24 avril 2013. Le Rana Plaza s’effondre provoquant la mort de 1138 ouvriers. Cet immeuble situé à Dacca au Bangladesh abritait plusieurs ateliers de confection pour les marques de textile internationales. Cet évènement cristallise alors l’absence de contrôle des entreprises sur leur chaine de valeur.
Critiquable mais salutaire en l’espèce, l’émotion a fait la loi. Preuve en est, une première proposition de loi relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre émergera le 11 février 2015 avant d’aboutir à la « loi sur le devoir de vigilance » définitivement publiée le 27 mars 2017 [1].
Cette loi, pionnière au niveau mondial, impose aux grandes sociétés d’établir, de mettre en œuvre et de publier un plan de vigilance propre à
« identifier les risques et à prévenir les atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l’environnement ».
Cette obligation a toutefois régulièrement fait l’objet d’une interprétation plus restrictive afin d’aboutir à celle de simplement identifier les risques d’atteintes graves.
Or, le texte de loi français, la décision du Conseil Constitutionnel sur sa constitutionnalité, le projet de directive européenne sur le devoir de vigilance ainsi que les principes directeurs des Nations Unies sont unanimes : tous les risques d’atteintes réelles ou potentielles doivent être identifiés.
1. L’identification de tous les risques d’atteintes, une obligation juridique claire.
En effet, selon la loi française, le plan de vigilance doit notamment comporter une « cartographie des risques destinée à leur identification leur analyse et leur hiérarchisation ». Il n’est clairement pas précisé qu’il s’agit des seuls risques « d’atteintes graves ». Le projet de directive européenne adopte une rédaction similaire en imposant aux entreprises de préciser dans leur stratégie de vigilance « les incidences négatives potentielles ou réelles sur les droits de l’homme » [2].
Il semble par ailleurs complexe de hiérarchiser les risques s’ils n’ont pas tous été préalablement identifiés et analysés. Ce n’est qu’au stade de la prévention que la loi précise le qualificatif « graves », la loi exigeant « des actions adaptées d’atténuation des risques ou de prévention des atteintes graves ».
Confirmant cette analyse, le Conseil constitutionnel, dans sa décision du 23 mars 2017, précise que « ces dernières mesures (…) sont destinées à identifier tous les risques et à prévenir toutes les atteintes graves » [3].
De même, le principe directeur 18 des Nations Unies dont s’inspire la loi française affirme que
« pour évaluer les risques relatifs aux droits de l’homme, les entreprises devraient identifier et évaluer toutes les incidences négatives effectives ou potentielles sur les droits de l’homme ».
Dès lors, sur le plan juridique, il n’y aucun débat sur le fait que tous les risques doivent être identifiés et publiés dans le plan de vigilance, conformément à l’article L225-102-4.-I du Code de commerce.
2. Des difficultés pratiques.
En revanche, sur le plan pratique, l’identification de tous les risques peut sembler complexe, de surcroît lorsque certaines multinationales ont plusieurs dizaines de milliers de fournisseurs et sous-traitants. Cela nécessite indéniablement un certain investissement humain et financier.
Les entreprises doivent en premier lieu identifier tous les risques propres à leur secteur d’activité. Sur ce point, la participation à des initiatives sectorielles pour une mutualisation de l’analyse des risques peut faciliter ce travail d’identification.
En second lieu, les entreprises doivent identifier tous les risques générés par leurs projets, notamment à travers des études d’impacts. La Blockchain pourrait être utilement envisagée pour assurer une traçabilité sur toute sa chaîne de valeur et constituer une preuve supplémentaire solide du respect par les entreprises de leur obligation de moyens.
3. Un enjeu important derrière l’identification de tous les risques.
Cette identification exhaustive des risques publiée au sein du plan de vigilance n’est pas anodine.
Tout d’abord, elle constitue le premier pilier de la démarche de vigilance. Tel un mur sans ciment, si ce pilier est mal réalisé, toute la démarche de hiérarchisation et de prévention des risques s’en trouve faussée.
Ensuite, le but poursuivi par la loi sur le devoir de vigilance est la protection des victimes, comme en atteste son exposé des motifs [4]. La publication et la mise en œuvre d’un plan de vigilance tend à éviter toute survenance d’un dommage. Or, la protection des victimes passe nécessairement par leur information préalable des risques encourus par l’activité des entreprises. Une fois informées, les parties prenantes pourront soulever les manquements dans l’identification des risques faite par l’entreprise et ainsi remédier à l’absence de certains risques.
Ce faisant, ce travail d’identification résulte d’une démarche de co-construction avec ses parties prenantes dans un but d’amélioration continue. La participation des parties prenantes se trouve d’ailleurs au cœur des textes en la matière. La loi française rappelle ainsi justement que le plan « a vocation à être élaboré avec les parties prenantes ». De même, le projet de directive européenne souligne « que des obligations complètes en matière de transparence (…) améliore la capacité de suivi des parties prenantes », raison pour laquelle « les entreprises nouent avec les parties prenantes un dialogue de bonne foi, de manière efficace, constructive et avisée, lors de l’établissement et de la mise en œuvre de leur stratégie de vigilance » [5].
Cette démarche de transparence se justifie également en termes de preuve dans le cadre d’une action en responsabilité. Si les parlementaires ont finalement renoncé au renversement de la charge de la preuve, tel qu’il apparaissait dans la première version de la proposition de loi, c’est en échange d’une publication sincère et exhaustive des risques identifiés et des mesures prises. En l’absence de publication de tous les risques identifiés, l’égalité des armes entre les parties est rompue.
Enfin, ne pas identifier tous les risques représente un risque juridique, cette omission pouvant constituer une faute de nature à engager sa responsabilité délictuelle, s’il peut être démontré un dommage que l’exécution de cette obligation d’identifier tous les risques aurait permis d’éviter.
Si la loi française a souvent été critiquée pour sa rédaction imprécise, source de trop nombreuses interprétations, les termes de la loi sont très clairs en matière d’identification des risques, tous devant être identifiés, en vue d’assurer une démarche de vigilance effective et une information éclairée des parties prenantes.
