Plan de vigilance : les 5 points essentiels

Dans le cadre d’un renforcement général des obligations réglementaires concernant l’éthique des affaires pour les entreprises, la loi du 27 mars 2017 sur le devoir de vigilance des entreprises leur impose de mettre en place un plan de vigilance.

Pour rappel, les entreprises concernées sont celles qui emploient plus de 5000 salariés en France ou plus de 10000 dans le monde. On parle donc de sociétés importantes. Précisons également que ce sont les sociétés-mères ou donneuses d’ordres qui sont concernées par les obligations du plan de vigilance. Néanmoins, les activités couvertes par les mesures comprennent toutes les filiales du groupe, mais également les sous-traitants et partenaires commerciaux avec lesquels la société a des relations stables (fournisseurs notamment).

Le plan de vigilance contient plusieurs facettes et correspond en fait à un ensemble de 5 mesures et points essentiels. De la cartographie des risques à la protection des lanceurs d’alerte, voici un récapitulatif des 5 mesures phares du plan de vigilance et des moyens de les implémenter.

La cartographie des risques à la base du plan de vigilance

Le plan de vigilance commence par une cartographie des risques qui doit être menée systématiquement. Pour rappel, les risques concernés sont ceux liés à la corruption et aux atteintes aux droits fondamentaux et à l’environnement. Pour en savoir plus, retrouvez notre article sur le devoir de vigilance en général.

Cette cartographie des risques doit prendre en compte différents facteurs, notamment sectoriels et géographiques. Elle a pour objectif d’identifier les zones ou les domaines d’activité de l’entreprise qui devront faire l’objet d’une attention particulière, notamment dans les autres points essentiels du plan de vigilance.

L’importance du risque est à évaluer dans chaque cas en fonction de la gravité de l’atteinte d’une part et de sa probabilité d’autre part. On retrouve une logique comparable à celle de l’analyse des risques liés à la protection des données personnelles.

A noter que le critère de gravité est considéré comme plus important : ainsi, un risque dont la réalisation est assez peu probable mais qui concerne une atteinte importante devra faire l’objet d’une attention pleine et entière.

Evaluation régulière de la situation des filiales et autres acteurs

Dans la continuité de la cartographie des risques dont on vient de parler, le plan de vigilance doit comprendre des procédures d’évaluation “régulière” de la situation des filiales, sous-traitants et partenaires.

Ces mesures d’évaluation doivent être mises en place “au regard de la cartographie des risques”. En d’autres termes, les efforts de contrôle doivent être déployés en priorité dans les zones ou dans les secteurs jugés prioritaires par la cartographie des risques.

Cette mesure du plan de vigilance poursuit plusieurs objectifs. D’une part, elle vise à mettre à jour la cartographie des risques pour garder une analyse et une hiérarchisation des risques la plus pertinente possible. D’autre part, elle permet de prévoir des mesures d’atténuation des risques, dont on parlera au point suivant.

Enfin, elle permet de récolter des indicateurs de suivi du risque et par conséquent de juger du niveau de vigilance. Comme dans de nombreuses branches de l’éthique en entreprise et de la conformité, on verra en effet que le plan de vigilance comporte un point d’auto-évaluation.

Actions de prévention et de réduction des risques : le cœur du plan de vigilance

Dans le cadre du plan de vigilance, la société-mère doit mettre en œuvre des actions de prévention et d’atténuation des risques et des atteintes graves. Celles-ci doivent être effectives et publiées.

En d’autres termes, il ne peut s’agir de mesures déclaratives, d’adoption de chartes éthiques ou de codes de conduite internes mais bien de mesures concrètes et effectives sous forme d’actions.

Pour chaque mesure mise en place, un calendrier de déploiement, des objectifs quantifiables et des indicateurs doivent être conçus.

A noter également que ces actions doivent être adaptées aux risques identifiés, à la fois selon des critères de probabilité et selon un critère de gravité de l’atteinte. Autrement dit, une priorisation des actions est à prévoir en fonction de la hiérarchisation des risques qui découle de la cartographie et des évaluations.

Mécanisme d’alerte et protection des lanceurs d’alertes

Le quatrième volet du plan de vigilance consiste en la mise en place de mécanismes d’alerte visant à faire remonter des informations relatives aux risques ou aux atteintes rencontrées sur le terrain.

Ces processus doivent être décentralisés et sécurisés. Elles peuvent par exemple prendre la forme de plateformes web spécifiques et accessibles en interne, aussi bien pour les collaborateurs de l’entreprise que pour les sous-traitants et partenaires.

Le processus d’alerte peut porter sur des risques constatés ou bien sur des atteintes observées. La société peut donc mettre en place des modes d’alerte différents, avec des interlocuteurs et surtout des réponses spécifiques pour les différents types d’alertes.

L’existence, les accès et le mode de fonctionnement de ces mécanismes d’alertes doivent être publiés en interne et largement diffusés.

Enfin, le plan de vigilance doit comprendre des indicateurs sur le traitement et la prise en compte des alertes pour mesurer l’efficacité du mécanisme.

Dispositif pour suivre les mesures et évaluer leur efficacité

Enfin, le plan de vigilance doit comprendre un volet de mesure de sa propre efficacité. Concrètement, des méthodes différentes et complémentaires doivent être utilisées, à l’aide d’indicateurs quantitatifs et qualitatifs, pour évaluer les différents points du plan de vigilance.

En pratique, chaque risque, atteinte et mesure correspondante doit être étudiée séparément, et le plan de vigilance dans son ensemble doit être évalué.

Les éléments de suivi du plan de vigilance doivent être publiés dans le cadre des rapports de gestion annuels. La société doit être capable de justifier des choix méthodologiques liés aux indicateurs retenus et aux modes d’évaluation de l’efficacité du plan de vigilance.

Autrement dit, c’est à la société elle-même de démontrer de la mise en place d’un plan de vigilance pertinent et efficace dans le cadre de ses efforts d’éthique en entreprise. L’évaluation du plan de vigilance doit, le cas échéant, conduire à des modifications ou des ajustements dans la mise en œuvre des différents points que nous avons évoqués.