Le 24 avril 2013, le Rana Plaza, une usine de textile située au Bengladesh, s’écroule, emportant avec elle plus de 1100 vies. La tragédie révèle l’implication passive de nombreuses entreprises occidentales, faisant appel aux entrepreneurs locaux pour produire les vêtements destinés à l’ouest. L’ampleur du scandale amène alors le législateur à façonner le « devoir de vigilance », lequel impose aux entreprises de prévenir des atteintes graves aux personnes et à l’environnement dans le cadre de leur activité.
Découvrez-en les enjeux et procédures, les risques et solutions.
Les objectifs du devoir de vigilance
Entré en vigueur en 2017, le devoir de vigilance s’inscrit dans la même logique que la loi Sapin II, laquelle impose aux entreprises des procédures de vérification des tiers afin de notamment lutter contre la corruption et le trafic d’influence. La loi sur le devoir de vigilance, elle, va plus loin, puisqu’elle concerne la prise en compte de critère plus large portant une atteinte grave :
- Aux droits humains et libertés fondamentales ;
- A la santé et à la sécurité des personnes ;
- A l’environnement.
La loi s’applique en fonction du nombre d’employés et concerne les grandes entreprises :
- De plus de 5000 salariés en France ;
- OU de plus de 10 000 salariés dans le monde.
Le champ d’application ne se limite pas qu’aux risques consécutifs à l’activité de la société, mais s’étend également aux filiales, sous-traitants et fournisseurs. Le but est dès lors de minimiser les risques sus-cités pour toutes les relations d’affaires de l’entreprise.
Dans cette perspective, le devoir de vigilance repose sur 5 piliers essentiels qui guident sa mise en place dans l’entreprise.
Mise en place du devoir de vigilance : comment procéder ?
Afin d’être conforme à cette loi, de grandes étapes et procédures doivent être suivies :
1) Etablir une cartographie des risques
Celle-ci détermine la typologie des risques, en fonction de critères sectoriel, géographique, etc. et les hiérarchise. A cet effet, il faut prendre en compte plusieurs paramètres, comme la gravité et l’irréversibilité du risque.
2) Instaurer des procédures d’évaluation
Selon les mots du législateur, le devoir de vigilance concerne toute entité avec laquelle « est entretenue une relation commerciale établie, au regard de la cartographie des risques » (LOI n° 2017-399, 27 mars 2017). Cela s’applique donc aux filiales, sous-traitants et fournisseurs de la société, qui doivent être identités conformément aux réglementations KYS et KYC.
Bon à savoir : il est évidemment difficile de couvrir l’intégralité de la chaîne d’approvisionnement. Il est dès lors utile d’établir des « relais d’évaluation » avec les fournisseurs directs (rang 1) et les fournisseurs de rang 2.
3) Prendre des mesures adaptées pour diminuer le risque
L’entreprise doit mettre en place une série d’actions visant à prévenir et atténuer les risques, mais également à engager des formes de réparation.
4) Mettre en place une « alerte interne »
Les collaborateurs sont associés au devoir de vigilance : un tel dispositif leur permet de signaler tous les cas suspects ou avérés d’atteintes graves. L’entreprise gagne dès lors en réactivité.
5) Etablir un protocole d’évaluation
L’entreprise doit veiller à la pertinence et l’efficacité du plan : est-il adapté aux potentiels nouveaux risques ? Les ressources allouées au devoir de vigilance sont-elles suffisantes et adaptées ? Quel est le mode de gouvernance ? Quel est le calendrier de réévaluation (celle-ci doit évidemment être régulière) ?
Il est effectivement nécessaire de mettre en place un plan adapté pour être en conformité, limiter les risques pour son entreprise et assurer une protection contre la fraude au virement.
Pour en savoir plus sur le devoir de vigilance et la Loi Sapin II, découvrez notre webinar dédié à la conformité en entreprise.
Devoir de vigilance : quels sont les risques et solutions ?
Les sanctions concernent les manquements sur les moyens mis en place par l’entreprise et non sur les résultats. Ainsi, si elle a mis en place des processus de contrôles adaptés, mais que ceux-ci n’ont pas suffi à détecter les actes de ses tiers, elle ne peut pas en être tenue pour responsable. Si elle manque à ses obligations de moyens, elle peut d’abord recevoir une mise en demeure. Sans action correctrice, la justice est susceptible de prononcer une injonction. Dans le projet de loi en 2017, il devait être possible de condamner les entreprises à une amende de 30 millions d’euros, mais le Conseil constitutionnel a rétorqué cet aspect de la loi. Toutefois, la responsabilité de la société peut être engagée en droit commun.
Manquement au Devoir de vigilance : risques financier et réputationnel
Le premier article de la loi dispose que « toute personne justifiant d’un intérêt à agir » peut décider de mettre en demeure une société de se conformer à la loi. Il peut par exemple s’agir d’organismes de défense des droits de l’homme ou encore des victimes concernées elles-mêmes.
Tout logiquement, les ONG et associations se saisissent pleinement de la question. Sherpa, en coopération avec Terre Solaire et Business & Human Rights Resource Centre, a ainsi lancé le site plan-vigilance.org. Celui-ci recense toutes les entreprises concernées par le devoir de vigilance et analyse les mesures prises dans ce cadre. Dans son « édition 2020 du radar de devoir de vigilance », le site désigne ainsi 27% des entreprises concernées comme « hors la loi ».
Cette plus grande transparence révèle donc des failles qui, à leur tour, mènent à des actions judiciaires. C’est par exemple le cas de Vinci en janvier 2019 (travail forcé au Qatar) ou encore Total (pour la réduction des émissions de CO2 en Ouganda).
Les actions à mener pour être conforme
Ainsi, en cas de manquement au devoir de vigilance, l’image publique des entreprises incriminées est écornée. Face à la vigilance des personnes « justifiant d’un intérêt à agir », il est dès lors dans l’intérêt des sociétés mères d’effectuer le contrôle des tiers en conformité. Pour évaluer les filiales, fournisseurs et sous-traitants, l’entreprise peut alors :
- Réaliser des plans d’audit
- Former les collaborateurs et fournisseurs à l’analyse des risques
- Évaluer les questionnaires
- Établir des rapports réguliers sur les évolutions du plan de vigilance, les actions concrètes déployées, leur efficacité, etc.
Le devoir de vigilance, comme la loi Sapin II, s’inscrivent plus largement dans la volonté d’identifier et de contrôler l’identité des tiers en relation d’affaires avec une entreprise. A cet effet, il est utile de se doter d’une solution complémentaire pour réaliser sereinement ces tâches. Chez Trustpair, nous proposons un logiciel en mode SaaS afin de vérifier l’identité de l’ensemble des tiers inscrits dans votre référentiel, de détecter les erreurs et anomalies présentes dans votre base, et ainsi de sécuriser l’ensemble du processus Procure-to-Pay. Grâce au contrôle des RIB automatiques et sécurisés, votre entreprise dispose d’un moyen pour contrôler l’identité de vos tiers, et plus largement d’un bouclier contre les risques de fraude au virement.
