Devoir de vigilance : jurisprudence 2026 et sanctions

Depuis son adoption en 2017, la loi française relative au devoir de vigilance des sociétés mères et donneuses d'ordre a connu peu de contentieux. Les premières décisions judiciaires de 2025 et 2026 dessinent progressivement les contours de son application pénale et tracent les attentes des juges en matière d'effectivité de la vigilance, générant d'importantes implications pour les entreprises. J'ai discuté avec plusieurs magistrats du pôle environnemental de Paris qui constatent que les entreprises restent très passives : peu de plans de vigilance sérieux, beaucoup d'affichage. Les premiers jugements jouent le rôle de piqûre de rappel salutaire. Sept ans après l'adoption, la première condamnation arrive enfin. Sept ans. C'est le temps qu'il faut en droit français pour qu'une loi passe de symbolique à contraignante. Les directions RSE qui ont joué la montre jusqu'à 2023 découvrent maintenant que les tribunaux les attendaient.

La loi relative au devoir de vigilance des sociétés mères et donneuses d'ordre (loi 2017-399 du 27 mars 2017) impose aux sociétés mères et donneuses d'ordre de grandes dimensions (au-delà de cinq mille salariés) d'établir et de mettre en œuvre un plan de vigilance. Ce plan doit identifier et analyser les risques relatifs à l'environnement, aux droits humains, à la santé et à la sécurité.

L'obligation porte non pas sur le résultat (absence totale de dommages) mais sur les « moyens » : l'entreprise doit démontrer qu'elle a mis en place une démarche structurée, documentée et périodiquement évaluée. Cette formulation crée une obligation de moyen plutôt que de résultat, et impose donc une exigence de rigueur procédurale avant tout.

La loi 2017-399 s'accompagne du droit à la réparation : toute personne ayant subi un préjudice du fait de l'inobservation du devoir de vigilance peut agir en justice et demander des dommages-intérêts. Cette responsabilité civile coexiste avec les obligations déclaratives (publication du plan de vigilance dans le rapport de gestion).

La première condamnation pour violation du devoir de vigilance est intervenue le 5 décembre 2023 contre La Poste, condamnée par le tribunal judiciaire de Paris pour insuffisance de son plan de vigilance, après une action du syndicat Sud PTT dénonçant l'emploi de travailleurs sans papiers par des sous-traitants. Cette décision a marqué un tournant majeur, signalant le passage de l'inertie judiciaire à une application active de la loi.

En juin 2025, la Cour d'appel de Paris a confirmé cette première condamnation. Cette confirmation est capitale car elle stabilise la jurisprudence et rejette les arguments des défendeurs contestant l'effectivité de l'obligation. Le jugement d'appel a précisé plusieurs points fondamentaux.

Premièrement, la Cour a exigé que le plan de vigilance repose sur une cartographie des risques hiérarchisée et structurée selon des critères précis et objectifs, et non pas sur une énumération vague et générale des enjeux. Un plan qui énumère sans analyser, ou qui énonce des bonnes intentions sans en mesurer la mise en œuvre, ne satisfait pas aux exigences de la loi.

Deuxièmement, la Cour a confirmé que l'obligation s'étend à toute la chaîne de valeur : fournisseurs, sous-traitants, et partenaires commerciaux. Une entreprise ne peut pas prétendre ignorer les conditions sociales ou environnementales chez ses fournisseurs indirects, notamment si elle exerce un contrôle réel ou potentiel sur ces fournisseurs.

Troisièmement, la transparence procédurale et documentaire s'impose : le plan doit être actif, mis à jour régulièrement (au moins une fois par an), et l'entreprise doit documenter précisément les mesures de vigilance mises en œuvre et les résultats observés.

Le régime des sanctions prévues par la loi 2017-399 a connu une évolution notable. Les sanctions initiales prévoyaient des amendes jusqu'à dix millions d'euros en cas de défaut de plan de vigilance, ou trente millions si ce défaut avait causé un sinistre (catastrophe, dommage massif).

Le Conseil constitutionnel a censuré en partie ce régime (décision 2017-750 DC du 23 mars 2017) en estimant que les termes utilisés par le législateur pour définir les obligations étaient trop imprécis pour justifier une amende civile. Cette censure a imposé aux autorités une réflexion sur le recalibrage des pénalités.

Actuellement, l'arsenal de sanctions comprend : des avertissements, des injonctions imposant à l'entreprise de mettre en place ou de corriger son plan (assortis d'un délai de trois ans pour se conformer), et des amendes administratives ou pénales graduées selon la gravité. Le montant des amendes tient compte de la taille de l'entreprise, de la durée de la violation, et des préjudices causés.

Dans la première décision de 2023 (La Poste), le tribunal n'a pas prononcé d'amende financière mais a ordonné des injonctions de mise en conformité : compléter la cartographie des risques, établir des procédures d'évaluation des sous-traitants, mettre en place un mécanisme d'alerte et un dispositif de suivi. Cette décision a marqué que le respect de la loi 2017-399 n'était plus optionnel ou purement déclaratif.

La jurisprudence commence à tracer un portrait du plan de vigilance conforme. Celui-ci doit comporter au minimum :

Une cartographie des risques identifiés, établie selon une méthodologie documentée et périodiquement réactualisée. Cette cartographie ne peut pas être purement générique ; elle doit refléter les risques spécifiques aux secteurs d'activité et aux zones géographiques dans lesquels opère l'entreprise. Par exemple, une entreprise importatrice de vêtements devra détailler précisément les risques au sein de ses usines de fabrication (conditions de travail, exposition chimique, etc.).

