Publié le 19/06/2025

Quand le juge entre dans le cœur des plans de vigilance.

Article juridique - Droit de l'environnement

À propos de l'arrêt de la cour d'appel de Paris, pôle 5 – chambre 12, du 17 juin 2025 (n° RG 24/05193, Sud PTT c/ La Poste), texte de la décision.

Introduction

L'arrêt rendu par la cour d'appel de Paris le 17 juin 2025 (CA Paris, pôle 5 – ch. 12, 17 juin 2025, n° RG 24/05193), dans l'affaire opposant la fédération Sud PTT à La Poste, marque une étape importante dans la construction jurisprudentielle du devoir de vigilance issu de la loi n° 2017-399 du 27 mars 2017. Il s'agit du premier arrêt au fond rendu par la chambre spécialisée des « contentieux émergents » de la cour d'appel de Paris (pôle 5 – chambre 12) sur l'application de cette loi.

Le litige trouve son origine dans les insuffisances dénoncées par le syndicat Sud PTT dans le plan de vigilance publié par La Poste le 21 mars 2022 (dit « plan de vigilance 2021 »), dans un contexte de préoccupations relatives au travail dissimulé et au travail illégal au sein de la sous-traitance du groupe. Après une mise en demeure restée infructueuse, le syndicat a assigné La Poste. Par jugement du 5 décembre 2023 (TJ Paris, pôle social, 5 déc. 2023, n° RG 21/15827), le tribunal judiciaire de Paris avait enjoint à l'entreprise de compléter son plan sur quatre points : la cartographie des risques, les procédures d'évaluation des sous-traitants, le mécanisme d'alerte et le dispositif de suivi — sans assortir l'injonction d'une astreinte. La cour d'appel confirme le jugement en toutes ses dispositions, en précisant le niveau d'exigence attendu.

En validant l'approche des premiers juges, la cour consacre une lecture substantielle de l'article L. 225-102-4 du code de commerce — devenu l'article L. 225-102-1 au 1er janvier 2025 à la suite de l'ordonnance n° 2023-1142 du 6 décembre 2023 transposant la directive CSRD, à structure inchangée (I, 1° à 5°). Le texte n'impose pas seulement une obligation de publication : il commande une obligation de méthode et d'effectivité.

Un mot sur le périmètre du litige, car il conditionne la portée de l'arrêt. La cour n'était saisie que de la conformité du plan au regard des mesures 1°, 2°, 4° et 5° ; elle n'a pas examiné le 3° (actions adaptées d'atténuation des risques), exclu du champ de l'appel. Par ailleurs, l'affaire relève de l'action en injonction ouverte par l'article L. 225-102-1, II (anciennement L. 225-102-4, II) du code de commerce, et non de l'action en responsabilité de l'article L. 225-102-5 : la cour ne statue donc pas sur une réparation, mais sur la mise en conformité d'un plan.

Enfin — et contrairement à une lecture parfois proposée de l'arrêt —, la cour ne se borne pas à « anticiper en filigrane » le droit européen : elle vise expressément la directive (UE) 2024/1760 et rappelle, au titre du devoir de coopération loyale (article 4 du TUE), que les juridictions nationales doivent s'abstenir d'interpréter le droit interne d'une manière qui compromettrait, après le délai de transposition, l'objectif de la directive. C'est donc à droit constant — l'article L. 225-102-4 issu de la loi de 2017 — que la cour statue, tout en soulignant que son analyse converge avec les articles 8 et 9 de la directive.

I. La cartographie des risques, pierre angulaire du devoir de vigilance

La cour consacre des développements substantiels à la première mesure du plan : « une cartographie des risques destinée à leur identification, leur analyse et leur hiérarchisation » (C. com., art. L. 225-102-1, I, 1°). Loin d'une formalité redondante avec d'autres dispositifs (loi Sapin II notamment), la cartographie retrouve ici sa portée fondatrice. La cour rappelle, à la suite des premiers juges, que la loi de 2017 l'a placée au premier rang des mesures, « puisque de celle-ci dépend la détermination des actions à mener pour réduire les risques, prévenir les atteintes graves et mettre en œuvre leur suivi ».

A. Une exigence juridique à part entière, gouvernée par le critère de gravité

La cour précise que le devoir de vigilance ne commande pas de prévenir tous les impacts de l'activité, mais seulement les « risques ou atteintes graves », dans trois domaines : les droits humains et libertés fondamentales, la santé et la sécurité des personnes, et l'environnement. Le critère déterminant est ainsi la gravité, ce que la cour rapproche du Principe directeur n° 24 des Nations unies relatif aux entreprises et aux droits de l'homme, lequel invite à traiter en priorité les atteintes les plus graves ou les plus irrémédiables.

