TL;DR:
- Le devoir de vigilance concerne désormais toutes les entreprises, y compris PME et ETI, en raison du relâchement progressif des seuils légaux et européens. La mise en œuvre effective d’un plan de vigilance, intégrant cartographie, évaluation et suivi, est essentielle pour limiter la responsabilité civile et respecter la réglementation. Des solutions automatisées, comme Kontractis, facilitent cette gestion en assurant traçabilité et conformité en temps réel.
Le devoir de vigilance entreprise est souvent perçu comme une contrainte réservée aux multinationales. C’est une erreur qui coûte cher. Même si votre PME ou ETI ne dépasse pas les seuils légaux actuels, vous êtes déjà exposé : vos donneurs d’ordre grands groupes vous imposent leurs propres exigences par ruissellement contractuel, et les seuils européens vont s’abaisser d’ici 2029. Comprendre ce que la loi exige aujourd’hui, anticiper ce qu’elle exigera demain, et savoir comment structurer concrètement votre démarche : c’est exactement l’objet de ce guide.
Table des matières
- Points clés
- Cadre légal du devoir de vigilance en France
- Les cinq piliers du plan de vigilance
- Un jugement de 2026 qui fait jurisprudence
- Intégrer la vigilance dans vos achats
- Mon regard sur le défi réel des PME/ETI
- Automatisez votre conformité avec Kontractis
- FAQ
Points clés
| Point | Détails |
|---|---|
| Seuils légaux actuels | La loi française de 2017 ne s’applique qu’aux entreprises de plus de 5 000 salariés en France ou 10 000 dans le monde. |
| Ruissellement contractuel | Les PME/ETI sous-traitantes sont déjà concernées indirectement via les clauses imposées par leurs donneurs d’ordre. |
| Directive CS3D à venir | La transposition européenne avant juillet 2028 abaissera les seuils et exposera davantage les ETI d’ici 2029. |
| Plan de vigilance en 5 points | Cartographie, évaluation, actions, alerte et suivi constituent les cinq piliers obligatoires du dispositif. |
| Risque civil et réputationnel | Un jugement de 2026 illustre que l’absence de vigilance réelle sur les filiales ou sous-traitants engage la responsabilité civile. |
Cadre légal du devoir de vigilance en France
La loi du 27 mars 2017 a introduit en France une obligation inédite : les grandes entreprises doivent établir, publier et mettre en œuvre un plan de vigilance couvrant leurs propres activités, celles de leurs filiales, et celles de leurs fournisseurs et sous-traitants. Ce n’est pas une simple déclaration d’intention. C’est une obligation de moyens renforcée, dont le non-respect ouvre la voie à une mise en demeure puis à une action en responsabilité civile.
Qui est concerné aujourd’hui ?
Les seuils d’application sont précis : 5 000 salariés en France ou 10 000 dans le monde, en comptant les filiales directes et indirectes. En pratique, cela concerne environ 300 sociétés françaises. Votre PME ou ETI n’est donc probablement pas directement assujettie. Mais ce n’est pas la fin de l’histoire.
La directive CS3D change la donne
La directive européenne CS3D, adoptée en 2024, doit être transposée en droit national avant le 26 juillet 2028. Elle structure les obligations autour de six étapes de diligence inspirées des lignes directrices de l’OCDE : identifier, prévenir, mettre fin, suivre, communiquer et réparer. Son périmètre sera progressivement élargi, et les PME/ETI seront indirectement concernées par ruissellement contractuel et par l’abaissement des seuils d’ici 2027 à 2029.
Le paquet Omnibus I, adopté en parallèle, vise à simplifier certaines obligations CSRD et CS3D pour les PME, mais ne supprime pas le risque contractuel. Les CSRD et CS3D sont complémentaires : l’une impose le reporting, l’autre impose la mise en œuvre effective du processus de diligence.
| Régime | Seuil | Échéance |
|---|---|---|
| Loi française 2017 | 5 000 salariés (France) ou 10 000 (monde) | En vigueur |
| Directive CS3D (phase 1) | Grandes entreprises UE (500+ salariés) | Transposition avant juillet 2028 |
| Directive CS3D (phase 2) | ETI et entreprises à risque élevé | Progressif jusqu’en 2029 |
Les sanctions administratives prévues par la CS3D peuvent atteindre 3 % du chiffre d’affaires net mondial, avec obligation de publication pendant cinq ans. Ce n’est plus un risque théorique.
Les cinq piliers du plan de vigilance
La loi française impose un plan structuré autour de cinq éléments obligatoires : cartographie des risques, procédures d’évaluation, actions d’atténuation, mécanisme d’alerte et dispositif de suivi. Chacun de ces piliers a des implications directes sur la façon dont vous gérez vos sous-traitants.
