La directive CS3D (Corporate Sustainability Due Diligence Directive), aussi connue sous l'acronyme CSDDD, impose aux grandes entreprises un devoir de vigilance sur les droits humains et l'environnement dans leur chaîne de valeur. Adoptée en avril 2024, ses échéances ont été repoussées par le paquet Omnibus fin 2025. Voici le calendrier actualisé et les obligations concrètes.
Contexte et origines
La CS3D a été adoptée le 24 avril 2024 par le Parlement européen dans le cadre du Pacte Vert européen (Green Deal). Elle s'inspire directement de la loi française sur le devoir de vigilance du 27 mars 2017, pionnière en la matière, qui s'applique aux sociétés mères et entreprises donneuses d'ordre de plus de 5 000 salariés en France (ou 10 000 à l'international).
La directive européenne étend ce principe à l'ensemble de l'Union, en imposant aux entreprises de prévenir, atténuer et traiter les impacts négatifs sur les droits humains et l'environnement dans leurs activités et leur chaîne de valeur.
Pour une analyse de la directive dans sa version initiale, consultez notre article sur la CS3D et le devoir de vigilance européen.
Les seuils d'application post-Omnibus
Le paquet Omnibus, adopté fin 2025, a significativement relevé les seuils d'application de la CS3D :
| Critère | Seuil initial (2024) | Seuil révisé (Omnibus) |
|---|---|---|
| Salariés | 500+ (vague 3) | 1 000+ (vague 3) |
| Chiffre d'affaires mondial | 150 M€ (vague 3) | 450 M€ (vague 3) |
| Entreprises UE concernées | ~13 000 | ~5 500 |
Seules les très grandes entreprises restent dans le périmètre :
- Vague 1 : plus de 5 000 salariés et CA supérieur à 1,5 milliard d'euros
- Vague 2 : plus de 3 000 salariés et CA supérieur à 900 millions d'euros
- Vague 3 : plus de 1 000 salariés et CA supérieur à 450 millions d'euros
Les entreprises non européennes sont concernées si elles atteignent ces seuils de chiffre d'affaires au sein de l'UE.
Le calendrier actualisé
La directive (UE) 2025/794 a repoussé d'un an les échéances initialement prévues :
| Échéance | Contenu |
|---|---|
| 26 juillet 2027 | Date limite de transposition par les États membres (initialement juillet 2026) |
| 26 juillet 2028 | Application aux entreprises de la vague 1 (plus de 5 000 salariés, CA supérieur à 1,5 Md€) |
| 26 juillet 2029 | Application aux entreprises de la vague 2 (plus de 3 000 salariés, CA supérieur à 900 M€) |
| 26 juillet 2030 | Application aux entreprises de la vague 3 (plus de 1 000 salariés, CA supérieur à 450 M€) |
Le report d'un an offre un répit aux États membres pour la transposition et aux entreprises pour la préparation de leurs systèmes de vigilance.
Les six obligations fondamentales
La CS3D impose un processus de vigilance en six étapes, couvrant l'ensemble de la chaîne de valeur (fournisseurs, partenaires commerciaux, sous-traitants) :
1. Intégrer la vigilance dans la gouvernance
L'entreprise doit intégrer la diligence raisonnable dans ses politiques et systèmes de gestion des risques. Un responsable ou une équipe dédiée doit superviser le processus au niveau de la direction.
2. Identifier et évaluer les impacts négatifs
Cartographier les risques réels et potentiels d'atteintes aux droits humains et à l'environnement dans l'ensemble de la chaîne de valeur : conditions de travail des sous-traitants, pollution des sites de production, déforestation liée aux approvisionnements, etc.
3. Prévenir et atténuer les impacts
Mettre en place des mesures concrètes pour prévenir les impacts identifiés : clauses contractuelles avec les fournisseurs, audits sur site, plans de remédiation, investissements dans des pratiques plus durables.
4. Mettre fin aux impacts avérés
Lorsqu'un impact négatif est avéré, l'entreprise doit prendre des mesures pour y mettre fin ou, si ce n'est pas possible, en minimiser l'ampleur. Cela peut aller jusqu'à la suspension ou la rupture d'une relation commerciale.
5. Établir un mécanisme de réclamation
L'entreprise doit mettre à disposition un mécanisme de plainte permettant aux personnes et communautés affectées de signaler les impacts négatifs. Ce mécanisme doit être accessible, transparent et gratuit.