La décision distingue nettement deux temps : l'évaluation autonome du risque (1°), puis seulement la réponse proportionnée (les mesures d'atténuation du 3°). C'est précisément la confusion de ces deux temps qui est reprochée à La Poste : sa cartographie « prend déjà en compte les mesures » de maîtrise (logique de « risque net »/« risque résiduel »), au lieu d'identifier et de hiérarchiser les risques « distinctement et indépendamment des mesures mises en œuvre ».

B. Une exigence de granularité et de hiérarchisation

Ce que la cour sanctionne, c'est le « trop haut niveau de généralité » de la cartographie 2021. Les risques y sont énumérés en termes généraux dans chacune des trois catégories légales, « sans précision sur leur degré de gravité et des facteurs de risque pertinents », de sorte qu'« il n'en ressort aucune hiérarchisation ». Les formules récurrentes de risques « maîtrisés », « mineurs » ou « limités » ne suffisent pas : la cartographie doit, au stade initial, mettre en évidence les risques de niveau le plus élevé, « de façon synthétique mais néanmoins précise ».

Sur ce point, la cour relève expressément que son analyse converge avec la directive CS3D : l'article 8 de la directive (recensement et évaluation des incidences négatives) et l'article 9 (hiérarchisation des incidences en fonction de leur gravité et de leur probabilité). La hiérarchisation à deux critères, gravité et probabilité, est ainsi mobilisée non comme une exigence directement applicable, mais comme un horizon interprétatif.

Mise en garde de mise à jour : ces articles 8 et 9 visés par la cour renvoient à la version initiale de la directive (UE) 2024/1760. Le régime de la diligence raisonnable a depuis été remanié par la directive « Omnibus I » (voir partie V). Les renvois ci-dessus reflètent donc l'état du droit tel que la cour l'a mobilisé en 2025, et non nécessairement le texte consolidé applicable à l'issue de la transposition.

C. Une fonction stratégique, au-delà de la conformité

Au-delà de son contenu, la cartographie apparaît comme un outil de gouvernance : elle oriente les priorités, dimensionne les dispositifs de contrôle et alloue les ressources en fonction des zones de vulnérabilité. L'exigence de distinction méthodologique — cartographier les risques avant d'y répondre — redonne à l'exercice sa rigueur et l'inscrit dans une logique de vigilance substantielle plutôt que dans une conformité symbolique.

D. Les conséquences de la carence

La carence cartographique n'est pas une irrégularité secondaire : elle justifie une injonction de mise en conformité (en l'espèce sans astreinte, le juge ayant estimé qu'il n'y avait pas lieu d'en prononcer une), et elle rejaillit en cascade sur les autres mesures du plan, comme l'illustre la partie suivante.

II. Les procédures d'évaluation des sous-traitants et fournisseurs : l'effet de contamination

La deuxième mesure — « des procédures d'évaluation régulière de la situation des filiales, des sous-traitants ou fournisseurs (…) au regard de la cartographie des risques » (C. com., art. L. 225-102-1, I, 2°) — illustre, mieux que toute autre, le caractère systémique du plan de vigilance. C'est ici que se noue le lien avec l'origine du litige : la sous-traitance et le travail illégal.

La Poste décrivait pourtant un dispositif d'évaluation en trois phases : auto-déclaration en ligne par les fournisseurs et sous-traitants, puis audit documentaire à distance par un expert évaluateur de l'AFNOR, enfin audit sur site. La cour ne conteste pas l'existence de ce mécanisme. Elle juge cependant qu'il ne peut être tenu pour conforme, « à défaut d'identification, d'analyse et de hiérarchisation des risques les plus graves dans la cartographie ». Autrement dit, une procédure d'évaluation ne peut être « au regard de la cartographie » lorsque la cartographie elle-même est déficiente : la lacune initiale se propage à l'aval.

La cour étaye ce raisonnement par deux exemples concrets et particulièrement parlants :

les contrôles déployés sur site se limitent, dans l'exemple cité, à la vérification du permis de conduire et du taux d'alcoolémie des chauffeurs, alors que la cartographie ne mentionne, de façon générale, que le risque d'« accidents du travail », sans identifier le risque spécifique lié aux infractions au code de la route ;
la cartographie évoque le « travail des enfants » et le « travail forcé », mais non le travail illégal, pourtant distinct et que la cour juge « prégnant » au regard des éléments de la procédure.

La cohérence interne du plan devient ainsi un critère de légalité : les procédures d'évaluation doivent épouser les risques réellement identifiés et hiérarchisés. À défaut, l'entreprise s'expose à une injonction, ce que la cour confirme sur ce chef.

III. Le mécanisme d'alerte à l'épreuve du dialogue social : concertation n'est pas consultation

Si la cartographie est l'ossature technique du plan, le quatrième pilier en éprouve la légitimité procédurale. L'article L. 225-102-1, I, 4° du code de commerce exige que le mécanisme d'alerte et de recueil des signalements soit « établi en concertation avec les organisations syndicales représentatives dans ladite société ».

