Loi DDADUE et CSDDD 2027 : devoir de vigilance et obligations supply chain pour PME exportatrices et fournisseurs de grands groupes
Devoir de vigilance européen CSDDD transposé par DDADUE : périmètre, calendrier 2027-2029 après Omnibus I, obligations en cascade pour PME fournisseurs, plan d'action 12 mois et coût de mise en place.
Note de l'expert : Cet article a été rédigé par notre cabinet d'expertise comptable. Les informations sont à jour en 2026. Pour une étude personnalisée de votre situation, contactez-nous.
À jour au 13 mai 2026. Intègre la directive Omnibus I (UE 2026/470) du 24 février 2026.
Le devoir de vigilance européen n'est plus un sujet théorique. Adopté en juin 2024 par la directive (UE) 2024/1760 dite CSDDD (Corporate Sustainability Due Diligence Directive), reporté en avril 2025 par la directive « Stop the Clock » (UE) 2025/794, puis amendé en février 2026 par la directive (UE) 2026/470 dite Omnibus I, le dispositif entre en application progressive entre juillet 2027 et juillet 2029 selon la taille des groupes.
En France, la transposition se fait par voie de loi DDADUE 2026 (diverses dispositions d'adaptation au droit de l'UE), en cours d'examen parlementaire. Mais l'impact pratique dépasse largement les grands groupes : par cascade contractuelle, les PME fournisseurs de groupes assujettis recevront des demandes de conformité dès 2026-2027.
Ce guide pilier explique le périmètre direct, les obligations indirectes en cascade pour les PME, le coût de mise en place et l'articulation avec CSRD, VSME, loi Sapin 2 et la loi française du 27 mars 2017.
Résumé exécutif#
- Cadre : directive UE 2024/1760 (CSDDD), reportée par 2025/794 et amendée par 2026/470 (Omnibus I).
- Périmètre direct France : groupes > 1 000 salariés et > 450 M€ CA mondial à terme.
- Calendrier post-Omnibus I : 1er juillet 2027 (> 5 000 sal., > 1,5 Md€) → 1er juillet 2029 (> 1 000 sal., > 450 M€).
- Impact PME : indirect, par cascade contractuelle des grands groupes assujettis.
- Sanctions : jusqu'à 5 % du CA mondial pour les groupes assujettis ; pour les PME, risque d'exclusion fournisseurs.
1. Le devoir de vigilance européen : trois textes successifs#
Directive (UE) 2024/1760 du 13 juin 2024 (CSDDD)#
Adoptée après 3 ans de négociation, la directive CSDDD harmonise au niveau européen l'obligation pour les grandes entreprises d'identifier, prévenir et réparer les atteintes aux droits humains et à l'environnement dans leur chaîne d'activité (filiales, fournisseurs directs et indirects).
Directive (UE) 2025/794 du 14 avril 2025 (« Stop the Clock »)#
Sous pression des États membres et des associations patronales, l'UE a reporté de 2 ans les premières échéances d'application CSDDD et a aligné CSRD pour cohérence.
Directive (UE) 2026/470 du 24 février 2026 (Omnibus I)#
Le paquet Omnibus I — adopté pour simplifier le reporting durabilité — relève les seuils, allège les obligations pour les acteurs intermédiaires et précise les modalités d'engagement de responsabilité civile.
Notre analyse d'expert-comptable#
Ces trois textes successifs ont créé un climat de confusion bénéfique aux retardataires mais dangereux pour les sérieux. Beaucoup de directions générales pensent que CSDDD est "encore reporté" et reportent leurs travaux. C'est une erreur : les premières échéances de 2027 ne sont qu'à 14 mois, et les grands groupes assujettis demandent dès aujourd'hui à leurs fournisseurs des engagements contractuels. Une PME fournisseur qui répond mal au questionnaire ESG en 2026 perd sa place dans le panel 2027 — quelle que soit l'évolution des textes européens.
