositif européen et sa comparaison avec la loi française sur le devoir de vigilance de 2017, pionnière en la matière.
Contexte : de la loi française pionnière à la directive européenne
La France a été le premier pays au monde à imposer un devoir de vigilance aux grandes entreprises par la loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre. Cette loi, codifiée aux articles L. 225-102-4 et L. 225-102-5 du Code de commerce, a servi de modèle pour l'élaboration de la directive européenne, qui étend désormais cette obligation à l'ensemble de l'Union européenne.
L'adoption de la CS3D s'inscrit dans un mouvement plus large de responsabilisation des entreprises au niveau européen, aux côtés de la CSRD (Corporate Sustainability Reporting Directive) sur le reporting extra-financier et de la taxonomie européenne sur la classification des activités durables. Ces trois textes forment le triptyque de la réglementation européenne en matière de durabilité des entreprises.
Champ d'application de la directive CS3D
Seuils d'assujettissement (révisés par l'Omnibus I)
Le paquet Omnibus I (directive 2026/470) a significativement relevé les seuils d'assujettissement de la CS3D par rapport à la version initiale, réduisant considérablement le nombre d'entreprises directement concernées.
| Catégorie d'entreprise | Seuils CS3D (Omnibus I) |
|---|---|
| Entreprises de l'UE | Plus de 5 000 salariés ET chiffre d'affaires net mondial > 1,5 milliard € |
| Entreprises hors UE | Chiffre d'affaires net > 1,5 milliard € réalisé dans l'UE (pas de seuil de salariés) |
| Entreprises de franchise/licence (UE) | Redevances annuelles > 75 M€ ET CA net mondial > 275 M€ |
| Sociétés mères ultimes | Groupes dont la société mère atteint les seuils ci-dessus |
Les seuils doivent être atteints pendant deux exercices consécutifs pour déclencher l'assujettissement. Cette condition vise à éviter les effets de seuil liés aux fluctuations conjoncturelles.
Comparaison avec la loi française de 2017
La loi française de 2017 retient des critères différents, fondés exclusivement sur l'effectif. Sont visées les entreprises employant au moins 5 000 salariés en leur sein et dans leurs filiales directes et indirectes dont le siège social est fixé en France, ou les entreprises employant au moins 10 000 salariés en leur sein et dans leurs filiales dont le siège est fixé en France ou à l'étranger. La loi française ne retient aucun critère de chiffre d'affaires, à la différence de la CS3D qui combine effectif et chiffre d'affaires.
| Critère | Loi française 2017 | CS3D (Omnibus I) |
|---|---|---|
| Seuil de salariés | 5 000 (France) / 10 000 (monde) | 5 000 (monde) |
| Seuil de CA | Aucun | 1,5 milliard € |
| Entreprises hors UE | Non concernées | Oui (CA UE > 1,5 Md€) |
| Entrée en vigueur | 27 mars 2017 | 26 juillet 2029 (conformité) |
| Entreprises concernées | ≈ 300 entreprises françaises | ≈ 5 000 entreprises UE |
Obligations de diligence raisonnable
Le processus en six étapes de l'OCDE
La CS3D s'appuie sur le cadre de diligence raisonnable en six étapes développé par l'OCDE (principes directeurs à l'intention des entreprises multinationales). Ce processus constitue le cœur des obligations imposées aux entreprises visées.
Étape 1 : intégrer la diligence dans les politiques et systèmes de gestion. L'entreprise doit adopter une politique de diligence raisonnable décrivant son approche, y compris à long terme, intégrée dans ses processus de décision et ses systèmes de gestion des risques. Cette politique doit être mise à jour régulièrement.
Étape 2 : identifier et évaluer les incidences négatives. L'entreprise doit identifier les incidences négatives réelles et potentielles sur les droits humains et l'environnement résultant de ses propres opérations, de celles de ses filiales et de celles de ses partenaires commerciaux. L'Omnibus I a introduit une approche en deux temps : un exercice de cadrage initial fondé sur les informations raisonnablement disponibles pour identifier les zones de risque élevé, suivi d'une évaluation approfondie limitée aux zones identifiées.
Étape 3 : prévenir et atténuer les incidences potentielles. L'entreprise doit prendre des mesures appropriées pour prévenir les incidences négatives potentielles et atténuer celles qui ne peuvent être entièrement prévenues. Ces mesures doivent être proportionnées et adaptées au contexte.
