La première décision au fond rendue par le Tribunal judiciaire de Paris dans le contentieux du devoir de vigilance a apporté des éclairages bienvenus sur une loi dont l’interprétation fait débat depuis plus de six ans et demi. Elle intervient cependant à la veille d’une réforme de la loi française puisque moins de dix jours après ce jugement, le Parlement européen et le Conseil ont annoncé qu’un accord avait été trouvé sur la directive relative au devoir de vigilance proposée par la Commission en 2019. Ce hasard de calendrier pousse à s’interroger sur les différentes conceptions du devoir de vigilance à travers le continent et aux choix qui sont faits pour en assurer la bonne application.
*L’auteur tient à remercier Madame Annika Bauch, doctorante à l’Université Toulouse Capitole pour son aide dans la traduction et la compréhension des aspects de droit allemand abordés ici.
Le devoir de vigilance est un objet d’étude qui interroge les frontières du droit public et du droit privé ou, plus précisément, qui répond à la question de savoir jusqu’où les pouvoirs publics peuvent aller dans la remise en cause des choix des entreprises lorsque ceux-ci sont susceptibles de déstabiliser certaines finalités d’intérêt général. L’idée même d’un devoir de vigilance est tirée du constat de l’influence grandissante des entreprises sur la réalisation concrète des finalités d’intérêt général. Elle est devenue d’autant plus cruciale que la dernière décennie a rendu tangible l’urgence de la prise en charge de certains enjeux contemporains, à l’image du climat.
Le droit français, pourtant précurseur en ayant adopté la première loi en la matière, aura longtemps demeuré dans une torpeur liée à des questions de compétence, d’office du juge en référé et de procédure judiciaire qui l’ont empêché d’atteindre une pleine maturité. Une longue attente a ainsi été comblée par le jugement rendu par le Tribunal judiciaire de Paris le 5 décembre dernier, dans l’affaire qui opposait le syndicat Sud PTT à La Poste. Il est venu répondre à une partie des questions quant à la portée du devoir de vigilance institué par la loi du 27 mars 2017 aux articles L. 225‑102-4 et 225-102-5 du Code de commerce.
Le texte est désormais voué à être supplanté par une directive européenne proposée en 2019 par la Commission, sur laquelle le Parlement et le Conseil ont annoncé un accord le 14 décembre 2023. Sans en connaître la teneur précise, il s’agit d’un point d’étape important pour tirer un bilan des expériences nationales qui ont été scrutées par les institutions européennes.
Si de nombreux parlements des États membres (Belgique, Suède ou Autriche) et non membres de l’Union européenne prévoient d’élaborer leur propre texte, les lois française, allemande (Lieferkettensorgfaltspflichtengesetz[1] ou LkSG du 16 juillet 2021) et néerlandaise (Wet Zorgplicht Kinderarbeid[2] du 24 octobre 2019) sont les seules qui ont été effectivement votées et constituent, à ce titre, le principal cadre de référence de l’Union pour construire sa directive.
Ces textes ont proposé des visions plutôt convergentes sur les objectifs et la forme que prend le devoir de vigilance, mais ont opté pour des conceptions différentes quant à la manière d’en assurer le respect. De son côté, le législateur européen a tenté de maximiser l’efficacité de la directive, en réunissant le meilleur des modèles nationaux.
Sortir le devoir de vigilance de ses origines incitatives
Les textes nationaux frappent par leur approche globale. La loi française vise ainsi : « les mesures de vigilance raisonnable propres à identifier les risques et à prévenir les atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l'environnement ». Le texte allemand mentionne lui, les risques environnementaux et les risques de violations des droits de l‘Homme. Les Pays-Bas ont, eux, choisi une voie d’intégration progressive puisque la loi ne s’applique qu’à la question spécifique de la lutte contre le travail des enfants. Néanmoins, les retards accumulés de la directive européenne ont poussé les députés de la coalition gouvernementale à déposer une loi en 2021 (Wet verantwoord en duurzaam internationaal ondernemen) reprenant l’approche globale, un aspect qui a été conservé dans la version révisée de cette loi déposée en 2022.
La raison est à aller chercher du côté des influences. Les lois françaises, allemandes et néerlandaises, se réfèrent aux Principes relatifs aux entreprises et aux droits de l'homme de l’ONU de 2011, tout en tentant de s’en démarquer par la volonté de rendre leur respect effectif. Dès son premier considérant, la proposition de directive se réfère explicitement à ce texte et à cette approche. Il s’agit néanmoins d’un objectif difficile qui a été progressivement atteint. C’est le principal défi auquel tous les États qui ont souhaité se doter d’une législation en la matière ont été confrontés. Il tient à ce que les normes juridiques existantes pour encadrer les aspects sociaux et environnementaux des activités des entreprises relevaient le plus souvent du droit souple ou de simples obligations d’informations assimilables à la RSE, sans qu’aucun contrôle qualitatif ne puisse être exercé.
Or, ce passage ne saurait se faire brutalement puisqu’il induit un renforcement du poids des normes. L’enjeu pour les personnes publiques, est alors de ne pas alourdir trop fortement les contraintes sur les entreprises, sans pour autant faire du devoir de vigilance un énième outil à l’utilité très limitée. Pour y parvenir, l’action des États et de l’Union s’est faite progressivement et à de multiples niveaux.