A. Une obligation procédurale, et non une simple information

La cour livre une définition exigeante de la concertation. L'élaboration « en concertation » diffère d'une simple consultation sur un projet prédéfini : elle suppose une transmission d'informations et un échange de points de vue et de propositions sur le contenu et la mise en œuvre du mécanisme, en amont de son élaboration. La charge de la preuve pèse sur l'entreprise : il incombe à La Poste d'établir qu'elle a mis en place un tel dialogue préalable.

B. L'« apparence de dialogue » ne suffit pas

En l'espèce, La Poste justifiait d'invitations à des réunions de sa Commission de dialogue social (CDSP) et de la transmission de supports visuels (présentations PowerPoint) décrivant ses dispositifs d'alerte. La cour considère que ces éléments peuvent attester d'une consultation, mais non d'une concertation préalable : aucun compte rendu n'est produit, la teneur des échanges demeure inconnue, et les supports comportent « peu d'informations ». La cour relève en outre que le syndicat avait expressément demandé une concertation sur ce mécanisme dès une mise en demeure de juillet 2020. L'injonction est confirmée.

C. Une vigilance qui se documente

La portée pratique est nette : les entreprises doivent désormais tracer leurs échanges avec les organisations syndicales représentatives — comptes rendus, propositions reçues, arbitrages opérés —, faute de quoi le mécanisme d'alerte encourt l'injonction.

Précision : la décision se prononce sur la concertation avec les organisations syndicales représentatives, parties prenantes spécifiquement désignées par le 4°. L'idée, parfois avancée en doctrine, d'une vigilance « inclusive » associant ONG, collectivités ou riverains comme « co-producteurs » du plan relève d'un prolongement doctrinal souhaitable, mais ne ressort pas du dispositif de cet arrêt, qui ne vise que les syndicats. La distinction mérite d'être maintenue pour ne pas prêter à la cour davantage qu'elle n'a jugé.

IV. Un plan vivant ou un plan mort ? L'exigence d'un suivi effectif et démontré

La cinquième mesure — « un dispositif de suivi des mesures mises en œuvre et d'évaluation de leur efficacité » (C. com., art. L. 225-102-1, I, 5°) — donne au plan son caractère dynamique.

La Poste soutenait que la loi ne prescrit aucune forme particulière pour le compte rendu de mise en œuvre, d'où une liberté de présentation. La cour lui donne raison sur le principe — « la loi ne donne aucune précision quant à la forme » — mais en pose aussitôt la limite : le contenu du compte rendu « doit être le reflet de ce qui est attendu du plan de vigilance et en lien étroit avec les mesures du plan qui le précèdent ». La liberté de forme ne saurait couvrir une déconnexion entre les risques, les mesures et les résultats.

En l'espèce, le chapitre du plan consacré au suivi se compose d'indicateurs (sociaux, environnementaux, fournisseurs, dispositif d'alerte) qui « révèlent une évolution dans certains domaines » — répartition femmes/hommes, absentéisme, accidents du travail, indicateurs environnementaux — mais qui « ne donne[nt] aucune explication sur la mise en œuvre et les effets des mesures de vigilance » destinées à prévenir les atteintes graves. La mise en avant de classements extra-financiers favorables (Vigeo Eiris, CDP) ne saurait y suppléer. Le compte rendu ne portant pas sur la mise en œuvre effective du plan, l'injonction est confirmée.

Le suivi n'est donc pas un supplément : il est le test de réalité du plan. Il vérifie si les mesures sont appliquées, si elles produisent des effets et si la vigilance s'ajuste aux remontées de terrain. On peut y voir l'esquisse d'un contrôle juridictionnel du pilotage interne de la vigilance, comparable, dans son esprit, au contentieux de l'évaluation environnementale.

V. La toile de fond européenne : une CS3D profondément remaniée

C'est ici que l'article appelle l'actualisation la plus importante, car le paysage européen a radicalement changé depuis l'arrêt.

A. Ce que la cour a effectivement dit de la directive

La cour vise expressément la directive (UE) 2024/1760 du 13 juin 2024 sur le devoir de vigilance des entreprises en matière de durabilité (dite CS3D, texte). Elle relève qu'à la date de l'arrêt, la directive n'était pas transposée et que les demandes devaient donc être examinées à l'aune de la loi française de 2017. Elle rappelle néanmoins le devoir de coopération loyale (article 4 du TUE) et fait converger son analyse de la cartographie avec les articles 8 et 9 de la directive. La cour mentionne d'ailleurs une échéance de transposition au 26 juillet 2026 — délai initial de la directive, déjà dépassé par les réformes intervenues depuis (voir ci-dessous).