Étape 4 : mettre fin aux incidences négatives réelles. Lorsque des incidences négatives réelles sont identifiées, l'entreprise doit prendre les mesures nécessaires pour y mettre fin ou, si cela n'est pas possible, pour en minimiser l'ampleur. Cela peut inclure la modification des pratiques commerciales, la fourniture de remèdes ou, en dernier recours, la suspension ou la cessation des relations commerciales concernées.
Étape 5 : suivre la mise en œuvre et l'efficacité. L'entreprise doit mettre en place des mécanismes de suivi pour évaluer l'efficacité des mesures adoptées et procéder aux ajustements nécessaires. Ce suivi doit être régulier et documenté.
Étape 6 : communiquer sur la diligence raisonnable. L'entreprise doit rendre compte publiquement de ses politiques de diligence raisonnable, des incidences identifiées et des mesures prises. Cette communication s'articule avec les obligations de reporting de la CSRD.
Périmètre de la chaîne de valeur
La CS3D couvre les opérations propres de l'entreprise, les opérations de ses filiales (y compris les filiales détenues minoritairement), et les opérations de ses partenaires commerciaux. La directive distingue les partenaires commerciaux directs (fournisseurs et sous-traitants de premier rang) et les partenaires commerciaux indirects (fournisseurs de rangs inférieurs). L'Omnibus I a recentré les obligations sur les partenaires directs, les partenaires indirects n'étant concernés que lorsqu'ils réalisent des opérations liées aux activités, produits ou services de l'entreprise assujettie.
Le plan de vigilance français : cinq éléments obligatoires
La loi française de 2017 impose l'élaboration d'un plan de vigilance comprenant cinq éléments : une cartographie des risques d'atteintes graves aux droits humains, à la santé, à la sécurité et à l'environnement, des procédures d'évaluation régulière de la situation des filiales, sous-traitants et fournisseurs avec lesquels une relation commerciale établie est entretenue, des actions adaptées d'atténuation des risques ou de prévention des atteintes graves, un mécanisme d'alerte et de recueil des signalements établi en concertation avec les organisations syndicales, et un dispositif de suivi des mesures mises en œuvre et d'évaluation de leur efficacité.
Ce plan de vigilance et le compte rendu de sa mise en œuvre effective doivent être rendus publics et inclus dans le rapport de gestion.
Responsabilité civile et sanctions
Le régime de la CS3D (après Omnibus I)
La version initiale de la CS3D instaurait un régime harmonisé de responsabilité civile au niveau européen, permettant aux victimes d'incidences négatives d'obtenir réparation intégrale devant les juridictions nationales. L'Omnibus I a profondément remanié ce volet : le régime harmonisé de responsabilité civile a été supprimé, le droit d'action reconnu aux syndicats et ONG a été retiré, et les régimes nationaux de responsabilité civile s'appliquent en lieu et place. En France, la responsabilité civile de l'entreprise défaillante pourra être recherchée sur le fondement des articles 1240 à 1248 du Code civil (responsabilité pour faute).
Sanctions administratives
La CS3D prévoit des sanctions administratives dont le montant maximal doit être d'au moins 5 % du chiffre d'affaires net mondial de l'entreprise (ramené à 3 % par l'Omnibus I). Les sanctions doivent être effectives, proportionnées et dissuasives. Elles sont accompagnées d'une obligation de publication (« name and shame ») : une déclaration publique identifiant l'entreprise et la nature de l'infraction doit rester accessible pendant au moins cinq ans.
Le régime français existant
La loi française de 2017 prévoit un mécanisme de mise en demeure permettant à toute personne justifiant d'un intérêt à agir de mettre l'entreprise en demeure de respecter ses obligations. En l'absence de conformité dans un délai de trois mois, le président du tribunal peut ordonner une injonction de se conformer, assortie le cas échéant d'une astreinte. La responsabilité civile peut être engagée sur le fondement du droit commun de la responsabilité civile. Il convient de noter que le Conseil constitutionnel, dans sa décision n° 2017-750 DC du 23 mars 2017, a censuré certaines dispositions procédurales de la loi, sans remettre en cause le principe du devoir de vigilance lui-même.
