Devoir de vigilance : plan, chaîne de valeur et PME
Devoir de vigilance : qui est assujetti, ce que contient un plan de vigilance et pourquoi une PME de la chaîne de valeur est concernée.
Note de l'expert : Cet article a été rédigé par notre cabinet d'expertise comptable. Les informations sont à jour en 2026. Pour une étude personnalisée de votre situation, contactez-nous.
Réponse rapide. Le devoir de vigilance impose aux très grands groupes (au moins 5 000 salariés en France, ou 10 000 en France et à l'étranger) d'établir un plan de vigilance couvrant droits humains, santé, sécurité et environnement. Une PME est rarement assujettie directement, mais souvent concernée comme maillon de la chaîne de valeur d'un donneur d'ordre.
Vous dirigez une PME et un grand client vous envoie un questionnaire « droits humains et environnement », un code de conduite à signer, voire annonce un audit fournisseur. Vous n'avez jamais entendu parler d'un quelconque plan de vigilance, et vous vous demandez pourquoi cette demande arrive sur votre bureau. La réponse tient en une phrase : votre client est, lui, assujetti au devoir de vigilance, et il doit désormais évaluer les risques tout au long de sa chaîne de valeur. Vous en faites partie.
Cet article clarifie qui est réellement concerné, ce que contient un plan de vigilance, et surtout comment une PME fournisseur se prépare sans surinvestir. L'enjeu n'est pas seulement de conformité : pour beaucoup d'entreprises, bien répondre à ces exigences devient une condition pour conserver un contrat.
Le devoir de vigilance, en deux minutes#
Le devoir de vigilance résulte de la loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre. Cette loi française impose aux plus grandes entreprises d'identifier et de prévenir les atteintes graves aux droits humains, aux libertés fondamentales, à la santé et à la sécurité des personnes, ainsi qu'à l'environnement, qui pourraient résulter de leurs activités.
Point essentiel : cette obligation ne s'arrête pas aux portes de l'entreprise assujettie. Elle s'étend à sa sphère d'influence, c'est-à-dire à ses filiales, ses sous-traitants et ses fournisseurs. C'est précisément ce mécanisme de cascade qui fait entrer des milliers de PME dans le champ pratique du dispositif, sans qu'elles y soient elles-mêmes directement assujetties.
Qui est assujetti, qui est concerné indirectement#
La distinction entre « assujetti » et « concerné » est la clé de lecture de tout le sujet. Confondre les deux conduit soit à paniquer pour rien, soit à ignorer une demande qui engage un contrat.
| Situation | Statut | Ce que cela implique |
|---|---|---|
| Société ou groupe employant au moins 5 000 salariés en France (deux exercices consécutifs) | Directement assujetti | Doit établir, publier, respecter et évaluer un plan de vigilance |
| Société ou groupe employant au moins 10 000 salariés en France et à l'étranger (deux exercices consécutifs) | Directement assujetti | Mêmes obligations, périmètre international |
| PME fournisseur ou sous-traitant d'un donneur d'ordre assujetti | Concernée indirectement | Reçoit questionnaires, exigences contractuelles, parfois audits |
| PME sans grand donneur d'ordre assujetti | Hors champ pratique | Veille utile, mais pas d'obligation déclenchée |
La conséquence des seuils est nette : très peu de PME sont directement assujetties au devoir de vigilance. En revanche, dès qu'une PME travaille avec un grand groupe industriel, un distributeur, un acteur du BTP ou un client international d'envergure, la probabilité de recevoir des exigences de vigilance est élevée.
Ce que contient un plan de vigilance#
Le plan de vigilance n'est pas une simple déclaration d'intention. La loi en fixe les composantes, que voici. Même si vous n'êtes pas l'entreprise qui rédige le plan, comprendre sa structure vous aide à anticiper ce que votre client vous demandera.
| Composante du plan | Objet |
|---|---|
| Cartographie des risques | Identifier, analyser et hiérarchiser les risques d'atteintes graves |
| Procédures d'évaluation | Évaluer régulièrement la situation des filiales, sous-traitants et fournisseurs |
| Actions d'atténuation | Prévenir les atteintes graves et atténuer les risques identifiés |
| Mécanisme d'alerte | Recueillir les signalements relatifs à l'existence ou la réalisation de risques |
| Dispositif de suivi | Suivre les mesures mises en oeuvre et évaluer leur efficacité |
Une entreprise assujettie doit établir, publier, respecter et évaluer ce plan, et le rendre public. C'est en déclinant ces composantes le long de sa chaîne de valeur qu'elle se tourne vers vous : pour alimenter sa cartographie, elle a besoin de données sur vos pratiques sociales et environnementales.