Au plan général, l’environnement juridique des entreprises a été façonné pour transformer les exigences attendues dans les domaines sociaux et environnementaux. Cela a pu passer par un glissement quant à la définition de la notion de société. En France, la loi Pacte de 2019 a entériné un changement, largement symbolique, en consacrant la prise en considération « des enjeux sociaux et environnementaux »[3] dans la gestion de la société. De manière plus judicieuse, l’Allemagne a intégré une disposition similaire dans un texte non contraignant, le Code de la gouvernance d’entreprise qui est édité par une commission dont les membres sont nommés par le ministre de la Justice. Dans sa version de 2022, le Code recommande aux conseils d’administration d’ « identifier et d’évaluer systématiquement les risques et les opportunités liés aux facteurs sociaux et environnementaux, ainsi que les effets sociaux et écologiques des activités de l’entreprise »[4].
Dans la même veine, le devoir de vigilance s’est développé concurremment aux exigences de RSE et ce, alors que les entreprises ont pour habitude de traiter ces domaines conjointement. Les obligations de publication d’informations des sociétés commerciales et notamment celles qui sont contenues dans le rapport de performance extra-financière, se sont multipliées. À cet égard, l’activisme du législateur européen n’est plus à démontrer, la directive dite CSRD[5] qui renforce les textes préexistants en matière d’informations non-financières est entièrement entrée en vigueur au 1er janvier 2024, soit quelques jours après l’accord trouvé sur la directive relative au devoir de vigilance.
Au plan technique, les États se sont reposés sur des instruments connus des entreprises pour matérialiser le devoir de vigilance. Tous les textes se fondent sur l’idée d’un plan de vigilance élaboré et mis en œuvre par l’entreprise. Ces plans de vigilance sont basés sur des outils de compliance que les entreprises assujetties ont l’habitude de manier dans des domaines plus restreints qui font l’objet d’une politique de régulation. En ce sens, la loi française énonce cinq « mesures » qui renvoient à des outils déjà utilisées comme la cartographie des risques, qui doit être mise en place en matière de prévention de la corruption au titre de l‘article 17 de la loi Sapin II. La loi allemande opte elle, pour une plus large liberté de moyens. Elle exige simplement que l’action de l’entreprise soit appropriée et efficace pour prévenir les risques[6], ce qui renvoie plutôt à la logique du RGPD exprimée dans son article 24[7]. Des outils sont néanmoins proposés dans des actes de droit souple. La loi néerlandaise se situe à la croisée des chemins. Les entreprises doivent ainsi produire un plan de prévention censé éviter la commercialisation de produits issus du travail des enfants, si toutefois elles sont exposées à ce risque. La loi ne précise pas le contenu du plan, en laissant cette possibilité au pouvoir réglementaire. Aucun acte n’a cependant été pris en ce sens. Sans surprise, la directive retient plutôt l’approche germanique, laissant aux États le soin de préciser, s’ils le souhaitent, des outils de conformité précis. On notera néanmoins l’obligation de prévoir un code de conduite pour la société et ses filiales.
En somme, les textes nationaux ont retenu une conception du devoir de vigilance similaire, laquelle est reprise par la directive. Néanmoins, les textes nationaux partagent aussi une difficulté pratique d’application[8].
Le législateur européen semble avoir pleinement conscience de l’enjeu puisqu’il a choisi un dispositif de suivi de l’application du devoir de vigilance solide qui fera à coup sûr du devoir de vigilance, une exigence à laquelle les entreprises devront porter une attention particulière. C’est à travers celle-ci que la logique de régulation se dévoile pleinement.
Penser des modalités de contrôle adaptées
C’est sur ce point que les expériences nationales divergent fortement. Les lois ont en effet toutes retenu des autorités différentes pour contrôler et sanctionner d’éventuels manquements au devoir de vigilance. En France, c’est le juge judiciaire qui est chargé de contrôler le caractère « raisonnable et propre » des mesures du plan pour limiter les risques. Il est pour cela saisi par le biais d’une action en injonction puis, le cas échéant, d’une action en responsabilité. À notre sens, ce système est un échec cuisant en termes d’accessibilité. Le temps long que suppose une procédure judiciaire s’est révélé largement inadapté. Une seule action en injonction a été effectivement jugée au fond et il est douteux qu’une action en responsabilité ait le temps d’être jugée d’ici l’échéance du délai de transposition de la directive.
En Allemagne, c’est l’Office fédéral de l’économie et du contrôle des exportations (Bundesamt für Wirtschaft und Ausfuhrkontrolle) qui a été chargé de ce contrôle. Cet organe, placé sous l’autorité du ministre fédéral de l‘économie et de l’énergie, ne présente donc aucune garantie d’indépendance. Bien qu’il se voie confier une compétence tout à fait accessoire à ses missions principales, l’Office est actif et les contrôles sont voués à s’intensifier puisque le champ d’application de la LkSG a été élargi le 1er janvier 2024[9].
