Comment la loi sur la chaîne d’approvisionnement atteint les PME
7 min de lecture
Les entreprises de plus de 5 000 employés et un chiffre d’affaires net de 1,5 milliard d’euros doivent respecter des obligations de diligence raisonnable à partir du 26 juillet 2029. Les fournisseurs de l’économie moyenne reçoivent les exigences via des clauses contractuelles imposées par leurs clients. Ils doivent fournir des analyses de risques relatives aux droits de l’homme et à l’environnement, mettre à disposition des ensembles de données et, le cas échéant, permettre la réalisation d’audits ou fournir des justificatifs.
L’essentiel en bref
- Uniquement les grands groupes : Les obligations de diligence de l’UE ne concernent directement, dès 2029, que les entreprises comptant plus de 5 000 employés et réalisant 1,5 milliard d’euros de chiffre d’affaires.
- Le contrat comme levier : Via les codes de conduite et les droits d’audit, les obligations s’étendent à la chaîne d’approvisionnement. Les fournisseurs doivent fournir des analyses de risques et des preuves.
- La préparation paie : Celui qui développe ses processus LkSG existants en paquets de réponses standardisées répondra plus rapidement aux demandes des clients et évitera tout retard contractuel.
Similaire :Les subventions freinent l’économie moyenne / PSD3 : Ce que les directeurs financiers doivent savoir maintenant
Qui relève directement de la CSDDD
La Commission européenne a relevé les seuils dans la directive (UE) 2026/470. Sont directement concernés les entreprises de l’UE comptant plus de 5 000 employés et réalisant plus de 1,5 milliard d’euros de chiffre d’affaires net mondial. Les entreprises hors UE doivent réaliser au moins 1,5 milliard d’euros de chiffre d’affaires net dans l’UE. La directive (UE) 2026/470 a été publiée au Journal officiel le 26 février 2026 et est entrée en vigueur le 18 mars 2026.
Chiffre clé : Les modifications « Omnibus » réduisent le cercle des entreprises directement concernées d’environ 70 %. Les estimations font passer le nombre d’entreprises concernées dans l’UE d’environ 10 000 à environ 2 000.
Seuls les grands groupes susmentionnés sont directement concernés. Source : Commission européenne, directive (UE) 2026/470 ; estimations notamment Clifford Chance (février 2026) et Ropes & Gray (décembre 2025).
Les fournisseurs de l’économie moyenne ne relèvent pas directement du champ d’application. Néanmoins, les obligations ont des répercussions. Les grands clients doivent vérifier leurs propres opérations, leurs filiales et leurs partenaires commerciaux directs. Ils transmettent les exigences par voie contractuelle.
Comment les obligations de diligence raisonnable pénètrent la chaîne d’approvisionnement via des clauses contractuelles
Les entreprises concernées doivent identifier, prévenir, atténuer et remédier aux effets néfastes sur les droits de l’homme et l’environnement dans la chaîne d’activités. Après les modifications « Omnibus », le contrôle se concentre sur les propres opérations, les filiales et les partenaires commerciaux directs. Les partenaires indirects (niveau 2 et inférieurs) ne sont examinés en profondeur que si des informations objectives et vérifiables indiquent un risque concret.
Les grands clients se protègent contractuellement. Ils exigent le respect d’un code de conduite, des garanties concernant l’évitement des risques et le droit à l’information ou à des audits. Les seules clauses contractuelles ne suffisent pas. Les clients doivent également surveiller et vérifier le respect des obligations. La Commission présentera des lignes directrices et des clauses contractuelles types facultatives d’ici le 26 juillet 2027. De nombreux groupes utilisent déjà leurs propres clauses ou les exigences ESG existantes issues du LkSG allemand.
Quelles preuves et données les fournisseurs doivent-ils concrètement fournir
Les fournisseurs doivent généralement fournir une déclaration sur l’honneur concernant les risques mentionnés dans l’annexe de la directive. Cela inclut le travail forcé et le travail des enfants, la discrimination, les violations de la liberté syndicale, une protection insuffisante au travail, ainsi que des risques environnementaux tels que la pollution, la perte de biodiversité ou la gestion inappropriée de substances dangereuses.
Concrètement, les clients exigent souvent :
- Une description de leurs propres processus de diligence raisonnable (directive, analyse des risques, mécanisme de plainte).
- Des preuves des mesures prises dans leur propre chaîne d’approvisionnement (par exemple, codes de conduite des fournisseurs, audits chez les sous-traitants critiques).
- Des informations sur les risques identifiés, leur gravité et leur probabilité d’apparition.
- Des justificatifs de plans de prévention ou de remédiation en cas de problèmes constatés.
