La CSDDD (directive (UE) 2024/1760) oblige les grandes entreprises à agir concrètement sur leur chaîne de valeur — identifier, prévenir et corriger les atteintes aux droits humains et à l’environnement — et non simplement à publier un rapport. Les sanctions administratives peuvent atteindre jusqu’à 5 % du chiffre d’affaires net mondial. Après le paquet Omnibus, le seuil d’entrée est fixé à 1 000 salariés et 450 millions d’euros de chiffre d’affaires, pour une application échelonnée entre 2028 et 2030.
📋 Sommaire de l’article
- La CSDDD, c’est quoi exactement ? définition de la directive devoir de vigilance européen
- CSDDD vs CSRD : agir sur sa chaîne de valeur vs publier un rapport
- Champ d’application : qui est concerné par la CSDDD post-Omnibus ?
- Le calendrier d’application 2028-2030 après la simplification Omnibus
- Les 6 piliers du devoir de vigilance CSDDD : ce que l’entreprise doit faire concrètement
- Sanctions, amendes et responsabilité civile CSDDD : les vrais risques juridiques
- CSDDD vs loi française de 2017 sur le devoir de vigilance : ce qui change vraiment
- Plan d’action pour se mettre en conformité avec la CSDDD
- Conclusion
- Questions fréquentes sur la CSDDD
Publiée au Journal officiel de l’Union européenne le 5 juillet 2024, la directive (UE) 2024/1760 — dite CSDDD ou CS3D — instaure un devoir de vigilance contraignant pour les grandes entreprises opérant en Europe. Elle les oblige à cartographier, prévenir et corriger les risques liés aux droits humains et à l’environnement tout au long de leur chaîne de valeur, y compris chez leurs fournisseurs. Remaniée par le paquet Omnibus en 2025, elle s’impose aujourd’hui comme le texte de référence pour toute direction juridique, achats ou RSE en Europe.
La CSDDD, c’est quoi exactement ? définition de la directive devoir de vigilance européen
La CSDDD est une directive européenne — non un règlement. Elle ne s’applique pas directement : chaque État membre doit la transposer en droit national. Son objet est d’imposer un cadre juridique contraignant autour du devoir de vigilance des entreprises sur les droits humains et l’environnement dans leur chaîne de valeur.
La directive s’articule autour de six piliers opérationnels : identification des risques, intégration dans les politiques internes, prévention, correction des atteintes, mécanisme de plainte et communication publique.
Une directive publiée au JOUE le 5 juillet 2024
La référence juridique officielle est la directive (UE) 2024/1760, publiée au Journal officiel de l’UE le 5 juillet 2024 et entrée en vigueur le 25 juillet 2024. Les États membres disposaient de deux ans pour la transposer en droit national, soit jusqu’au 26 juillet 2026.
CS3D, CSDDD, devoir de vigilance : le même texte, trois noms
Le texte circule sous trois appellations : Corporate Sustainability Due Diligence Directive (CSDDD), son acronyme court CS3D, et l’expression courante « devoir de vigilance européen ». Ces trois désignations renvoient au même instrument juridique.
En février 2025, la Commission européenne a proposé le paquet Omnibus I, qui relève les seuils d’application à 1 000 salariés et 450 millions d’euros de chiffre d’affaires, et reporte le calendrier d’un an — des ajustements identiques à ceux appliqués à la directive CSRD.