Pourquoi une PME se retrouve dans la boucle#
C'est le coeur du sujet. Une PME est rarement directement assujettie, mais elle est très souvent concernée comme maillon de la chaîne de valeur d'un grand donneur d'ordre. Concrètement, les sollicitations prennent trois formes principales.
- Questionnaires fournisseurs : grilles d'auto-évaluation portant sur vos conditions de travail, votre politique environnementale, l'origine de vos matières, le respect des droits humains chez vos propres sous-traitants.
- Exigences contractuelles : signature d'un code de conduite fournisseur, clauses de conformité insérées dans les contrats, engagements à respecter certaines normes sociales et environnementales.
- Audits : pour les fournisseurs jugés à risque ou stratégiques, vérification documentaire voire visite sur site.
Répondre correctement à ces demandes devient à la fois un enjeu commercial et un enjeu de conformité. Un questionnaire mal renseigné, des réponses contradictoires d'une année sur l'autre, ou une incapacité à produire les justificatifs demandés peuvent peser dans la décision de votre client de vous référencer ou de vous reconduire.
Notre lecture#
Dans les dossiers de PME fournisseurs, le réflexe le plus courant est de traiter ces questionnaires comme une formalité administrative déléguée à la personne disponible le jour J. C'est une erreur de cadrage. Ces demandes sont des documents engageants, qui circulent dans la chaîne de valeur de votre client et peuvent être réutilisés en cas de litige.
Notre conviction est qu'une PME a tout intérêt à structurer une fois pour toutes un socle de données fiables (effectifs, politiques internes, certifications, fournisseurs critiques) plutôt que de réinventer une réponse à chaque sollicitation. Ce socle se réutilise, gagne en cohérence, et vous fait gagner un temps considérable quand un deuxième, puis un troisième donneur d'ordre vous interrogent. C'est exactement le type de travail de structuration de l'information où l'expert-comptable est utile, en lien avec le questionnaire ESG du donneur d'ordre.
Le risque sous-estimé#
Le risque que les dirigeants voient le moins venir n'est pas une sanction directe au titre de la loi de 2017, à laquelle la PME n'est généralement pas assujettie. C'est le risque commercial et réputationnel : déclarer dans un questionnaire des engagements que l'entreprise ne tient pas, ou ne peut pas prouver.
Affirmer disposer d'une politique environnementale formalisée alors qu'elle n'existe pas sur le papier, cocher une case « pas de recours au travail dissimulé chez nos sous-traitants » sans aucune vérification, ou produire des chiffres incohérents : autant de fragilités qui, exposées lors d'un audit, abîment la relation de confiance avec le client. Mieux vaut une réponse honnête et nuancée (« en cours de structuration ») qu'une déclaration flatteuse indéfendable.
En pratique : comment une PME fournisseur se prépare#
Voici la démarche que nous recommandons à une PME qui reçoit ses premières demandes de vigilance. L'objectif est de répondre juste, sans transformer un sujet de quelques dizaines d'heures en un projet disproportionné.
- Identifier la source et l'enjeu. Repérez de quel donneur d'ordre émane la demande, quel chiffre d'affaires elle représente, et l'échéance. Cela calibre l'effort à y consacrer.
- Rassembler les données disponibles. Effectifs, organigramme, politiques internes existantes (hygiène et sécurité, achats, éventuelle charte), certifications, liste des fournisseurs critiques. Vous en avez déjà la majorité.
- Identifier les écarts. Confrontez les questions posées à ce que vous pouvez réellement prouver. Listez ce qui manque (un document non formalisé, une procédure orale, une donnée non suivie).
- Répondre avec exactitude. Renseignez ce qui est avéré, signalez honnêtement ce qui est en cours. Conservez une copie datée de chaque réponse envoyée.