2. Périmètre d'application directe — qui est assujetti ?#
| Phase | Date | Seuils (salariés / CA mondial) |
|---|---|---|
| Phase 1 | 1er juillet 2027 | > 5 000 salariés ET > 1,5 Md€ CA mondial |
| Phase 2 | 1er juillet 2028 | > 3 000 salariés ET > 900 M€ CA mondial |
| Phase 3 | 1er juillet 2029 | > 1 000 salariés ET > 450 M€ CA mondial |
Important : ces seuils ne s'appliquent qu'aux entreprises directement assujetties. Les PME et ETI sous ces seuils ne sont jamais directement assujetties à CSDDD, mais subissent l'obligation par cascade contractuelle.
3. Les 6 piliers du devoir de vigilance#
Toute entreprise assujettie doit mettre en œuvre les 6 piliers prévus par CSDDD :
- Politique de diligence intégrée dans la stratégie d'entreprise, avec engagements écrits.
- Cartographie des risques — identifier les risques d'atteinte aux droits humains et à l'environnement sur la chaîne d'activité (directs + indirects).
- Prévention et atténuation — mesures contractuelles, investissements, audits, formations.
- Mécanisme de plaintes — accessible aux personnes affectées, dans toute la chaîne.
- Suivi et évaluation — indicateurs, contrôles, audits réguliers.
- Communication publique — rapport annuel sur la mise en œuvre.
4. Impact réel pour PME — la cascade contractuelle#
Mécanisme#
Une PME française ne sera jamais directement assujettie à CSDDD si elle reste sous les seuils. Mais ses clients grands groupes assujettis répercuteront leurs obligations par voie contractuelle. Concrètement, ils exigeront :
| Demande type | Format | Coût estimatif |
|---|---|---|
| Signature d'un code de conduite fournisseur | Document de 5-15 pages, engagements humains/environnement/anti-corruption | 0 € si simple lecture ; 2 000-5 000 € avec accompagnement juridique |
| Réponse à un questionnaire ESG | 10-50 questions selon secteur, plateforme EcoVadis / Sedex / Achilles | 500-2 500 € (frais plateforme) + 10-30 h interne |
| Audit ESG sur site | Audit indépendant 1-3 jours | 3 000-15 000 € (parfois supporté par le client, parfois par le fournisseur) |
| Attestation annuelle de conformité | Lettre signée du dirigeant | 0 € mais responsabilité engagée |
| Plan d'amélioration continue | Actions correctives suivies dans le temps | Variable |
Exemple chiffré — PME textile 60 salariés fournisseur d'un groupe luxe CAC 40#
Profil : PME 60 salariés, 12 M€ CA dont 35 % avec un seul groupe luxe CAC 40.
| Action | Coût année 1 | Coût récurrent |
|---|---|---|
| Audit interne et cartographie risques | 8 000 € | 2 000 €/an |
| Code de conduite et politiques formalisées | 4 000 € | 500 €/an |
| Réponse questionnaire EcoVadis | 1 500 € | 1 500 €/an |
| Audit sur site (frais à charge selon contrat) | 6 000 € | 6 000 € tous les 2 ans |
| Formation interne dirigeants et acheteurs | 3 000 € | 1 500 €/an |
| Référent vigilance temps partiel | 12 000 € | 12 000 €/an |
| Total année 1 | 34 500 € | **— ** |
| Coût récurrent | — | 20 500 €/an |
Pour une PME à 12 M€ de CA, cela représente 0,17 à 0,29 % du CA — significatif mais raisonnable. À comparer à la perte de 35 % du CA en cas d'exclusion.
5. Articulation avec CSRD, VSME, loi 2017-399, Sapin 2#
Le devoir de vigilance CSDDD se superpose à plusieurs cadres préexistants ou parallèles :
| Cadre | Périmètre | Articulation avec CSDDD |
|---|---|---|
| Loi française 2017-399 (« loi Rana Plaza ») | Groupes français > 5 000 sal. France ou > 10 000 monde | Continue d'exister en parallèle ; CSDDD étend à des groupes plus petits |
| CSRD (directive 2022/2464) | Reporting durabilité (publication) | Complément informationnel ; les indicateurs CSDDD figurent dans le rapport CSRD |
| VSME (norme volontaire EFRAG) | PME hors CSRD volontairement | Cadre simplifié de reporting ESG — utile pour répondre aux questionnaires clients |
| Loi Sapin 2 | Programme anti-corruption > 500 sal. / 100 M€ CA | Pilier anti-corruption commun ; les évaluations de tiers se croisent |
| NIS 2 | Cybersécurité opérateurs critiques | Pilier sécurité informatique de la chaîne |
Le risque sous-estimé#
Les PME se concentrent sur la conformité documentaire (signer le code de conduite, remplir le questionnaire) et négligent le risque opérationnel : un sous-traitant en aval mal sourcé peut générer un événement (accident du travail, pollution, condition de travail dégradée) qui remonte au grand groupe assujetti via les médias ou les ONG. Le groupe peut alors être condamné en France au titre de la loi 2017-399 et, par effet domino, sortir tous les fournisseurs de la zone à risque de son panel. Anticiper le risque opérationnel — pas seulement le risque documentaire — est la vraie maturité ESG.
