01. Introduction – La transparence est érigée en principe structurant de la responsabilité des entreprises. En théorie, la transparence est le cœur battant du devoir de vigilance : un instrument censé dévoiler les risques, orienter l’action préventive et rendre les entreprises véritablement redevables de leurs impacts. En pratique, elle peut tout autant éclairer que masquer. L’affaire La Poste en 2025 en est une illustration éclatante : tout en ordonnant des améliorations substantielles de son plan de vigilance, la Cour d’appel de Paris a validé la possibilité pour l’entreprise de conserver privées certaines informations stratégiques, instaurant de facto une transparence à deux vitesses.
Ce paradoxe – un dispositif conçu pour contraindre, mais qui peut servir à protéger – est au cœur de la présente analyse. La transparence, loin d’être un simple devoir de publication, est un outil à double tranchant : instrument de responsabilisation juridique et sociale d’un côté, levier stratégique de contrôle narratif de l’autre. Entre exigence de redevabilité et préservation des intérêts économiques, elle devient un terrain de négociation permanente où se jouent la portée réelle du devoir de vigilance et son efficacité.
À travers l’étude du cadre conceptuel et normatif, de la latitude laissée aux entreprises dans la sélection des informations, ainsi que de l’état actuel du contrôle judiciaire, ce travail montre comment la transparence oscille entre garantie et façade. La question n’est donc pas seulement de savoir si les entreprises publient des informations, mais de comprendre comment elles les publient, avec quels effets juridiques et sociaux, et à quel prix pour l’effectivité d’un devoir de vigilance pensé comme un régime de redevabilité juridiquement opposable devant le juge et les autorités de supervision.
I. Comprendre la transparence dans le devoir de vigilance
02. Transparence : état et action. – Parler de transparence suppose de revenir sur un concept qui, malgré une apparente unité, doit être appréhendé dans ses multiples dimensions, elles-mêmes complémentaires[1]. Elle se comprend d’abord comme une qualité : un état de fait caractérisé par une information exprimée de manière claire, intelligible et dépourvue d’ambiguïtés ou de zones d’ombre, reflétant fidèlement une situation donnée[2]. Mais la transparence ne se limite pas à cet état statique ; elle se définit également par ses effets, au premier rang desquels figure l’accès effectif à l’information[3]. Cette dimension fonctionnelle ouvre sur un second versant : la transparence comme comportement, c’est-à-dire l’action de rendre visibles des données, des processus ou des décisions, par un partage intentionnel et organisé d’informations à destination d’un public déterminé ou indéterminé[4].
03. La transparence n’est pas une fin en soi. – Pour autant, la transparence n’est pas, par principe, synonyme de légalité des actions de l’entreprise, pas plus que l’opacité n’implique nécessairement l’illégalité[5]. Si le culte du secret est inacceptable, faire de la transparence une fin en soi ne l’est pas davantage : elle n’est qu’un moyen au service de la redevabilité. L’enjeu est de maintenir une transparence utile et proportionnée, suffisante pour permettre le contrôle contradictoire, sans sacrifier indûment des intérêts légitimes (sécurité, secret des affaires).
Cet argument de “mesure” est recevable en théorie, mais trop souvent mobilisé pour éluder des divulgations pertinentes : il appelle donc un test opératoire (utilité, nécessité, proportionnalité, effectivité du contrôle) qui, seul, peut éviter que la modération ne devienne un paravent.
Sous cet angle, la transparence n’est pas tant une norme juridique au sens strict qu’une norme au sens large, c’est-à-dire un principe comportemental qui agrège et articule une pluralité de micro-normes : dispositions légales, stipulations contractuelles, engagements éthiques, standards techniques ou encore règles internes. Ces instruments, hétérogènes par nature, concourent ensemble à former la réalité concrète de la transparence dans un contexte donné. Sa force tient précisément à cette plasticité : elle peut servir de support à des obligations très diverses et s’adapter à des contextes normatifs variés, tout en conservant une finalité commune de redevabilité[6]. Comprendre la transparence impose ainsi de saisir la philosophie qui la sous-tend : un idéal de visibilité et d’intelligibilité des pratiques, un savoir-être de l’entreprise, plutôt que de la réduire à un simple dispositif juridique figé[7]. En effet, Si l’absence de publication constitue un évitement évident de cette obligation, sanctionnable en tant que tel[8], une transparence « parcellaire » entraine un résultat similaire, l’obligation de compliance étant à la fois qualitative et quantitative.
04. Une responsabilisation sociale. – La transparence ne se limite pas à un acte de communication ou à la simple diffusion d’informations ; elle constitue un véritable mécanisme de responsabilisation des organisations dans l’espace public. Cette fonction s’explique par l’essor de l’accountability, concept anglo-saxon dont la traduction par « redevabilité » ne rend que partiellement la portée. En droit anglo-américain, l’accountability implique non seulement l’obligation de rendre compte (to account for), mais aussi celle d’assumer les conséquences de ses actes devant des instances formelles ou informelles. Transposée au champ du devoir de vigilance, cette exigence dépasse la relation verticale entre l’entreprise et l’autorité publique : elle institue une relation horizontale et plurielle où l’entreprise doit se justifier également devant un ensemble élargi de parties prenantes – investisseurs, ONG, consommateurs, régulateurs – dont le pouvoir d’influence s’est accru avec la mondialisation de l’information et la judiciarisation des enjeux sociétaux [9].
05. La transparence : support opérationnel du devoir de vigilance. – Information et devoir de vigilance sont étroitement imbriqués[10]. Le devoir de vigilance participe d’un mouvement plus large de transformation de la responsabilité en un mécanisme essentiellement préventif. Il ne s’agit plus seulement de réparer un dommage déjà survenu, mais d’entrer dans un processus de remédiation, combinant évaluation, adaptation, correction et mise en conformité, afin de préserver ou restaurer un équilibre systémique (qu’il soit social, environnemental, financier ou numérique). Cette responsabilité pro-active s’inscrit dans une logique où l’anticipation devient aussi importante que la réparation ex post, réconciliant ainsi la fonction préventive et la fonction réparatrice de la responsabilité[11]. Dans ce cadre, l’information n’est pas un produit dérivé de la gestion interne, mais le socle même de l’action de l’entreprise. La transparence qui en découle n’a pas pour finalité exclusive la diffusion d’informations, elle vise à produire des effets juridiques et sociaux précis : permettre un contrôle externe, nourrir un comportement organisationnel qualifié de responsable et faciliter la mise en œuvre d’actions correctives sur la base d’éléments vérifiables[12].