CSDDD vs CSRD : agir sur sa chaîne de valeur vs publier un rapport
Les deux directives sont complémentaires mais répondent à des logiques distinctes. La CSRD impose de dire ; la CSDDD impose de faire.
| Critère | CSDDD (UE 2024/1760) | CSRD (UE 2022/2464) | Loi Rana Plaza (FR 2017) |
|---|---|---|---|
| Obligation principale | Agir sur sa chaîne de valeur | Publier un rapport de durabilité | Établir et publier un plan de vigilance |
| Nature | Obligation d’action | Obligation de reporting | Obligation de moyens |
| Seuil (post-Omnibus) | > 1 000 salariés et 450 M€ CA | > 1 000 salariés et 50 M€ CA | > 5 000 salariés en France |
| Sanctions financières | Jusqu’à 5 % du CA mondial | Amendes nationales variables | Aucune amende définie |
| Responsabilité civile | Oui | Non | Oui |
| Calendrier | 2028–2030 | 2025–2029 | En vigueur depuis 2017 |
Champ d’application : qui est concerné par la CSDDD post-Omnibus ?
Le paquet Omnibus I a profondément reconfiguré le périmètre de la directive. Deux régimes distincts coexistent selon l’implantation géographique de l’entreprise.
Les entreprises européennes : seuils de 1 000 salariés et 450 millions d’euros
Pour les entités établies dans l’Union européenne, la CSDDD s’applique à la double condition cumulative suivante : plus de 1 000 salariés et un chiffre d’affaires net mondial supérieur à 450 millions d’euros. Les deux critères doivent être réunis simultanément — dépasser l’un sans l’autre exclut l’assujettissement.
Cette logique cumulative distingue la directive d’un simple seuil de taille. Une ETI de 1 200 salariés réalisant 300 millions d’euros de chiffre d’affaires n’entre pas dans le champ. La Commission européenne estime à 17 000 le nombre d’entreprises concernées à l’échelle de l’UE.
Les entreprises non-UE : le critère du chiffre d’affaires généré en Europe
Les groupes dont le siège est hors de l’Union sont soumis à la CSDDD dès lors que leur chiffre d’affaires net généré sur le territoire européen dépasse 450 millions d’euros. Le nombre de salariés ne constitue pas un critère pour ces entités.
Cet effet extraterritorial est délibéré : il prévient toute distorsion de concurrence entre entreprises européennes et multinationales étrangères opérant sur le même marché. Des groupes américains, asiatiques ou du Golfe actifs en Europe sont ainsi directement visés par les obligations de la directive.
Le calendrier d’application 2028-2030 après la simplification Omnibus
Le paquet Omnibus a reporté d’un an l’ensemble du calendrier initial. Trois vagues successives échelonnent l’entrée en vigueur selon la taille des entreprises.
2028 : la première vague pour les plus grandes entreprises
La première échéance concerne les entreprises dépassant 5 000 salariés et 1,5 milliard d’euros de chiffre d’affaires. Ce délai, repoussé d’un an par rapport au texte original, laisse théoriquement du temps — mais les chantiers opérationnels à engager sont structurants et longs.
2029 et 2030 : l’extension progressive aux entreprises de taille intermédiaire
La deuxième vague (2029) concerne les entreprises de plus de 3 000 salariés et 900 millions d’euros de CA. La troisième vague (2030) descend aux seuils post-Omnibus de 1 000 salariés et 450 millions d’euros.
Même pour les entreprises de la troisième vague, attendre 2028 pour démarrer serait une erreur stratégique. La cartographie des risques sur une chaîne de valeur étendue requiert plusieurs années de travail préalable.
Les 6 piliers du devoir de vigilance CSDDD : ce que l’entreprise doit faire concrètement
La directive (UE) 2024/1760 structure le devoir de vigilance en six piliers opérationnels. Chacun génère des obligations concrètes, non substituables par un simple rapport.
- Pilier 1 — Identifier les risques : cartographier les atteintes potentielles aux droits humains et à l’environnement dans toute la chaîne de valeur étendue, amont et certaines activités aval.
- Pilier 2 — Intégrer le devoir de vigilance dans les politiques internes : inscrire la vigilance dans la stratégie, les achats et les décisions au niveau de la direction générale.
- Pilier 3 — Prévenir et atténuer les risques : clauses contractuelles fournisseurs, audits tiers, plans d’action correctifs, avec priorité aux risques matériels les plus sévères.