Les Pays-Bas ont, pour leur part, décidé de confier l’application et la sanction de la loi à une autorité qui devait être désignée par un acte réglementaire[10]. Il convient de noter que l’expression qui désigne cette autorité, le superviseur (toezichthouder), renvoie à une autorité indépendante. Néanmoins, aucun acte n’a été pris en ce sens, ce qui prive la loi de tout effet.
Sans doute encore une fois inspirées par les expériences nationales, les institutions européennes ont souhaité prévoir de solides modalités de suivi d’application. Par exemple, pour permettre un contrôle périodique, les plans de vigilance devront être publiés annuellement. Cette mesure semble évidente, mais elle n’est pas contenue dans la loi néerlandaise, qui laissait ce soin au pouvoir règlementaire.
De manière beaucoup plus décisive, dès la proposition de directive, la Commission a souhaité que les États désignent ou créent une autorité administrative chargée du suivi du devoir de vigilance. Cette autorité, dont l’indépendance et l’impartialité doivent être garanties, est, de surcroit, dotée de nombreux pouvoirs d’enquête, d’injonction et de sanction. Renforcés par les amendements du Parlement, ces organes paraissent tout à fait pertinents, notamment de par leur réactivité. Leur sort n’a pas été abordé par les institutions lorsque celles-ci ont évoqué l’accord trouvé sur la directive, mais tout laisse à penser que ces éléments ont été conservés.
Il faut souligner ici le changement de perspective induit par ces dispositions. La présence d’une autorité administrative indépendante vient compléter les faiblesses des textes nationaux, lesquelles ne se situaient pas tant dans les obligations imposées aux entreprises, mais bien dans le suivi de celles-ci. Le but est clair, il est de faire du devoir de vigilance une politique de régulation économique. D’un point de vue européen, il s’agit d’une avancée remarquable, dans la mesure où les politiques imposées par les institutions se limitaient traditionnellement à assurer l’ouverture à la concurrence des anciens secteurs monopolistiques. Ici, le législateur européen accepte une évolution à nos yeux inévitable, celle d’une régulation économique qui s’intéresse de plus en plus aux finalités d’intérêt général qui ne sont pas purement économiques et sur lesquelles les entreprises influent. La directive relative au devoir de vigilance n’est que la confirmation de ce mouvement qui était déjà clairement observable avec le Digital Services Act adopté en octobre 2022 et dont l’entrée en vigueur se fait progressivement. Elle se distingue néanmoins par son ambition d’englober tous les aspects sociaux et environnementaux de l’action des entreprises.
Il serait pourtant prématuré d’annoncer une révolution. L’accord trouvé par les institutions autour de la directive ne préjuge pas de ce que sera la vie de ce texte une fois transposé dans les ordres juridiques nationaux. Les aspects techniques relatifs au champ d’application, aux mécanismes de plainte ou encore à l’ampleur du pouvoir de sanction mériteront une attention particulière. Le texte est néanmoins porteur d’un certain nombre d’espoirs et symbolise une prise de conscience de l’Union.
[1] Littéralement loi sur le devoir de vigilance en matière de chaine d’approvisionnement.
[2] Littéralement loi sur le devoir de vigilance contre le travail des enfants.
[3] Art. 1833 al. 3 du Code civil
[4] Section A1 du Code de gouvernance d’entreprise allemand tel que révisé en 2022 : « Der Vorstand soll die mit den Sozial- und Umweltfaktoren verbundenen Risiken und Chancen für das Unternehmen sowie die ökologischen und sozialen Auswirkungen der Unternehmenstätigkeit systematisch identifizieren und bewerten ».
[5] Directive (UE) 2022/2464 du 14 décembre 2022.
[6] §4(1) de la Lieferkettensorgfaltspflichtengesetz : « Unternehmen müssen ein angemessenes und wirksames Risikomanagement zur Einhaltung der Sorgfaltspflichten ».
[7] « Le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ».
[8] La loi française a indéniablement opéré de profonds changements dans les politiques d’entreprises, mais l’accès au juge pour permettre aux parties prenantes de contester la qualité du plan n’a pas été satisfaisant. La loi néerlandaise n’a pour ainsi dire jamais été appliquée car l’acte réglementaire qui devait notamment désigner une autorité de contrôle n’a jamais été pris. Quant à la loi allemande, entrée en vigueur le 1er janvier 2023, le premier bilan tiré est plutôt positif. Près de 486 contrôles ont ainsi été diligentés, 38 plaintes ont été instruites, mais aucune sanction n’a été prononcée.
[9] Ajoutons qu’il déploie une stratégie proche de celle d’un régulateur, en publiant par exemple des lignes directrices très éclairantes sur ses attentes en matière d’analyse des risques : BAFA, Identifying, weighting and prioritizing risks Guidance on conducting a risk analysis as required by the German Supply Chain Due Diligence Act ‘Lieferkettensorgfaltspflichtengesetz’ or ‘LkSG’, Août 2022.
[10] Art. 1er d. de la Wet Zorgplicht Kinderarbeid : « d. toezichthouder: de bij algemene maatregel van bestuur aan te wijzen toezichthouder ».