B. Ce qui a changé depuis : « Stop the clock » puis « Omnibus I »

Deux textes européens ont, depuis, bouleversé le calendrier et le contenu de la CS3D :

la directive (UE) 2025/794 du 14 avril 2025, dite « Stop the clock » (texte), a reporté d'un an le délai de transposition de la CS3D et différé l'entrée en application des obligations de vigilance. En France, la loi n° 2025-391 du 30 avril 2025 (« DDADUE ») a aligné le droit interne sur ce nouveau calendrier ;
la directive (UE) 2026/470 du 24 février 2026, dite « Omnibus I » (JOUE du 26 février 2026, entrée en vigueur le 18 mars 2026, texte), a profondément remanié la CS3D : relèvement très net des seuils d'assujettissement (recentrage sur les entreprises de plus de 5 000 salariés et plus de 1,5 milliard d'euros de chiffre d'affaires), restructuration des obligations de diligence, suppression de l'obligation de plan de transition climatique, et abandon du régime harmonisé de responsabilité civile que prévoyait la version initiale. La transposition du volet « devoir de vigilance » est désormais attendue pour le 26 juillet 2028.

La France, qui n'avait pas encore transposé la CS3D et qui dispose déjà d'un régime national (la loi de 2017), devra ainsi articuler — voire « détricoter » — son dispositif au regard du texte européen révisé.

Mise en garde : le calendrier européen a été modifié à plusieurs reprises en moins de deux ans. Les dates et seuils ci-dessus doivent être revérifiés à la date de publication, et les renvois aux articles 8, 9 et 10 de la CS3D « originelle » ne peuvent plus être présentés comme l'état stable du droit : ils doivent être lus à la lumière du texte consolidé issu de l'Omnibus I.

C. Portée de l'arrêt dans ce contexte mouvant

Loin d'être affaiblie par ces évolutions, la valeur de l'arrêt s'en trouve clarifiée : c'est bien la loi française de 2017 qui reste, à ce jour, le droit positif applicable, et c'est elle que la cour interprète de manière exigeante. La CS3D, dans sa version remaniée et non encore transposée, constitue une toile de fond, non le fondement de la décision. La portée pédagogique de l'arrêt pour les entreprises assujetties à la loi de 2017 demeure donc entière.

Conclusion — Le plan de vigilance, entre exigence légale, outil de pilotage et objet de contrôle

L'arrêt du 17 juin 2025 s'impose comme une décision structurante du contentieux français du devoir de vigilance. Il dissipe l'ambiguïté entre plan de vigilance et document de communication RSE : la vigilance n'est ni un exercice formel ni une vitrine institutionnelle, mais une obligation légale à contenu substantiel, susceptible d'évaluation et d'injonction.

La cour livre une lecture rigoureuse et finaliste de l'article L. 225-102-1 du code de commerce : elle replace la cartographie des risques au centre du dispositif, en fait dépendre la cohérence des procédures d'évaluation des sous-traitants, exige une concertation réelle — et non une simple consultation — avec les organisations syndicales sur le mécanisme d'alerte, et réclame un suivi effectif et démontré. Le juge devient l'arbitre de la sincérité et de la cohérence du plan : il ne se substitue pas à l'entreprise dans ses choix, mais vérifie qu'ils procèdent d'une méthode et d'une logique de prévention.

Une réserve s'impose toutefois quant aux perspectives. La présente affaire relève de l'action en injonction, non de l'action en responsabilité (C. com., art. L. 225-102-5) : la décision ne préjuge pas d'une réparation. Et si la judiciarisation de la vigilance paraît s'installer, l'horizon européen s'est, lui, assombri pour les tenants d'un régime contraignant : l'Omnibus I a notamment abandonné le régime harmonisé de responsabilité civile initialement prévu par la CS3D. La trajectoire d'un « contentieux de la réparation » reste donc ouverte, mais plus incertaine qu'il y a un an.

Pour les grandes entreprises, l'enseignement pratique demeure clair : sortir du reporting standardisé, enraciner la vigilance dans les réalités opérationnelles, documenter la concertation avec les parties prenantes désignées par la loi, et se doter d'outils de suivi capables de démontrer leur efficacité.

Textes et décisions cités

CA Paris, pôle 5 – ch. 12, 17 juin 2025, n° RG 24/05193, Sud PTT c/ La Poste — décision
TJ Paris, pôle social, 5 décembre 2023, n° RG 21/15827, Sud PTT c/ La Poste — décision
C. com., art. L. 225-102-1 (anciennement L. 225-102-4) — Légifrance
Loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance — Légifrance
Directive (UE) 2024/1760 du 13 juin 2024 (CS3D) — EUR-Lex
Directive (UE) 2025/794 du 14 avril 2025 (« Stop the clock ») — EUR-Lex
Directive (UE) 2026/470 du 24 février 2026 (« Omnibus I ») — EUR-Lex