Devoir de vigilance: "Il faut créer un effet de cascade dans la chaîne de valeur"

La proposition de loi sur le devoir de vigilance des entreprises, a été débattue hier, 18 novembre au Sénat, après avoir été rejetée, fin mars, en première lecture, par les députés. Le Sénat l'a, à son tour, rejetée en l'état. La question de comment les grandes entreprises gèrent leur responsabilité vis-à-vis de leur chaîne de sous-traitance se pose néanmoins. "En effet, les catastrophes récentes montrent que les entreprises n'ont pas encore mis en oeuvre des plans totalement efficaces visant à prévenir ces événements qui, au-delà de l'impact humain, affectent leur réputation. Mais devant l'ampleur du chantier à mener, la prudence est de mise pour éviter de soumettre les entreprises françaises à des règles coûteuses, difficiles à appliquer et potentiellement peu efficaces", commente Eric Mugnier, associé EY, expert des sujets achats et supply-chain en lien avec les sujets sociaux.

Selon vous, les entreprises françaises ont-elles des démarches qui permettent de cartographier et gérer les bons "risques fournisseurs"?

Eric Mugnier. Les grandes entreprises françaises ont engagé des démarches, pour les plus petites c'est plus rare. L'identification et la gestion des risques liés aux achats s'intègre dans un processus large de cartographie des risques (risques stratégiques, financiers, juridiques, commerciaux, de réputation, etc.). 40 % des entreprises du CAC 40 publient déjà une cartographie des achats par zone et/ou par famille d'achat et un tiers d'entre elles indiquent qu'elles mènent des audits pour mieux maîtriser leur chaîne d'approvisionnement.

Cependant, la maturité des entreprises plus petites et/ou moins exposées au grand public est sans doute moins avancée. De plus, les démarches actuelles identifient généralement les risques au niveau des fournisseurs de rang 1, alors que certains risques se situent plus loin dans la chaîne de valeur. Or, la particularité de la proposition de loi sur le devoir de vigilance des entreprises donneuses d'ordre est qu'elle demande de remonter au-delà du rang 1. Aujourd'hui, peu d'entreprises sont capables de répondre à la question à ce niveau.

Comment les entreprises peuvent-elles concrètement vérifier que leurs sous-traitants respectent les droits de l'homme et assurent à leurs salariés des conditions de travail satisfaisantes ?

Avant de parler de vérification, des mesures préventives et incitatives peuvent être mises en place par les entreprises pour pousser au respect des droits de l'homme par les fournisseurs et sous-traitants : charte et code éthique fournisseurs, intégration d'exigences RSE dans les appels d'offre, clauses contractuelles, cahier des charges, etc.

Il faut créer un effet de cascade dans la chaîne de valeur. Concernant la vérification des fournisseurs et sous-traitants, je recommande de suivre une logique d'entonnoir. Il s'agit d'abord d'effectuer une cartographie des risques, de les hiérarchiser puis de mettre en place des moyens visant selon le cas à les réduire, les supprimer, les maîtriser. Parmi l'attirail des moyens possibles figurent les audits sur les fournisseurs à risques avec des plans d'actions et un suivi pour ceux dont la performance est la plus problématique. Ensuite, il faut s'assurer que les fournisseurs réalisent eux-mêmes ces cartographies avec leurs fournisseurs.

L'esprit du texte est en effet de créer une "solidarité" dans la chaîne de valeur avec un effet de cascade des bonnes pratiques. Il ne peut s'agir de responsabiliser le dernier maillon pour tout le monde mais plutôt de s'appuyer sur le fournisseur de rang 1 et lui imposer de rendre compte. S'il n'a pas de politique et de programme, il faut se poser des questions.

L'approche que nous préconisons, chez d'EY est de combiner une approche macro sur base statistique et une approche micro par segment d'achat. Plus concrètement, sur la cartographie des risques, sur laquelle butent nombre d'entreprises du fait de la diversité des risques et des fournisseurs, nous privilégions une combinaison d'approche "macro" à partir des achats totaux et sur base statistique et "micro" pour analyser les risques par segment d'achat. L'approche macro repose sur l'utilisation de tables dites "input-output" qui permettent de traduire les volumes d'achats réels de l'entreprise en production redistribuée dans l'économie mondiale par catégorie et par géographie, jusqu'au rang 5 au moins. Le croisement de ces résultats avec des bases de données d'impacts environnementaux et sociaux par pays et par secteur permet d'identifier les zones et secteurs à risques où une analyse de risques plus fine devra être menée.