- Pilier 4 — Mettre fin aux atteintes effectives : plan de remédiation immédiat, suspension du contrat si nécessaire, réparation du préjudice causé aux victimes identifiées.
- Pilier 5 — Mécanisme de plainte accessible : canal de signalement multilingue et confidentiel, ouvert aux travailleurs, communautés locales et ONG, avec garanties anti-représailles.
- Pilier 6 — Communication publique : rapport annuel sur les mesures mises en œuvre, articulé avec le rapport CSRD pour une publication commune.
Piliers 1 et 2 : cartographier les risques et les intégrer dans les politiques internes
Le premier pilier impose d’identifier les risques matériels — travail forcé, travail des enfants, pollution, déforestation — auprès des fournisseurs directs et indirects. Le second ancre cette démarche au niveau du conseil d’administration, pas seulement de la direction RSE.
Piliers 3 et 4 : prévenir les risques et mettre fin aux atteintes effectives
La prévention (pilier 3) passe par des engagements contractuels des fournisseurs, des audits de la chaîne d’approvisionnement et des plans d’action correctifs ciblés. La cessation (pilier 4) est une obligation de résultat : dès qu’une atteinte avérée est détectée, l’inaction constitue une faute au sens de la directive.
Piliers 5 et 6 : mécanisme de plainte et communication publique
Le mécanisme de plainte (pilier 5) doit être accessible à toutes les parties prenantes, avec confidentialité garantie et délais de traitement définis. Le pilier 6 crée le pont avec la CSRD : une publication commune satisfait les deux obligations, alignée sur les conventions ONU et les normes OIT.
Sanctions, amendes et responsabilité civile CSDDD : les vrais risques juridiques
La directive instaure un double régime de sanctions. Le risque financier est quantifié ; le risque judiciaire, plus diffus, peut s’avérer plus coûteux.
Des amendes administratives pouvant atteindre 5 % du chiffre d’affaires net mondial
Les autorités nationales désignées par chaque État membre peuvent infliger des amendes administratives allant jusqu’à 5 % du chiffre d’affaires net mondial de l’entreprise défaillante (art. 27, directive (UE) 2024/1760). Les décisions de sanction sont publiées, ajoutant un risque réputationnel significatif.
Responsabilité civile extraterritoriale : les victimes peuvent saisir les tribunaux européens
Les victimes d’atteintes causées par une entreprise assujettie peuvent engager sa responsabilité civile devant les juridictions des États membres, même si les faits se sont produits hors de l’Union. Comme le souligne Jean-Philippe Robé, avocat associé chez Clifford Chance : « Le risque juridique majeur pour les entreprises n’est pas seulement les amendes, mais les actions en justice de la part de communautés locales ou d’ONG. »
CSDDD vs loi française de 2017 sur le devoir de vigilance : ce qui change vraiment
La directive européenne s’inscrit dans la continuité directe de la législation française, tout en la dépassant sur chaque dimension substantielle.
La loi Rana Plaza de 2017 : un texte pionnier mais au champ limité
La loi du 27 mars 2017 (art. L. 225-102-4 du Code de commerce) a été le premier texte mondial à imposer un devoir de vigilance en matière de droits humains et d’environnement. Elle s’applique aux entreprises employant au moins 5 000 salariés en France ou 10 000 dans le monde, avec une portée restreinte aux fournisseurs et sous-traitants de l’amont immédiat.
La CSDDD va plus loin : seuils abaissés, aval inclus, sanctions renforcées
La CSDDD abaisse le seuil à 1 000 salariés, intègre certaines activités aval, et prévoit des amendes administratives jusqu’à 5 % du CA mondial — contre aucune amende spécifique dans la loi française. La responsabilité civile est étendue à des victimes situées hors de l’UE. Pour les PME non assujetties agissant comme fournisseurs, la norme VSME offre un cadre de conformité adapté.
