C’est la première fois qu’une cour d’appel se prononce sur le fond d’une affaire liée à la loi sur le devoir de vigilance (2017). Cette loi impose aux grandes entreprises françaises de prévenir les atteintes graves aux droits humains, à la santé, à la sécurité des personnes et à l’environnement, dans leurs chaînes de valeur.
1. Une cartographie des risques spécifique au devoir de vigilance
La cartographie des risques exigée par la loi sur le devoir de vigilance ne se confond pas avec les cartographies classiques de gestion des risques internes, telles que celles portant sur la cybersécurité, la finance ou la sécurité des actifs. Il s’agit ici d’une cartographie des impacts potentiels et réels sur les droits humains, la santé, la sécurité des personnes et l’environnement, dans toutes les sphères d’influence de l’entreprise, y compris ses chaînes d’approvisionnement et ses sous-traitants.
Cette cartographie doit permettre d’identifier les risques bruts, c’est-à-dire les risques non encore atténués, puis de les analyser et de les hiérarchiser en fonction de leur gravité. La gravité est définie, selon l’article 3 de la directive européenne CS3D, par trois critères : l’ampleur, la sévérité et l’irrémédiabilité du dommage potentiel.
2. Une analyse des risques concrète, précise et contextualisée
L’analyse des risques doit être ancrée dans la réalité opérationnelle de l’entreprise. Elle doit clairement répondre à des questions concrètes telles que : quels fournisseurs sont concernés ? Quelles pratiques posent problème ? Dans quels pays ? Chaque risque identifié doit faire l’objet d’une cotation de gravité propre à l’activité concernée.
Les facteurs de risque doivent ainsi être caractérisés avec granularité, en lien avec les pratiques, les activités et les relations commerciales réelles de l’entreprise.
3. Des mesures de gestion adaptées à la gravité des risques
La loi n’exige pas la prévention de toutes les atteintes, mais impose des mesures proportionnées à la gravité des risques identifiés. Il ne suffit donc pas de se contenter d’actions génériques ou standardisées.
Les entreprises doivent mettre en œuvre des mesures ciblées et spécifiques. Par exemple, si un fournisseur situé dans une zone géographique à haut risque présente un risque élevé de travail forcé, l’entreprise doit démontrer la mise en place d’un contrôle spécifique sur ce fournisseur, au-delà des clauses contractuelles générales.
4. Des indicateurs de suivi pertinents et efficaces
L’étape de suivi, qui constitue la cinquième phase du plan de vigilance, doit être distincte du simple compte-rendu d’exécution. Elle implique la définition d’indicateurs qualitatifs et quantitatifs en lien direct avec les risques identifiés. Ces indicateurs doivent permettre d’évaluer l’efficacité réelle des actions mises en œuvre, et non seulement d’illustrer qu’une action a été réalisée.
Le suivi vise à orienter utilement l’action de vigilance dans le temps, en ajustant les mesures selon les résultats obtenus.
5. Dispositif d’alerte : concertation obligatoire avec les syndicats
Avant la mise en place d’un dispositif d’alerte interne, par lequel les parties prenantes peuvent signaler des risques ou des violations (par exemple, dans les pratiques de sous-traitants), l’entreprise a l’obligation légale de mener une concertation préalable avec les organisations syndicales représentatives.
Cette concertation est requise même si un dispositif d’alerte existe déjà. L’objectif est de vérifier son adéquation aux exigences spécifiques du devoir de vigilance, et d’envisager, le cas échéant, des adaptations ciblées.
6. Alignement avec les normes européennes et internationales
Les pratiques des entreprises doivent s’inspirer :
• De la directive européenne CS3D (Corporate Sustainability Due Diligence Directive), en cours d’adoption,
• Des principes directeurs de l’OCDE à l’intention des multinationales,
• Et des principes directeurs des Nations unies relatifs aux entreprises et aux droits de l’homme.


Conclusion :
L’arrêt La Poste pose les bases d’une interprétation exigeante et concrète du devoir de vigilance. Les entreprises ne peuvent plus se contenter d’affichages ou de démarches standardisées : elles doivent démontrer une compréhension fine de leurs risques et mettre en œuvre des actions ciblées, proportionnées et vérifiables. Ce cadre marque un tournant vers une vigilance opérationnelle, fondée sur la preuve et l’efficacité, au service des droits humains et de l’environnement.