6. Plan d'action 12 mois pour PME 30-300 salariés#
- Mois 1-2 : diagnostic d'exposition (clients grands groupes, dépendance %, secteurs sensibles)
- Mois 3-4 : cartographie des risques (matrice droits humains × environnement × géographie fournisseurs)
- Mois 5-6 : rédaction du code de conduite fournisseur et de la politique vigilance
- Mois 7-8 : déploiement interne (formation, processus, indicateurs)
- Mois 9-10 : campagne fournisseurs (signature code de conduite, questionnaire light)
- Mois 11 : premier rapport annuel interne et plan d'amélioration
- Mois 12 : préparation aux audits clients et formation dirigeants
7. Points de vigilance 2026-2027#
- Loi DDADUE 2026 : transposition française en cours d'examen, publication attendue Q4 2026.
- Décrets d'application : seuils exacts pour la France pourraient diverger légèrement (option de surcharge nationale possible).
- Sanctions civiles : la responsabilité civile prévue par CSDDD peut être étendue aux co-contractants par la jurisprudence.
- Marchés publics : depuis le 22 août 2026, les critères environnementaux et sociaux sont obligatoires dans tous les marchés publics > 40 000 € — anticipation utile pour les PME en candidature.
- Notation ESG bancaire : les grandes banques françaises intègrent les critères ESG dans le scoring de crédit. Une mauvaise note peut majorer le taux de 30 à 80 pdb.
Conclusion#
CSDDD n'est pas qu'un sujet de grand groupe. Par cascade contractuelle, par notation ESG bancaire et par marchés publics, toute PME fournisseuse en BtoB est concernée indirectement à partir de 2026-2027. La mise en place d'un dispositif allégé (code de conduite + questionnaire + référent) coûte 30 000 à 50 000 € la première année — un investissement modeste comparé à la perte de panel ou de marchés publics.
Notre cabinet accompagne PME et ETI sur la mise en place d'un dispositif de vigilance proportionné, articulé avec CSRD, VSME et Sapin 2. Contactez nos experts.
Questions fréquentes
Ma PME 80 salariés n'est pas directement assujettie à CSDDD — pourquoi me préoccuper de DDADUE ?
Parce que vos clients grands groupes y sont, eux, directement assujettis. La directive CSDDD impose aux entreprises de plus de 1 000 salariés et 450 M€ de CA mondial de mettre en œuvre un devoir de vigilance sur l'ensemble de leur chaîne d'activité — directe ET indirecte. En pratique, ces grands groupes répercutent leurs obligations contractuellement sur leurs fournisseurs et sous-traitants : codes de conduite à signer, audits sur site, attestations annuelles, clauses de responsabilité, droit de résiliation. Une PME 80 salariés fournisseur d'un groupe CAC 40 textile, automobile ou agroalimentaire reçoit déjà ces demandes en 2026 ou les recevra en 2027-2028. S'y préparer maintenant évite l'exclusion brutale du panel fournisseurs.
Quel est le calendrier exact d'application de CSDDD après les reports de 2025 et 2026 ?
