Achats Responsables & Devoir de Vigilance

Achats Responsables & Devoir de Vigilance

Module 2 : Cartographier les risques fournisseurs

Module 2 : Cartographie des risques 20 min de lecture

2.1 La méthodologie OCDE : référentiel mondial du due diligence

Le « Guide OCDE sur le devoir de diligence pour une conduite responsable des entreprises » (2018) est le référentiel reconnu par la CS3D, les Nations Unies, la Banque mondiale et la quasi-totalité des cabinets de conseil. Voici les 6 étapes opérationnelles à connaître.

Le cycle OCDE en 6 étapes
1
Intégrer

Gouvernance, politiques, formation

2
Identifier & évaluer

Cartographie, priorisation

3
Prévenir & atténuer

Plans d'action, levier

4
Suivre

Indicateurs, audits

5
Communiquer

Reporting public

6
Réparer

Mécanismes de remédiation

1

L'origine et l'autorité du guide OCDE

Le « Guide OCDE sur le devoir de diligence pour une conduite responsable des entreprises », publié en 2018, est l'aboutissement de 40 ans de travaux de l'OCDE sur les « Principes directeurs à l'intention des entreprises multinationales » (1976, révisés en 2000, 2011 et 2023). Il s'inscrit dans la continuité directe des Principes directeurs des Nations Unies relatifs aux entreprises et aux droits humains (UNGP, John Ruggie, 2011) qui ont structuré le débat mondial.

Le guide est reconnu comme référentiel par la CS3D (considérant 16 : « Les obligations de vigilance prévues par la présente directive sont inspirées des Principes directeurs des Nations Unies relatifs aux entreprises et aux droits humains et des Principes directeurs de l'OCDE »), par la norme ISO 26000, par la SBTi, et par l'ensemble des standards de notation extra-financière (Moody's ESG, MSCI, Sustainalytics).

Concrètement, pour un directeur achats ou un juriste RSE, maîtriser le guide OCDE est aujourd'hui le socle de compétence attendu pour piloter un dispositif vigilance / CS3D. Les certifications académiques (Sciences Po, ESCP, EDHEC) en font systématiquement la pierre angulaire de leurs programmes.

2

Étape 1 — Intégrer dans les politiques et systèmes

Le due diligence ne fonctionne pas comme un projet ponctuel : il doit être intégré structurellement dans l'organisation. Cette intégration comporte 4 composantes :

  • Engagement de la direction générale : déclaration publique signée par le PDG, validation au comité exécutif, ratification par le conseil d'administration.
  • Politique de due diligence formalisée : un document de 5 à 15 pages qui définit le champ, les principes, les responsabilités, l'articulation avec les autres politiques (RSE, achats, anti-corruption, RGPD).
  • Code de conduite fournisseurs : référentiel à signer par les fournisseurs (souvent dérivé du UN Global Compact, du SA8000 ou de la BSCI). Couvre travail forcé, travail des enfants, salaire vital, santé-sécurité, liberté syndicale, environnement, corruption.
  • Formation des équipes : direction des achats, juridique, RSE, finance, opérations. Modules de 4 à 14 h selon les rôles, renouvelés tous les 2 ans.

L'intégration est structurellement difficile dans les organisations à culture achats traditionnelle (focus prix). Le directeur achats doit accepter que les critères de sélection des fournisseurs ne soient plus le seul triptyque « prix - qualité - délai », mais s'étendent à « prix - qualité - délai - conformité ESG ».

2

Étape 2 — Identifier et évaluer les risques

C'est l'étape la plus visible et la plus chronophage. Elle consiste à construire une cartographie qui croise deux dimensions :

  • Par périmètre : opérations propres (sites, filiales), fournisseurs directs (Tier 1), fournisseurs indirects (Tier 2 et au-delà), clients et utilisateurs finaux.
  • Par catégorie de risque : travail forcé, travail des enfants, discrimination, liberté syndicale, salaire vital, santé-sécurité, droit foncier, biodiversité, climat, eau, pollution, corruption.

Pour chaque case du croisement (typiquement 10 à 50 cases), le risque est noté selon trois critères :

  1. Gravité (impact si l'événement survient) : faible / modéré / élevé / très élevé.
  2. Probabilité de survenance : rare / peu probable / probable / très probable.
  3. Lien de causalité de l'entreprise : cause directe, contribution, ou simple lien commercial.

Le croisement de ces 3 critères donne une note composite (0-100 ou A-E) qui hiérarchise les risques. Les risques « hot spots » (note maximale, lien direct) deviennent prioritaires pour les étapes 3 et suivantes. C'est cette logique qu'on développe en détail au chapitre 2.3.

— Publicité —
3

Étape 3 — Prévenir et atténuer : la notion de levier

L'OCDE distingue 3 types de réponse à un risque identifié, selon le degré de causalité de l'entreprise :

Cause directe

L'entreprise est à l'origine du dommage. Obligation de cesser immédiatement et de réparer. Ex : pollution d'une rivière par un site industriel.

