Le 24 avril 2013, le Rana Plaza, une usine de textile située au Bengladesh, s’écroule, emportant avec elle plus de 1100 vies. La tragédie révèle l’implication passive de nombreuses entreprises occidentales, faisant appel aux entrepreneurs locaux pour produire les vêtements destinés à l’ouest. L’ampleur du scandale amène alors le législateur à façonner le « devoir de vigilance ». Cette directive impose aux entreprises de prévenir des atteintes graves aux personnes et à l’environnement dans le cadre de leur activité. Découvrez-en les enjeux et procédures, les risques et solutions.
Trustpair vous aide à contrôler en continu les coordonnées bancaires de vos tiers, bloquant ainsi la fraude ou le blanchiment d’argent. Contactez un expert pour en savoir plus !
Les objectifs du devoir de vigilance
Entré en vigueur en 2017, le devoir de vigilance s’inscrit dans la même logique que la loi Sapin II, laquelle impose aux entreprises des procédures de vérification des tiers afin de notamment lutter contre la corruption et le trafic d’influence. La loi sur le devoir de vigilance, elle, va plus loin, puisqu’elle concerne la prise en compte de critère plus large portant une atteinte grave :
- Aux droits humains et libertés fondamentales ;
- A la santé et à la sécurité des personnes ;
- A l’environnement.
Il s’agit donc pour l’entreprise de monitorer les activités de ses partenaires afin de s’assurer qu’elle ne collabore pas avec des sociétés délictueuses en matière de respect des droits de l’homme, de l’environnement, etc.
Quelles entreprises sont concernées par le devoir de vigilance ?
La loi s’applique en fonction du nombre d’employés et concerne les grandes entreprises :
- De plus de 5000 salariés en France ;
- OU de plus de 10 000 salariés dans le monde.
Le champ d’application ne se limite pas qu’aux risques consécutifs à l’activité de la société, mais s’étend également aux filiales, sous-traitants et fournisseurs. Le but est dès lors de minimiser les risques pour toutes les relations d’affaires de l’entreprise.
Dans cette perspective, le devoir de vigilance repose sur 5 piliers essentiels qui guident sa mise en place dans l’entreprise.
Devoir de vigilance : quelles sont les grandes étapes ?
Afin d’être conforme à cette loi, de grandes étapes et procédures doivent être suivies :
1) Etablir une cartographie des risques
Celle-ci détermine la typologie des risques, en fonction de critères sectoriel, géographique, etc. et les hiérarchise. A cet effet, il faut prendre en compte plusieurs paramètres, comme la gravité et l’irréversibilité du risque.
2) Instaurer des procédures d’évaluation
Selon les mots du législateur, le devoir de vigilance concerne toute entité avec laquelle « est entretenue une relation commerciale établie, au regard de la cartographie des risques » (LOI n° 2017-399, 27 mars 2017). Cela s’applique donc aux filiales, sous-traitants et fournisseurs de la société, qui doivent être identités conformément aux réglementations KYS et KYC.
Bon à savoir : il est évidemment difficile de couvrir l’intégralité de la chaîne d’approvisionnement. Il est dès lors utile d’établir des « relais d’évaluation » avec les fournisseurs directs (rang 1) et les fournisseurs de rang 2.
3) Prendre des mesures adaptées pour diminuer le risque
L’entreprise doit mettre en place une série d’actions visant à prévenir et atténuer les risques, mais également à engager des formes de réparation.
4) Mettre en place une « alerte interne »
Les collaborateurs sont associés au devoir de vigilance : un tel dispositif leur permet de signaler tous les cas suspects ou avérés d’atteintes graves. L’entreprise gagne dès lors en réactivité.
5) Etablir un protocole d’évaluation
L’entreprise doit veiller à la pertinence et l’efficacité du plan : est-il adapté aux potentiels nouveaux risques ? Les ressources allouées au devoir de vigilance sont-elles suffisantes et adaptées ? Quel est le mode de gouvernance ? Quel est le calendrier de réévaluation (celle-ci doit évidemment être régulière) ?
Il est effectivement nécessaire de mettre en place un plan adapté pour être en conformité, limiter les risques pour son entreprise et assurer une protection contre la fraude au virement.
Pour en savoir plus sur le devoir de vigilance et la Loi Sapin II, découvrez notre webinar dédié à la conformité en entreprise.
Devoir de vigilance : quels sont les risques et sanctions ?
Les sanctions concernent les manquements sur les moyens mis en place par l’entreprise et non sur les résultats. Il s’agit donc d’une obligation de « faire » plutôt que d’une obligation de « résultat ».
Ainsi, si elle a mis en oeuvre des processus de contrôles adaptés, mais que ceux-ci n’ont pas suffi à détecter les actes de ses tiers, elle ne peut pas en être tenue pour responsable. Si elle manque à ses obligations de moyens, elle peut d’abord recevoir une mise en demeure.
Sans action correctrice, la justice est susceptible de prononcer une injonction.
Dans le projet de loi en 2017, il devait être possible de condamner les entreprises à une amende de 30 millions d’euros, mais le Conseil constitutionnel a rétorqué cet aspect de la loi. Toutefois, la responsabilité de la société peut être engagée en droit commun.
Manquement au Devoir de vigilance : risques financier et réputationnel
Le premier article de la loi dispose que « toute personne justifiant d’un intérêt à agir » peut décider de mettre en demeure une société de se conformer à la loi. Il peut par exemple s’agir d’organismes de défense des droits de l’homme ou encore des victimes concernées elles-mêmes.
Les ONG et associations sont mobilisées sur le sujet. Sherpa, en coopération avec Terre Solaire et Business & Human Rights Resource Centre, a ainsi lancé le site plan-vigilance.org. Celui-ci recense toutes les entreprises concernées par le devoir de vigilance et analyse les mesures prises dans ce cadre. Dans son « édition 2020 du radar de devoir de vigilance », le site désigne ainsi 27% des entreprises concernées comme « hors la loi ».
Cette transparence révèle des failles qui peuvent mener à des actions judiciaires. C’est par exemple le cas de Vinci en janvier 2019 (travail forcé au Qatar) ou encore Total (pour la réduction des émissions de CO2 en Ouganda).
Quelles actions mener pour être conforme ?
En cas de manquement au devoir de vigilance, l’image publique des entreprises incriminées peut être largement atteinte. Cela peut facilement engendrer une perte d’activité. Face à la vigilance des personnes « justifiant d’un intérêt à agir », c’est donc dans l’intérêt des sociétés mères d’effectuer le contrôle des tiers en conformité. Pour évaluer les filiales, fournisseurs et sous-traitants, l’entreprise peut alors :
- Réaliser des plans d’audit
- Former les collaborateurs et fournisseurs à l’analyse des risques
- Évaluer les questionnaires
- Établir des rapports réguliers sur les évolutions du plan de vigilance, les actions concrètes déployées, leur efficacité, etc.
Un exemple de mise en conformité : le contrôle continu des coordonnées bancaires de ses tiers
Le devoir de vigilance, comme la loi Sapin II, s’inscrivent plus largement dans la volonté d’identifier et de contrôler l’identité des tiers en relation d’affaires avec une entreprise.
Chez Trustpair, nous proposons une solution de contrôle automatisé des données tiers. Notre plateforme détecte les erreurs et anomalies présentes dans votre base, et sécurise l’ensemble du processus P2P. Grâce à un contrôle des RIB automatique et sécurisé, votre entreprise contrôle en continu ses données tiers, et dispose d’un bouclier contre les risques de fraude au virement.