6. Communiquer publiquement
L'entreprise doit publier annuellement une déclaration sur sa politique de vigilance, les risques identifiés, les mesures prises et leurs résultats. Cette communication s'articule avec le reporting CSRD pour les entreprises soumises aux deux obligations.
Le plan de transition climatique
La version initiale de la CS3D imposait aux entreprises d'élaborer un plan de transition visant à rendre leur modèle économique compatible avec l'objectif de limitation du réchauffement à 1,5 °C (Accord de Paris).
Le paquet Omnibus a supprimé cette obligation. Les entreprises ne sont plus tenues d'adopter un plan de transition climatique au titre de la CS3D. Toutefois, les entreprises soumises à la CSRD doivent toujours reporter sur leur stratégie climatique dans le cadre de la norme ESRS E1.
Sanctions
Le régime de sanctions est laissé à l'appréciation des États membres, dans le respect de principes européens :
- Amendes pouvant atteindre 5 % du chiffre d'affaires mondial net de l'entreprise
- Publication du nom de l'entreprise en infraction (name and shame)
- Responsabilité civile : les victimes d'impacts négatifs peuvent engager la responsabilité de l'entreprise devant les tribunaux de l'État membre
La responsabilité civile est un point majeur de la directive : elle ouvre la voie à des actions en justice par des tiers — salariés, communautés locales, ONG — devant les juridictions européennes.
Articulation avec la loi française de 2017
La France dispose déjà d'une loi sur le devoir de vigilance depuis 2017. La transposition de la CS3D devra articuler les deux dispositifs :
| Aspect | Loi française 2017 | CS3D |
|---|---|---|
| Seuil | 5 000 salariés (France) ou 10 000 (monde) | 1 000 à 5 000 salariés + critère CA |
| Périmètre | Filiales, fournisseurs, sous-traitants | Chaîne de valeur élargie |
| Sanctions | Injonction judiciaire, responsabilité civile | Amendes administratives + responsabilité civile |
| Plan de vigilance | Obligatoire | Obligatoire (sauf plan climat, supprimé) |
La transposition française devra au minimum aligner les seuils et intégrer les sanctions administratives (amendes) qui n'existent pas dans la loi de 2017. Le maintien d'exigences françaises plus ambitieuses que la directive est juridiquement possible.
Même si l'application ne commence qu'en 2028 pour les plus grandes entreprises, la préparation doit commencer maintenant :
- Cartographier votre chaîne de valeur : identifiez vos fournisseurs critiques et les zones géographiques ou sectorielles à risque
- Réaliser une analyse de risques : évaluez les risques droits humains et environnement par segment de la chaîne de valeur
- Renforcer vos clauses contractuelles : intégrez des exigences de conformité dans vos contrats fournisseurs
- Mettre en place un mécanisme de réclamation : même en anticipation, ce dispositif renforce la crédibilité de votre démarche
- Suivre la transposition nationale : la date limite de transposition est fixée à juillet 2027
FAQ
Ma société a 600 salariés. Suis-je concernée par la CS3D ?
Non, avec les seuils révisés par le paquet Omnibus. La vague 3 (la plus large) vise les entreprises de plus de 1 000 salariés avec un CA supérieur à 450 millions d'euros. Cependant, si vous êtes fournisseur d'une entreprise soumise, celle-ci pourrait vous imposer des exigences de conformité dans le cadre de son propre devoir de vigilance.
La CS3D remplace-t-elle la loi française de 2017 ?
Non, les deux textes coexisteront. La France devra transposer la directive d'ici juillet 2027, en adaptant sa législation existante. La loi française pourrait rester plus exigeante sur certains aspects (seuils, périmètre), dans la limite du cadre fixé par la directive.
Quelle différence avec la CSRD ?
La CSRD impose un reporting (publier des informations). La CS3D impose une action (prévenir et remédier aux impacts). Les deux textes sont complémentaires : la CSRD documente, la CS3D oblige à agir.
Sources
- Directive (UE) 2024/1760 du 13 juin 2024 — Journal officiel de l'UE
- Directive (UE) 2025/794 « Stop the clock » — Journal officiel de l'UE
- Loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance — Légifrance
Comment se préparer dès 2026