C’est dans cette perspective que la loi impose des obligations formelles[13] (publication de plans de vigilance, rapports extra-financiers, communication sur les politiques environnementales et sociales…) qui, loin d’être de simples formalités, deviennent des supports de contrôle et des pièces probatoires utilisables dans un contentieux. Cette obligation de vigilance impose une « malléabilité du fait générateur de responsabilité »[14] facilitant la mise en cause des entreprises responsables. On peut y voir une forme d’imputabilité individuelle d’une charge collective : si chaque entreprise est tenue de déployer ses propres mesures, c’est en réalité une responsabilité qui se répartit sur l’ensemble des acteurs d’une chaîne de valeur, dans un contexte où les causes de dommage sont diffuses et multifactorielles[15]. Cette logique dépasse la sanction d’un comportement déviant pour se rapprocher d’une imputabilité sociale et systémique, désignant l’entreprise comme l’acteur « le plus apte à agir » pour atteindre les objectifs poursuivis. La pression médiatique et concurrentielle accroît cet effet : la divulgation d’informations sur les risques et mesures préventives conditionne la réputation de l’entreprise et son acceptabilité sociale, exposant cette dernière à des sanctions économiques indirectes[16].
06. La transparence comme vecteur de normativité. – Parallèlement, la transparence exerce une fonction de normativité sociale. La répétition d’indicateurs et de formats standardisés (émissions de CO₂, diversité des instances dirigeantes, respect des droits humains) contribue à l’émergence de standards implicites qui s’imposent, par mimétisme ou pression concurrentielle, à des acteurs non soumis formellement à l’obligation légale. Cette normalisation, portée par la soft law, les classements extra-financiers et les benchmarks sectoriels, produit des contraintes réelles : ce qui est mesuré et publié devient ce qui est valorisé, et donc ce qui est attendu. La transparence devient alors un instrument de régulation par l’information, créant une obligation d’alignement sur les « meilleures pratiques » du marché, les cabinets de conseil mandatés par les entreprises fondant souvent leurs modèles sur les plans jugés « best in class ».
Ainsi, loin d’être un simple attribut déclaratif, la transparence dans le cadre du devoir de vigilance est un dispositif hybride : à la fois instrument juridique de responsabilisation et vecteur de régulation sociale, elle façonne les comportements organisationnels et diffuse, dans le tissu économique, des standards composites, juridiques, contractuels et éthiques, qui comporte un revers : il peut être détourné pour cadrer le récit et réduire l’exposition réelle au contrôle.
II. La transparence comme outil stratégique
07. Un outil de contrôle narratif. – Si la transparence renforce la redevabilité et contribue à structurer des standards implicites, elle constitue également un instrument stratégique permettant aux entreprises de contrôler l’information et de maîtriser le récit qu’elles projettent vers l’extérieur. Dans le cadre du devoir de vigilance, tel que défini à l’article L. 225-102-4 du Code de commerce, les entreprises conservent une large latitude pour déterminer quelles données rendre publiques, sous quelle forme et à quel moment[17]. Cette marge ne se limite pas au contenu technique du plan : elle s’étend au périmètre des obligations, notamment à travers l’interprétation de la notion de « relation commerciale établie »[18]. Cette expression, utilisée par exemple en cas de rupture brutale de relations commerciales établies, reste juridiquement floue dans le contexte du devoir de vigilance : inclut-elle uniquement les partenaires directs ? englobe-t-elle certaines relations indirectes mais stratégiques ? qu’en est-il des relations ponctuelles mais significatives ? Faute de définition précise, les entreprises peuvent adopter une interprétation restrictive, réduisant ainsi le champ des risques et acteurs couverts par leur plan de vigilance, tout en maintenant une apparence de conformité[19].
08. Du flou normatif à la transparence de façade. – Ce contrôle narratif s’appuie également sur des techniques d’« opacité structurelle » qui rendent l’information moins exploitable. Cela inclut l’usage d’un langage technique ou juridique peu accessible, la dispersion des éléments clés dans plusieurs sections ou documents et l’absence d’indicateurs comparables d’une année sur l’autre.
Ces pratiques prospèrent dans un cadre juridique lacunaire. L’article L. 225-102-1 du Code de commerce fixe une obligation de principe, mais n’impose aucun format, indicateur ou méthode de collecte standardisée, contrairement à d’autres champs réglementés comme le reporting financier ou la finance durable[20].
Cette carence normative se traduit par une forte hétérogénéité des pratiques sectorielles[21]. Chaque entreprise élabore son plan selon ses propres critères, sa culture interne et la pression exercée par ses parties prenantes. Les écarts de granularité, de structure et de précision rendent toute comparaison inter-entreprises difficile, voire impossible, même au sein d’un même secteur[22].
09. Un contrôle judiciaire et sociétal limité. – Cette diversité de pratiques fragilise l’effectivité du contrôle externe. L’évaluation par un juge ou une autorité devient plus complexe, parfois au point de nécessiter le recours à des experts extérieurs[23]. Ce flou procédural permet aux entreprises de revendiquer la conformité tout en conservant une marge de manœuvre importante, affaiblissant ainsi le caractère véritablement contraignant de l’obligation.
