Par Laurent Gimalac, Ancien Professeur à l’ISEM (ESMOD Paris) et à SUP DE LUXE (Groupe EDC, Paris) et Avocat
Article actualisé — juin 2026
Le devoir de vigilance s'est imposé en moins d'une décennie comme l'un des terrains de responsabilité les plus dynamiques du droit des sociétés. La France a ouvert la voie avec la loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre, avant que l'Union européenne ne consacre un cadre harmonisé avec la directive (UE) 2024/1760 du 13 juin 2024 sur le devoir de vigilance des entreprises en matière de durabilité, dite « CS3D », publiée au Journal officiel de l'Union européenne le 5 juillet 2024.
Mais le paysage a profondément changé depuis. Sous la pression des débats sur la compétitivité européenne, la CS3D a été remaniée à deux reprises : d'abord par la directive dite « stop the clock » (directive (UE) 2025/794 du 14 avril 2025), qui a reporté d'un an les échéances de transposition et d'application, transposée en France par la loi n° 2025-391 du 30 avril 2025 (dite « DDADUE ») ; puis, de manière bien plus substantielle, par la directive « Omnibus I » (directive (UE) 2026/470 du 24 février 2026), publiée au JOUE le 26 février 2026 et entrée en vigueur le 18 mars 2026. Toute analyse du régime de responsabilité doit désormais se faire à l'aune de ce texte.
Un champ d'application et des obligations recentrés par la directive Omnibus I
La version initiale de la CS3D visait les entreprises de plus de 1 000 salariés réalisant un chiffre d'affaires net mondial supérieur à 450 millions d'euros. La directive Omnibus I relève considérablement ces seuils : ne sont désormais assujetties que les entreprises employant plus de 5 000 salariés et réalisant un chiffre d'affaires net mondial supérieur à 1,5 milliard d'euros, ce qui réduit le périmètre à quelques centaines de groupes européens. Les entreprises de pays tiers demeurent concernées lorsqu'elles atteignent ce seuil de chiffre d'affaires dans l'Union.
Sur le fond, la méthodologie de vigilance est recentrée sur une approche par les risques : un exercice de cadrage identifie les zones à risque, suivi d'une analyse approfondie ciblée, en lieu et place d'une cartographie exhaustive de l'ensemble de la chaîne d'activités. Le réexamen du dispositif devient quinquennal et non plus annuel, et l'obligation d'adopter un plan de transition climatique aligné sur l'Accord de Paris est supprimée. La directive encadre par ailleurs les marges de surtransposition des États membres. La transposition est attendue au plus tard le 26 juillet 2028, les entreprises devant se conformer aux nouvelles dispositions pour juillet 2029.
À noter pour les sociétés françaises : la loi de 2017 reste pleinement applicable dans l'intervalle. Ses dispositions, initialement codifiées aux articles L. 225-102-4 et L. 225-102-5 du code de commerce, figurent depuis le 1er janvier 2025 aux articles L. 225-102-1 et suivants du même code.
Quelles sanctions en cas de manquement ?
Le régime de sanctions issu de la CS3D, tel que modifié par la directive Omnibus I, repose sur deux piliers.
Le premier est administratif. Les autorités de contrôle que chaque État membre devra désigner pourront prononcer des sanctions pécuniaires effectives, proportionnées et dissuasives, calculées sur le chiffre d'affaires net mondial de l'entreprise. Le plafond, initialement fixé à au moins 5 % de ce chiffre d'affaires, a été abaissé par la directive Omnibus I à un maximum de 3 % — un montant qui demeure considérable pour les groupes concernés. S'y ajoute un mécanisme de publicité des sanctions (« name and shame ») : la décision identifiant l'entreprise et la nature du manquement doit rester accessible au public pendant au moins cinq ans, faisant peser un risque réputationnel réel.
Le second pilier est civil — et c'est ici que l'évolution est la plus marquante. La version initiale de la CS3D prévoyait un régime harmonisé de responsabilité civile au niveau européen, permettant aux victimes d'atteintes résultant d'un manquement au devoir de vigilance d'obtenir réparation. La directive Omnibus I supprime ce régime harmonisé et renvoie la question aux droits nationaux, une clause de révision étant prévue pour réévaluer ultérieurement la nécessité d'une harmonisation. Ce renvoi ne crée pas de vide : en France, la responsabilité civile de l'entreprise défaillante peut être recherchée sur le fondement de la loi de 2017 et du droit commun (articles 1240 et suivants du code civil). La loi française, loin d'être rendue obsolète par le texte européen, conserve ainsi tout son intérêt contentieux.
La jurisprudence française : du filtre procédural au contrôle au fond
La loi du 27 mars 2017 a donné lieu à un contentieux nourri devant le tribunal judiciaire de Paris, désormais seul compétent en la matière, et la cour d'appel de Paris a créé une chambre dédiée aux « contentieux émergents » (chambre 5-12) pour en connaître.