- Construire un socle réutilisable. Centralisez ces éléments dans un dossier unique, mis à jour annuellement, que vous mobiliserez pour les demandes suivantes.
- Distinguer ce qui relève du juridique. Pour la relecture d'un code de conduite ou de clauses contractuelles engageantes, un avocat intervient utilement.
Checklist du dossier fournisseur vigilance#
- Effectifs et organigramme à jour
- Politiques internes formalisées (santé, sécurité, achats responsables)
- Liste des fournisseurs et sous-traitants critiques
- Certifications et labels détenus, avec dates de validité
- Mécanisme de remontée d'alerte interne, même simple
- Copie datée des questionnaires déjà transmis aux donneurs d'ordre
- Relecture juridique des codes de conduite et clauses signées
Et la directive européenne CS3D ?#
Une couche européenne se superpose au dispositif français. La directive sur le devoir de vigilance des entreprises en matière de durabilité, dite CS3D ou CSDDD, élargit la logique de vigilance à l'échelle de l'Union européenne. Mais son calendrier et son périmètre évoluent, notamment dans le cadre du paquet de simplification Omnibus engagé en 2025.
Il serait prématuré de figer des seuils ou des dates précises pour cette directive : c'est un cadre en mouvement, qu'il faut suivre plutôt que graver dans le marbre aujourd'hui. Pour une PME, la conséquence est paradoxalement rassurante : la dynamique de fond va vers davantage de demandes de vigilance le long des chaînes de valeur. Avoir structuré son socle de données reste pertinent quel que soit l'aboutissement réglementaire. Cette articulation entre obligations qui se chevauchent rejoint la question, traitée par ailleurs, de savoir qui reste concerné par le reporting durable après la CSRD.
Cas fréquent#
Une PME industrielle de sous-traitance reçoit, la même année, deux questionnaires de vigilance émanant de deux grands clients, aux formats différents mais aux questions très proches. Faute de référentiel interne, l'entreprise répond deux fois, dans l'urgence, avec des formulations divergentes sur les mêmes faits. L'un des clients relève l'incohérence lors d'une revue. Le travail correctif a coûté plus cher que la mise en place initiale d'un socle de données réutilisable. La leçon est récurrente : la première réponse improvisée coûte toujours moins cher que les suivantes mal alignées.
Points de vigilance 2026#
- Ne confondez pas assujettissement et exigence contractuelle. Vous n'êtes probablement pas assujetti à la loi de 2017, mais vous pouvez être contractuellement tenu de répondre à votre client.
- Anticipez l'effet de cascade. Si un donneur d'ordre vous interroge, vos propres sous-traitants critiques peuvent à leur tour devoir être questionnés.
- Suivez l'évolution européenne sans surréagir. La directive CS3D bouge ; structurez vos données, ne pariez pas sur un calendrier figé.
- Documentez et datez. Une réponse n'a de valeur que si vous pouvez retrouver ce que vous avez déclaré, et quand.
Le rôle de l'expert-comptable#
L'expert-comptable aide la PME fournisseur à structurer ses données et à répondre aux exigences de vigilance de ses donneurs d'ordre : fiabiliser les effectifs et les indicateurs, cartographier les fournisseurs critiques, organiser un socle d'information cohérent et réutilisable, articuler ces réponses avec les autres obligations de reporting durable. Si vous souhaitez préparer un audit ou une certification à venir, notre approche du sujet est détaillée dans notre article sur préparer un audit RSE en vue d'une certification, et notre offre dédiée figure sur la page reporting RSE et CSRD.
Le volet strictement juridique (analyse de l'opposabilité d'un code de conduite, rédaction ou contestation de clauses, responsabilité civile) relève en revanche d'un avocat.
Le cabinet Hayot Expertise, inscrit à l'Ordre des experts-comptables d'Île-de-France, accompagne les dirigeants de PME confrontés à ces demandes le long de leur chaîne de valeur.