Ces imprécisions permettent aux entreprises de revendiquer une conformité “formelle” tout en conservant une marge opérationnelle importante, affaiblissant la portée contraignante du dispositif. Il favorise l’émergence d’une “transparence de façade” : mise en avant d’actions valorisantes et occultation des risques résiduels. L’asymétrie d’information qui en découle renforce la position dominante de l’entreprise, lui permettant de cadrer le débat public et de limiter les interprétations défavorables. Dès lors, la transparence peut servir davantage à légitimer qu’à exposer l’action à un contrôle effectif.
Certaines juridictions ont néanmoins commencé à déconstruire ce contrôle narratif, notamment dans le champ environnemental, lorsque la communication occulte des manquements matériels, comme nous le verrons avec l’affaire Total. On peut également souligner que, face à l’externalisation des plans de vigilance à des cabinets spécialisés, les rapports de vigilence tendent à uniformiser, à lisser la présentation des risques, et donc complexifier la pratique du contrôle externe[24].
III. Cadre normatif et portée juridique
10. Du volontarisme RSE à l’obligation légale. – Le devoir de vigilance illustre un mouvement structurel : celui du passage d’engagements volontaires de responsabilité sociétale (soft law) à une obligation légale assortie d’un mécanisme de transparence contrôlable[25]. Initialement portée par l’auto-régulation, la transparence s’est progressivement muée en un dispositif plus contraignant, prenant la forme d’une co-régulation avec les autorités publiques[26]. Dans ce cadre, la responsabilité « rétrospective » (répondre des manquements) se trouve complétée par une responsabilité « prospective » et anticipatrice[27].
Les entreprises ont tout d’abord initié une transparence concernant la protection des droits des personnes ou de l’environnement pour démontrer leur respect d’initiatives unilatérales ou sectorielles : codes éthiques, chartes RSE, Principes directeurs de l’ONU relatifs aux entreprises et aux droits de l’homme (2011) ou Lignes directrices de l’OCDE (2011)[28]. Ces instruments, non contraignants, visaient à renforcer la légitimité sociale des entreprises sans créer d’obligations juridiquement opposables. Le devoir de vigilance, comme nous l’avons vu, rompt avec cette logique. Désormais, la violation de référentiels issus du soft law, qu’il s’agisse de principes directeurs de l’ONU, de lignes directrices de l’OCDE ou de normes ISO, peut contribuer à caractériser un manquement au devoir de vigilance. L’engagement volontaire devient alors opposable : intégré dans des documents contractuels ou dans des communications publiques, il peut être mobilisé par le juge pour apprécier l’étendue des obligations de vigilance[29]. En reprenant les principes et méthodes de référentiels volontaires préexistants, cette loi opère une incorporation normative[30] : certains standards relevant de la soft law acquièrent, par leur mention ou leur mobilisation dans un texte contraignant, une force quasi obligatoire. Le devoir de vigilance se base donc sur une multitude de normes d’origines légales et contractuelles, ayant une force contraignable à géométrie variable. Le mécanisme d’alignement sur les « best in class », déjà mentionné plus haut renforce également le caractère impératif des référentiels de soft law, créant indirectement une forme de « norme » générale, permettant aux juges de comparer les différentes plan publiés et mesures mises en place par les entreprises.
11. La transparence comme instrument stratégique. – Ce basculement s’accompagne d’un transfert de responsabilité normative : l’État énonce le principe, mais l’entreprise définit les modalités, choisit ses indicateurs et rend compte publiquement de ses résultats. L’obligation de vigilance combine ainsi une responsabilité rétrospective (répondre des manquements) et prospective (anticiper et prévenir). Dans cette architecture, la transparence devient l’instrument principal de justification et de preuve, mais aussi une source de vulnérabilité juridique. En effet, le plan de vigilance peut devenir un outil stratégique entre les mains des parties prenantes, visant à contraindre l’entreprise à produire une transparence substantielle, c’est-à-dire un contenu précis, complet et vérifiable.
Les affaires récentes visant TotalEnergies illustrent cette dynamique. Plusieurs ONG (Les Amis de la Terre, Survie, Notre Affaire à Tous) demandaient en référé que TotalEnergies complète/précise son plan de vigilance concernant les projets Tilenga et EACOP (mesures, cartographie, suivi). Le juge des référés s’est déclaré incompétent au profit du tribunal de commerce : l’élaboration et la mise en œuvre du plan sont qualifiées d’« actes de gestion » relevant des relations économiques de l’entreprise ; compétence consulaire confirmée en appel. En qualifiant le plan de vigilance comme un instrument de gouvernance interne, ces décisions déplacent le contentieux vers un juge centré sur les enjeux économiques et la liberté de gestion, et rendent plus difficile un contrôle immédiat et substantiel, en urgence, du contenu (et donc de la transparence effective) du plan. Elles illustrent ainsi que la transparence devient un levier stratégique : ce que l’entreprise choisit d’exposer (ou non) dans son plan structure le terrain procédural et la densité du contrôle juridictionnel[31].
Dans un second contentieux (2020-2021), d’autres ONG et plusieurs collectivités ont demandé l’alignement du plan sur l’Accord de Paris ; le tribunal judiciaire s’est reconnu compétent, ouvrant une voie civile potentiellement plus propice à un contrôle substantiel du contenu du plan[32]
Ces affaires, inédites en France, ont conduit à des décisions divergentes sur la compétence juridictionnelle, révélant que l’absence de standardisation de l’obligation de vigilance ne laisse pas seulement aux entreprises une marge de manœuvre sur le contenu des plans, mais ouvre aussi un champ d’incertitude sur la nature du contrôle juridictionnel de cette obligation de transparence.
12. L’arrêt « La Poste » : une transparence nécessaire. – À cet égard, l’arrêt rendu par la Cour d’appel de Paris le 17 juin 2025 constitue une illustration marquante de l’ambivalence de la transparence dans le cadre du devoir de vigilance[33]. Première décision d’appel au fond sur cette loi, il confirme une lecture nuancée du champ de la transparence à la charge des entreprises[34]. La Cour a examiné, de manière méthodique, plusieurs composantes du plan de vigilance de La Poste : la cartographie des risques ; les procédures d’évaluation des filiales, sous-traitants et fournisseurs ; les actions d’atténuation et de prévention des atteintes graves ; le mécanisme d’alerte et de recueil des signalements ; le dispositif de suivi des mesures.