Cartographie des risques
La cartographie ne se limite pas à vos fournisseurs directs. Elle doit couvrir les partenaires directs et indirects situés dans des zones ou secteurs à risque élevé. En pratique, cela signifie documenter chaque niveau de votre chaîne d’approvisionnement, identifier les pays et secteurs sensibles, et actualiser cette cartographie régulièrement.
Évaluation et audits
Les procédures d’évaluation comprennent des questionnaires de qualification, des audits documentaires et des visites terrain pour les fournisseurs à risque. Un audit de vigilance ne se résume pas à collecter des attestations. Il s’agit de vérifier que les pratiques réelles correspondent aux déclarations.
- Questionnaires RSE envoyés à chaque nouveau fournisseur avant référencement
- Audit documentaire annuel ou semestriel selon le niveau de risque
- Audit terrain pour les fournisseurs stratégiques ou situés dans des zones sensibles
- Critères de sélection intégrant des clauses sociales et environnementales dans les appels d’offres
Actions d’atténuation et mécanisme d’alerte
Les actions d’atténuation peuvent aller du plan de progrès partagé avec le fournisseur jusqu’à la résiliation du contrat. Le mécanisme d’alerte doit permettre à toute personne concernée, y compris les salariés des sous-traitants, de signaler un risque ou un manquement. Ce canal doit être accessible, confidentiel et documenté.
Conseil de pro: Ne confondez pas le mécanisme d’alerte du plan de vigilance avec le dispositif de signalement interne prévu par la loi Sapin II. Les deux coexistent mais ont des périmètres distincts. Documentez-les séparément pour éviter toute confusion lors d’un contrôle.
Suivi et reporting
Le dispositif de suivi mesure l’efficacité des actions mises en place. Il doit produire des indicateurs clés publiés dans le rapport annuel. La responsabilité sociale entreprise n’est plus perçue comme volontaire par les investisseurs et les donneurs d’ordre : elle est devenue un critère d’évaluation concret.
Un jugement de 2026 qui fait jurisprudence
En avril 2026, un tribunal français a condamné un grand groupe cosmétique pour manquement au devoir de vigilance concernant une filiale turque. C’est la première condamnation au fond sur ce fondement en France. Les enseignements pour les PME/ETI donneuses d’ordre sont directs.
Le tribunal a relevé trois défauts majeurs dans le dispositif de l’entreprise :
- Cartographie incomplète : les risques liés à la filiale turque n’avaient pas été identifiés malgré des signaux d’alerte documentés dans la presse sectorielle.
- Absence d’évaluation réelle : le plan de vigilance mentionnait des audits qui n’avaient jamais été conduits. La forme était là, le fond manquait.
- Mécanisme d’alerte inopérant : le canal de signalement existait sur le papier, mais aucun salarié de la filiale n’en avait connaissance.
“Un plan de vigilance qui n’est pas mis en œuvre de façon effective n’a aucune valeur juridique protectrice. Le juge regarde la réalité des pratiques, pas le document publié.”
La responsabilité civile a été engagée sur la base de la faute, du dommage et du lien de causalité. Pour une PME ou ETI donneuse d’ordre, la leçon est claire : un plan formel sans mise en œuvre réelle aggrave votre situation plutôt qu’elle ne la protège. La documentation de vos diligences effectives est votre seule défense.
Intégrer la vigilance dans vos achats
Passer du cadre légal à la pratique quotidienne, c’est le vrai défi des responsables conformité et achats. Voici comment structurer cette intégration sans transformer votre service en bureau de contrôle.
Évaluer votre exposition réelle
Commencez par cartographier votre propre situation. Êtes-vous directement assujetti à la loi de 2017 ? Vos donneurs d’ordre grands groupes vous imposent-ils déjà des clauses de vigilance ? Quels sous-traitants présentent les risques les plus élevés selon leur secteur, leur localisation ou leur taille ? Cette évaluation conditionne le niveau de priorité à donner à chaque action.
Mettre à jour vos contrats
Les clauses contractuelles sont votre premier levier. Elles doivent prévoir :
- L’obligation pour le sous-traitant de fournir des documents de conformité à jour (attestations fiscales, sociales, assurances)
- Le droit d’audit de votre part avec préavis raisonnable
- Des engagements RSE minimaux adaptés au secteur
- Des pénalités ou conditions de résiliation en cas de manquement avéré
Conseil de pro: Intégrez une clause de “flux descendant” obligeant votre sous-traitant à imposer les mêmes exigences à ses propres sous-traitants. C’est ce que font les grands groupes avec vous. Reproduire ce mécanisme vous protège et vous permet de démontrer une chaîne de vigilance cohérente.
