A l’heure actuelle, tous – et pas uniquement les DAF et les responsables RSE des entreprises – ont entendu parler de la CSRD (Corporate Sustainability Reporting Directive). Cette directive européenne dont les textes de transposition dans notre droit sont sortis fin 2023 et fin février 2024 génère en effet de nouvelles exigences pour ce que l’Europe considère comme de grandes entreprises ainsi que des PME cotées. On est grande entreprise dès lors que l’on dépasse deux des trois critères suivants : 25 ME de total bilan, 50 ME de chiffre d’affaires net et 250 salariés.
On est donc bien en deçà de l’obligation de la DPEF* avec la NFRD* qui ne concernait que quelques très grosses entreprises. Avec le rapport de durabilité qui vient s’intégrer dans les rapports de gestion que devront produire les entreprises assujetties, les responsables RSE, DAF et autres dirigeants s’interrogent sur leur capacité à rassembler les données RSE de leur entreprise pour respecter leurs obligations.
L’Europe a pris à bras le corps le sujet pour rendre l’économie vertueuse et la finance durable afin d’atteindre les objectifs de la neutralité carbone en 2050.
Mais cette directive en cache en réalité une autre : la CS3D (Corporate Sustainability Due Diligence Directive). Celle-ci aurait dû être votée il y a quelques jours par les Etats membres et devait, elle aussi, rendre notre monde plus vertueux. Voici donc deux directives rédigées par les institutions européennes destinées à contraindre les entreprises à adopter les règles d’une économie durable. D’un côté, avec la CSRD, les entreprises assujetties devront produire un rapport de durabilité qui devra être certifié par un commissaire aux comptes ou un organisme certificateur (OTI) en respectant les standards de l’EFRAG sur l’ensemble des indicateurs extra-financiers exigés, et en suivant le principe de la double matérialité. Bref, un très gros travail à venir. De l’autre côté, avec la CS3D, les entreprises assujetties devraient mettre en place une due diligence sur l’ensemble de leur chaîne de valeur pour limiter les risques portant sur les droits humains et l’environnement.
Cette directive CS3D a été perçue comme une véritable révolution juridique. En effet, son périmètre ne se limitait pas à l’intra-groupe mais également à l’extra-groupe dès lors que cela concernait la chaîne de valeur amont et aval. Concrètement, l’entreprise serait, au titre de la CS3D, responsable de l’entièreté de sa chaîne de valeur, en particulier de ses partenaires, ses fournisseurs et même les sous-traitants de ses fournisseurs. Elle serait ainsi responsable de tous les maillons de sa chaîne, même ceux qu’elle délègue à des tiers. C’est en ce sens que c’est un big bang juridique. Si avec la CSRD, les sociétés concernées auront obligation de publier leurs données extra-financières à côté de leurs données financières, une bonne partie d’entre elles auraient également obligation de rendre compte de leur plan de vigilance, appliqué certes sur ce qu’elles maitrisent usuellement – l’intra-groupe – mais également sur le périmètre extra-groupe de leur chaîne de valeur.
En France, nous connaissons déjà – comme en Allemagne et aux Pays-Bas entre autres – une telle loi sur le devoir de vigilance. Nous pouvions hier encore considérer que la CS3D – dont l’avenir est à ce jour de plus en plus compromis – était globalement l’extension de la loi française sur le devoir de vigilance mais appliquée cette fois aux 27 pays de l’Union Européenne, et sur des seuils bien plus bas. Rappelons que cette loi sur le devoir de vigilance est née en partie d’un drame survenu au Bangladesh avec l’effondrement du Rana Plazza qui a causé plus d’un millier de morts parmi les travailleurs de l’usine. De grandes marques internationales prestigieuses, principalement du cuir et du textile, utilisaient des sous-traitants qui travaillaient dans des conditions extrêmement précaires et inhumaines, à haut risque, et ce sans se considérer responsables de ce qu’elles généraient via des sous-traitants peu scrupuleux.
La France pouvait donc être fière d’avoir été à l’initiative de la mise en place d’une telle loi, même si elle n’avait ciblé que les entreprises de plus de 5 000 salariés. La CS3D avait choisi d’aller au-delà puisque progressivement, par palier successif, elle devait toucher les entreprises européennes de plus de 1 000 salariés, puis de plus de 500 salariés, puis même de 250 salariés et 40 M€ de chiffre d’affaires dans des activités considérées à risque.