Sur ce fondement, la juridiction a enjoint à La Poste : (i) de compléter la cartographie des risques afin d’assurer leur identification, leur analyse et leur hiérarchisation ; (ii) d’établir des procédures d’évaluation des sous-traitants adaptées aux risques identifiés ; (iii) de mettre en place un mécanisme d’alerte concerté avec les organisations syndicales représentatives ; (iv) de publier un véritable dispositif de suivi des mesures de vigilance.
La Cour a précisé que les mesures de vigilance doivent être spécifiques et adaptées aux activités et opérations de l’entreprise, et non génériques. Elle a également clarifié que si la loi n’impose pas formellement de consulter les parties prenantes lors de la cartographie des risques, elle exige un dialogue effectif avec les syndicats représentatifs pour la mise en place du mécanisme d’alerte.
13. L’arrêt « La Poste » : une transparence à deux vitesses. – En revanche, la Cour a confirmé que La Poste n’était pas tenue, au titre du devoir de vigilance, de publier la liste exhaustive de ses fournisseurs et sous-traitants, consacrant ainsi la possibilité de limiter la diffusion de certaines informations jugées sensibles ou stratégiques. Cette position s’écarte de l’interprétation défendue par certaines ONG, telles que Sherpa, dont le guide d’interprétation (2018) insiste sur l’exhaustivité attendue : identification de toutes les sociétés couvertes, recensement complet des risques, précision sur les actions menées, moyens engagés et résultats obtenus[35].
En retenant cette approche, la Cour valide implicitement la possibilité pour l’entreprise de distinguer un plan interne, exhaustif et détaillé, d’un plan public, volontairement partiel. Comme le souligne J.-B. Barbièri, « c’est l’organisation de cette transparence qu’il faut penser, avec toutes les nuances (et les excès) qu’elle peut permettre »[36]. Cette conception rejoint les réflexions sur la « contractualisation de la transparence » dans la chaîne de valeur. Ainsi, L.-M. Augagneur observe que des stipulations contractuelles peuvent encadrer strictement l’accès, la diffusion et l’usage des informations sensibles partagées avec des partenaires, afin d’éviter tout « dévoiement » à des fins concurrentielles ou opportunistes[37].
En définitive, l’arrêt La Poste met en lumière la tension structurelle entre l’objectif de redevabilité et la préservation des intérêts stratégiques de l’entreprise. Plus la transparence publique est fragmentée, plus l’efficacité des mécanismes de contrôle externe et des contre-pouvoirs est réduite.
L’évolution législative récente, avec l’article L. 211-21 du Code de l’organisation judiciaire désignant des tribunaux judiciaires spécialisés, pourrait contribuer à homogénéiser ce contrôle et, partant, à renforcer la portée régulatrice de la transparence dans le devoir de vigilance[38]. En pratique, la transparence cesse alors d’être un simple affichage : elle produit un effet normatif, notamment lorsque les juges, en s’appuyant sur des référentiels ou sur la pratique sectorielle, commencent à apprécier la suffisance et la précision des informations publiées.
IV. Défis persistants et perspectives
14. L’épineuse notion de « risque ». – Dans le cadre du devoir de vigilance, le « risque » n’est jamais une donnée neutre : il est produit par des processus organisationnels, des outils et… des choix. Première limite, structurelle : la sélection stratégique des risques à communiquer. De nombreuses grandes entreprises externalisent une partie de la cartographie à des cabinets de conseil ; la commission d’enquête du Sénat a précisément documenté l’influence de ces cabinets sur les politiques publiques et les outils de gestion, en soulignant les risques de dépendance méthodologique et d’« alignement » des diagnostics sur des matrices standardisées qui peuvent minorer certains risques sensibles pour le donneur d’ordre[39]. Les cabinets de conseil se positionnent en « hub de compétences » pour reprendre l’expression utilisée par Roland Berger et Wavestone dans leur réponse à l’accord-cadre de la DITP en 2017 : ils mobilisent tout un écosystème varié de partenaires, « dans une logique de fertilisation » et en garantissant un « fonctionnement sans couture à l’administration »[40]. À rebours de ce biais, les Principes directeurs de l’OCDE sur le devoir de diligence exigent une implication substantielle des parties prenantes tout au long de la chaîne de valeur et déconseillent toute approche de conformité « case-par-case » centrée sur la seule remontée d’informations internes[41].
Deuxième écueil, récurrent : une vigilance concentrée sur l’amont (fournisseurs de rang 1) au détriment de l’aval (usages, mises sur le marché, fin de vie), alors que l’OCDE recommande explicitement d’identifier et de prévenir les incidences en amont et en aval de l’activité, y compris au-delà des relations contractuelles immédiates[42]. Cette myopie « amont » entretient un angle mort sur des risques diffus, pourtant juridiquement pertinents lorsqu’ils résultent des « relations commerciales établies » au sens du Code de commerce.
Troisième problème, conceptuel : la confusion entre risque brut (inherent risk) et risque net (residual risk). Les référentiels de gestion des risques rappellent que le premier se mesure avant toute mesure de maîtrise, quand le second se calcule après prévention, atténuation et contrôle ; les mélanger revient à neutraliser la hiérarchisation et à rendre la cartographie falsifiable[43]. Dans une logique de redevabilité, l’entreprise devrait donc publier, au minimum, les hypothèses clés, les niveaux de probabilité/gravité bruts et les écarts résiduels réellement obtenus, faute de quoi l’exercice perd sa portée probatoire.
