« Vigilance et durabilité : les nouveaux piliers de la performance responsable » – Les brèves du BLF 2024

BLR n° 46 – 23/01/2025

Face aux enjeux climatiques, sociaux et géopolitiques, les organisations doivent développer une vision à long terme tout en restant agiles pour anticiper et gérer les risques émergents. Cette double exigence de vigilance et de durabilité nécessite une refonte des modèles traditionnels de gouvernance et de création de valeur. Les entreprises sont appelées à conjuguer excellence opérationnelle et impact positif sur leur écosystème, plaçant l’éthique et la responsabilité au cœur de leur stratégie.

Les intervenants de la dernière édition du Business & Legal Forum se sont attachés à répondre à ces questions cruciales, soulignant que la réussite ne se mesure plus uniquement à l’aune des résultats financiers. La vigilance et la durabilité s’imposent désormais comme les nouveaux piliers d’une performance véritablement responsable.

Hyper règlementation et multiplication des autorités de contrôle, comment les entreprises appréhendent les comportements non éthiques dans un contexte règlementaire ? selon David JONIN, avocat associé, GIDE LOYRETTE NOUEL

L’hyper-régulation et la multiplication des autorités de contrôle ont un impact significatif sur la manière dont les entreprises appréhendent les comportements non éthiques.

L’hyper-régulation et la prolifération des autorités de contrôle constituent un contexte complexe dans lequel les entreprises évoluent. Cette intensification de la surveillance réglementaire a pour objectif de prévenir les comportements non éthiques et d’assurer une plus grande transparence dans les activités économiques. Cependant, cette évolution soulève de nombreuses questions quant à la manière dont les entreprises appréhendent ces nouvelles contraintes et intègrent l’éthique dans leurs pratiques.

L’hyper-régulation et la multiplication des autorités de contrôle ont un impact significatif sur la manière dont les entreprises appréhendent les comportements non éthiques. Si ces mesures contribuent à renforcer la confiance dans le système économique, elles ne suffisent pas à garantir un comportement éthique de la part de toutes les entreprises. Il est essentiel de combiner une approche réglementaire solide avec une culture d’entreprise fondée sur des valeurs éthiques fortes.

Quelles clarifications permettra la transposition de la CS3D quant au devoir de vigilance ? selon Philippe PORTIER, avocat associé, JEANTET AARPI

La corporate sustainability due diligence directive (CS3D), qui devra être transposée d’ici 2027, poursuit l’œuvre engagée par la France en 2017 et relayée en 2021 par l’Allemagne (loi LksG). Elle transformera un dispositif national peu pénalisable et flou, de seule portée nationale, en un ensemble de règles précises, lourdement sanctionnables (par une autorité dédiée) et de portée extraterritoriale.

Au rang des clarifications, on pourra citer le mode de calcul des effectifs devant être pris en compte pour définir l’éligibilité des sociétés, la confirmation de l’assujettissement des SAS, ou encore celle de la profondeur de la chaîne de valeur amont au-delà du premier rang et des « relations commerciales établies ».

Autant de sujets qui faisaient encore débat. Sur un plan méthodologique, la CS3D apportera des clarifications sur l’exercice de cartographie, dont le cas La Poste de décembre 2023 démontrait la difficulté. Plus substantiellement, c’est surtout le champ des droits à protéger qui sera défini (en annexe à la directive), par référence à des instruments juridiques internationaux spécifiques, plutôt qu’aux concepts génériques de droits humains et libertés fondamentales, d’environnement ou de sécurité et santé des personnes.

Enfin, la CS3D apportera au dispositif français des exigences renforcées en matière de plan d’action, intégrant nécessairement des mesures préventives ou correctives, pouvant aller jusqu’à l’arrêt de relations contractuelles.

Elle transformera un dispositif national peu pénalisable et flou, de seule portée nationale, en un ensemble de règles précises, lourdement sanctionnables (par une autorité dédiée) et de portée extraterritoriale.

Quelle coordination entre la direction de la conformité, la direction juridique et la direction des ressources humaines ? selon Nadia IKHELEF, compliance officer France, responsable éthique et conformité groupe, IVECO France

L’enquête interne déclenchée à la suite d’une violation des règles d’éthique et de conformité est susceptible de générer une situation de crise au sein de l’entreprise. Dans une telle période, la qualité de la réponse apportée dépendra fortement de l’organisation existante et des procédures en place, mais également de la coordination entre les acteurs en charge de l’enquête interne.

Chaque direction doit avoir une vision claire du rôle qu’elle devra jouer avant, pendant et après l’enquête interne et en comprendre les implications spécifiques.