Trois textes successifs ont déformé le calendrier initial : la directive 2024/1760 (juin 2024), la directive 2025/794 dite « Stop the Clock » (avril 2025) qui a reporté les échéances, et la directive 2026/470 dite « Omnibus I » (février 2026) qui a réajusté seuils et calendrier. Au 13 mai 2026 : application en France à compter de juillet 2027 pour les groupes > 5 000 salariés et > 1,5 Md€ de CA, juillet 2028 pour > 3 000 salariés et > 900 M€, juillet 2029 pour > 1 000 salariés et > 450 M€. Les PME hors seuils ne sont jamais directement assujetties — l'obligation reste indirecte via les obligations cascade.
Concrètement, que va me demander mon client grand groupe en 2026-2027 ?
Quatre demandes types : (1) Signature d'un code de conduite fournisseur intégrant droits humains, environnement, anti-corruption — c'est l'entrée du panel ; (2) Réponse à un questionnaire d'évaluation ESG (10 à 50 questions selon secteur) — votre note conditionne votre maintien et vos volumes ; (3) Audit sur site (ESG, sécurité, conditions de travail) — facturé entre 3 000 et 15 000 € à votre charge dans certains contrats ; (4) Attestation annuelle de conformité signée par le dirigeant. Les groupes les plus avancés (luxe, automobile, distribution) intègrent désormais ces critères dans leur scoring fournisseur — un score insuffisant entraîne une baisse de volumes voire l'exclusion.
Quelle différence entre la loi française du 27 mars 2017 et la directive CSDDD ?
La loi française n° 2017-399 (« loi Rana Plaza ») a posé le principe du plan de vigilance pour les groupes français > 5 000 salariés en France ou > 10 000 dans le monde. Ce plan couvre filiales et chaîne de sous-traitance, mais les obligations restent procédurales (publier un plan, le mettre en œuvre, en rendre compte). La directive CSDDD étend et durcit : (1) seuils plus bas (1 000 salariés / 450 M€ à terme), (2) obligation d'obtenir des engagements contractuels écrits de la chaîne, (3) responsabilité civile en cas de dommages causés par défaut de vigilance, (4) sanctions administratives jusqu'à 5 % du CA mondial. La loi 2017-399 continue de s'appliquer aux groupes français en parallèle ; CSDDD complète et étend.
Mon entreprise n'est ni assujettie directement, ni fournisseur d'un grand groupe — DDADUE peut-elle quand même m'impacter ?
Oui, par trois canaux indirects. Premièrement, l'accès au crédit bancaire : les grandes banques françaises intègrent désormais des critères ESG dans leur scoring entreprises et appliquent une décote de taux ou un refus aux entreprises mal notées. Deuxièmement, l'accès aux marchés publics : depuis le 22 août 2026, le code de la commande publique impose des critères environnementaux dans tous les marchés > 40 000 €. Troisièmement, l'attractivité talents : les candidats notamment de moins de 35 ans intègrent l'engagement ESG dans leur choix d'employeur, ce qui pèse sur le recrutement. Adopter volontairement les pratiques CSDDD (plan de vigilance allégé, code de conduite, bilan annuel) devient un avantage compétitif même hors obligation directe.
Article rédigé par Samuel HAYOT
Expert-Comptable diplômé, inscrit au Tableau de l'Ordre des Experts-Comptables.
Cabinet d'expertise comptable et de commissariat aux comptes base a Paris 8, pense pour accompagner des entreprises partout en France avec une approche digitale et orientee decision.
Sources du dossier
Sources officielles et de reference citees pour cette page.
- Légifrance — Directive (UE) 2024/1760 du 13 juin 2024 (CSDDD)
- Légifrance — Directive (UE) 2025/794 du 14 avril 2025 (report d'échéances CSDDD et CSRD)
- Légifrance — Directive (UE) 2026/470 du 24 février 2026 (Omnibus I — modifications CSDDD/CSRD)
- economie.gouv.fr — Le devoir de vigilance des entreprises en matière de durabilité
- Légifrance — Loi n° 2017-399 du 27 mars 2017 (devoir de vigilance grands groupes — socle français)
Ce sujet relève de notre mission RSE & CSRD | Reporting ESG pour PME et ETI
Besoin d'un devis ou d'un conseil personnalisé ?
Notre cabinet d'expertise comptable vous accompagne dans toutes vos démarches. Obtenez un devis gratuit pour analyser votre situation et vous proposer une offre tarifaire sur-mesure ou contactez-nous directement.