Vigilance ou compliance ? - Loi relative au devoir de vigilance : le jour d'après

Une fois de plus, la France pourrait être considérée comme avant-gardiste en matière de droits de l’homme. La « Loi relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre » n° 2017-399 du 27 mars 2017 ne se limite pas à de simples obligations de divulgation, tels que le prévoient par exemple le « UK Modern Slavery Act » ou le « Californian Transparency in Supply Chains Act ». Elle exige que certaines entreprises mettent en place un plan de vigilance “effectif” en matière de risques environnementaux, de risques liés à la santé, à la sécurité et aux violations des droits de l’homme. Elle concerne les sociétés françaises d’une certaine taille, employant au moins 5.000 salariés (ce compris dans leurs filiales directes ou indirectes en France) ou  10.000 salariés (ce compris dans  leurs filiales directes ou indirectes, en France ou à l’étranger).

Cette loi a été adoptée après un long et laborieux processus parlementaire, mettant en évidence la crainte chez certains de voir les entreprises françaises souffrir, du fait de ces nouvelles obligations, d’un désavantage concurrentiel. Ces peurs sont exagérées. Les acteurs – notamment les ONG -  ayant soutenu le projet de loi dès son origine en s’appuyant sur l’indignation publique suite au désastre du Rana Plaza, ont pu se réjouir que cette loi ait pu voir le jour, même si elle a été amputée de ses dispositions relatives aux amendes civiles. Mais comme toute célébration, le jour d’après peut se caractériser par une « gueule de bois ». Autrement dit, la loi va-t-elle réellement produire les effets attendus ?

Des contours clairs et des zones d’ombre

Rappelons que le plan de vigilance devant être établi et mis en œuvre doit comporter un certain nombre de « mesures raisonnables » afin d’identifier et de prévenir les « atteintes graves » dans les domaines évoqués précédemment, une cartographie et des procédures d’évaluation régulière de ces risques, des actions adaptées afin d’atténuer ces risques et de prévenir les atteintes graves, un mécanisme d’alerte et de recueil de signalement relatifs à ces risques, ainsi qu’un dispositif de suivi de ces mesures et d’évaluation de leur efficacité. Ce plan doit être rendu public selon les dispositions prévues au Code de commerce, de même qu’un compte-rendu de sa mise en œuvre effective. Les activités visées ne sont pas seulement celles de la société et de ses filiales, mais également des sous-traitants et fournisseurs avec lesquels est entretenue une relation commerciale établie.

Le texte de loi laisse quelques zones d’ombre, en particulier sur ce qu’il faut entendre par « effectif » ou « mesures raisonnables ».  Ceci étant dit, un certain nombre de grandes entreprises disposent d’une direction juridique et/ou de la compliance (ainsi qu’éventuellement d’une direction des risques) qui les aideront à mieux comprendre l’impact de la loi et comment s’y conformer. La question sera vraisemblablement encore plus délicate à gérer pour certains sous-traitants et fournisseurs ne bénéficiant pas nécessairement des mêmes moyens.  

Même s’il est important que les directions juridiques, de la compliance et des risques, soient en situation de conseiller l’entreprise quant à la portée de la loi, sa substance, et le dispositif à mettre en place pour satisfaire ses exigences, l’entreprise doit avoir pour objectif majeur de mener des actions effectives de due diligence sur le terrain

Efficacité en question

Cependant, les lois qui exigent l’adoption de procédures de management élaborées – telles que la loi relative au devoir de vigilance – échouent en général à atteindre le résultat souhaité grâce à ces procédures. De nombreux travaux de recherche ont démontré la nécessité d’une culture organisationnelle permettant à des procédures de management formelles d’avoir les effets désirés. Si les grandes entreprises françaises avaient des cultures organisationnelles où les actionnaires, administrateurs, managers et employés étaient convaincus que l’entreprise, lorsqu’elle mène ses opérations (y compris avec ses partenaires et ses fournisseurs), devrait identifier et prévenir les risques autres que ceux de l’entreprise elle-même, et plus largement ceux de potentielles victimes, alors une loi comme celle du 27 mars 2017 serait utile. Mais l’influence de la « hard law » sur les cultures organisationnelles et les perceptions individuelles est limitée. Au contraire, les lois ont parfois des effets contre-productifs, en particulier quand les employés perçoivent l’existence d’une déconnexion entre le programme formel de compliance de l’entreprise et ses routines informelles de management.

Un signal positif ?

Par ailleurs, la loi du 27 mars 2017  n’est pas contraignante à un point tel qu’elle pourrait rendre les groupes français moins compétitifs. En effet, quel est le risque réel pour une société-mère de voir sa responsabilité engagée dans l’hypothèse où, par exemple, les droits de l’homme ne seraient pas respectés dans le cadre de l’une de ses activités ? La victime devra démontrer qu’un dommage a été causé à cause de l’absence d’un plan de vigilance effectif. Le simple fait que cette violation et ce dommage existent suffit-il à déterminer la non-effectivité du plan ? En démontrant qu’elles ont respecté point par point les dispositions de la loi, les entreprises ne sont-elles pas en mesure de se protéger du risque d’être poursuivies par d’éventuelles victimes ? Dès lors, en quoi cette loi améliore-t-elle la situation de ces dernières ? On pourrait rétorquer que le risque médiatique et réputationnel est néanmoins bien présent, mais est-ce suffisant ?

Peut-être pourrions-nous considérer, finalement, que cette nouvelle loi envoie un signal positif et constitue un pas en avant. Nous connaissons certains dirigeants ou managers d’entreprises françaises qui se sont très investis pour implanter de manière significative les « Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme », et particulièrement les mesures de due diligence en matière de droits de l’homme dans les actions quotidiennes de l’entreprise, au-delà des évaluations de l’impact social.

Même s’il est important que les directions juridiques, de la compliance et des risques, soient en situation de conseiller l’entreprise quant à la portée de la loi, sa substance, et le dispositif à mettre en place pour satisfaire ses exigences, l’entreprise doit avoir pour objectif majeur de mener des actions effectives de due diligence sur le terrain. Dans le cas contraire, on peut craindre que la loi de mars 2017 n’ait pas d’autre conséquence que d’entrainer les grandes entreprises à élaborer des documents de communication et des procédures de « box ticking » sophistiqués pour expliquer combien elles sont attachées au respect des droits de l’homme et à l’environnement. Un public non-averti peut se satisfaire d’une loi en apparence très exigeante, mais qui pourrait générer plus de bureaucratie que d’impact véritable en matière de droits de l’homme et d’environnement. Mais certaines entreprises, espérons le, saisirons cette opportunité pour revoir leur stratégie et leur business model.