- Des certificats ou rapports d’audits tiers (par exemple SMETA ou équivalent) en cas de risque élevé.
Si nécessaire, les fournisseurs doivent accorder à leurs clients un accès pour des audits internes ou mandatés. Les demandes doivent être nécessaires. La directive prévoit des dispositions de protection pour les partenaires plus petits.
Calendrier jusqu’en 2029 et situation en Allemagne
Les États membres doivent transposer les modifications de la CSDDD dans le droit national avant le 26 juillet 2028. Les obligations s’appliqueront uniformément à toutes les entreprises concernées à partir du 26 juillet 2029. La déclaration annuelle publiée sur le site web de l’entreprise concerne les exercices comptables à compter du 1er janvier 2030. La Commission fournira des lignes directrices et des clauses types avant le 26 juillet 2027.
En Allemagne, la loi sur la diligence raisonnable dans les chaînes d’approvisionnement (LkSG) est applicable depuis 2024 aux entreprises employant au moins 1 000 personnes. En septembre 2025, le gouvernement fédéral a présenté un projet de loi modifiant le LkSG. L’objectif est une réglementation de transition allégée avec moins d’obligations déclaratives et un focus de la BAFA sur les violations graves. Le LkSG devrait être remplacé sans interruption par une loi sur la responsabilité internationale des entreprises qui mettra en œuvre la CSDDD. De nombreux fournisseurs moyens satisfont déjà partiellement aux exigences des grands clients allemands ou européens.
Comment les fournisseurs se préparent aux demandes des clients
De nombreuses demandes arrivent déjà aujourd’hui. Être préparé permet d’éviter les retards dans les contrats et les risques réputationnels. Les étapes suivantes aident à répondre systématiquement aux exigences.
- Inventorier les processus LkSG existants ou ESG volontaires et les étendre aux risques pertinents pour la CSDDD (Annexe).
- Créer des paquets de réponse standardisés : documents de politique, modèles d’analyse des risques, preuves des mesures et procédures de plainte.
- Prioriser les sous-traitants critiques et les régions d’approvisionnement, et documenter les premières analyses de risques internes.
- Examiner les clauses contractuelles avec les grands clients et veiller à la proportionnalité ; utiliser les marges de négociation si nécessaire.
- Définir les responsabilités internes et mettre en place des outils ou plateformes pour les demandes de données récurrentes.
Les entreprises qui mettent ces points en œuvre peuvent répondre plus rapidement et avec moins d’efforts aux demandes des clients. Le temps de préparation jusqu’en 2029 doit être utilisé pour stabiliser et rendre reproductibles les processus.
Foire aux questions
Mon entreprise de taille intermédiaire est-elle directement soumise à la CSDDD ?
Directement, uniquement si vous comptez plus de 5 000 employés et réalisez un chiffre d’affaires supérieur à 1,5 milliard d’euros. La plupart des fournisseurs reçoivent ces exigences indirectement via les clauses contractuelles de leurs grands clients.
Quelles preuves les grands clients exigent-ils concrètement ?
Il s’agit typiquement d’une description de vos propres processus de devoir de vigilance, d’auto-évaluations sur les risques en matière de droits de l’homme et d’environnement, de justificatifs de mesures préventives et, en cas de risque élevé, de rapports d’audits tiers tels que SMETA.
À partir de quand les obligations s’appliquent-elles ?
Les États membres transposent la directive en droit national d’ici le 26 juillet 2028, et les obligations s’appliquent à partir du 26 juillet 2029. Les clauses types de la Commission seront disponibles d’ici le 26 juillet 2027.
Qu’advient-il de la loi allemande sur le devoir de vigilance ?
Le LkSG doit être remplacé de manière fluide par une loi sur la responsabilité internationale des entreprises, transposant la CSDDD. Un projet de loi gouvernemental pour une réglementation transitoire plus allégée est disponible depuis septembre 2025.
Que doivent faire les fournisseurs en premier lieu ?
Faire l’inventaire des processus LkSG ou ESG existants, créer des kits de réponses standardisés avec des documents de politique générale et des modèles d’analyse des risques, et prioriser les sous-traitants critiques. Cela permet de répondre efficacement aux demandes récurrentes.
Les recommandations de lecture de la rédaction
- Les aides financières freinent les PME
- PSD3 : ce que les directeurs financiers doivent savoir maintenant
- Optimisation des processus sans projet à perpétuité
Plus d’articles du réseau MBF Media
- cloudmagazin : Les tendances du cloud pour les PME
- Digital Chiefs : Stratégie IT pour les décideurs
- SecurityToday : L’actualité de la sécurité en bref
Source de l’image : générée par IA (juillet 2026)

