Devoir de vigilance : la chambre spécialisée de la Cour d’appel de Paris précise les exigences applicables

09.07.2025

La loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre impose à certaines grandes sociétés d’établir, de publier et de mettre en œuvre un plan de vigilance comprenant des mesures destinées à prévenir les atteintes graves aux droits humains, à la santé et à la sécurité des personnes, ainsi qu’à l’environnement dans le cadre de leurs propres activités comme de celles de leurs filiales, sous-traitants ou fournisseurs avec lesquels elles entretiennent une relation commerciale établie.

Cette loi a ouvert un champ contentieux encore récent, désormais pris en charge par une chambre spécialisée, le pôle 5 – chambre 12 de la Cour d’appel de Paris compétente en matière de contentieux émergents notamment relatifs à la responsabilité sociétale des entreprises (RSE).

L’arrêt du 17 juin 2025, opposant La Poste au syndicat SUD PTT, est le premier arrêt au fond rendu par cette chambre sur l’application de la loi sur le devoir de vigilance.

En l’espèce, le Tribunal judiciaire de Paris, dans un jugement du 5 décembre 2023, avait enjoint à La Poste de compléter son plan de vigilance publié le 21 mars 2022 sur quatre points : la cartographie des risques, les procédures d’évaluation des partenaires, le mécanisme d’alerte, et le dispositif de suivi. La Poste avait interjeté appel, et la cour a confirmé l’ensemble des injonctions prononcées, en apportant des précisions sur le niveau d’exigence attendu dans la mise en œuvre de ces obligations.

L’arrêt rendu par la cour est à mettre en perspective avec l’adoption récente de la directive européenne du 13 juin 2024 sur le devoir de vigilance des entreprises en matière de durabilité (Dir. [UE] 2024/1760, ci-après CS3D). Bien que cette directive ne soit pas encore transposée en droit français, et que sa mise en œuvre fasse l’objet de discussions au sein de l’Union (not., dans le cadre de la procédure Omnibus, v. par ex., Le Conseil de l’Union européenne met les directives CSRD et CS3D au régime sec, Actu Environnement, 25 juin 2025), la cour en fait usage en s’appuyant sur le principe de coopération loyale posé par l’article 4 du Traité sur l’Union européenne. Selon ce principe, les juridictions nationales doivent éviter toute interprétation du droit interne qui risquerait de compromettre la réalisation des objectifs fixés par une directive européenne, même avant l’expiration de son délai de transposition.

Dans ce contexte, l’arrêt du 17 juin 2025 était particulièrement attendu en raison des clarifications espérées en matière de gouvernance des risques. Il s’agira ainsi d’examiner le renforcement des exigences d’identification et d’évaluation des risques avant d’analyser l’effectivité attendue pour la concertation et le suivi du plan.

Le renforcement des exigences d’identification et d’évaluation des risques

La première partie du raisonnement de la cour porte sur deux obligations fondamentales du plan de vigilance : la cartographie des risques et l’évaluation des partenaires commerciaux. Ces deux composantes, bien que traitées séparément par le texte, sont abordées de manière complémentaire par le juge en raison de leur interdépendance fonctionnelle.

Une cartographie des risques fondée sur une hiérarchisation objectivée

Le plan de vigilance de La Poste opérait un classement des risques par grandes catégories (droits humains, santé-sécurité, environnement), en s’appuyant sur une grille sectorielle établie par un organisme externe. Pour la cour, cette méthode présente un niveau de généralité excessif. Elle ne permet ni de cerner les atteintes concrètes, ni de hiérarchiser les situations à risque en fonction de leur gravité ou de leur probabilité.

La cour insiste sur la nécessité d’une hiérarchisation autonome fondée sur des critères précis. Ce travail analytique doit permettre de distinguer les risques réellement prioritaires au sein de l’entreprise et de sa chaîne de valeur. La cartographie doit donc aller au-delà de la simple énumération des menaces potentielles, et intégrer une dimension qualitative et contextuelle.