Pour ces raisons, et afin de permettre le déroulement de l’enquête dans un climat serein et organisé, la coordination doit être anticipée par l’entreprise. Chaque direction doit avoir une vision claire du rôle qu’elle devra jouer avant, pendant et après l’enquête interne et en comprendre les implications spécifiques.

Notamment, il est indispensable d’identifier clairement en amont, en fonction des règles et des critères fixés par l’entreprise, qui supervise l’enquête interne (par exemple, pour les enquêtes en matière sociale, la direction des ressources humaines). Au cours de l’enquête, l’ensemble des directions collabore pour collecter les informations et les données nécessaires et partage les informations en temps opportun.

A la fin de l’enquête, les conclusions sont discutées afin de permettre une prise de décision éclairée sur les suites à donner. Cette étape implique la définition d’actions correctives, accompagnées de mesures disciplinaires lorsque la situation l’exige.

Enfin, après la conclusion de l’enquête, il est bénéfique que les trois directions poursuivent leur collaboration afin d’organiser et impulser la mise en œuvre du plan d’actions correctives, le cas échéant. En tant qu’acteur clé en matière de prévention des risques, la direction conformité pourra identifier les dysfonctionnements à corriger et préconiser des actions correctives comme la mise à jour de la cartographie des risques, du code de conduite, des procédures, ou encore le déploiement d’actions de formation ou la création de nouveaux contrôles.

Au-delà de la coordination des directions conformité, juridique et ressources humaines, la communication entre elles est primordiale, notamment pour renforcer le dispositif de conformité et informer, conseiller et protéger efficacement l’instance dirigeante, autre acteur clé.

Dialogue avec les parties prenantes, est-ce un atout pour identifier et coter les risques ? selon Laurence THIERRY, directrice de la conformité anticorruption et devoir de vigilance, Groupe LA POSTE

La Poste a mis en place des Commissions de dialogue social avec les organisations syndicales représentatives centrées exclusivement sur le devoir de vigilance

La loi indique que « le plan de vigilance a vocation à être élaboré en association avec les parties prenantes de la société, le cas échéant dans le cadre d’initiatives pluripartites au sein de filières ou à l’échelle territoriale. »

A travers ce dialogue, les entreprises peuvent ainsi mieux capter la vision des parties prenantes internes et externes afin d’identifier et d’évaluer les risques envers les thématiques du devoir de vigilance que sont les droits humains et les libertés fondamentales, la santé et la sécurité des personnes et l’environnement. En effet, l’analyse porte sur la matérialité d’impact de ces risques que l’entreprise fait peser sur ces parties prenantes ou l’environnement.

La démarche de cartographie prévoit donc la consultation des organisations représentantes de ces parties intéressées et touchées, ainsi que d’experts externes de ces sujets, afin de comprendre qu’elles pourraient être les incidences pour elles et de mieux les objectiver dans le cadre de leurs évaluations.

Quelles traductions au sein du groupe La Poste ? Le groupe dialogue depuis de nombreuses années avec plusieurs organisations de la société civile dans les domaines de l’environnement et du social pour améliorer ses pratiques sur les thématiques du devoir de vigilance.

Plus spécifiquement, La Poste a mis en place des Commissions de dialogue social avec les organisations syndicales représentatives centrées exclusivement sur le devoir de vigilance. En 2024, Geopost et UNI Global Union ont signé un avenant à l’accord social mondial, en prolongement de l’accord initial de 2017. Geopost renforce ainsi ses ambitions en matière de durabilité sur les questions environnementales et sociales et soutient son engagement envers ses employés et ses partenaires économiques sur les droits de l’homme, les conditions de travail, la transparence et la responsabilité.

En 2021, en qualité de société à mission, La Poste a également mis en place un comité des parties prenantes agissant en tant que comité de mission, en complément des instances existantes. En 2024, le groupe La Poste a organisé un échange spécifique sur le devoir de vigilance avec certains experts de ce comité. Enfin, en 2024, dans le cadre de la mise en œuvre de la Corporate Sustainability Reporting Directive (CSRD), une analyse de double matérialité s’est fondée sur un processus de consultation interne/externe. Une cinquantaine d’entretiens ont été menés pour apprécier la matérialité d’impact. L’articulation entre cet exercice et la cartographie des risques du devoir de vigilance nous a permis de renforcer le dialogue l’année dernière.