Automatiser le contrôle documentaire
La gestion manuelle des documents de conformité fournisseurs est une source d’erreurs et d’oublis. Un tableau de comparaison entre les deux approches parle de lui-même :
| Approche manuelle | Approche automatisée |
|---|---|
| Relances par email, délais variables | Alertes automatiques J-30 et J-7 avant expiration |
| Tableur mis à jour manuellement | Tableau de bord en temps réel |
| Risque d’oubli sur les renouvellements | Notification immédiate en cas d’anomalie |
| Archivage dispersé | Centralisation sur portail dédié |
| Audit chronophage | Traçabilité complète et exportable |
Pour aller plus loin sur comment mettre en place vigilance dans vos processus achats, le guide complet de Kontractis détaille les étapes opérationnelles adaptées aux donneurs d’ordre.
Mon regard sur le défi réel des PME/ETI
Je travaille depuis plusieurs années avec des responsables conformité et achats dans des PME et ETI françaises. Ce que j’observe systématiquement, c’est un décalage entre la perception du risque et la réalité des pratiques.
La plupart des équipes savent qu’elles ont des obligations. Elles collectent des documents, elles relancent leurs fournisseurs, elles ont parfois un tableur bien tenu. Mais quand je creuse, je trouve presque toujours les mêmes lacunes : des documents expirés non détectés, des sous-traitants de rang 2 jamais évalués, et surtout aucune traçabilité des diligences effectuées.
Ce qui me frappe dans le jugement d’avril 2026, c’est que l’entreprise condamnée avait un plan de vigilance publié. Elle avait coché les cases. Ce n’était pas suffisant parce que la mise en œuvre réelle était absente. Pour une PME ou ETI, le même devoir vigilance s’applique par ricochet contractuel, et les grands groupes qui vous mandatent n’hésiteront pas à se retourner contre vous en cas de problème.
Mon conseil : ne traitez pas la vigilance comme un projet de conformité à finaliser. Traitez-la comme un processus continu, intégré à votre cycle d’achat, avec des preuves documentées à chaque étape. La technologie existe pour rendre ça faisable sans alourdir vos équipes. L’anticipation est votre meilleure protection, bien avant que la contrainte légale ne s’impose formellement à votre taille d’entreprise.
— Aimen
Automatisez votre conformité avec Kontractis
Mettre en place un devoir de vigilance entreprise efficace ne devrait pas mobiliser trois personnes à plein temps sur des relances et des tableurs. Kontractis a été conçu précisément pour les donneurs d’ordre qui veulent une conformité fournisseurs fiable sans y consacrer des ressources disproportionnées.
Avec Kontractis, vos sous-traitants déposent leurs documents sur un espace prestataire dédié. L’intelligence artificielle analyse chaque document, vérifie son authenticité et sa validité, et déclenche des alertes intelligentes avant chaque expiration. Vous suivez la conformité de l’ensemble de votre panel fournisseurs depuis un tableau de bord en temps réel, avec une traçabilité complète exportable pour vos audits. Plus de relances manuelles, plus de risque d’oubli, et une documentation solide si votre responsabilité est un jour questionnée.
FAQ
Qu’est-ce que le devoir de vigilance en droit français ?
Le devoir de vigilance est une obligation légale introduite par la loi du 27 mars 2017, imposant aux grandes entreprises d’établir et mettre en œuvre un plan de vigilance couvrant leurs activités, filiales, fournisseurs et sous-traitants pour prévenir les atteintes aux droits humains et à l’environnement.
Les PME sont-elles concernées par la loi sur la vigilance des entreprises ?
Directement, non : les seuils actuels (5 000 salariés en France ou 10 000 dans le monde) excluent la majorité des PME. Indirectement, oui : elles subissent les exigences de leurs donneurs d’ordre grands groupes, et la directive CS3D élargira progressivement le périmètre d’ici 2029.
Que doit contenir un plan de vigilance ?
Un plan de vigilance doit obligatoirement inclure une cartographie des risques, des procédures d’évaluation des fournisseurs, des actions d’atténuation, un mécanisme d’alerte accessible et un dispositif de suivi avec indicateurs publiés.
Quelles sanctions en cas de manquement au devoir de vigilance ?
La loi française prévoit une mise en demeure puis une action en responsabilité civile. La directive CS3D introduit des sanctions administratives pouvant atteindre 3 % du chiffre d’affaires net mondial, avec publication obligatoire pendant cinq ans.
Comment mettre en place la vigilance sur mes sous-traitants concrètement ?
Commencez par cartographier vos fournisseurs selon leur niveau de risque, mettez à jour vos clauses contractuelles, collectez et vérifiez les documents de conformité de façon régulière, et documentez chaque étape pour constituer une preuve de diligence effective en cas de contrôle ou de litige.