En complément du texte, la cour s’appuie sur les Principes directeurs des Nations unies relatifs aux entreprises et aux droits de l’homme adoptés par le Conseil des droits de l’homme de l’ONU en 2011 (en particulier, le principe 24). Ces principes, souvent qualifiés de soft law, n’ont pas de force obligatoire, mais sont largement reconnus comme une référence structurante en matière de RSE. En les citant, la cour conforte leur statut de guide d’interprétation fiable pour les entreprises soumises au devoir de vigilance, en particulier lorsqu’il s’agit d’apprécier la notion de gravité des risques. Elle reprend notamment le principe directeur n° 24, selon lequel, lorsque les entreprises doivent hiérarchiser les incidences négatives, et doivent commencer par prévenir ou atténuer « les atteintes les plus graves ou celles auxquelles tout retard d’intervention donnerait un caractère irrémédiable ».

La cour se réfère expressément à cet égard à la CS3D, et notamment à ses articles 8 et 9, qui imposent aux entreprises d’identifier les incidences négatives graves (effectives ou potentielles), puis de les hiérarchiser selon leur gravité et leur probabilité. Le recours à la directive européenne, bien que non encore transposée, oriente ainsi le niveau d’exigence attendu en matière d’identification des risques.

En pratique, les entreprises doivent ainsi construire une cartographie appréciant le niveau de gravité et différenciée selon les zones géographiques, les filiales ou les types d’activités, avec une méthode de hiérarchisation explicite. Une présentation générale, même bien structurée, ne suffit pas. La grille d’analyse doit refléter l’exposition réelle à des atteintes graves, et justifier les priorités retenues.

À noter également que la cour vient utilement préciser la portée de l’implication des parties prenantes dans le processus d’élaboration du plan de vigilance lors de la phase de cartographie des risques. Elle rappelle à cet égard que, si le paragraphe I de l’article L. 225-102-4 du code de commerce prévoit que les parties prenantes « ont vocation à être associées » à l’élaboration du plan et encourage ainsi le dialogue, cette disposition ne saurait être interprétée comme instaurant une obligation formelle de concertation s’agissant de la cartographie des risques.

Des procédures d’évaluation découlant directement de la cartographie

S’agissant de l’évaluation des partenaires (sous-traitants, fournisseurs), La Poste faisait valoir l’existence d’un dispositif en trois étapes : une évaluation externalisée, un contrôle opérationnel interne et un système automatisé de contrôle documentaire, aboutissant à une action prioritaire d’évaluation à l’égard de la catégorie d’achat prioritaire.

Pour la cour, ces procédures, bien que techniquement valables, sont dissociées de la cartographie, faute d’une hiérarchisation préalable des risques. Cela empêche de vérifier que les efforts de contrôle sont correctement orientés vers les partenaires ou secteurs les plus exposés.
La cour souligne que cette cohérence est indispensable pour apprécier l’adéquation des moyens engagés. Elle constate que certains contrôles sont menés sans justification au regard des risques effectivement identifiés.

Il ne suffit donc pas de mettre en place des outils d’évaluation ou d’audit ; ceux-ci doivent être articulés avec la cartographie et justifiés par les risques identifiés comme les plus graves. Les plans doivent documenter le lien logique entre l’exposition au risque et la mobilisation d’outils de contrôle.

La cour réaffirme le caractère structurant de la cartographie des risques, pierre angulaire du plan de vigilance. Elle anticipe les critères d’analyse posés par la CS3D, et appelle les entreprises à adopter une démarche rigoureuse et ciblée dès l’identification des risques, en dépit des incertitudes politiques sur l’avenir de la directive.

