Devoir de Vigilance et Sapin 2 : Quelles synergies possibles ?

Préambule

La loi française n°2017-399 du 27 mars 2017 relative au Devoir de Vigilance des sociétés mères et des entreprises donneuses d’ordre¹, dite loi Vigilance, impose à certaines sociétés d’instaurer et de mettre en œuvre de manière effective un plan visant à prévenir les atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes, ainsi que l’environnement qui résulteraient de leurs activités et de celles de leurs filiales et de leurs sous-traitants ou fournisseurs.

Ce plan doit être élaboré avec les parties prenantes de la société, et comprendre les mesures suivantes :

• Une cartographie des risques destinée à leur identification, leur analyse et leur hiérarchisation,
• Des procédures d’évaluation régulière de la situation des filiales, des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie, au regard de la cartographie des risques,
• Des actions adaptées d’atténuation des risques ou de prévention des atteintes graves,
• Un mécanisme d’alerte et de recueil des signalements relatifs à l’existence ou à la réalisation des risques, établi en concertation avec les organisations syndicales représentatives dans ladite société,
• Un dispositif de suivi des mesures mises en œuvre et d’évaluation de leur efficacité.

Par ailleurs, un projet de directive européenne en cours va venir renforcer les exigences actuelles, notamment par :

• L’élargissement progressif du scope des sociétés concernées² (au travers d’un abaissement des seuils à niveau similaire à Sapin 2),
• La mise en place d’un contrôle administratif par une autorité de contrôle national ayant des pouvoirs d’enquête et de sanctions, à l’instar de l’Agence Française Anticorruption,
• Le renforcement des exigences.

Ainsi, une partie des entreprises de taille intermédiaire actuellement soumises à Sapin 2, seront demain concernées par la transposition de la directive européenne « Devoir de Vigilance ».

En outre, il est possible, voire souhaitable pour ces dernières d’anticiper leur mise en conformité en capitalisant sur le dispositif anticorruption qui comprend des exigences similaires, et en prévoyant ainsi le risque de contrôle d’initiative de l’autorité.

En effet, nous constatons que des synergies importantes existent entre les dispositifs de compliance lié à Sapin 2 et au Devoir de Vigilance.

 
Concrètement, quelles sont les synergies possibles et comment les capitaliser ?

Cartographie des risques :

Comme Sapin 2, l’approche par les risques représente le cœur du dispositif et est primordiale pour construire un plan de vigilance pertinent et adapté.

Ainsi, à l’instar de la méthodologie mise en œuvre dans le cadre de Sapin 2, l’entreprise devra veiller à :

• Mener l’exercice « aux bornes du groupe »,
• Prendre en compte les spécificités locales,
• Conserver l’approche par processus,
• Décrire des scénarios de risque précis,
• Intégrer les facteurs aggravants dans les méthodes de cotation des risques.

Toutefois, à la différence des exigences de la loi Sapin 2, l’entreprise devra identifier les risques pour les personnes et l’environnement en lien avec ses activités ou celles de ses filiales et, lorsqu’elles sont liées à sa chaîne de valeur, de ses relations commerciales bien établies. Ainsi, contrairement aux exigences de Sapin 2, il ne s’agit pas uniquement des risques pour l’entreprise elle-même.

Pour s’en prévaloir, l’identification des parties prenantes externes devra être un exercice supplémentaire à mener afin d’associer les plus pertinentes pour l’identification des risques. Se posera également la notion de confiance avec ses parties prenantes externes, et notamment la capacité à échanger sur les pratiques à risques avec un fournisseur ou distributeur clés.

Procédures d’évaluation régulière de la situation des filiales, des sous-traitants ou fournisseurs :

Concernant les sous-traitants et fournisseurs, l’approche pourra pleinement s’inscrire dans le dispositif d’évaluation des tiers déjà mis en place dans le cadre de la loi Sapin 2. Ainsi :

• Il conviendra de définir la stratégie d’évaluation la plus appropriée au regard des résultats de la cartographie des risques, et de la classification des fournisseurs,
• L’évaluation devrait pouvoir se faire a priori.

Toutefois, à la différence de Sapin 2 :

• L’approche devra certainement être plus « intrusive » pour couvrir la chaîne de valeur,
• Les critères d’évaluation du risque seront différents.

Concernant les filiales, l’activité de contrôles de 2nd niveau et de l’audit interne devra être renforcée.