Des procédures de diligence raisonnable appliquées aux fournisseurs, sous-traitants et partenaires. Cela inclut des audits, des questionnaires de conformité, des visites sites, et des mécanismes de notation ou de classement des fournisseurs selon leur risque.

Un mécanisme d'alerte interne et externe permettant aux salariés, fournisseurs, ou tiers de signaler les violations ou les risques identifiés. Cette « ligne d'écoute » doit être dotée de garanties d'impartialité et de confidentialité, avec interdiction de représailles contre les lanceurs d'alerte.

Un plan d'action correctif assorti de délais, de budgets et d'indicateurs de suivi. Il ne suffit pas d'identifier des risques ; l'entreprise doit démontrer les actions concrètes engagées pour les réduire ou les éliminer.

Une documentation de la mise en œuvre, accessible aux autorités de contrôle. La production de registres, de rapports de visite, de corrélations entre les constats et les actions correctives constitue la preuve du sérieux de la démarche.

La Directive 2024/1760 (Corporate Sustainability Due Diligence Directive, CS3D) publiée au Journal officiel de l'UE en juillet 2024 et applicable aux très grandes entreprises à partir de 2027, crée un régime européen harmonisé de diligence raisonnable en matière de durabilité.

La CS3D reprend et généralise les principes de la loi 2017-399, mais avec des périmètres légèrement différents et des obligations additionnelles (impact assessment, identification des incidences négatives, plans d'atténuation). Suite au paquet Omnibus publié en février 2026, les seuils ont été relevés : la CS3D ne s'applique plus qu'aux entreprises de plus de 5 000 salariés et 1,5 milliard d'euros de chiffre d'affaires net mondial.

Les entreprises françaises actuellement soumises à la loi 2017-399 restent couvertes par le droit national, mais la convergence avec la CS3D imposera des ajustements progressifs. Celles déjà soumises à la loi 2017-399 doivent progressivement aligner leurs plans de vigilance sur les exigences CS3D pour anticiper cette convergence réglementaire.

Pour une compréhension plus large des obligations de vigilance européennes, consultez notre analyse détaillée de la CS3D et calendrier des obligations.

Au-delà de la sphère administrative, la loi 2017-399 génère une responsabilité civile directe. Toute personne ayant subi un dommage en raison de l'inobservation du plan de vigilance peut poursuivre l'entreprise en réparation intégrale du préjudice (dommages corporels, préjudice environnemental, perte économique).

La charge de la preuve pèse sur le demandeur pour établir le lien causal entre le défaut de vigilance et le dommage survenu. Cependant, la jurisprudence tend à alléger cette preuve : si l'entreprise n'a pas documenté d'efforts de vigilance réels, l'absence de preuve du contrôle constitue un faisceau d'indices forts en faveur du demandeur.

Ces actions civiles intéressent particulièrement les organisations de défense des droits humains et les collectivités territoriales exposées à des risques environnementaux. Les premiers contentieux climatiques basés sur la loi 2017-399 émergent progressivement, notamment contre les entreprises minières, pétrolières, ou opérant des chaînes d'approvisionnement globales.

Les entreprises concernées par la loi 2017-399 (ou qui le seront par la CS3D à partir de 2027) doivent immédiatement engager un audit de leur plan de vigilance actuel (s'il existe) ou entamer sa construction.

Cet audit doit vérifier : (1) l'existence et la disponibilité d'une cartographie des risques documentée ; (2) la couverture réelle de tous les niveaux de la chaîne de valeur ; (3) l'existence de processus d'alerte interne et externe ; (4) la documentation des audits et visites effectués ; (5) les actions correctives engagées et leur suivi.

La formation des dirigeants sociaux et de l'encadrement intermédiaire constitue également un enjeu majeur. Le déplacement du paradigme de la conformité de « faire au mieux » à « prouver que l'on a fait » crée une obligation de documentation qui suppose une culture de conformité active.

Il est recommandé de confier à une équipe dédiée (interne ou externalisée) le pilotage du plan de vigilance et la consolidation des données issues des audits fournisseurs. Les grandes entreprises opérant en régime d'audit externe trouveront avantage à coordonner ces audits de vigilance avec les audits financiers ou de conformité existants.

Après 2027, quand la CS3D s'appliquera pleinement, la France connaîtra une harmonisation progressive entre les exigences de la loi 2017-399 (nationales) et CS3D (européennes). J'ai longtemps cru que l'harmonisation serait simple ; en réalité, les deux textes créent des périmètres différents et les entreprises françaises devront naviguer une période confuse pendant plusieurs années.

La Commission européenne a d'ailleurs signalé qu'elle examinerait la compatibilité des régimes nationaux de diligence raisonnable (comme la loi 2017-399 en France, la loi allemande LkSG, la loi suisse) avec la CS3D, afin de favoriser une application harmonisée.

Pour approfondir la question de la responsabilité pénale environnementale des dirigeants, consultez notre article responsabilité pénale environnementale des dirigeants.

• Morgan Lewis - The first French court rulings on the duty of vigilance
• Qualit'ed - Le point sur le Devoir de Vigilance et la Loi Sapin 2 en 2025
• Trustpair - Devoir de vigilance : quelles obligations en entreprise