De même, les mesures de prévention des risques généralement mises en œuvre dans le cadre des relations avec les tiers devront être adaptées en fonction du niveau de risque identifié. Ainsi, l’intensité et la nature des outils mobilisés (clause de conformité, clause RSE, charte éthique, formations) pourront varier selon la gravité et la probabilité des atteintes identifiées. Les ressources consacrées à ces actions doivent donc être identifiées à partir des enseignements de la cartographie des risques. En pratique, cela implique de sensibiliser les fonctions opérationnelles en lien avec les tiers (acheteurs, commerciaux, responsables des partenariats, intermédiaires, etc.) afin de garantir la cohérence et l’effectivité des dispositifs déployés.

L’effectivité attendue dans la concertation et le suivi des mesures mises en œuvre

La cour examine ensuite deux obligations relatives à la mise en œuvre du plan : la concertation avec les organisations syndicales pour le mécanisme d’alerte et le dispositif de suivi permettant d’évaluer l’efficacité des mesures.

Une concertation syndicale en amont

La Poste faisait valoir qu’elle avait présenté ses dispositifs d’alerte notamment lors de réunions annuelles du dialogue social (CDSP), via des supports visuels. Toutefois, la cour écarte cette présentation comme insuffisante. Elle rappelle que la loi impose une concertation, et non une simple information ou consultation.

Cette concertation doit avoir lieu avant l’adoption du mécanisme d’alerte, et doit comporter un véritable échange sur son contenu et ses modalités. La Poste ne justifie pas de tels échanges ni de l’intégration d’éventuelles remarques syndicales. La cour exige donc que le plan soit revu sur ce point.

Cette précision est d’autant plus importante en pratique qu’il est aujourd’hui courant, au sein des entreprises, de réutiliser le dispositif d’alerte interne mis en place en application de la loi n° 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte, dite « Waserman », transposant la directive européenne sur la protection des lanceurs d’alerte (Dir. [UE] 2019/1937 du 23 oct. 2019 sur la protection des personnes qui signalent des violations du droit de l’Union, Dalloz actualité, 16 déc. 20219, obs. C. Collin). Si un tel dispositif peut constituer un socle technique ou organisationnel pertinent, il ne saurait être simplement étendu au champ du devoir de vigilance sans démarche préalable de concertation. Les entreprises doivent notamment informer et se concerter avec les organisations syndicales lors de cet élargissement de périmètre et s’assurer que le fonctionnement, les canaux de remontée, les garanties procédurales et les modalités d’intervention soient discutés en amont.

En reprenant la logique méthodologique de la cour, qui mobilise à plusieurs reprises la directive CS3D (not., pour l’interprétation de l’art. L. 225-102-4 c. com.), on notera que l’article 9, § 3, de cette directive prévoit expressément que les entreprises doivent « associer les représentants des travailleurs au développement et à la mise en œuvre des mesures de vigilance, notamment les mécanismes de traitement des signalements ». Ce fondement renforce l’analyse de la cour sur la portée contraignante de la concertation préalable avec les syndicats, s’agissant du volet alerte.

La CS3D, en son article 30, prévoit d’ailleurs expressément que « les États membres prennent les mesures nécessaires pour que la directive (UE) 2019/1937 s’applique au signalement des violations des dispositions du droit national transposant la présente directive et à la protection des personnes qui signalent ces violations » (Dir. [UE] 2024/1760 du 13 juin 2024 sur le devoir de vigilance des entreprises en matière de durabilité., art. 30). Si l’on suit la méthodologie d’interprétation retenue par la cour dans l’arrêt ici commenté, laquelle se réfère de manière anticipée à la CS3D, il est donc possible de mobiliser le même canal d’alerte pour le devoir de vigilance, sous réserve de son adaptation au périmètre et aux objectifs propres à ce dernier.

Toutefois, cette possibilité n’exonère pas l’entreprise de ses obligations en matière de concertation syndicale prévue au titre de la loi française. Autrement dit, même lorsqu’un dispositif d’alerte général existe déjà, il ne peut être automatiquement étendu au domaine du devoir de vigilance sans faire l’objet d’une concertation spécifique avec les organisations syndicales représentatives, portant notamment sur les catégories de faits signalés, les garanties offertes, et les modalités de traitement des alertes.

