Achats Responsables & Devoir de Vigilance
Module 3 : Plan de vigilance & achats responsables
3.1 Construire un plan de vigilance opposable
Le plan de vigilance n'est pas un document de communication, c'est un document juridique opposable à publier annuellement. Voici la structure standard, les pièges à éviter et les bonnes pratiques retenues par la jurisprudence et la doctrine.
L'architecture en 5 piliers (article L.225-102-4)
Pilier 1 — La cartographie publiée
La cartographie présentée dans le plan de vigilance doit aller au-delà d'une liste générique de risques. Elle doit montrer une analyse documentée, datée, hiérarchisée et géographiquement localisée.
Composantes obligatoires :
- Périmètre de la cartographie : sociétés mère et filiales contrôlées, sous-traitants et fournisseurs en relation commerciale établie. Préciser le nombre d'entités couvertes et la méthode de sélection.
- Catégories de risques : 4 catégories légales (droits humains, libertés fondamentales, santé-sécurité, environnement) déclinées en sous-catégories opérationnelles.
- Méthodologie : sources utilisées (Verisk, ITUC, OCDE), critères de notation, comité de validation.
- Résultats agrégés : nombre de fournisseurs en zones rouge / orange / jaune / verte, par catégorie de risque et par géographie.
- Évolution par rapport à l'année précédente (montée ou descente des risques).
Précaution juridique : la jurisprudence française (TJ Paris, La Poste 2023) considère que la cartographie doit être spécifique, pas générique. Une description abstraite (« nous identifions les risques droits humains dans notre chaîne d'approvisionnement ») est jugée insuffisante. Le juge attend une cartographie par site, par catégorie de fournisseurs, par géographie.
Pilier 2 — Procédures d'évaluation
Le plan doit décrire les processus opérationnels mis en place pour évaluer en continu les filiales, sous-traitants et fournisseurs. Composantes attendues :
- Référentiels utilisés : EcoVadis, SMETA, BSCI, SA8000, audits internes propres. Justification des choix par typologie.
- Couverture : nombre et % de fournisseurs évalués sur l'année (cible : 100 % des fournisseurs en zone rouge évalués chaque année).
- Fréquence : audit tous les X mois / années selon le niveau de risque.
- Critères d'évaluation : ce qui est mesuré (conformité OIT, EPI, salaires, etc.).
- Suivi des non-conformités : nombre identifiées, % résolues, délai moyen.
Pilier 3 — Actions adaptées d'atténuation et de prévention
Coeur de la valeur ajoutée du plan : traduire les risques identifiés en mesures concrètes. Selon le type de risque et la causalité, l'éventail des actions est large :
Actions amont (contractuelles)
- Clauses ESG dans les contrats achats
- Code de conduite fournisseurs signé
- Droit d'audit unilatéral
- Résiliation pour manquement
- Conditions de paiement intégrant prix vital
Actions opérationnelles
- Formations dispensées aux acheteurs
- Accompagnement des fournisseurs PME
- Soutien financier pour la mise en conformité
- Cartographie continue (mise à jour 1×/an)
- Comité paritaire fournisseur (dialogue terrain)
Actions externes (multi-acteurs)
- Accords-cadres internationaux (IndustriALL, UNI)
- Adhésion à des initiatives sectorielles (BSCI, Fair Wear)
- Coopération avec ONG locales
- Soutien à des projets de remédiation collectifs
Actions de désengagement
- Suspension temporaire des commandes
- Réduction progressive de la part du fournisseur
- Désengagement responsable avec préavis
- Soutien à la transition des salariés
Pour chaque action publiée, indiquer le résultat attendu, l'échéance et le responsable. Le plan devient ainsi un document de gouvernance et non un texte de communication.
Pilier 4 — Mécanisme d'alerte concerté avec les syndicats
Spécificité de la loi 2017 : le mécanisme d'alerte doit être élaboré en concertation avec les organisations syndicales représentatives au sein de la société. Cette concertation n'est pas symbolique — elle conditionne la validité juridique du mécanisme.
Composantes attendues :
- Canaux multiples : web, téléphone (numéro vert), courrier, en présentiel.
- Disponibilité 24/7 et multilingue (langues des principaux pays de production).
- Anonymat possible avec garantie de non-représailles.
- Plateforme externe indépendante (BKMS, EQS Integrity Line, Whispli, NAVEX) recommandée pour la confiance.
- Procédure de traitement documentée : accusé de réception, instruction, décision, retour à l'émetteur.
- Articulation avec la loi Sapin II (lanceurs d'alerte) et la loi Waserman du 21 mars 2022. Voir chapitre 3.3.
Périmètre des bénéficiaires : salariés internes, salariés des fournisseurs et sous-traitants, mais aussi tiers (communautés affectées, ONG, journalistes). Le mécanisme doit être accessible à tous, pas seulement aux salariés directs.
Pilier 5 — Dispositif de suivi et indicateurs
Le suivi ne doit pas se résumer à un récapitulatif descriptif. Il doit présenter des indicateurs chiffrés, idéalement comparables d'une année sur l'autre. Indicateurs minimum attendus :
| Catégorie | Indicateur clé | Cible type |
|---|---|---|
| Couverture | % de fournisseurs critiques évalués sur l'année | ≥ 90 % |
| Couverture | % de sites en pays à risque audités SMETA / BSCI | 100 % tous les 2 ans |
| Détection | Nombre de non-conformités majeures détectées | Indicateur brut (transparence) |
| Traitement | % de non-conformités majeures clôturées sous 12 mois | ≥ 80 % |
| Alertes | Nombre d'alertes reçues / traitées / abouties | Indicateur brut |
| Formation | % d'acheteurs formés au devoir de vigilance | 100 % en 2 ans |
| Désengagement | Nombre de désengagements responsables effectués | Indicateur brut |
Le suivi doit être présenté au comité exécutif et au comité d'audit du conseil d'administration au moins une fois par an. Le compte-rendu de cette présentation est attendu dans le plan publié.
Format, publication, audit
Aspects opérationnels souvent oubliés mais critiques :
- Volume : un plan de vigilance crédible fait typiquement 50 à 150 pages. Les plans < 20 pages sont systématiquement considérés comme insuffisants par les juges et les ONG.
- Publication : intégrée au rapport de gestion et mise en ligne en accès libre sur le site de la société (URL stable et indexable).
- Mise à jour annuelle : un plan figé d'une année sur l'autre est considéré comme une preuve d'inefficacité.
- Compte-rendu de mise en œuvre : publié séparément OU intégré au plan, il rend compte des actions concrètes réalisées dans l'année écoulée.
- Audit externe : pas obligatoire pour le plan vigilance 2017 mais devenu standard de marché. Désormais intégré à l'audit CSRD du commissaire aux comptes.
- Approbation gouvernance : validation explicite par le comité exécutif et le conseil d'administration mentionnée dans le plan.
À retenir
- Le plan de vigilance est un document juridique opposable, pas de communication. Volume typique : 50-150 pages.
- 5 piliers : cartographie, évaluation, actions, mécanisme d'alerte, suivi. Tous doivent être documentés et chiffrés.
- La cartographie générique est juridiquement insuffisante. Le juge attend une analyse spécifique par site, catégorie, géographie.
- Mécanisme d'alerte concerté avec les syndicats (condition de validité loi 2017). Accessible aux salariés internes, fournisseurs et tiers.
- La transparence sur les non-conformités est désormais perçue comme une preuve de maturité, pas comme un aveu.
- Publication : rapport de gestion + URL stable. Mise à jour annuelle obligatoire. Approbation explicite du COMEX et du CA.