15. L’entreprise face aux risques systémiques. – On peut ajouter une quatrième limite à l’analyse des risques du devoir de vigilance : la compréhension encore défaillante de certains risques systémiques, tel que le risque cyber. Trop souvent, ils sont appréhendés au seul prisme de la protection des données personnelles, alors que l’enjeu premier pour les droits des personnes peut s’avérer être la continuité de service : une attaque paralysant un opérateur de communications ou un prestataire critique peut interrompre l’accès à des services vitaux (santé, information, paiements). Les rapports de l’ENISA (European Union Agency for Cybersecurity) montrent la montée en puissance d’incidents systémiques ; la directive (UE) 2022/2555 dite « NIS 2 » généralise d’ailleurs une gestion holistique du risque, imposant politiques de gestion des risques, continuité et notification aux entités essentielles et importantes bien au-delà du périmètre « données personnelles »[44].
De l’évolution de la prise en compte par le législateur du risque cyber se dessine une évolution normative majeure : l’émergence d’une forme de responsabilité de continuité de service privé dans des secteurs dont la défaillance affecte directement l’effectivité des droits des individus. Un nombre grandissant de règlementations sectorielles abordent ce risque systémique. Par exemple, le Code européen des communications électroniques et le Code des postes et des communications électroniques français imposent déjà aux opérateurs des obligations de permanence, de qualité, de disponibilité, de sécurité et d’intégrité des réseaux, incluant la continuité des communications d’urgence et la notification d’incidents : « L’établissement et l’exploitation des réseaux ouverts au public et la fourniture au public de services de communications électroniques sont libres sous réserve du respect de règles portant sur les conditions de permanence, de qualité, de disponibilité, de sécurité et d’intégrité du réseau et du service qui incluent des obligations de notification à l’autorité compétente des incidents de sécurité ayant eu un impact significatif sur leur fonctionnement »[45]. Dans la finance, le règlement DORA (Digital Operational Resilience Act) érige la continuité opérationnelle cyber et les tests de résilience en standard opposable à toutes les entités financières et à leurs prestataires critiques, avec une obligation de transparence de l’entité sur ses tiers critiques, afin que l’autorité puisse déterminer des tiers critiques pour la place, c’est-à-dire des tiers dont l’arrêt d’activité, par exemple en cas de cyberattaque, pourrait entrainer des impacts systémiques sur les entités financières[46]. Ajoutée aux exigences NIS 2 pour les secteurs essentiels, cette trajectoire objective un noyau d’obligations de vigilance cyber orientées non plus seulement vers la confidentialité des données, mais vers la sûreté et la continuité des services, rejoignant la finalité protectrice du devoir de vigilance : prévenir des atteintes graves aux personnes lorsque l’arrêt d’un service privatise de facto une fonction d’intérêt général. Or, le risque cyber est absent ou sous-documenté dans la majorité des plans de vigilance.
16. Ouverture. L’épineuse question des sanctions. – Huit ans après l’entrée en vigueur de la loi française, un constat persiste : l’effectivité demeure lacunaire. En octobre 2024, près de 20 % des entreprises assujetties n’avaient toujours pas publié de plan de vigilance, faute notamment d’autorité indépendante chargée d’en contrôler la mise en conformité ; et lorsqu’ils existent, ces plans présentent souvent des contenus « particulièrement faibles », révélant une opacité persistante sur les mesures effectivement déployées le long des chaînes de valeur[47].
C’est précisément à ce nœud de tensions que se place ce travail : montrer comment la transparence, conçue comme levier de redevabilité, peut devenir outil de contrôle narratif ; comment la définition et la hiérarchisation des risques (bruts / résiduels, amont / aval) orientent la portée réelle de l’obligation, pourquoi les dimensions systémiques tel que le cyber, au cœur de la continuité d’activité et, partant, de l’accès effectif aux droits, exige de dépasser une lecture centrée sur la seule entreprise ; Enfin, il convient de souligner que l’architecture des sanctions (aujourd’hui parcimonieuse) conditionne l’effectivité du dispositif. Autrement dit : rendre visible, comparable et vérifiable ce que la loi entend prévenir est nécessaire pour que la vigilance cesse d’être un affichage et devienne une norme opératoire.
Ce décalage entre conformité affichée et effective nourrit une judiciarisation progressive, malgré un dispositif français peu armé répressivement. En effet, la loi sur le devoir de vigilance n’institue ni amende administrative ni autorité de supervision dédiée ; elle s’appuie sur la mise en demeure, l’injonction sous astreinte et, en cas de manquement, la responsabilité civile de droit commun. Cependant dans la pratique, la mise en demeure est utilisée comme outil stratégique de précontentieux. De 2017 à 2024, on ne recense qu’une trentaine de mises en demeure et treize actions judiciaires, pour deux décisions au fond, signe d’un contrôle juridictionnel lent et parcellaire, et d’un effet normatif qui reste largement tiré par la pression réputationnelle et le dialogue contentieux avec les parties prenantes. D’où l’intérêt, pour la suite, d’interroger des mécanismes de sanction procédurale (standards minimaux de publication, audit tiers, « comply or explain » renforcé) capables de donner une effectivité homogène au principe de transparence. Dans ce contexte, la perspective d’un devoir de vigilance européen (avec la création d’autorités nationales de contrôle[48]) serait susceptible d’entrainer une montée en puissance du contrôle externe et une exigence accrue de transparence substantielle.
Amélie Bahu, doctorante contractuelle, Université Paris I Panthéon-Sorbonne ; Tristan Quilès, doctorant en droit privé, Université Paris I Panthéon-Sorbonne, juriste cyber
Notes
[1] Sur le concept de transparence v. J-F Kerléo, « De quoi la transparence est-elle juridiquement le nom ? Pour une définition d’un concept de norme de transparence en vue de rationaliser le discours juridique », in La transparence et le droit, RDA, 2023, n° 26, p. 125. ; T. Duchesne, « La transparence en droit des affaires : la délicate question du contrôle de l’information sur la durabilité », in La transparence et le droit, RDA, 2023, n° 26, p. 75. ;
[2] B. Delaunay, « La transparence de la vie économique », Les Nouveaux Cahiers du Conseil constitutionnel, avril 2018, n° 59, p. 23 34.
