Les grandes entreprises vont être plus vigilantes dans le contrôle et le suivi de la conformité de leurs tiers par la collecte et l’authentification des informations disponibles auprès des tiers eux-mêmes, d’institutions privées et publiques et d’agences de notation.
La démarche conduisant à l’obtention d’une notation Ecovadis de qualité devrait permettre de sécuriser l’exécution des processus internes en alimentant les équipes de règles structurées, tout en instruisant une piste d’audit probante.
Cela permettra de faciliter les réponses aux questionnaires extras-financiers mais également d’afficher un bon niveau de maturité.
- Le reporting de durabilité deviendra plus exigeant en 2024
La directive européenne Corporate Sustainability Reporting Directive (CSRD) est entrée en vigueur le 1er janvier 2024 pour les entreprises qui sont aujourd’hui assujetties à la NFRD et qui publient donc une déclaration de performance extra-financière (DPEF).
Entrée en vigueur en 2017, la directive NFRD oblige les grandes entreprises cotées sur les marchés de l’UE ainsi que les entreprises non cotées qui dépassent certains seuils de taille à publier des informations extra-financières dans leur rapport annuel couvrant plusieurs volets :
- Protection de l’environnement ;
- Responsabilité sociale et traitement des collaborateurs ;
- Respect des droits de l’Homme ;
- Lutte contre la corruption ;
La CSRD résulte d’une vaste révision de la NFRD par la Commission Européenne. En plus d’élargir le champ d’application du reporting extra-financier (50 000 entreprises à l’échelle européenne), la CSRD établit des passerelles avec d’autres dispositifs et objectifs stratégiques de l’UE, notamment le Pacte Vert pour l’Europe et l’objectif de neutralité carbone à l’horizon 2050.
Le calendrier d’application s’étale entre 2024 (avec un reporting en 2025) et 2028 :
- 1er janvier 2024 : entreprises concernées par la NFRD ;
- 1er janvier 2025 : toutes les grandes entreprises européennes qui remplissent deux des trois critères suivants : 250 salariés ou plus, CA supérieur ou égal à €40M, total bilan supérieur ou égal à €20M ;
- 1er janvier 2026 : PME cotées sur un marché réglementé (hors microentreprises) ;
- 1er janvier 2028 : grandes entreprises non-européennes dont le CA européen est supérieur à €150M.
- En attendant Sapin III, se conformer au 4e pilier de Sapin II
Dans le détail, la loi a introduit plusieurs mesures fortes pour atteindre ses objectifs et aligner la France sur les normes internationales en matière de lutte contre la corruption :
- Création de l’Agence Française Anticorruption (AFA), chargée de prévenir et de détecter les actes de corruption, de vérifier la mise en place de programmes de prévention de la corruption dans les entreprises, et de sanctionner les manquements ;
- Renforcement de la protection des lanceurs d’alerte en leur garantissant une meilleure protection juridique, en créant un statut pour les lanceurs d’alerte et en instaurant des mesures de prévention des représailles ;
- Instauration d’une obligation de mise en place de programmes de prévention de la corruption pour les entreprises de plus de 500 salariés, ainsi que pour les entreprises exerçant des activités réglementées ou bénéficiant de marchés publics ;
- Élargissement du champ d’application des règles de transparence pour les représentants d’intérêts (lobbyistes) exerçant une représentation auprès des pouvoir publics, qui sont désormais tenus de s’inscrire sur un registre et de déclarer l’ensemble de leurs activités ;
- Création d’un dispositif de transaction pénale pour les entreprises ayant commis des faits de corruption, permettant d’éviter un procès pénal en contrepartie d’une amende et de mesures correctives.
Par construction, la loi Sapin II concerne les acteurs suivants :
- Les entreprises de plus de 500 salariés réalisant un chiffre d’affaires de plus de 100 millions d’euros ;
- Les sociétés appartenant à un groupe dont la maison-mère siège en France ;
- Les entreprises publiques et les établissements publics à caractère industriel et commercial (EPIC) ;
- Les associations et fondations qui exercent des activités économiques ;
- Les organisations syndicales et professionnelles ;
- Les représentants d’intérêts (lobbyistes) qui exercent une activité de représentation auprès des pouvoirs publics ;
- Les élus, les hauts fonctionnaires et les magistrats.
Si elle a été saluée comme une avancée majeure dans la lutte contre la corruption et la fraude, la loi Sapin II a montré ses limites, résumées notamment par un rapport d’évaluation publié le 7 juillet 2021 par la Commission des lois :
- La complexité des procédures ;
- Le manque de moyens de l’AFA ;
- Les difficultés à sanctionner les entreprises étrangères et la faiblesse des peines encourues ;
- L’échec de la réforme du registre des représentants d’intérêts ;
- Le parcours des lanceurs d’alerte est parfois long, coûteux et périlleux.
C’est pour ces raisons qu’une proposition de loi avait été déposée le 19 octobre 2021 pour amender la loi Sapin II et aboutir à une troisième mouture.
Les entreprises concernées devront donc préparer le renforcement très probable du cadre réglementaire de la lutte anti-corruption en France, en commençant par le 4e pilier de l’article 17 relatif à l’évaluation des tiers. Selon le 3e Baromètre Anticorruption de Grant Thornton, il s’agit du « pilier de la loi Sapin II le moins mature et le plus difficile à mettre en œuvre pour les entreprises ».
Comme l’explique le rapport d’activité de l’Agence Française Anticorruption (AGA) publié en mai 2022, l’écrasante majorité des contrôles clôturés (91 %) présentent un manquement au niveau du dispositif d’évaluation des tiers dans le cadre de la loi Sapin II.
- 2024, l’année de la cybersécurité
En tant que bouclier contre les actes de malveillance, la cybersécurité s’inscrit de plus en plus comme un enjeu RSE. Elle protège les données confidentielles des clients, des fournisseurs et des employés, préserve la compétitivité et la pérennité de l’entreprise (et des emplois) et vient sécuriser les informations collectées dans le cadre de l’évaluation des tiers, notamment.
Globalement, la cybersécurité migre progressivement du champ de l’informatique à celui de la RSE. Avec la transformation digitale des entreprises, l’impact d’une cyberattaque dépasse le système informatique. « Pensons aux données clients qui s’évanouissent dans la nature, aux hôpitaux ou aux transports publics paralysés […]. Placer la cybersécurité dans les risques de gouvernance, de société et d’environnement va lui donner une autre dimension qui ne la réduira plus à un problème informatique auquel on s’habitue », explique le conférencier Charles Cuvelliez .
L’arrivée en masse des solutions alimentées par l’Intelligence Artificielle générative (genAI) dans l’entreprise devrait renforcer ce besoin de cybersécurité.
- L’UE va renforcer le devoir de vigilance français
En complément, début juin 2023, le Parlement européen a voté en faveur de la Corporate Sustainability Due Diligence Directive (CSDDD) et prépare donc son alignement avec le devoir de vigilance entré en vigueur en France en 2017.
En substance, le principe reste le même : les entreprises d’une certaine taille seront désormais juridiquement responsables sur les violations du droit du travail et des droits de l’Homme ainsi que des atteintes graves à l’environnement commises par leurs fournisseurs et sous-traitants.
L’adoption finale de la directive est prévue pour juin 2024, et la France aura deux ans pour adapter sa loi sur la vigilance.
Compte tenu de la longueur moyenne de la chaîne d’approvisionnement d’une grande entreprise, les efforts de mise en conformité devront sans doute se mettre en branle dès 2024, d’autant plus que le texte européen semble plus ambitieux que la mouture française.