L’arrêt rendu par la cour d’appel de Paris le 17 juin 2025 (n° RG 24/05193), dans l’affaire opposant la fédération Sud PTT à La Poste, constitue une césure importante dans la construction jurisprudentielle du devoir de vigilance des entreprises tel qu’issu de la loi n° 2017-399 du 27 mars 2017. En validant l’approche exigeante retenue par les premiers juges, la cour confirme une lecture substantielle et structurante de l’article L. 225-102-4 du code de commerce(désormais L. 225-102-1), en ce qu’il impose non seulement une obligation de publication, mais surtout une obligation de méthode et d’effectivité.

Dans une logique que l’on pourrait qualifier de compliance ex ante, la cour d’appel rappelle que le plan de vigilance ne saurait se limiter à un exercice de communication ou à une juxtaposition de bonnes pratiques génériques. Elle érige au contraire la cartographie des risques en socle opérationnel de la vigilance, en insistant sur la nécessité de l’élaborer de manière rigoureuse, hiérarchisée, et cohérente avec les mesures qui en découlent.

Plus encore, cet arrêt illustre la transition du devoir de vigilance vers une fonction stratégique de pilotage des risques extrafinanciers, dans un contexte normatif en mutation. Si la directive européenne 2024/1760 sur le devoir de vigilance en matière de durabilité des entreprises (CS3D) n’est pas encore transposée, son esprit irrigue déjà, en filigrane, l’interprétation judiciaire du droit français. Le juge anticipe ainsi, sans le dire expressément, les principes qui structureront demain la compliance durable : gravité, probabilité, parties prenantes, effectivité.

À cet égard, la décision invite à repenser le contenu du plan de vigilance non comme un document de conformité statique, mais comme un processus dynamique, fondé sur l’identification des risques graves, leur hiérarchisation, et la mise en œuvre de mesures appropriées et concertées. Elle marque un tournant : celui de la fin des plans de vigilance génériques, et de l’avènement d’une vigilance active et gouvernée, qui engage la responsabilité des grandes entreprises.

I. La cartographie des risques, pierre angulaire du devoir de vigilance

La cour d’appel de Paris consacre, dans sa décision du 17 juin 2025, une analyse approfondie à la première exigence du plan de vigilance telle qu’énoncée à l’article L. 225-102-4, I, 1° du code de commerce : « une cartographie des risques destinée à leur identification, leur analyse et leur hiérarchisation ». Cette disposition, trop souvent traitée par les entreprises comme une exigence formelle ou redondante avec d’autres obligations (telles celles issues de la loi Sapin II), retrouve ici toute sa portée fondatrice. La cartographie n’est pas un préalable accessoire, elle est le cœur logique et normatif du dispositif.

A. Une exigence juridique à part entière, non subsidiaire

La cour rappelle que la cartographie vise expressément à identifier les risques d’atteinte grave dans trois domaines :

  • les droits humains et libertés fondamentales,

  • la santé et la sécurité des personnes,

  • et l’environnement.

Mais elle va plus loin : elle précise que la cartographie doit être distinguée des mesures de prévention (visées au 3° du même article), et fondée sur le critère de gravité, tel que l’exige également le principe directeur n°24 des Nations unies sur les entreprises et les droits de l’homme.

Par cette analyse, le juge consacre un raisonnement à deux temps : d’abord, une évaluation autonome du risque, ensuite seulement, la construction d’une réponse proportionnée. Toute confusion entre ces deux étapes vicie la logique du plan. En l'espèce, la cour reproche à La Poste une présentation trop globale, une agrégation hâtive des risques et de leur maîtrise supposée, sans démonstration probante de leur hiérarchisation ni de leur criticité réelle.

B. L’exigence d’une granularité sectorielle et contextuelle des risques

Ce que la cour sanctionne chez La Poste, c’est avant tout l’absence de granularité. En se contentant de distinguer quelques grandes catégories d’activité et de les associer à des « risques maîtrisés », sans analyse fine des facteurs de risque propres à chaque filiale, à chaque pays, à chaque activité sous-traitée, l’entreprise manque à ses obligations.