[3] v. pour une association explicite des notions de transparence et d’accessibilité, PE et Cons. UE, dir. n° 2024/1760, 13 juin 2024, JOUE L, 5 juill. 2024, sur le devoir de vigilance des entreprises en matière de durabilité et modifiant la directive (UE) 2019/1937 et le règlement (UE) 2023/2859, considérant 59.
[4] J-F Kerléo, op. cit., p.125
[5] Pour une lecture critique de la transparence et ses effets préjudiciables v. notamment G. Carcassonne, « Le trouble de la transparence », Pouvoirs, avril 2001, n° 97, p.17-23. « Si la manie du secret est évidemment inacceptable, la transparence érigée en dogme ne l’est pas moins. Elle confond la fin et les moyens et, dans son absolutisme, se rattache beaucoup plus étroitement au totalitarisme qu’à la démocratie. »
[6] L. Dubin « Entreprise multinationale », Répertoire de droit international, Dalloz, novembre 2021.
[7] v. en ce sens, CA Paris, 5-12, 18 juin 2024, no 23/10583, Suez ; Dans l’arrêt Suez, la Cour d’appel de Paris énonce que « l’obligation d’établir un plan de vigilance étant l’expression particulière, formelle et publique de l’obligation générale et continue de vigilance […], il est logique que les documents présentés par les parties comme des plans distincts ne soient que les versions successives et actualisées d’un plan unique émanant d’une même personne morale » : au-delà d’un acte ponctuel de communication, la transparence constitue une exigence dynamique et continue, indissociable d’un engagement permanent de l’entreprise envers ses parties prenantes
[8] L’absence de publication, fait par ailleurs l’objet, depuis 2019, d’un « radar du devoir de vigilance », accessible en ligne, mis en place par CCFD-Terre Solidaire et Sherpa, dont l’objectif est précisément de suivre et contribuer à la mise en œuvre du devoir de vigilance par les entreprises. v. https://plan-vigilance.org
[9] Nieto Martin, A. et Vilà Cuñat, A. (2025). « Histoires de Cronopes et Fameux dans la protection pénale de l’environnement, du climat et de la durabilité. », Revue de science criminelle et de droit pénal comparé, 1(1), 3-26.
[10] Le considérant 62 du préambule de la directive CS3D du 13 juin 2024, soulignait ainsi que « le devoir de vigilance consiste notamment à publier des informations pertinentes sur les politiques, les processus et les activités de vigilance adoptés par l’entreprise pour recenser les incidences négatives réelles ou potentielles et y remédier, notamment sur les résultats et conclusions de ces activités. » cf. PE et Cons. UE, dir. n° 2024/1760, 13 juin 2024, JOUE L, 5 juill. 2024, sur le devoir de vigilance des entreprises en matière de durabilité et modifiant la directive (UE) 2019/1937 et le règlement (UE) 2023/2859. ; v. également C. Michon, « Devoir de vigilance et transparence », Cahiers de droit de l’entreprise, Septembre-Octobre 2022, n° 5, dossier 4.
[11] M.-A. Frison-Roche, « La responsabilité ex ante, pilier du droit de la compliance », Recueil Dalloz, 2022, n°12, p. 621.
[12] V. égal., B. Parance, E. Groulx et V. Chatelin, « Regards croisés sur le devoir de vigilance et le duty of care », JDI, 2018, n° 1, doctr. 2, p. 21 et s.
[13] Ce sont ainsi « les formes, les procédés et le contenu à respecter pour qu’une information soit communiquée qui composent la norme de transparence. En droit, la transparence se comprend donc comme un mode de transmission d’une information» V. J-F Kerléo, « De quoi la transparence est-elle juridiquement le nom ? Pour une définition d’un concept de norme de transparence en vue de rationaliser le discours juridique », in La transparence et le droit, RDA, 2023, n° 26, p. 125.
[14] Mekki, « Le devoir de vigilance, pointe avancée de la compliance », p.15.
[15] Rappr. Morrell Heald, The Social Responsibilities of Business. Company and Community, 1900-1960, Cleveland, Press of Case Western Reserve University, 1970, cité par Rapport AN, Proposition de loi pour une éthique responsable des affaires, n° 4884, déposée le mardi 11 janvier 2022.
[16] Conseil d’État, Étude annuelle 2020. Conduire et partager l’évaluation des politiques publiques, Paris, La Documentation française, 2020 (étude approuvée par l’assemblée générale du Conseil d’État le 9 juillet 2020). Concernant les sanctions économiques indirectes issues d’enquêtes ou de demandes d’informations supplémentaires, on peut citer la guerre économique menée par la Chine contre le Cognac français, la Chine ayant lancé plusieurs enquêtes anti-dumping contre des marques de spiritueux français, ce qui a entrainé une baisse considérable de la valeur des différentes entreprises en bourse, dès l’annonce des enquêtes. V. en ce sens T. Quiles et A. Clabault « Cognac, véhicules électriques et autres histoires… », conférence, Comité culture & influence des Jeunes IHEDN, 1er décembre 2024 ; supports en ligne : NORMA Project, 3 déc. 2024
[17] L’article L. 225-102-1 du Code de commerce ( anc. art. L.225-102-4, issu de la loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et entreprises donneuses d’ordre), détaille en cinq point succincts, les mesures contenues dans le plan « 1° Une cartographie des risques destinée à leur identification, leur analyse et leur hiérarchisation ; 2° Des procédures d’évaluation régulière de la situation des filiales, des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie, au regard de la cartographie des risques ; 3° Des actions adaptées d’atténuation des risques ou de prévention des atteintes graves ; 4° Un mécanisme d’alerte et de recueil des signalements relatifs à l’existence ou à la réalisation des risques, établi en concertation avec les organisations syndicales représentatives dans ladite société ; 5° Un dispositif de suivi des mesures mises en œuvre et d’évaluation de leur efficacité. »
