Après avoir été déférée au Conseil constitutionnel, la loi n°2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre était publiée au Journal officiel.

Rappelons que le projet de loi avait été définitivement adopté par l’Assemblée Nationale en février dernier afin de responsabiliser les sociétés transnationales, notamment en ce qui concerne les droits humains et l’environnement.

La loi impose aux sociétés ayant leur siège social en France et employant à la clôture de deux exercices consécutifs au moins cinq mille salariés en France ou au moins dix mille salariés dans le monde, d’élaborer et mettre en œuvre un plan de vigilance (article L225-102-4 nouveau du Code de commerce).

Soulignons que ce dernier devra être rendu public et sera inclus dans le rapport de gestion présenté par le conseil d’administration ou le directoire.

Cependant, les sociétés ou filiales contrôlées qui dépassent les seuils mentionnés ci-dessus seront réputées satisfaire à ces obligations dès lors que la société qui les contrôles, au sens de l’article L233-3 du Code de commerce, satisfait aux obligations.

Cet aboutissement de deux années de travail suscite une certaine inquiétude dans les sociétés concernées.  Mathias Avocats fait le point sur la loi.

Quel est l’objectif du plan de vigilance ?

Le plan de vigilance a vocation à identifier « les risques et à prévenir les atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l’environnement » (L 225-102-4 nouveau du Code de commerce). Le périmètre des risques à prendre en compte est donc large.

Les risques devront être appréciés au regard des activités :

  • de la société :
  • des sociétés qu’elle contrôle au sens du II de l’article L233-16, directement ou indirectement, ;
  • des sous-traitants ou des fournisseurs avec lesquels est entretenue une relation commerciale établie, lorsque ces activités sont rattachées à la relation commerciale avec la société.

En pratique, la dernière situation peut poser des difficultés. En effet, les sous-traitants et les fournisseurs sont des structures autonomes. Dans ce cadre, comment identifier et évaluer les risques liés aux activités rattachées à la relation commerciale ? La société doit-elle demander des documents en amont de la contractualisation ? Faudrait-il transmettre des questionnaires de déclaration de risques aux sous-traitants et aux fournisseurs ?

Quel est le contenu du plan de vigilance ?

Le plan de vigilance devra contenir les cinq mesures suivantes :

  • une cartographie des risques ;
  • des procédures d’évaluation régulière de la situation des filiales, des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie, au regard de la cartographie des risques ;
  • des actions adaptées d’atténuation des risques ou de prévention des atteintes graves ;
  • un mécanisme d’alerte et de recueil des signalements relatifs à l’existence ou à la réalisation des risques, établi en concertation avec les organisations syndicales représentatives dans ladite société ;
  • un dispositif de suivi des mesures mises en œuvre et d’évaluation de leur efficacité.

En ce qui concerne les procédures d’évaluation, comment vont-elles s’appliquer à l’égard des sous-traitants et fournisseurs ? L’évaluation sera t-elle effectuée en collaboration avec les prestataires ? En quoi une « évaluation régulière consiste t-elle? Le prestataire devra t-il effectuer individuellement l’évaluation avant d’en transmettre le résultat à la société donneur d’ordre ? Si le prestataire est établi à l’étranger, des conditions spécifiques s’appliqueront-elles ?

S’agissant du dispositif de recueil des signalements et des alertes, un parallèle peut être fait avec le dispositif exigé par la loi dite « Sapin II ». En fonction des arbitrages internes, la question de la conformité du traitement de données à caractère personnel mis en oeuvre devra être prise en compte.

En outre, ce plan de vigilance ne sera pas sans conséquences contractuelles. En effet, des clauses relatives au devoir de vigilance devront être intégrées dans le contrat conclu avec les sous-traitants et les fournisseurs. Ces clauses permettent ainsi de prendre en compte les mesures définies dans le plan de vigilance et d’en définir les modalités pratiques d’exécution.

Soulignons qu’un décret, non encore publié, devrait notamment préciser les modalités d’élaboration et de mise en œuvre du plan.

En tout état de cause, la mise en oeuvre des mesures du plan de vigilance devra être documentée ainsi afin que la société soit en mesure de démontrer sa conformité. D’ailleurs, le Gouvernement a pu préciser que la société devrait être en mesure de démontrer que les mesures mentionnées dans le plan de vigilance ont été mises en œuvre. Le principe d’accountability présent dans le règlement 2016/679 relatif à la protection des données à caractère personnel semble également s’appliquer au devoir de vigilance.

Quelles sont les sanctions ?

Dans ses observations, le Gouvernement précise que les sociétés sont soumises à une obligation de moyen et non à une obligation de résultat. Il illustre ses propos en donnant des exemples de manquement au devoir de vigilance (une cartographie manifestement insuffisante des risques, l’absence de respect des procédures internes de contrôle que la société aura elle-même décidées dans le cadre du plan…).

En cas de manquement, la société pourra être mise en demeure (L 225-102-4 nouveau du Code de commerce). Si elle s’abstient de prendre les mesures nécessaires dans un délai de trois mois à compter de la mise en demeure, le juge – saisi par une personne ayant un intérêt à agir – pourra prononcer une injonction. Cependant, le juge ne pourra pas condamner la société au paiement d’une amende (Conseil constitutionnel, déc. n°2017-750 du 23 mars 2017).

La responsabilité de la société pourra toutefois être engagée dans les conditions du droit commun.

Quel est le délai de mise en conformité ?

La loi n°2017-399 prévoit que l’obligation d’établir et de mettre en œuvre un plan de vigilance s’applique pour le premier exercice ouvert après la publication de la présente loi. Les sociétés clôturant leur exercice au 31 décembre n’ayant pas anticipé les conséquences de cette loi devront donc établir un plan dès janvier 2018.

En revanche, les autres dispositions, tels que les mécanismes de mise en demeure ou la publication du plan, n’entreront en vigueur qu’à compter du rapport portant sur le premier exercice ouvert après la publication de la loi. Les sociétés dont l’exercice comptable est ouvert à partir du 1er janvier seront donc concernées en 2019.

Mathias Avocats ne manquera pas de vous informer de toute évolution dans le cadre de la mise en œuvre du devoir de vigilance.