Mesure d’atténuation des risques ou de prévention des atteintes graves

A l’instar de Sapin 2, l’entreprise viendra compléter les politiques et codes en place par :

• L’élaboration d’une politique « Devoir de Vigilance », nécessaire pour démontrer l’engagement de l’entreprise sur le sujet,
• La mise en place d’un code de conduite décrivant les règles et principes à suivre par l’entreprise et ses filiales.

Si Sapin 2 intègre déjà une volonté d’imposer le respect des règles de l’entreprise à ses partenaires via le levier contractuel, il sera encore plus fort et à enjeux sur le volet « Devoir de Vigilance », et nécessitera d’aller plus loin pour la protection optimale de l’entreprise. Au-delà de la clause contractuelle, l’enjeu de l’audit et de contrôle sera à développer car très peu fait actuellement. Le travail d’élaboration du code et des procédures associées sera peut-être plus complexe au regard des risques à couvrir, et notamment sur le volet « droits Humains » qui ressort comme le moins bien appréhendé par les entreprises, et qui nécessite également une déclinaison spécifique en fonction des implantations locales.

Mécanismes d’alertes

Avec les lois Waserman et Sapin 2, les entreprises ont dû mettre en place un dispositif d’alerte permettant aux parties prenantes de signaler des comportements contraires aux exigences légales et réglementaires. Il pourrait être opportun de capitaliser sur ce dispositif pour y faire remontrer les alertes associées au Devoir de Vigilance.

Toutefois, à la différence de Sapin 2 où les tiers (fournisseurs - partenaires - clients…) peuvent avoir facilement connaissance des systèmes d’alertes via les éléments contractuels, l’enjeu pour les entreprises sera de veiller à adapter le dispositif, et garantir son accessibilité au plus large (société civile, travailleurs de la chaîne de valeur…) en fonction des projets et zones géographiques.

Par ailleurs, le projet de directive prévoit un mécanisme de plaintes, sensiblement différent du mécanisme d’alerte, qui serait ouvert aux personnes touchées par des incidences négatives, aux syndicats mais également à des associations liées à la chaîne de valeur de l’entreprise.

Ce mécanisme de plaintes pourrait a priori être mutualisé avec le dispositif d’alerte plus général de l’entreprise, mais il conviendra d’y associer de nouveaux référents pour garantir un traitement optimal des plaintes déposées (direction RSE, direction du développement durable, etc.)

Un point de complexité réside également dans la manière de traiter une alerte concernant un fournisseur au regard des difficultés prévisibles pour mener les investigations chez/avec un tiers.

Evaluation et reporting :

Comme tout dispositif de conformité, il convient de le piloter et de le suivre par le biais de contrôles, KPI et audit au sein de l’ensemble du périmètre du dispositif, et de reporting auprès des instances dirigeantes. Toutefois, le Devoir de Vigilance exige plus de transparence à travers la publication d’un plan de vigilance devant présenter le dispositif, mais surtout le fonctionnement et l’efficacité de celui-ci avec la définition d’action concrètes et des résultats attendus.

Il existe clairement des synergies entre les exigences Sapin 2 et celles, actuelles et futurs, du Devoir de Vigilance.

Il est donc nécessaire pour les entreprises de se préparer, et, a minima, renforcer l’engagement de l’instance dirigeante par, notamment, une meilleure prise en compte du « risque Devoir de Vigilance » dans les projets et décisions stratégiques, et renforcer les moyens pour venir « étoffer » les équipes conformité et RSE pour garantir la pérennité et efficacité du dispositif.

A contrario, l’entreprise devra veiller à ne pas mener un dispositif de manière silotée et isolée de celui de Sapin 2, qui serait nécessairement source de redondances, de perte d’énergie, voire d’incohérences.

¹ Article L. 225-102-4, I du Code de commerce : sociétés qui emploient, à la clôture de deux exercices successifs, au moins 5 000 salariés en leur sein et dans leurs filiales directes ou indirectes dont le siège social est fixé sur le territoire français, ou au moins 10 000 salariés en leur sein et dans leurs filiales directes ou indirectes dont le siège social est fixé sur le territoire français ou à l’étranger (les sociétés sous forme sociale de SA, de SCA, de SE).

² Groupe 1 : toutes les sociétés à responsabilité limitée de l’UE employant plus de 500 personnes et réalisant un chiffre d’affaires net supérieur à 150 millions d’euros à l’échelle mondiale.
Groupe 2 : les sociétés à responsabilité limitée exerçant des activités dans des secteurs à fort impact définis, qui emploient plus de 250 personnes et réalisent un chiffre d’affaires net de 40 millions d’euros et plus à l’échelle mondiale. Pour ces entreprises, les règles commenceront à s’appliquer deux ans plus tard que pour celles du groupe 1.