| Aspect | Loi française 2017 | CS3D (Omnibus I) |
|---|---|---|
| Responsabilité civile | Droit commun (art. 1240 C. civ.) | Régimes nationaux (harmonisation supprimée) |
| Qualité pour agir | Toute personne ayant un intérêt légitime | Selon droit national (action ONG/syndicats supprimée) |
| Sanctions administratives | Injonction + astreinte | Jusqu'à 3 % du CA net mondial |
| Publication (name and shame) | Non prévue expressément | Obligatoire (5 ans minimum) |
| Prescription | Droit commun (3-5 ans) | 5 ans minimum |
Calendrier de mise en œuvre
Dates clés de la CS3D
Le calendrier de la CS3D a été significativement reporté par l'Omnibus I, accordant un délai supplémentaire d'un an aux entreprises et aux États membres.
| Date | Échéance |
|---|---|
| 25 juillet 2024 | Entrée en vigueur de la directive |
| 18 mars 2026 | Entrée en vigueur de l'Omnibus I (directive 2026/470) |
| 26 juillet 2028 | Date limite de transposition par les États membres (reportée d'un an par Omnibus I) |
| 26 juillet 2029 | Date de conformité pour les entreprises visées |
| 1er janvier 2030 | Première publication des informations de diligence |
| 18 juillet 2031 | Clause de révision de la directive |
Enjeux de la transposition française
La transposition de la CS3D en droit français soulève des questions spécifiques compte tenu de l'existence préalable de la loi de 2017. Le législateur français devra articuler les deux dispositifs, en déterminant si la loi de 2017 sera abrogée et remplacée, modifiée pour intégrer les exigences de la CS3D, ou maintenue en parallèle avec des adaptations minimales. La tendance dominante est à une refonte intégrée du dispositif, la CS3D offrant l'occasion de moderniser et de préciser le cadre français.
Parmi les points d'articulation délicats figurent la désignation de l'autorité de supervision administrative (la loi de 2017 repose sur le contrôle juridictionnel, tandis que la CS3D impose une autorité administrative), l'alignement des seuils d'assujettissement (la loi française vise un nombre comparable d'entreprises mais selon des critères différents), et l'intégration du mécanisme de « name and shame » dans le droit français.
Plans de transition climatique
La version initiale de la CS3D imposait aux entreprises visées d'adopter un plan de transition climatique garantissant la compatibilité de leur modèle économique avec l'objectif de limitation du réchauffement à 1,5 °C conformément à l'Accord de Paris, incluant des objectifs de réduction des émissions de gaz à effet de serre (scopes 1, 2 et 3) assortis d'échéances contraignantes.
L'Omnibus I a significativement allégé cette obligation : les entreprises doivent toujours élaborer des plans de transition mais ne sont plus tenues de les « mettre en œuvre ». Les objectifs de réduction des émissions assortis d'échéances ont été supprimés. Cette modification reflète le compromis politique entre les ambitions climatiques et les préoccupations de compétitivité des entreprises européennes.
Jurisprudence française sur le devoir de vigilance
Les premières décisions
Depuis l'entrée en vigueur de la loi de 2017, plusieurs procédures judiciaires ont été engagées sur le fondement du devoir de vigilance, contribuant à forger une jurisprudence encore embryonnaire mais significative. Les tribunaux français ont confirmé la recevabilité des actions engagées par des ONG et des organisations de la société civile au titre de l'intérêt légitime à agir. L'interprétation extensive de la notion d'intérêt légitime a ouvert la voie à des contentieux stratégiques visant les plus grandes entreprises françaises.
Le procès TotalEnergies, dont les audiences au fond se sont ouvertes en février 2026, constitue une étape majeure dans la mise en œuvre du devoir de vigilance français. Ce contentieux, initié par plusieurs associations, reproche au groupe pétrolier des manquements à son obligation de vigilance en matière de changement climatique. La décision à intervenir sera scrutée tant au plan national qu'international, dans la mesure où elle pourrait établir des précédents importants sur l'étendue des obligations des entreprises en matière climatique.
Enseignements pour la CS3D
L'expérience française fournit des enseignements précieux pour la mise en œuvre de la CS3D. La jurisprudence nationale montre que le devoir de vigilance est effectivement justiciable et que les tribunaux sont disposés à examiner le contenu des plans de vigilance au fond. Elle révèle également les difficultés liées à la définition du périmètre de la chaîne de valeur, à l'appréciation du caractère « raisonnable » des mesures de vigilance et à l'articulation entre les obligations de moyens et les éventuelles obligations de résultat.