Enfin, en ce qui concerne les initiatives pluripartites, en tant que membre d’Entreprises pour les Droits de l’Hommes (EDH), nous avons travaillé aux côtés d’autres entreprises sur des ateliers cartographie d’identification et d’évaluation des risques brut sur le transport.

Quelle distinction entre le reporting et les obligations de vigilance ? selon Rémi NOUAILHAC, directeur de la division juridique-sociétal, TOTALENERGIES

Le reporting, c’est une obligation de dire. La publication d’informations doit permettre aux parties prenantes de comprendre les enjeux de durabilité de l’entreprise. Le cadre CSRD est très détaillé : plus de 300 pages décrivent la méthodologie et les informations à publier, avec une analyse approfondie y compris de la chaîne de valeur. Après la publication des rapports annuels 2024, on aura une première image de la manière dont les entreprises se sont emparées de ces nouveaux concepts.

Le devoir de vigilance est une obligation de faire. La loi de 2017 impose à l’entreprise de mettre en place des dispositifs pour prévenir les atteintes graves aux droits humains, à la santé, à la sécurité et à l’environnement. Les dommages causés par un manquement engagent la responsabilité civile. La directive « CS3D », adoptée en 2024, crée un cadre de vigilance à l’échelle de l’UE. Elle s’appliquera en 2027 pour les plus grandes entreprises après transposition par les États membres.

Le reporting, c’est une obligation de dire. Le devoir de vigilance est une obligation de faire

L’arrivée simultanée de la CSRD, de la CS3D et d’autres textes du « Green Deal » a soulevé des doutes sur la capacité des entreprises européennes à les mettre en œuvre tout en restant compétitives. La simplification réglementaire annoncée par la Commission doit être l’occasion de contrôler l’impact cumulé de ce bloc normatif.

Comment allez-vous procéder aux contrôles ? Quel dialogue avec les vérificateurs ? selon Florence PEYBERNES, magistrate, présidente, H2A, HAUTE AUTORITE DE L’AUDIT

La démarche de contrôle, comme pour tout contrôle, s’appuie sur le dossier constitué par le vérificateur qui doit permettre au contrôleur de comprendre la démarche, la nature et l’étendue des diligences réalisées

Les contrôles de la mission de certification des informations en matière de durabilité des entreprises pourront être réalisés à partir de septembre 2025. Ces contrôles ne peuvent en effet intervenir qu’après émission des rapports de certification et clôture des dossiers des vérificateurs. Comme pour tout contrôle, ils seront fondés sur une approche par les risques, après une sélection des mandats concernées (i.e des entreprises émettrices d’information en matière de durabilité) et une identification au sein des travaux des vérificateurs, des zones qui, en termes d’audit, nous semble les plus risquées.

La démarche de contrôle, comme pour tout contrôle, s’appuie sur le dossier constitué par le vérificateur qui doit permettre au contrôleur de comprendre la démarche, la nature et l’étendue des diligences réalisées. Le dialogue entre le contrôleur et le vérificateur est régulier au cours de ce processus. S’agissant d’une nouvelle mission, les contrôles doivent permettre d’identifier les éventuelles difficultés rencontrées, les bonnes pratiques ou les divergences d’interprétation afin de faire progresser la qualité des audits et permettre ainsi à ce que l’objectif de fournir une assurance sur la conformité des informations soit atteint.

En quoi la data est-elle essentielle à la réalisation d’une bonne cartographie ? selon Christophe ROQUILLY, professeur, directeur EDHEC Augmented Law Institut, EDHEC BUSINESS SCHOOL, membre du conseil scientifique des BLFS

Cartographier, c’est donner une représentation du monde. Pour l’entreprise, et en matière de devoir de vigilance, c’est donc être en capacité de cartographier ses risques afin d’en avoir une représentation claire, fiable et utile. En disposant de cette carte, nécessairement dynamique, sur son territoire de jeu économique (la carte et le territoire), l’entreprise se met en situation de pouvoir prendre des décisions pour gérer et atténuer ces risques, selon ses priorités.

Pour que les données servent l’objectif de cartographie des risques, lui-même au service de la mise en sécurité de l’entreprise, il convient de se doter des process, de la gouvernance et des outils technologiques adéquats.

La donnée est capitale pour permettre de concevoir et mettre en place cette cartographie. Si elle est inexistante ou insuffisante, cartographier relèvera de l’art divinatoire, mettant ainsi en péril l’entreprise. Cette dernière doit donc être en mesure de collecter les données provenant de diverses sources, tant internes (business units, directions fonctionnelles et opérationnelles) qu’externes (fournisseurs, clients, partenaires, etc.), s’assurer qu’elles sont de qualité, et les réunir au même endroit.