La cartographie, telle que la cour la définit, ne saurait être un tableau générique ; elle doit être contextualiséehiérarchisée selon la gravité et la probabilité, et transparente dans sa méthode. Ce point est d’autant plus crucial que l’article 9 de la directive CS3D prévoit expressément une obligation de hiérarchisation selon ces deux critères cumulatifs. Le juge français s’inscrit déjà dans cette logique anticipatoire.

C. Une fonction stratégique, au-delà de la conformité

Au-delà du contenu attendu, la cartographie apparaît comme un outil de gouvernance stratégique. Elle permet à l’entreprise d’orienter ses priorités, de dimensionner ses dispositifs de contrôle, d’allouer des ressources en fonction des zones de vulnérabilité identifiées.

Le jugement rappelle incidemment que la cartographie doit être distincte et indépendante des mesures d’atténuation, et qu’elle ne peut être parasitée par des considérations internes de politique RSE. Cette exigence de distinction méthodologique redonne toute sa rigueur à l’exercice. Comme l’indique le commentaire précité, cela inscrit la cartographie dans une logique de vigilance substantielle, inspirée des doctrines de la compliance « embarquée », plutôt que dans une conformité symbolique.

D. Quelles conséquences en cas de carence ?

La carence en matière de cartographie des risques n’est pas une irrégularité secondaire : elle expose l’entreprise à des injonctions judiciaires, comme dans l’affaire commentée, mais aussi à des contentieux en responsabilité, voire à des contentieux transnationaux en cas d’atteintes graves causées par des filiales ou fournisseurs.

La décision du 17 juin 2025 rappelle que l’absence de hiérarchisation crédiblel’insuffisance de transparence sur la méthode, ou la confusion entre risques et mesures, suffisent à caractériser une non-conformité substantielle. Cela ouvre la voie à un contentieux structurel, où le juge peut jouer un rôle de régulateur de vigilance, sur le modèle du juge administratif du référé-liberté ou du contentieux de la carence fautive.

II. Le devoir de vigilance à l’épreuve du dialogue social

Si la cartographie des risques constitue l’ossature technique du plan de vigilance, sa légitimité et sa robustesse dépendent aussi de la qualité du dialogue noué avec les parties prenantes. La décision de la cour d’appel de Paris du 17 juin 2025 souligne, avec une clarté rare, que la vigilance ne peut pas être un processus unilatéral. Elle s’enracine dans une méthodologie délibérative, qui exige l’inclusion réelle et documentée des représentants des travailleurs, et au-delà, des acteurs concernés par les risques identifiés.

A. Une exigence normative, non optionnelle : la concertation juridiquement encadrée

L’article L. 225-102-4 du code de commerce prévoit expressément que le mécanisme d’alerte et de recueil des signalements (4°) doit être « établi en concertation avec les organisations syndicales représentatives ». Il ne s’agit donc pas d’une faculté, ni même d’une simple consultation a posteriori, mais bien d’une obligation procédurale préalable à l’adoption du dispositif.

Or, dans l’affaire soumise à la cour, La Poste n’a pas démontré avoir instauré un réel dialogue sur ce mécanisme. L’entreprise s’est bornée à transmettre des supports visuels lors de réunions internes, sans produire d’élément probant quant à l’existence d’un échange préalable et structuré sur le contenu même du dispositif d’alerte. La cour sanctionne cette carence et rappelle que la concertation suppose un échange bilatéral, préparatoire et substantiel, pas une simple diffusion d’informations en aval d’une décision déjà arrêtée.

B. Une vigilance inclusive : construire avec, non à côté

L’intérêt majeur de l’arrêt du 17 juin 2025 réside aussi dans l’affirmation implicite d’un modèle de vigilance « inclusive », pour reprendre les termes du commentaire externe que nous avons évoqué. Ce modèle repose sur l’idée que les parties prenantes — syndicats, ONG, représentants locaux, parfois riverains ou usagers — sont des co-producteurs de vigilance, et non des destinataires passifs.

Leur implication est doublement vertueuse :

  • elle accroît la qualité de l’identification des risques, grâce à leur connaissance de terrain ;

  • elle renforce la légitimité des dispositifs adoptés, en les insérant dans un écosystème de concertation.