En pratique, cela pose des enjeux d’articulation concrets : nombre d’entreprises disposent déjà de dispositifs techniques et organisationnels conformes à la directive sur les lanceurs d’alerte, mais doivent désormais les retravailler sur le fond pour les adapter à l’objet du devoir de vigilance, avec une phase de coconstruction sociale.

Un suivi des mesures de vigilance qui ne peut se limiter à des indicateurs sociaux généraux

Enfin, la cour examine le compte-rendu de mise en œuvre effective du plan. Elle constate que les indicateurs fournis par La Poste relèvent principalement du reporting social (égalité hommes femmes, absentéisme, taux d’audit) et ne permettent pas d’évaluer l’efficacité des mesures de vigilance au regard des risques identifiés.

Le plan ne fait pas le lien entre les atteintes à prévenir, les mesures prises, et les résultats obtenus. Il ne documente ni l’exécution des actions correctives ni leur impact. La cour rappelle que le plan doit comporter un dispositif de suivi centré sur les objectifs propres à la loi de 2017, et pas uniquement sur des données extrafinancières générales.

La démarche attendue rejoint ici les principes de la CS3D qui impose aux entreprises d’évaluer l’efficacité des mesures prises au regard des atteintes graves identifiées (art. 15). Le plan doit être un outil de gestion des risques, et non un exercice de communication RSE.

Les sociétés soumises au devoir de vigilance doivent donc établir un lien direct entre les risques identifiés, les mesures mises en place et les résultats observés. Les indicateurs retenus doivent refléter l’impact concret des actions de vigilance, et permettre d’en ajuster le déploiement.

Cette analyse de la cour vient également clarifier le statut du compte rendu de mise en œuvre des mesures, dont la nature demeurait jusqu’alors relativement hybride, et parfois mal appréhendée par les entreprises. Il ne s’agit pas d’un simple exercice de reporting extrafinancier, régi par d’autres logiques déclaratives de la RSE, mais bien d’un document à finalité opérationnelle, destiné à rendre compte de la mise en œuvre effective des actions prévues dans le plan de vigilance au regard des objectifs fixés et des risques identifiés les années précédentes. Ce compte rendu, souvent relégué au second plan dans les plans publiés, constitue bien un élément central de vérification de l’effectivité réelle des dispositifs de vigilance. Il doit à ce titre être pleinement saisi comme un levier de preuve, garantissant la réalité, la pertinence et la dynamique des mesures exposées dans le plan.

La Cour d’appel de Paris vient ainsi nourrir la jurisprudence naissante en matière de devoir de vigilance, en posant des balises claires pour l’interprétation et l’application de la loi de 2017. Elle fournit aux entreprises des repères pour ajuster leurs dispositifs, tant sur le fond des obligations que sur leur mise en œuvre. Des illustrations concrètes et mises en situation, sur le modèle de certains guides pratiques internationaux bien connus en matière de RSE, auraient peut-être pu être cités, en venant étayer de façon opérationnelle ce qui est désormais attendu des entreprises au titre de leur devoir de vigilance, notamment s’agissant de la description des scénarii de risques, du niveau d’approfondissement requis dans leur analyse, et de la méthodologie de cotation et d’évaluation des risques.

Le fait que la cour fonde son raisonnement sur la CS3D, en dépit des incertitudes politiques qui entourent actuellement sa mise en œuvre dans le cadre de la procédure européenne Omnibus, confirme que ce texte reste une référence structurante. Les entreprises déjà assujetties à la loi de 2017 doivent donc intégrer ses standards dans leur démarche de vigilance. Celles qui ne sont pas encore concernées ont tout intérêt à s’en saisir dès à présent.

Paris, pôle 5 – ch. 12, 17 juin 2025, n° 24/05193

par Emmanuel Daoud et Dalia Boudjellal, Avocats associés, Cabinet VIGO, Membres du réseau international GESICA