La directive CS3D (Corporate Sustainability Due Diligence Directive), aussi connue sous l'acronyme CSDDD, impose aux grandes entreprises un devoir de vigilance sur les droits humains et l'environnement dans leur chaîne de valeur. Adoptée en avril 2024, ses échéances ont été repoussées par le paquet Omnibus fin 2025. Voici le calendrier actualisé et les obligations concrètes.
Contexte et origines#
Pour approfondir ce sujet, consultez notre article sur Devoir de vigilance : jurisprudence 2026 et sanctions.
La CS3D a été adoptée le 24 avril 2024 par le Parlement européen dans le cadre du Pacte Vert européen (Green Deal). Elle s'inspire directement de la loi française sur le devoir de vigilance du 27 mars 2017, pionnière en la matière, qui s'applique aux sociétés mères et entreprises donneuses d'ordre de plus de 5 000 salariés en France (ou 10 000 à l'international). Quand j'ai commencé à l'enseigner, cette loi semblait anormale : un pays imposant à ses multinationales de surveiller leurs sous-traitants à l'étranger. Aujourd'hui, c'est l'Europe qui reprend le modèle français.
La directive européenne étend ce principe à l'ensemble de l'Union, en imposant aux entreprises de prévenir, atténuer et traiter les impacts négatifs sur les droits humains et l'environnement dans leurs activités et leur chaîne de valeur. Ce qui est frappant avec la CS3D, c'est que l'Union reprend un modèle français que beaucoup trouvaient trop strict, trop lourd pour les entreprises françaises. Résultat : désormais toute l'Europe doit le faire, mais avec un calendrier décalé et des seuils relevés. La France, elle, doit transposer l'UE alors qu'elle avait déjà son propre régime. C'est une forme de rétro-colonialisme législatif.
Pour une analyse de la directive dans sa version initiale, consultez notre article sur la CS3D et le devoir de vigilance européen.
Les seuils d'application post-Omnibus#
Le paquet Omnibus, adopté fin 2025, a significativement relevé les seuils d'application de la CS3D :
| Critère | Seuil initial (2024) | Seuil révisé (Omnibus) |
|---|---|---|
| Salariés | 500+ (vague 3) | 1 000+ (vague 3) |
| Chiffre d'affaires mondial | 150 M€ (vague 3) | 450 M€ (vague 3) |
| Entreprises UE concernées | ~13 000 | ~5 500 |
Seules les très grandes entreprises restent dans le périmètre : vague 1 au-delà de 5 000 salariés et d'un CA supérieur à 1,5 milliard d'euros, vague 2 à partir de 3 000 salariés et 900 millions d'euros de CA, et vague 3 à partir de 1 000 salariés et 450 millions d'euros de CA.
Les entreprises non européennes sont concernées si elles atteignent ces seuils de chiffre d'affaires au sein de l'UE.
Le calendrier actualisé#
La directive (UE) 2025/794 a repoussé d'un an les échéances initialement prévues :
| Échéance | Contenu |
|---|---|
| 26 juillet 2027 | Date limite de transposition par les États membres (initialement juillet 2026) |
| 26 juillet 2028 | Application aux entreprises de la vague 1 (plus de 5 000 salariés, CA supérieur à 1,5 Md€) |
| 26 juillet 2029 | Application aux entreprises de la vague 2 (plus de 3 000 salariés, CA supérieur à 900 M€) |
| 26 juillet 2030 | Application aux entreprises de la vague 3 (plus de 1 000 salariés, CA supérieur à 450 M€) |
Le report d'un an offre un répit aux États membres pour la transposition et aux entreprises pour la préparation de leurs systèmes de vigilance.
Les six obligations essentielles#
La CS3D impose un processus de vigilance en six étapes qui doivent être coordonnées pour couvrir l'ensemble de la chaîne de valeur (fournisseurs, partenaires commerciaux, sous-traitants).
Étape 1 : Intégrer la vigilance dans la gouvernance. L'entreprise doit inscrire la diligence raisonnable dans ses politiques et systèmes de gestion des risques. Cela signifie désigner un responsable ou une équipe dédiée qui supervisera le processus au niveau de la direction générale.
Étape 2 : Identifier et évaluer les impacts négatifs. Une cartographie des risques réels et potentiels d'atteintes aux droits humains et à l'environnement s'impose : conditions de travail des sous-traitants, pollution des sites de production, déforestation liée aux approvisionnements. Ce diagnostic couvre la totalité de la chaîne de valeur, pas seulement les opérations directes.
L'étape 3 porte sur la prévention et atténuation des impacts. Il s'agit de mettre en place des mesures concrètes : clauses contractuelles avec les fournisseurs, audits sur site, plans de remédiation, investissements dans des pratiques plus durables. Ces mesures doivent être proportionnées à la nature et à l'ampleur des risques identifiés.