Se préparer à la CS3D : recommandations pratiques
Pour les entreprises déjà soumises à la loi française
Les entreprises déjà soumises à la loi de 2017 disposent d'un avantage significatif dans la perspective de la CS3D. Elles doivent néanmoins anticiper les évolutions en évaluant les écarts entre leur plan de vigilance actuel et les exigences de la CS3D, en préparant l'extension du périmètre de diligence aux partenaires commerciaux indirects dans les zones à haut risque, en structurant la documentation de leur processus de diligence selon le cadre OCDE en six étapes, en anticipant les exigences de l'autorité administrative de supervision (distincte du contrôle juridictionnel actuel) et en intégrant la dimension « plan de transition climatique » même sous sa forme allégée.
Pour les entreprises nouvellement concernées
Les entreprises qui seront pour la première fois soumises au devoir de vigilance via la CS3D doivent engager dès à présent un travail préparatoire incluant la réalisation d'une cartographie initiale de leur chaîne de valeur et des risques associés, la mise en place de processus de diligence raisonnable intégrés dans la gouvernance, l'établissement de mécanismes d'alerte et de remédiation, la formation des équipes dirigeantes et opérationnelles, et la révision des contrats avec les fournisseurs et partenaires commerciaux pour y intégrer des clauses de diligence.
Questions fréquentes sur la CS3D
La CS3D remplace-t-elle la loi française de 2017 ?
Pas automatiquement. La directive CS3D devra être transposée en droit français avant le 26 juillet 2028. Le législateur français devra alors décider comment articuler la CS3D avec la loi existante de 2017 : abrogation et remplacement, modification ou coexistence. En attendant la transposition, la loi de 2017 reste pleinement applicable aux entreprises françaises concernées.
Une PME peut-elle être indirectement concernée par la CS3D ?
Oui. Bien que les PME ne soient pas directement assujetties à la CS3D, elles peuvent être indirectement impactées en tant que fournisseurs ou sous-traitants d'entreprises soumises. Les grandes entreprises sont tenues d'évaluer les risques dans leur chaîne de valeur, ce qui peut se traduire par des demandes d'information, des audits ou des exigences contractuelles vis-à-vis de leurs partenaires commerciaux, y compris les PME. Le standard volontaire VSME développé dans le cadre de la CSRD peut servir de référence pour structurer les informations à fournir.
Quelles sont les sanctions en cas de non-conformité ?
La CS3D prévoit des amendes administratives pouvant atteindre 3 % du chiffre d'affaires net mondial (révisé à la baisse par l'Omnibus I, contre 5 % initialement). Les sanctions s'accompagnent d'une publication obligatoire (name and shame) pendant au moins 5 ans. En parallèle, la responsabilité civile de l'entreprise peut être engagée selon le droit national applicable (en France, sur le fondement des articles 1240 et suivants du Code civil).
Qu'est-ce que le « name and shame » prévu par la CS3D ?
Le « name and shame » consiste en la publication d'une déclaration publique identifiant l'entreprise sanctionnée et décrivant la nature de l'infraction. Cette déclaration doit rester accessible au public pendant une durée minimale de cinq ans. Ce mécanisme vise à exercer une pression réputationnelle complémentaire aux sanctions financières, incitant les entreprises à se conformer à leurs obligations de diligence.
Comment la CS3D s'articule-t-elle avec la CSRD ?
La CS3D et la CSRD sont complémentaires. La CSRD impose aux entreprises de rapporter sur leur politique de diligence raisonnable dans le cadre du reporting de durabilité (normes ESRS). La CS3D impose quant à elle la mise en œuvre effective d'un processus de diligence raisonnable. Les informations collectées dans le cadre de la CS3D alimentent le reporting CSRD, et inversement, le reporting CSRD constitue le vecteur de communication sur la mise en œuvre de la CS3D.
La directive CS3D marque une étape décisive dans la responsabilisation des grandes entreprises en matière de droits humains et d'environnement au niveau européen. Si les modifications apportées par l'Omnibus I allègent certaines exigences, le cadre reste ambitieux et la tendance est irréversible. Les entreprises françaises, fortes de l'expérience acquise sous la loi de 2017, sont particulièrement bien positionnées pour anticiper la transposition de la directive. Si vous souhaitez être accompagné dans l'évaluation de votre assujettissement, l'élaboration de votre plan de vigilance ou la structuration de votre gouvernance en matière de devoir de vigilance, notre cabinet est à votre disposition.
Guillaume Leclerc, avocat d'affaires à Paris, 34 Avenue des Champs-Élysées
Pour approfondir vos connaissances en droit européen des affaires, consultez également nos articles sur la CSRD et le reporting extra-financier, le règlement européen sur l'intelligence artificielle (AI Act) et les clauses essentielles du pacte d'associés.