L'affaire TotalEnergies Ouganda (Tilenga/EACOP). Mises en demeure dès 2019, les sociétés du groupe ont été attraites en justice par six ONG françaises et ougandaises au sujet de deux projets pétroliers en Ouganda et en Tanzanie. Par deux ordonnances du 28 février 2023, le juge des référés du tribunal judiciaire de Paris a déclaré ces demandes irrecevables, notamment faute de mise en demeure portant sur le plan de vigilance effectivement critiqué devant lui (TJ Paris, réf., 28 février 2023, n° RG 22/53942 et 22/53943). Contrairement à une lecture parfois répandue, il ne s'agit donc pas d'une décision au fond : son apport est procédural, en consacrant la mise en demeure préalable comme un véritable filtre de recevabilité de l'action en injonction.
L'affaire La Poste : la première décision au fond, confirmée en appel. Saisi par le syndicat SUD PTT, le tribunal judiciaire de Paris a rendu le 5 décembre 2023 la première décision au fond sur le devoir de vigilance. Il a enjoint à La Poste de compléter son plan de vigilance — notamment sa cartographie des risques, qui doit identifier, analyser et hiérarchiser des facteurs de risque précis — tout en rejetant une partie des demandes du syndicat et en rappelant que le juge ne peut se substituer à l'entreprise pour définir les mesures concrètes (TJ Paris, 5 décembre 2023, n° RG 21/15827). Sur appel de La Poste, la chambre 5-12 de la cour d'appel de Paris a intégralement confirmé ce jugement par un arrêt du 17 juin 2025 — le premier arrêt d'appel au fond rendu sur ce fondement — en apportant d'utiles précisions méthodologiques sur le contenu attendu de la cartographie des risques et des mesures de vigilance (CA Paris, ch. 5-12, 17 juin 2025, n° RG 24/05193).
Le procès climatique TotalEnergies. Le contentieux le plus scruté reste l'action engagée par plusieurs associations reprochant à TotalEnergies l'insuffisance de son plan de vigilance au regard du risque climatique : les audiences au fond se sont ouvertes en février 2026 devant le tribunal judiciaire de Paris, et la décision à intervenir pourrait constituer un précédent majeur sur l'étendue des obligations de vigilance en matière climatique (sur ce procès, voir cette analyse).
En Europe : l'enseignement contrasté de l'affaire Shell
Aux Pays-Bas, l'affaire Milieudefensie c/ Shell illustre à la fois le potentiel et les limites de la responsabilité climatique des entreprises fondée sur un devoir de diligence. En première instance, le tribunal de district de La Haye avait, le 26 mai 2021, ordonné à Shell de réduire ses émissions de CO2 de 45 % d'ici 2030. Par un arrêt du 12 novembre 2024, la cour d'appel de La Haye a annulé ce jugement : tout en reconnaissant que les entreprises sont tenues, au titre d'une norme de diligence, de contribuer à la lutte contre le changement climatique au-delà de leurs seules obligations réglementaires, elle a refusé d'imposer à une entreprise déterminée un objectif chiffré de réduction (CA La Haye, 12 novembre 2024, n° 200.302.332/01). Les associations requérantes ont annoncé un pourvoi devant la Cour suprême des Pays-Bas, de sorte que l'épilogue de cette affaire emblématique reste à écrire.
Conclusion : une responsabilité bien réelle, mais essentiellement nationale
À la question posée en titre — le devoir de vigilance constitue-t-il une nouvelle cause de responsabilité ? — la réponse est nuancée. Au niveau européen, la directive Omnibus I a renoncé à un régime harmonisé de responsabilité civile, et les sanctions de la CS3D, pour dissuasives qu'elles soient (amendes plafonnées à 3 % du chiffre d'affaires mondial, publicité des manquements), n'entreront en application qu'à l'horizon 2028-2029, pour un cercle restreint de très grandes entreprises.
C'est donc, pour l'heure, le droit national qui porte le contentieux. La jurisprudence française — irrecevabilités pédagogiques de 2023, première condamnation au fond dans l'affaire La Poste confirmée en appel en 2025, procès climatique TotalEnergies en cours — démontre que le plan de vigilance n'est pas un exercice formel : sa qualité, sa précision et son effectivité sont désormais contrôlées par le juge. Pour les sociétés assujetties comme pour les parties prenantes, l'enjeu n'est plus de savoir si le devoir de vigilance est justiciable, mais comment satisfaire — ou contester — concrètement ses exigences.
Les informations contenues dans cet article sont à jour au 12 juin 2026 et ont une vocation générale ; elles ne constituent pas une consultation juridique. Pour toute question relative à votre situation, contactez le cabinet.