Quand un impact négatif est avéré (étape 4), l'entreprise doit le traiter. Cela peut signifier suspendre ou rompre une relation commerciale si l'impact ne peut pas être remédié. L'atténuation de l'ampleur, si la cessation complète n'est pas possible, est l'alternative minimum acceptable.
Étape 5 : Établir un mécanisme de réclamation. Ce dispositif doit permettre aux personnes et communautés affectées de signaler les impacts négatifs. Accessible, transparent et gratuit, ces trois critères ne sont pas optionnels.
La 6e étape, enfin, est la communication publique. Annuellement, l'entreprise doit publier une déclaration détaillant sa politique de vigilance, les risques identifiés, les mesures prises et leurs résultats vérifiables. Cette communication s'articule avec le reporting CSRD pour les entreprises soumises aux deux obligations.
Le plan de transition climatique#
La version initiale de la CS3D imposait aux entreprises d'élaborer un plan de transition visant à rendre leur modèle économique compatible avec l'objectif de limitation du réchauffement à 1,5 °C (Accord de Paris).
Le paquet Omnibus a supprimé cette obligation. Les entreprises ne sont plus tenues d'adopter un plan de transition climatique au titre de la CS3D. Toutefois, les entreprises soumises à la CSRD doivent toujours reporter sur leur stratégie climatique dans le cadre de la norme ESRS E1.
Sanctions#
Le régime de sanctions est laissé à l'appréciation des États membres, dans le respect de principes européens :
Les sanctions possibles comprennent des amendes pouvant atteindre 5 % du chiffre d'affaires mondial net, la publication du nom de l'entreprise en infraction (name and shame), et la responsabilité civile permettant aux victimes d'engager l'entreprise devant les tribunaux de l'État membre.
La responsabilité civile est un point majeur de la directive : elle ouvre la voie à des actions en justice par des tiers, salariés, communautés locales, ONG, devant les juridictions européennes.
Articulation avec la loi française de 2017#
La France dispose déjà d'une loi sur le devoir de vigilance depuis 2017. La transposition de la CS3D devra articuler les deux dispositifs :
| Aspect | Loi française 2017 | CS3D |
|---|---|---|
| Seuil | 5 000 salariés (France) ou 10 000 (monde) | 1 000 à 5 000 salariés + critère CA |
| Périmètre | Filiales, fournisseurs, sous-traitants | Chaîne de valeur élargie |
| Sanctions | Injonction judiciaire, responsabilité civile | Amendes administratives + responsabilité civile |
| Plan de vigilance | Obligatoire | Obligatoire (sauf plan climat, supprimé) |
La transposition française devra au minimum aligner les seuils et intégrer les sanctions administratives (amendes) qui n'existent pas dans la loi de 2017. Le maintien d'exigences françaises plus ambitieuses que la directive est juridiquement possible.
Même si l'application ne commence qu'en 2028, je sais pas trop quoi en penser des délais : est-ce que trois ans c'est suffisant pour vraiment transformer les processus ? Mais bon, la préparation doit commencer maintenant :
- Cartographier votre chaîne de valeur : identifiez vos fournisseurs critiques et les zones géographiques ou sectorielles à risque
- Réaliser une analyse de risques : évaluez les risques droits humains et environnement par segment de la chaîne de valeur
- Renforcer vos clauses contractuelles : intégrez des exigences de conformité dans vos contrats fournisseurs
- Mettre en place un mécanisme de réclamation : même en anticipation, ce dispositif renforce la crédibilité de votre démarche
- Suivre la transposition nationale : la date limite de transposition est fixée à juillet 2027
FAQ#
Ma société a 600 salariés. Suis-je concernée par la CS3D ?#
Non, avec les seuils révisés par le paquet Omnibus. La vague 3 (la plus large) vise les entreprises de plus de 1 000 salariés avec un CA supérieur à 450 millions d'euros. Cependant, si vous êtes fournisseur d'une entreprise soumise, celle-ci pourrait vous imposer des exigences de conformité dans le cadre de son propre devoir de vigilance.
La CS3D remplace-t-elle la loi française de 2017 ?#
Non, les deux textes coexisteront. La France devra transposer la directive d'ici juillet 2027, en adaptant sa législation existante. La loi française pourrait rester plus exigeante sur certains aspects (seuils, périmètre), dans la limite du cadre fixé par la directive.
Quelle différence avec la CSRD ?#
La CSRD impose un reporting (publier des informations). La CS3D impose une action (prévenir et remédier aux impacts). Les deux textes sont complémentaires : la CSRD documente, la CS3D oblige à agir.
Sources#
- Directive (UE) 2024/1760 du 13 juin 2024, Journal officiel de l'UE
- Directive (UE) 2025/794 « Stop the clock », Journal officiel de l'UE
- Loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance, Légifrance
Comment se préparer dès 2026#