Mais comment les entreprises allaient-elles faire pour évaluer leurs tiers sur toute leur chaîne de valeur ? Effectivement, on est en droit de s’interroger quand on sait – d’après les dernières études de l’AFA (Agence Française Anti-corruption) – que l’évaluation des tiers est le pilier le plus complexe à mettre en place sur les 8 piliers de l’article 17 de la loi Sapin 2, avant même celui de la cartographie des risques. Récemment, KPMG a publié une étude intéressante sur l’application de la loi « devoir de vigilance ». Elle fait nettement ressortir la difficulté des grands groupes à analyser leur chaîne de valeur. D’ailleurs, plus 50% d’entre eux se sont limités à ce qu’ils maîtrisaient, à savoir leur périmètre consolidé intra-groupe. Alors, comment les entreprises de taille plus modeste pourraient-elles réussir à faire ce que les grands groupes français n’ont pas été capables de réaliser depuis plus de 5 ans ? C’est aujourd’hui ce que le MEDEF met entre autre en avant pour alerter vigoureusement sur la directive CS3D, à côté d’autres représentants patronaux et partis politiques de quelques pays comme l’Allemagne qui – rappelons-le encore – avait adopté une loi analogue mais, il est vrai aussi, réservée aux très grandes entreprises.
Pour autant, même si la réaction des « patrons » devant le carcan réglementaire et bureaucratique toujours plus contraignant se comprend, on ne peut pas non plus envisager de ne rien faire, et rester passif devant l’inéluctable. Le réchauffement climatique, la disparition de la biodiversité et le respect des droits fondamentaux sont à prendre en considération par tous les acteurs, certes les politiques, mais également les citoyens et bien évidemment les entreprises.
Comme pour l’anti-corruption, il y a fort à parier que si le texte de la CS3D est voté (mais le sera-t-il ?), la première raison de mettre en place de telles mesures dans les entreprises sera d’abord le respect de la réglementation pour ensuite passer progressivement d’un mode subi à un mode choisi en comprenant leurs intérêts tant au niveau business que de l’employabilité. En effet, pour signer un contrat avec un organisme public, mieux vaut avoir respecté ses obligations « devoir de vigilance ». Même les entreprises non assujetties s’y plieront pour gagner de gros contrats avec de grands groupes. Quant à l’employabilité, les jeunes talents choisissent déjà les entreprises éthiques ne pratiquant pas le greenwashing, et défendant réellement des valeurs au quotidien dans leurs actions. Demain, être en conformité avec les exigences relatives à la lutte anti-corruption ou au devoir de vigilance sera un atout incontestable pour les entreprises. Celles qui l’auront compris auront un temps d’avance sur la concurrence. Petit à petit, par ricochet, exigeant de leurs tiers d’être « dans les clous », les entreprises assujetties assainiront le marché. Monde idéal ?
Posons-nous maintenant la question qui fâche : celle de la mise en œuvre opérationnelle. Si la réglementation est louable sur le papier, est-elle réellement applicable ? Comment une entreprise peut-elle concrètement analyser toute sa chaîne de valeur, sur tous les fournisseurs, quel que soit leur rang ?
Tout d’abord, revenons à un basique de la due diligence : la cartographie des risques. Rien ne sert d’évaluer tous les tiers, et encore moins tous les tiers de ses tiers, de la même manière… Il s’agit, comme exigé dans la loi Sapin 2, de repérer les tiers qui ont un réel impact sur la chaîne de valeur, et qui représentent un risque. Ensuite, comme dans le cadre du dispositif de prévention et détection de la corruption, les entreprises pourront s’appuyer sur une solution digitale qui les aidera à « faire le job ». Des entreprises comme Ellisphere se sont spécialisées sur l’évaluation des tiers en BtoB, et ont créé des logiciels Saas capables de rassembler toute la data utile, d’accompagner l’utilisateur, même non expert de la compliance, tout au long de l’élaboration de son processus de due diligence. En s’appuyant sur une solution digitale paramétrée selon leur organisation et leur stratégie, les entreprises se facilitent la vie en impliquant leurs tiers dans la due diligence, avec un questionnaire approprié et en suivant un processus étape par étape grâce à un workflow adapté au risque de chaque tiers.
L’originalité est donc, avec le devoir de vigilance, d’aller au-delà du 1er rang des tiers. Cela pourra, là encore, se faire avec l’approbation du tiers de rang inférieur ayant contractualisé avec le dit tiers, mais également en s’appuyant sur des briques technologiques comme l’IA appliquées sur des données publiques ou privées. Chez Ellisphere, c’est un challenge passionnant d’apporter chaque jour notre expertise au service d’une cause aussi importante : rendre l’économie plus vertueuse en apportant une aide à la décision à nos clients, dans le choix de leurs partenaires. C’est pourquoi nous y travaillons d’ores et déjà avec de grandes entreprises qui partagent notre conviction, et préparons ainsi ensemble notre futur. Quelle que soit la décision finale du Conseil Européen, la CS3D a tracé une route que nous devrions tous emprunter avec nos moyens, pour rendre durable notre économie et appliquer des valeurs source d’idéaux forts pour nous tous. Et cela ferait du bien !
*DPEF : Déclaration de Performance Extra-Financière
*NFRD : Non-Financial Reporting Directive