Pour que les données servent l’objectif de cartographie des risques, lui-même au service de la mise en sécurité de l’entreprise, il convient de se doter des process, de la gouvernance et des outils technologiques adéquats. Plus encore, c’est une culture de la donnée qu’il faut construire au sein de l’entreprise, afin que l’ensemble des collaborateurs se sentent concernés et soient contributifs.

Comment l’entreprise va pouvoir s’assurer de la gestion des impacts dans sa chaîne d’activités ? selon Luis QUINONERO, directeur juridique développement durable et opérations, L’OREAL

Sur chaque action prioritaire il semble utile de définir différentes étapes d’implémentation avec un planning estimatif.

Une cartographie des risques solide est le socle de la vigilance. Elle sera compliquée à finaliser en une seule fois : des incertitudes vont apparaître dues à un manque d’informations et de coopération de certains partenaires commerciaux, ainsi qu’à l’impossibilité de tracer toute la chaine d’activités. De plus, les mesures préventives et correctives qui en découleront se heurteront à des limites.

Comme la Directive l’indique, il faudrait partir d’une vision globale des risques pour l’approfondir ensuite. En améliorant les informations disponibles de nouvelles mesures pourront être implémentées. Si cette séquence n’est pas correctement gérée, l’efficacité des actions pourrait être affectée : modifier régulièrement la cartographie aura des effets sur la priorisation des risques avec une réaffectation de ressources, potentiellement au détriment des actions en cours. Sur chaque action prioritaire il semble utile de définir différentes étapes d’implémentation avec un planning estimatif. Les nouveaux risques seraient évalués au regard de ce calendrier en distinguant les urgences sur les atteintes avérées et les risques traités à plus long terme.

Cette proposition de gestion dynamique s’inscrit dans la durée et dans une démarche d’amélioration continue, l’objectif final étant un traitement le plus efficace possible.

L’appropriation des programmes de compliance : clé de voûte de leur efficacité. Quels conseils pour acculturer les salariés ? selon Lydia MEZIANI, avocat à la Cour, doctorante droits humains et droits environnementaux, membre du conseil scientifique des BLFS

Si la mise en place de programmes de compliance est devenue une nécessité incontournable dans un environnement réglementaire de plus en plus complexe, leur efficacité dépend en grande partie de leur appropriation par les collaborateurs. En effet, ces derniers constituent le premier niveau de contrôle interne et sont les premiers acteurs à mettre en œuvre les politiques et procédures définies.

Or, sans une véritable adhésion des collaborateurs, les programmes de compliance risquent de se réduire à un simple empilement de règles et de procédures, déconnectées des réalités opérationnelles. Il est donc essentiel de favoriser leur appropriation en leur permettant de comprendre les enjeux, les objectifs et les mécanismes de ces programmes.

L’appropriation passe par une communication claire et transparente, mais aussi par une véritable implication des collaborateurs dans la définition et la mise en œuvre des politiques de compliance. En associant les salariés aux réflexions sur les risques et les solutions, on favorise leur sentiment d’appartenance et leur engagement. De plus, en faisant d’eux des acteurs plutôt que de simples exécutants, on multiplie les chances de détecter les risques au plus tôt et de prévenir les dérives.

Ainsi, en permettant aux collaborateurs de s’approprier les clés de compréhension de la stratégie de compliance de l’entreprise, on les transforme en véritables ambassadeurs de l’éthique et de la conformité. Ils deviennent alors les premiers garants du respect des règles et peuvent contribuer à une culture d’entreprise fondée sur l’intégrité et la transparence.

L’appropriation passe par une communication claire et transparente, mais aussi par une véritable implication des collaborateurs dans la définition et la mise en œuvre des politiques de compliance.

Pour conclure, si l’on souhaite que les programmes de compliance soient plus qu’un simple exercice de conformité, il est indispensable de miser sur l’humain. En associant les collaborateurs à la définition et à la mise en œuvre de ces programmes, on leur donne les moyens de devenir de véritables acteurs du changement et de contribuer à la performance durable de l’entreprise.

Créés en 2008, les Business & Legal Forums ont pour ambition d’accompagner les dirigeants des entreprises, les représentants des pouvoirs publics, des ONG et des conseils souhaitant réfléchir, identifier et « benchmarker » leurs pratiques professionnelles pour tendre vers toujours plus d’éthique et de performance.  Avec plus 6 000 participants et 400 tables rondes à son actif, les Business & Legal Forums invitent à explorer le champ des possibles. Tout savoir et participer aux prochaines rencontres