Dans cette perspective, l’obligation de concertation ne doit pas être perçue comme une contrainte procédurale, mais comme un vecteur d’intelligence collective et de performance préventive.

C. Vers un élargissement de la concertation dans la future directive CS3D

La décision du 17 juin 2025 est également remarquable en ce qu’elle anticipe l’évolution du droit européen. En effet, l’article 8 §3 de la directive CS3D prévoit que les entreprises doivent, dans le cadre de leur processus de diligence raisonnable, impliquer les parties prenantes concernées, en particulier lorsqu’il s’agit de recenser et d’évaluer les incidences négatives de leurs activités.

Cette approche, fondée sur la participation active, est cohérente avec les principes directeurs de l’ONU (2011) et les lignes directrices de l’OCDE, que la loi française transpose partiellement. L’arrêt s’inscrit dans cette dynamique, et confirme que la vigilance moderne est une vigilance dialoguée, où le droit impose un cadre de coopération entre l’entreprise et son environnement humain, social et territorial.

D. L’effectivité du dialogue comme condition de légalité

Enfin, la cour opère une mise en garde qui dépasse le cas d’espèce : en l’absence de preuve d’un dialogue effectif et préalable, l’entreprise s’expose à une injonction judiciaire, voire à une remise en cause globale de la validité du plan de vigilance. Le juge ne se contente plus de vérifier si une réunion a eu lieu, il en examine la finalité, le contenu et le calendrier. L’« apparence de dialogue » ne suffit plus.

Dès lors, les entreprises doivent, dès aujourd’hui, documenter rigoureusement leurs échanges avec les parties prenantes, établir des comptes-rendus, intégrer les propositions formulées, et justifier, le cas échéant, des arbitrages opérés. La vigilance devient ainsi un processus traçable, susceptible d’être audité par le juge, dans une logique de redevabilité démocratique.

III. Un plan vivant ou un plan mort ? L’exigence d’un suivi effectif et démontré

L’arrêt du 17 juin 2025 ne se limite pas à rappeler les obligations de diagnostic (cartographie) et de dialogue (concertation). Il insiste également, dans une partie souvent négligée par les entreprises, sur la nécessité de documenter l’effectivité du plan de vigilance. L’article L. 225-102-4, I, 5° du code de commerce exige en effet la mise en place d’un dispositif de suivi des mesures mises en œuvre et d’évaluation de leur efficacité. Cette dernière étape donne à la vigilance son caractère dynamique : elle ne saurait être un simple rapport d’intention, mais un processus vérifiable, traçable et révisable.

A. Une obligation de suivi autonome, articulée à la cartographie initiale

La cour sanctionne La Poste pour avoir présenté, dans son plan de vigilance 2021, un tableau d’indicateurs sans lien clair avec les risques identifiés ni avec les mesures annoncées. Or, comme le souligne le jugement confirmé, le compte rendu de mise en œuvre doit refléter la cohérence du dispositif dans son ensemble : les indicateurs choisis doivent correspondre aux actions prévues, lesquelles doivent répondre à des risques objectivés dans la cartographie.

Cette approche s’inscrit dans une logique de traçabilité des engagements : chaque mesure prise (ex. : audit fournisseur, formation sécurité, dispositif d’alerte) doit pouvoir être suivie dans le temps, évaluée dans ses résultats, et réorientée si besoin. L’entreprise ne peut plus se contenter de publier des chiffres globaux d’absentéisme, de taux d’emploi des femmes ou de volume d’audits réalisés. Elle doit démontrer l’utilité de ses actions au regard des objectifs de prévention des atteintes graves.

B. Une exigence de cohérence, pas un excès de formalisme

La Poste soutenait que la loi ne prescrit pas de format particulier pour ce compte rendu, et qu’elle disposait d’une liberté de présentation. Cet argument est rejeté avec justesse : la liberté de forme ne saurait être un paravent pour une déconnexion complète entre les risques, les mesures et les résultats. Le plan de vigilance est un tout articulé : une faiblesse à l’une de ses extrémités rejaillit sur l’ensemble.

