28 juillet 2025 • Lecture 8 minutes
La Cour d’appel de Paris dessine les contours des obligations à la charge des acteurs économiques en matière de devoir de vigilance
La décision de la chambre 5-12 de la Cour d'appel de Paris dédiée aux contentieux émergents rendue le 17 juin 2025 dans l’affaire SA La Poste c/ Syndicat SUD PTT était très attendue, tant la loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre souffre de l’absence de lignes directrices permettant aux entreprises assujetties de répondre, en toute sécurité juridique, aux obligations qui leur incombent. Si certaines questions peuvent encore rester en suspens à l’issue de cette décision, celle-ci a le mérite d’apporter des clarifications substantielles sur i) la teneur de la cartographie des risques, ii) les procédures d’évaluation des sous-traitants et fournisseurs, iii) la concertation avec les organisations syndicales quant au mécanisme d’alerte, ainsi que iv) sur la publication d’un dispositif de suivi des mesures de vigilance.
Cartographie des risques : les précisions apportées par la Cour sur les exigences de la loi
S’agissant, dans un premier temps, de la cartographie des risques, le Tribunal judiciaire de Paris avait estimé, dans sa décision rendue en première instance le 5 décembre 2023, que la cartographie de l’entreprise n’était pas selon lui conforme aux exigences de la loi sur le devoir de vigilance, notamment en ce qu’elle était réalisée à « un très haut niveau de généralité » qui « ne [permettait] pas de déterminer quels facteurs de risque précis liés à l’activité et à son organisation [engendraient] une atteinte aux valeurs protégées » et que « l’analyse des risques et leur hiérarchisation se [réalisait] à un niveau particulièrement global ».
Il est intéressant de relever que la Cour, après avoir noté que l’article L.225-102-4 I 1° du code de commerce ne détaille pas précisément les attentes du législateur en matière d’identification, d’analyse et de hiérarchisation des risques, se réfère à cet égard à plusieurs normes internationales et européennes pour apprécier le contenu de la cartographie. Elle s’appuie sur le principe directeur n° 24 de l’ONU1 pour rappeler que l’article L.225-102-4 du code de commerce n’impose pas aux entreprises assujetties de prévenir ou d’atténuer tous les impacts négatifs de leur activité, mais uniquement les « risques ou atteintes graves ». La Cour se fonde, par ailleurs, sur le texte de la Directive (UE) 2024/1760 du Parlement européen et du Conseil du 13 juin 2024 sur le devoir de vigilance des entreprises en matière de durabilité (communément appelée la « CS3D »)2 pour définir la méthodologie que doivent adopter les entreprises quant à l’identification des risques dans le cadre de l’exercice de cartographie. A la lumière de ces textes, elle conclut que ces dernières doivent prendre en compte les risques réels et potentiels inhérents à leurs activités mais également à celles de leurs partenaires dans leur chaîne de valeur afin de recenser « les domaines généraux dans lesquels les incidences négatives sont les plus susceptibles de se produire et d’être les plus graves ».
Il en résulte, que la Cour, parfaitement alignée avec la position du Tribunal judiciaire de Paris, estime que la cartographie des risques de La Poste, qu’il s’agisse des activités du groupe ou celles de ses fournisseurs, prestataires et sous-traitants, fait état de risques décrits en des termes généraux articulés autour de trois catégories (droits humains et libertés fondamentales, santé et sécurité au travail, environnement) sans suffisamment préciser leur degré de gravité ni les facteurs de risques pertinents qui ont permis de les retenir empêchant dès lors toute réelle hiérarchisation entre lesdits risques.
De surcroît, la Cour reproche à la cartographie des risques de l’entreprise de ne faire état que d’une « évolution globale des risques », exposée de façon succincte, sans procéder à une analyse précise desdits risques. En l’espèce, d’après l’arrêt d’appel, la méthodologie qui a été suivie se limite à décrire les niveaux de risques nets en des termes tels que « maîtrisé et mineur », « globalement maîtrisé et limité », et en l’absence du degré de gravité afférent à chaque risque, n’a guère convaincu la Cour. Celle-ci considère à cet égard que si la loi n’exige pas que le plan de vigilance des entreprises communique sur l’ensemble des risques qui peuvent se présenter au sein de leurs activités, le plan doit en revanche mettre en évidence les risques qui présentent le niveau le plus élevé tels qu’identifiés et hiérarchisés par la cartographie, exercice qui peut être fait, selon elle, « de façon synthétique mais néanmoins précise ».