[18] C. com, art. L. 225-102-4, II. Dans le cadre de la proposition Omnibus, cette étendue serait bientôt limitée : sauf exceptions, seraient exclus les partenaires commerciaux indirects ( Proposition de la Commission, art. 4.4 ; Proposition du Conseil,art. 4.4) V.Comm. UE, Proposition de directive du Parlement européen et du Conseil modifiant les directives 2006/43/CE, 2013/34/UE, (UE) 2022/2464 et (UE)2024/1760 en ce qui concerne certaines obligations relatives à la publication d’informations en matière de durabilité et au devoir de vigilance applicables aux entreprises, COM(025) 81 final, 26 févr. 2025 ; Commission des affaires juridiques du Parlement européen, Draft report on the proposal for a Directive of the European Parliament and of the Council amending Directives 2006/43/EC, 2013/34/EU, (EU) 2022/2464 and (EU) 2024/1760 as regards certain corporate sustainability reporting and due diligence requirements, 2025/0045(COD), 26 mai 2025 ; Cons. UE, Proposal for a Directive of the European Parliament and of the Council amending Directives 2006/43/EC, 2013/34/EU, (EU) 2022/2464 and (EU) 2024/1760 as regards certain corporate sustainability reporting and due diligence requirements. Mandate for negotiaions with the European Parliament, 2025/0045(COD), 21 juin 2025
[19] Deux visions différentes du devoir de vigilance peuvent ainsi être adoptées : l’une simplifiée, s’adaptant à l’organisation actuelle des entreprises, et l’autre, exigeante, qui « doit conduire les entreprises qui se trouvent à la tête d’une chaîne d’activités à configurer cette dernière à la mesure de leur capacité d’exercer leur vigilance. Cette interprétation exigeante conduit les entreprises à renforcer leurs moyens de vigilance pour qu’ils soient à la mesure de leur devoir. Elle peut aussi conduire à réinternaliser certaines activités ou à en relocaliser d’autres, etc. » v. T. Sachs,« Le projet de directive Omnibus : anatomie d’un recul du devoir de vigilance »,Revue du travail, 2025, p.248. ; v. également les propositions de modifications du Haut Comité Juridique de la Place financière de Paris de l’article 8 de la CS3D, dédié au Champ de la chaine d’activités soumis l’obligation de procéder à une évaluation approfondie, v. HCJP, avis rendu à l’occasion de la publication de la proposition de directive « Omnibus » modifiant certaines dispositions de la Directive européenne sur le devoir de vigilance, 24 avril 2025.
[20] Ce point tend à évoluer, notamment à travers le croisement des différentes informations dues au titre de la vigilance (la CS3D ) et celles dues au titre de la durabilité (la CSRD), mais le devoir de vigilance semble toujours lacunaire face aux standards imposés dans les reportings financier.
[21] Sur l’encadrement normatif v. également, CNCDH, « Proposition Omnibus I : résister à la dérégulation au détriment des droits humains et de l’environnement », avis n° A-2025-5, adopté le 20 mai 2025, publié le 26 mai 2025.
[22] En ce sens, v. Sherpa, Bilan de l’application de la loi sur le devoir de vigilance, 2021, p. 12.
[23] Sur le manque de clarté normative et procédurale, voir TJ Paris, 28 février 2023, n° 22/53942 et 22/53943, soulignant que la loi a fixé des objectifs « monumentaux » sans fournir de lignes directrices précises ni standards d’évaluation, ce qui a conduit le tribunal à solliciter l’avis exceptionnel de trois professeurs, M.-A. Frison-Roche, B. Deffains, et J.-B. Racine comme amici curiae ; v. CNCDH, Avis sur le devoir de vigilance, 2020, p. 9 ; v. également Sherpa, Bilan de l’application de la loi sur le devoir de vigilance, 2021, p. 14.
[24] Voir par exemple Pauline Barraud de Lagerie, Elodie Béthoux, Rémi Bourguignon, Arnaud Mias, Élise Penalva-Icher. « Mise en oeuvre de la Loi sur le devoir de vigilance Rapport sur les premiers plans adoptés par les entreprises » . [Rapport de recherche] Bureau International du Travail. 2019. Voir https://hal.science/hal-02819496/file/2020%20-%20rapport%20OIT%20Vigilance.pdf
[25] L. D’Ambrosio, « Le devoir de vigilance : une innovation juridique entre continuités et ruptures », Droit et société, 2020, n°106, p.633-647. ; voir également J.-Ph. Robé, « Responsabilité limitée des actionnaires et responsabilité sociale de l’entreprise », Entreprises et histoire, 2009, n°57, p.165-183.
[26] P. Deumier, « La responsabilité sociétale de l’entreprise et les droits fondamentaux », Recueil Dalloz, 2013, p. 1564.
[27] L. d’Ambrosio, « Le contentieux contre les Carbon Majors : esquisse d’un système de responsabilité des entreprises dans le domaine du changement climatique », in M. Torre-Schaub (dir.), Les dynamiques du contentieux climatique. Usages et mobilisation du droit, Paris, Mare et Martin, 2021, p. 215 et s.
[28] OCDE, Lignes directrices à l’intention des entreprises multinationales, 2011 ; ONU, Principes directeurs relatifs aux entreprises et aux droits de l’homme, 2011.
[29] V. en ce sens Cass. com., 23 janvier 2007, n° 05-13189, où la Cour de cassation a jugé que la qualification « purement éthique » d’un engagement ne s’impose pas au juge : lorsqu’une partie exprime clairement la volonté de s’obliger, même de manière présentée comme morale, cet engagement peut produire des effets juridiques contraignants.
[30] G. Branellec, I. Cadet, Le devoir de vigilance des entreprises françaises : la création d’un système juridique en boucle qui dépasse l’opposition hard law et soft law, 12ᵉ Congrès du RIODD « Quelles responsabilités pour les entreprises ? », Paris, 19-20 octobre 2017, version déposée le 4 février 2019 sur HAL SHS, [en ligne] : https://shs.hal.science/halshs-02000819v1.;( Mekki, « Le devoir de vigilance, pointe avancée de la compliance », 2023, p. 12-14.