Autrement dit, le suivi n’est pas un bonus, c’est le test de réalité du plan. Il démontre si les mesures sont appliquées, si elles produisent des effets, et si elles permettent d’ajuster la vigilance à la lumière des remontées de terrain. L’arrêt rappelle ainsi que l’entreprise doit se doter d’un véritable dispositif de pilotage de ses engagements : chiffres, bilans internes, audits, remontées d’alertes, analyses critiques, voire autoévaluations croisées.

C. L’ombre portée de la CS3D : vers une normalisation européenne de l’effectivité

Cette exigence de suivi rigoureux rejoint les logiques futures de la directive CS3D, dont l’article 10 impose aux entreprises de surveiller l’efficacité des mesures prises et de les adapter si nécessaire. Le lien est ici évident : le juge national anticipe une transposition à venir en exigeant dès aujourd’hui ce que l’Europe imposera demain.

Cela confirme que l’entreprise devra démontrer, de manière documentée et vérifiable, que ses mesures sont à la fois appropriées et efficaces. Il ne suffira plus de mentionner que des audits ont été menés : il faudra indiquer où, sur quels risques, avec quels résultats, et quelles suites données. C’est une logique de redevabilité opérationnelle, où la preuve de la mise en œuvre ne repose plus sur le déclaratif, mais sur des éléments concrets, vérifiables et mis à jour.

D. De l’évaluation interne au contrôle judiciaire : vers une culture de l’audit contentieux

Enfin, cette exigence d’effectivité ouvre une perspective importante : celle d’un contrôle judiciaire du pilotage interne de la vigilance. Le juge ne se contente plus de vérifier si l’entreprise a publié un document : il évalue si ce document est en adéquation avec la réalité de terrain, et s’il contient les outils nécessaires à l’auto-régulation.

On voit ainsi se dessiner un droit contentieux de la vigilance, comparable au contentieux environnemental des études d’impact ou à celui du respect des procédures d’évaluation environnementale. Le plan de vigilance devient une norme opératoire susceptible d’un contrôle juridictionnel à la fois substantiel et procédural.

Conclusion – Le plan de vigilance entre exigence légale, outil stratégique et objet contentieux

L’arrêt du 17 juin 2025 rendu par la cour d’appel de Paris dans l’affaire Sud PTT c/ La Poste s’impose comme une décision structurante dans l’édification d’un contentieux du devoir de vigilance. Il met fin, au moins sur le terrain judiciaire, à l’ambiguïté longtemps entretenue entre plan de vigilance et document de communication RSE. La vigilance ne peut être ni un exercice formel, ni une vitrine institutionnelle : elle est désormais une obligation légale à contenu substantiel, susceptible d’évaluation, de sanction et, demain, de réparation.

La cour affirme une lecture rigoureuse et finaliste de l’article L. 225-102-4 du code de commerce, en replaçant la cartographie des risques au centre de la démarche, en exigeant une concertation réelle avec les syndicats sur le mécanisme d’alerte, et en réclamant un suivi effectif et démontré des mesures prises. Ce faisant, elle propose une interprétation exigeante mais équilibrée de la loi de 2017, qui anticipe avec justesse les logiques de la directive européenne CS3D, sans outrepasser le cadre normatif existant.

Ce que cette décision inaugure, c’est peut-être moins une judiciarisation du devoir de vigilance qu’une normalisation de son effectivité. Le juge devient l’arbitre de la sincérité du plan, son garant de cohérence, son évaluateur en cas de défaillance. Il ne se substitue pas à l’entreprise dans ses choix, mais vérifie que ceux-ci sont guidés par une méthodologie, une logique de prévention et une forme de transparence.

Pour les grandes entreprises concernées par la loi de 2017 et demain par la CS3D, cette jurisprudence impose une transformation des pratiques. Elle exige :

  • de sortir de la logique du reporting standardisé,

  • d’enraciner la vigilance dans les réalités opérationnelles,

  • de co-construire le plan avec les parties prenantes,

  • et de mettre en place des outils concrets de suivi, capables de faire la preuve de leur efficacité.

L’arrêt La Poste n’est donc pas une simple confirmation judiciaire. Il est un point d’inflexion : celui où le plan de vigilance bascule d’une obligation déclarative à une norme juridique opposable, qui structure le comportement de l’entreprise et qui, à défaut, ouvre la voie à un contentieux de responsabilité de plus en plus crédible