Questions fréquentes
Qu'est-ce que le devoir de vigilance ?+
Le devoir de vigilance, issu de la loi n° 2017-399 du 27 mars 2017, impose aux plus grandes entreprises d'identifier et de prévenir les atteintes graves aux droits humains, à la santé, à la sécurité et à l'environnement, dans toute leur sphère d'influence, y compris auprès de leurs sous-traitants et fournisseurs.
Quelles entreprises sont assujetties au devoir de vigilance ?+
Sont assujetties les sociétés et groupes qui emploient, à la clôture de deux exercices consécutifs, au moins 5 000 salariés en France, ou au moins 10 000 salariés en France et à l'étranger. En pratique, ces seuils élevés visent les très grandes entreprises et écartent la quasi-totalité des PME.
Une PME est-elle concernée par le devoir de vigilance ?+
Rarement de façon directe, car les seuils visent les très grands groupes. Mais une PME est souvent concernée indirectement, comme maillon de la chaîne de valeur d'un grand donneur d'ordre assujetti. Elle reçoit alors questionnaires fournisseurs, codes de conduite à signer, voire des audits.
Que contient un plan de vigilance ?+
Un plan de vigilance comprend cinq composantes : une cartographie des risques, des procédures d'évaluation régulière des filiales, sous-traitants et fournisseurs, des actions d'atténuation et de prévention des atteintes graves, un mécanisme d'alerte et de recueil des signalements, et un dispositif de suivi de l'efficacité des mesures.
Qu'est-ce que la directive CS3D ?+
La directive CS3D, ou CSDDD, est le cadre européen qui élargit la logique du devoir de vigilance à l'échelle de l'Union. Son calendrier et son périmètre évoluent, notamment dans le cadre du paquet de simplification Omnibus de 2025. Il est prématuré d'en figer les seuils et les dates.
Comment une PME fournisseur se prépare-t-elle ?+
En identifiant la source et l'enjeu de la demande, en rassemblant ses données disponibles (effectifs, politiques internes, certifications, fournisseurs critiques), en repérant les écarts, en répondant avec exactitude, puis en construisant un socle réutilisable mis à jour chaque année plutôt que de répondre dans l'urgence à chaque sollicitation.
Que se passe-t-il si je réponds mal à un questionnaire de vigilance ?+
Le risque principal n'est pas une sanction au titre de la loi de 2017, mais un risque commercial et réputationnel. Des déclarations inexactes ou incohérentes, exposées lors d'un audit, fragilisent la relation avec votre client et peuvent peser sur votre référencement ou votre reconduction.
À retenir#
- Le devoir de vigilance (loi n° 2017-399 du 27 mars 2017) vise les très grands groupes : au moins 5 000 salariés en France, ou 10 000 en France et à l'étranger.
- Très peu de PME sont directement assujetties, mais beaucoup sont concernées comme maillon de la chaîne de valeur d'un donneur d'ordre.
- Un plan de vigilance combine cartographie des risques, évaluation des fournisseurs, actions d'atténuation, mécanisme d'alerte et suivi d'efficacité.
- Pour une PME, bien répondre aux questionnaires et exigences contractuelles est un enjeu à la fois commercial et de conformité.
- Mieux vaut structurer un socle de données réutilisable que d'improviser une réponse à chaque sollicitation.
- La directive européenne CS3D fait évoluer le cadre : à suivre, sans figer de seuils ni de dates.
Article publié par le cabinet Hayot Expertise, inscrit à l'Ordre des experts-comptables d'Île-de-France. Portée informative : il ne remplace pas l'examen de votre situation. Le volet strictement juridique relève d'un avocat.
Article rédigé par Samuel HAYOT
Expert-Comptable diplômé, inscrit au Tableau de l'Ordre des Experts-Comptables.
Cabinet d'expertise comptable et de commissariat aux comptes base a Paris 8, pense pour accompagner des entreprises partout en France avec une approche digitale et orientee decision.
Sources du dossier
Sources officielles et de reference citees pour cette page.
Ce sujet relève de notre mission RSE & CSRD | Reporting ESG pour PME et ETI
Besoin d'un devis ou d'un conseil personnalisé ?
Notre cabinet d'expertise comptable vous accompagne dans toutes vos démarches. Obtenez un devis gratuit pour analyser votre situation et vous proposer une offre tarifaire sur-mesure ou contactez-nous directement.