[31] TJ Nanterre, ord. réf., 30 janv. 2020, nos 19/02833 et 19/02834 ; CA Versailles, 10 déc. 2020, nos 20/01692 et 20/01693.
[32] TJ Nanterre, ord. JME, 11 févr. 2021, n° 20/00915. Exception d’incompétence rejetée : le tribunal judiciaire retient sa compétence au regard du droit d’option du demandeur non commerçant, en se référant notamment à Cass. com., 18 nov. 2020, n° 19-19.463 (dit « Uber »). Portée : cette voie civile permet aux ONG/collectivités de solliciter un contrôle plus normatif de la conformité du plan de vigilance aux objectifs de l’Accord de Paris.
[33] CA Paris, 17 juin 2025, n° RG 24/05193 confirmation des injonctions prononcées le 5 déc. 2023
[35] Sherpa, Guide d’interprétation de la loi sur le devoir de vigilance, déc. 2018 ; P. Barraud de Lagerie, E. Béthoux, R. Bourguignon, A. Mias, E. Penalva-Icher, Mise en œuvre de la loi sur le devoir de vigilance : rapport sur les premiers plans adoptés par les entreprises, Rapport pour le Bureau International du Travail (BIT), Genève, 2020.
[36] J.-B. Barbièri, « Devoir de vigilance : la cour d’appel garde le cap », Droit des sociétés, juill. 2025, n° 7, alerte 138
[37] Sur le risque de dévoiement et l’aménagement de nouvelles garanties par les entreprises afin de s’en protéger, v. notamment L-M Augagneur, « Les transactions de durabilité dans les relations économiques »,RTD com., 2025, p. 15.
[38] Loi n° 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte, art. L. 211-21 du Code de l’organisation judiciaire
[39] Sénat, Rapport d’information n° 578 (2021-2022) — Commission d’enquête sur l’influence des cabinets de conseil privés sur les politiques publiques, 2022 (chap. « Le pilotage par les consultants »). Lien (site du Sénat) : https://www.senat.fr/rap/r21-578-1/r21-578-16.html
[40] Réponse de Roland Berger à l’appel d’offres de la DITP (à l’époque SGMAP), novembre 2017.
[41] OCDE, Guide OCDE sur le devoir de diligence pour une conduite responsable des entreprises, 2018. Le guide souligne notamment la nécessité de récolter les différents risques posés en amont de la chaine de valeur, et d’instaurer une culture de la communication d’informations tout au long de cette dernière, afin de communiquer des risques plus proche de la réalité parfois éloignée géographiquement. voir https://www.oecd.org/content/dam/oecd/fr/publications/reports/2018/02/oecd-due-diligence-guidance-for-responsible-business-conduct_c669bd57/a9375127-fr.pdf
[42] Ibid.
[43] COSO & WBCSD, Applying Enterprise Risk Management to Environmental, Social and Governance-related Risks, 2018. Ce rapport définit le risque brut comme « Le risque pour une entité en l’absence de mesures directes ou ciblées de la part de la direction pour en modifier la gravité. » et le risque net comme « Risque restant après que la direction a pris des mesures pour en modifier la gravité. ». L’étude souligne a plusieurs reprises la notion de « choix des risques résiduels » par l’entreprise, celle-ci devant sélectionner les mesures à mettre en place, et parle de « risque résiduel cible », défini comme niveau de risque qu’une entité préfère assumer dans la poursuite de sa stratégie et de ses objectifs commerciaux, sachant que la direction mettra en œuvre ou a mis en œuvre des mesures directes ou ciblées visant à modifier la gravité du risque. ». Voir sur https://docs.wbcsd.org/2018/10/COSO_WBCSD_ESGERM_Guidance.pdf
[44] ENISA, Threat Landscape 2024, voir sur https://www.enisa.europa.eu/sites/default/files/2024-11/ENISA%20Threat%20Landscape%202024_0.pdf
[45] Code des postes et des communications électroniques, art. L. 33-1 I a) et I e). Ces dispositions existent également au niveau européen : « Les États membres veillent à ce que les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public prennent des mesures techniques et organisationnelles adéquates et proportionnées pour gérer les risques en matière de sécurité des réseaux et des services de manière appropriée. Compte tenu des possibilités techniques les plus récentes, ces mesures garantissent un niveau de sécurité adapté au risque existant. En particulier, des mesures sont prises, y compris le chiffrement le cas échéant, pour prévenir et limiter l’impact des incidents de sécurité pour les utilisateurs et pour d’autres réseaux et services. », Directive (UE) 2018/1972 établissant le Code européen des communications électroniques (CECE), article 40. Lien : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32018L1972
[46] Règlement (UE) 2022/2554 (« DORA ») du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier.Voir Règlement (UE) 2022/2554 (« DORA ») du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier. Lien : https://eur-lex.europa.eu/eli/reg/2022/2554/oj/eng
[47] Novethic, « Yves Rocher, Casino, ou encore Lactalis… Près de 20 % des entreprises soumises au devoir de vigilance sont hors des clous », 14 octobre 2024, en ligne : https://www.novethic.fr/economie-et-social/droits-humains/entreprises-manquements-devoir-vigilance-france
[48] Au niveau de l’Union, la directive (UE) 2024/1760 du 13 juin 2024 sur le devoir de diligence des entreprises en matière de durabilité (« CS3D ») impose aux États membres de désigner une ou plusieurs autorités nationales de contrôle, indépendantes et dotées de pouvoirs d’enquête, d’injonction et de mesures provisoires, et organise leur coopération au sein d’un Réseau européen des autorités de contrôle (art. 24–25 et 28). Elle exige un régime de sanctions “effectives, proportionnées et dissuasives”, comprenant a minima des amendes (calculées sur le chiffre d’affaires mondial net, plafond légal ≥ 5 %) et la publicité des décisions pendant au moins cinq ans (art. 27, § 1, § 4–5). La directive institue en outre un régime de responsabilité civile permettant l’indemnisation intégrale des victimes en cas de manquement intentionnel ou négligent aux obligations de diligence (art. 29).