Dans un contexte règlementaire international qui évolue sur ce sujet, la réponse française est-elle isolée ? Qu'en est-il des autres dispositions internationales ?

La France n'est pas isolée en matière de réglementation mais la proposition sur le devoir de vigilance porte sur un large panel de risques, contrairement aux réglementations existantes à l'étranger qui sont plus ciblées. Après avoir vu la formalisation de standards volontaires sur ces sujets ces dernières années, en particulier sur les droits de l'Homme (principes de Ruggie, principes directeurs de l'OCDE à destination des entreprises multinationales, etc.), les lignes bougent également sur le plan réglementaire.

En termes de transparence d'abord, avec l'obligation pour les entreprises de publier des informations extra-financières. La France a eu dans ce cas un temps d'avance avec l'article 225 de la loi Grenelle 2. Mais la directive européenne sur la publication d'informations extra-financières (2014/95/UE) - qui doit être transposée dans les droits nationaux avant fin 2016 - requiert également de publier des informations sur la chaîne d'approvisionnement et de sous-traitance, afin d'identifier, de prévenir et d'atténuer les incidences négatives existantes et potentielles.

En termes de plans d'action ensuite, avec certaines réglementations nationales qui se précisent. Aux Etats-Unis, la législation sur les minerais de conflits (Dodd-Franck Act), promulguée en 2010, impose aux sociétés cotées en bourse aux États-Unis d'exercer un devoir de diligence sur leur chaîne d'approvisionnement afin de déterminer si leurs achats de minerais spécifiques ont bénéficié à des groupes armés impliqués dans des conflits. Les sociétés concernées doivent soumettre un rapport officiel sur les minéraux de conflits à la Securities and Exchange Commission (SEC).

Au Royaume-Uni, le UK Bribery Act, entrée en vigueur en juillet 2011, a introduit un nouveau délit, visant la personne morale, de défaut de prévention de la corruption pouvant être sanctionné par une amende illimitée. Cette législation impose aux entreprises de mettre en oeuvre des règles et procédures internes anti-corruption adéquates. Plus récemment, le Modern Slavery Act, promulgué en octobre 2015, impose aux organisations commerciales ayant un chiffre d'affaire de plus de 36 millions de livres et exerçant des activités au Royaume-Uni de présenter annuellement les mesures prises pour lutter contre l'esclavage moderne et la traite des êtres humains, dans leurs activités et dans leur chaîne de valeur. Cette déclaration doit décrire le business model de l'entreprise et sa chaîne de valeur, présenter la politique et les due diligence mises en oeuvre pour lutter contre les situations d'esclavage ou de traite et préciser les activités et les parties de la chaîne de valeur à risques ainsi que les mesures d'évaluation et de gestion de ces risques. Les formations des collaborateurs effectuées à ce sujet et des indicateurs de performance permettant de s'assurer que de telles situations ne se produisent sont également attendus.

La France n'est donc pas isolée en termes de réglementations. En revanche, la particularité de la proposition actuelle sur le devoir de vigilance est de porter sur un panel de risques très large alors que les réglementations existantes à l'étranger sont beaucoup plus ciblées. Le plan de vigilance doit en effet traiter les risques d'atteintes aux droits de l'homme et aux libertés fondamentales, les risques de dommages corporels, les risques environnementaux et sanitaires graves et les comportements de corruption.

En l'état, et en l'absence de décret, le texte comporte beaucoup d'imprécisions, ce qui résulte en une innaplicabilité et une insécurité juridique pour les entreprises. Celles-ci s'inquiètent à juste titre de l'étendue de leur obligation et ce qu'elles devront mettre en place. Mais l'objet du texte répond à des enjeux majeurs et un décret pourrait apporter plus de clarté et des précisions.

Quelles seraient les conséquences pour les entreprises de l'adoption d'une loi sur le devoir de vigilance ?

Le texte actuel indique que les entreprises devront définir et mettre en oeuvre un plan de vigilance, qu'elles devront publier dans le rapport de gestion. Selon le degré de maturité actuel des entreprises sur la question, elles devront donc renforcer leur compréhension de leur chaîne de valeur en travaillant sur la cartographie des risques, en les hiérarchisant et en allant plus loin dans le contrôle des fournisseurs.

Concernant l'exigence de publication, l'objectif n'est pas faire une "bible des achats responsables" mais simplement de rassurer les investisseurs et les parties prenantes avec un plan d'action. Le fait qu'il prévoit une sanction permet de chiffrer le coût de l'inaction.