Contribution

L'entreprise contribue au dommage (par action ou inaction). Obligation de cesser sa contribution, user de son levier pour faire cesser, participer à la réparation. Ex : prix d'achat trop bas qui force le sous-traitant à des conditions de travail dégradées.

Lien commercial direct

L'entreprise est liée au dommage uniquement via la relation commerciale. Obligation d'user de son levier auprès du tiers responsable pour faire cesser. Ex : un fournisseur Tier 2 méconnu emploie des enfants.

La notion de levier (« leverage ») est centrale. L'OCDE recommande d'agir par paliers progressifs : sensibilisation, demande de plan d'action, audits renforcés, suspension partielle des commandes, et — en dernier recours — désengagement responsableresponsible exit »). Le désengagement brutal sans plan d'atténuation des impacts sociaux du retrait est considéré comme contraire au due diligence : il aggrave souvent la situation des travailleurs locaux.

4

Étape 4 — Suivre l'efficacité des mesures

Le suivi mesure l'efficacité réelle, pas le déploiement administratif. Indicateurs clés à mettre en place :

  • Taux de couverture : % de fournisseurs critiques évalués / audités sur l'année.
  • Taux de remédiation : % de non-conformités identifiées qui ont fait l'objet d'un plan d'action et d'une clôture.
  • Délai de traitement : temps moyen entre l'identification d'un risque et la mise en œuvre d'une mesure.
  • Volume d'alertes reçues, traitées, abouties (avec ventilation par typologie).
  • Indicateurs de fond : nombre d'incidents grave, accidents du travail chaîne de valeur, contentieux ouverts.
  • Audits récurrents : 100 % des fournisseurs à risque élevé audités tous les 2 ans, 100 % des fournisseurs critiques audités tous les 3 ans.

Le suivi doit être audité indépendamment. Dans le cadre CSRD, les commissaires aux comptes vérifient désormais l'effectivité des indicateurs vigilance publiés au titre des ESRS S2.

— Publicité —
5

Étape 5 — Communiquer publiquement

La communication a un double objectif : rendre des comptes aux parties prenantes et permettre le contrôle public. La CS3D et la CSRD imposent une publication très détaillée :

  • Description du modèle d'affaires et de la chaîne de valeur.
  • Politiques en place (vigilance, achats responsables, anti-corruption).
  • Risques identifiés : matérialité, périmètre, géographies, catégories.
  • Actions menées et leur efficacité (avec données quantitatives).
  • Incidents et leur traitement (transparence sur les défaillances).
  • Engagements à moyen terme et indicateurs cibles.

Cette communication ne doit pas être confondue avec du « greenwashing ». Les juridictions françaises (TGI Paris, CA Paris) et européennes (directive Empower 2024/825 contre l'écoblanchiment) sanctionnent les communications mensongères. Une description édulcorée d'un dispositif vigilance peut constituer une pratique commerciale trompeuse (L.121-1 du Code de la consommation).

6

Étape 6 — Permettre la réparation

Apport spécifique de la CS3D par rapport à la loi 2017 : l'obligation de remédiation. Quand un dommage est constaté, l'entreprise doit y répondre, soit directement, soit en collaboration.

Trois canaux de réparation possibles :

  1. Mécanismes internes : dispositifs de plainte (article 13 CS3D), commission de remédiation interne, négociation avec les parties prenantes.
  2. Mécanismes externes non-judiciaires : médiation, points de contact nationaux de l'OCDE, comités d'entreprise européens transversaux, accords-cadres internationaux (IndustriALL, UNI Global Union).
  3. Voies judiciaires : tribunaux nationaux, justice transfrontalière (mécanismes d'indemnisation collective), arbitrage international.

L'OCDE insiste : la réparation doit être proportionnée au dommage et tenir compte des conséquences indirectes. Indemniser financièrement une famille de victimes ne suffit pas si la cause structurelle (conditions de travail dangereuses) n'est pas corrigée. La logique est systémique, pas seulement individuelle.

À retenir
  • Guide OCDE 2018 : référentiel mondial du due diligence, reconnu par CS3D, UNGP, ISO 26000.
  • 6 étapes : intégrer, identifier & évaluer, prévenir & atténuer, suivre, communiquer, réparer.
  • 3 types de causalité : cause directe / contribution / lien commercial. Détermine le type de réponse exigé.
  • Notion de levier : agir par paliers progressifs (sensibilisation → audits → suspension → désengagement responsable).
  • Désengagement brutal sans plan d'atténuation = contraire au due diligence (aggrave la situation des travailleurs locaux).
  • Étape réparation (apport CS3D vs loi 2017) : 3 canaux — interne, externe non-judiciaire, judiciaire. Logique systémique.
Matrice : type de causalité → type d'action exigée
CAUSE DIRECTECesser immédiatement + réparer intégralement. L'entreprise est l'auteur du dommage. Pas de discussion possible.
CONTRIBUTIONCesser sa contribution + user du levier + participer à la réparation. Ex : prix d'achat trop bas qui force le sous-traitant à des heures supplémentaires illégales.
LIEN COMMERCIALUser du levier auprès du tiers responsable. Pas de réparation directe, mais obligation de moyens (audits, plan, désengagement responsable si échec).
Sommaire de la formation