Évaluation des sous-traitants et fournisseurs : l’identification des risques et leur hiérarchisation au cœur des exigences légales
S’agissant, dans un second temps, des procédures d’évaluation des sous-traitants et fournisseurs, la Cour note que l’entreprise a mis en avant l’existence d’outils d’évaluation composés de questionnaires, d’audits documentaires et d’audits sur sites déployés au sein de leurs sous-traitants et fournisseurs dont la note d’évaluation n’est pas satisfaisante ou qui exigent une analyse prioritaire eu égard aux résultats de la cartographie des risques. Toutefois en l’absence d’identification, d’analyse et de hiérarchisation des risques les plus graves dans la cartographie des risques, la Cour a estimé que cette procédure d’évaluation des tiers ne pouvait être considérée comme conforme aux exigences de la loi.
Concertation sur le mécanisme d’alerte : la Cour précise les contours de l’obligation légale
Concernant, dans un troisième temps, de la question relative à la concertation avec les organisations syndicales quant au mécanisme d’alerte, La Poste a fait valoir que la notion de concertation au sens de la loi n’exigeait pas une décision de concert, ni une coopération avec les organisations syndicales et que par conséquent le niveau de concertation exigé par le tribunal ne correspondait ni à l’intention du législateur français ni à celui des rédacteurs européens de la CS3D, qui prévoit simplement que les organisations syndicales soient informées de la procédure d’alerte. Dans sa décision, la Cour a rappelé que la concertation diffère d’une simple consultation sur un projet prédéfini et suppose, dans les faits, une transmission d’éléments d’information et un échange de points de vue et de propositions sur la rédaction du contenu et la mise en œuvre du mécanisme à établir en amont de son élaboration. En l’espèce, la Cour a estimé que l’absence de comptes-rendus des réunions organisées versés au débat ne permettait pas de démontrer qu’une réelle concertation avait été engagée avec le syndicat requérant s’agissant de l’adoption d’un mécanisme d’alerte.
Suivi des mesures de vigilance : une méthodologie encore à construire selon la Cour
S’agissant enfin de la publication d’un réel dispositif de suivi de mesures de vigilance, le Tribunal avait, dans sa décision du 5 décembre 2023, estimé que les indicateurs présentés par l’entreprise dans son plan de vigilance étaient présentés succinctement et de manière aléatoire, de sorte que le compte-rendu du plan de vigilance ne permettait pas de mesurer utilement l’efficacité des mesures prises ni de servir de bilan pour orienter l’action en matière de vigilance. La Cour relève, au terme de sa propre analyse du chapitre du plan de vigilance intitulé « compte-rendu de mise en œuvre effective : indicateurs de performance » que celui-ci présente essentiellement des indicateurs sélectionnés par La Poste révélant une évolution dans certains domaines mais qui n’apportent pas d’informations sur la mise en œuvre et les effets des mesures de vigilance prévues par le plan.
La Cour ne précise toutefois pas la manière dont les entreprises devraient, selon elle, présenter les indicateurs de performance, laissant en conséquence potentiellement augurer de nouveaux contentieux sur ce même sujet. Un moyen sans doute de réduire le risque de condamnation future sur ce pilier particulier du devoir de vigilance pourrait consister à s’appuyer notamment sur la norme ESRS 2 de la CSRD (« Corporate Sustainability Reporting Directive »)3 qui explique avec force détails la méthodologie que doivent suivre les entreprises quant à l’adoption et le suivi des indicateurs de performances sur les normes ESRS thématiques. Puisqu’elle se réfère déjà, dans son arrêt, à la CS3D, la Cour aurait pu éventuellement envisager de franchir un pas supplémentaire en s’appuyant également sur la CSRD, offrant alors quelques utiles précisions additionnelles.
Aux termes de cet arrêt important, la Cour d’appel de Paris vient ainsi, en partie, combler les principales carences d’une loi très exigeante dans son ambition mais très générale dans sa rédaction, en s’efforçant de la rendre plus intelligible et opérationnelle pour les entreprises. D’autres décisions à venir seront néanmoins nécessaires pour permettre aux acteurs économiques de disposer de la sécurité juridique qu’ils sont en droit d’attendre, limitant d’autant leurs risques, réels ou potentiels, sur ce sujet aux impacts multi-dimensionnels.
1« Lorsqu’il est nécessaire de conférer aux mesures un rang de priorité pour remédier aux incidences négatives potentielles sur les droits de l’homme, les entreprises devraient commencer par prévenir et atténuer les atteintes les plus graves ou celles auxquelles tout retard d’intervention donnerait un caractère irrémédiable ».
2Notamment les articles 8 et 9 de la Directive (UE) 2024/1760 du Parlement européen du 13 juin 2024 sur le devoir de vigilance des entreprises en matière de durabilité et modifiant la Directive (UE) 2019/1937 et le Règlement (UE) 2023/2859.
3Directive (UE) 2022/2464 du Parlement européen et du Conseil du 14 décembre 2022 modifiant le Règlement (UE) no 537/2014 et les Directives 2004/109/CE, 2006/43/CE et 2013/34/UE en ce qui concerne la publication d’informations en matière de durabilité par les entreprises.