Plan d’action pour se mettre en conformité avec la CSDDD
Étapes prioritaires pour les entreprises de la première vague (avant 2028)
- Désigner un responsable devoir de vigilance au niveau direction générale.
- Lancer une cartographie des risques sur la chaîne de valeur étendue (fournisseurs directs et indirects).
- Auditer les fournisseurs critiques et intégrer des clauses contractuelles de conformité dès les prochains renouvellements.
- Déployer un mécanisme de plainte opérationnel, multilingue et sécurisé.
- S’appuyer sur les lignes directrices sectorielles de l’EFRAG pour calibrer les priorités.
Ce que les entreprises des vagues 2029-2030 doivent anticiper dès maintenant
La cartographie d’une chaîne de valeur étendue prend en moyenne plusieurs années. Les entreprises des deuxième et troisième vagues qui attendent leur échéance réglementaire seront en retard structurel. L’alignement CSDDD-CSRD dans une démarche commune réduit les coûts de conformité : les directions RSE qui intègrent les deux chantiers dès aujourd’hui en bénéficient concrètement.
Conclusion
La CSDDD redéfinit le périmètre de responsabilité des grandes entreprises européennes : agir sur sa chaîne de valeur devient une obligation légale, pas un engagement volontaire. Avec des amendes administratives jusqu’à 5 % du CA mondial et une responsabilité civile extraterritoriale, les risques juridiques et financiers sont concrets. Le calendrier 2028-2030 est proche au regard des chantiers opérationnels à engager. Les entreprises qui anticipent dès maintenant transforment une contrainte réglementaire en avantage concurrentiel durable.
Questions fréquentes sur la CSDDD
Qu’est-ce que la CSDDD en termes simples ?
La CSDDD (directive (UE) 2024/1760) oblige les grandes entreprises européennes à identifier et corriger les risques environnementaux et sociaux dans leurs chaînes de valeur. Elle repose sur six piliers : identification des risques, politiques internes, prévention, correction, mécanisme de plainte et communication publique.
Quelle est la différence entre la CSDDD et la CSRD ?
La CSRD concerne le reporting extra-financier, tandis que la CSDDD impose des obligations d’action concrète sur la chaîne de valeur. La CSDDD va donc au-delà du rapport : elle exige une transformation opérationnelle des pratiques.
Mon entreprise est-elle concernée par la CSDDD si elle a moins de 1 000 salariés ?
Non. Le paquet Omnibus I a relevé le seuil d’application à 1 000 salariés et 450 millions d’euros de chiffre d’affaires. En dessous de ces seuils, la directive ne s’applique pas directement.
Quand la CSDDD entre-t-elle en application concrètement ?
Le calendrier d’entrée en vigueur s’étale entre 2028 et 2030, selon la taille des entreprises concernées, après le report d’un an introduit par le paquet Omnibus I.
Quelles sont les sanctions en cas de non-conformité à la CSDDD ?
Les amendes administratives peuvent atteindre 5 % du chiffre d’affaires net mondial de l’entreprise. Des actions en justice de communautés locales ou d’ONG constituent également un risque juridique majeur.
La CSDDD s’applique-t-elle aux fournisseurs situés hors de l’Union européenne ?
Oui. La CSDDD couvre l’ensemble de la chaîne de valeur, y compris les fournisseurs établis en dehors de l’UE, dès lors qu’ils travaillent avec une entreprise soumise à la directive.
Qu’est-ce qu’un mécanisme de plainte au sens de la CSDDD ?
Il s’agit d’un dispositif formel permettant aux personnes affectées — travailleurs, communautés locales, ONG — de signaler des atteintes aux droits humains ou à l’environnement identifiées dans la chaîne de valeur d’une entreprise.
Le paquet Omnibus a-t-il assoupli les exigences de la CSDDD ?
Oui. Le paquet Omnibus I relève les seuils d’application et reporte d’un an le calendrier, alignant la CSDDD sur les ajustements apportés à la CSRD pour harmoniser la charge réglementaire.
