Un an après l’adoption de la loi sur les plans de vigilance, Convergences vous a proposé de revenir sur les actions menées en termes de prévention des risques par les grands groupes français. En effet, malgré la prise de conscience toujours plus grande des atteintes aux droits de l’Homme, ces dernières persistent, notamment dans les pays en voie de développement. D’après l’OCDE, environ 40% des contrats ont été rompus suite à cette loi, ne remplissant de facto pas l’objectif de permettre un audit et d’inciter les fournisseurs à des meilleures pratiques. La notion de droits de l’Homme (DDH) doit s’entendre ici au sens large en comprenant une dimension environnementale, et non pas seulement les conditions de travail : il s’agit d’avoir une vision à 360° de tous les impacts de l’entreprise sur des personnes humaines. Une tendance émerge dans les pays dits développés pour intégrer ces préoccupations liées aux droits de l’Homme au sein des stratégies des grandes entreprises. Si les mesures en place dans les entreprises sont un premier pas vers la convergence entre exigences éthiques et économiques, les initiatives ainsi que les bonnes pratiques à mettre en place en la matière restent nombreuses. Retour sur le partage d’expériences au Forum en la matière.

Une législation encore trop peu assimilée par les entreprises

Cette récente législation demande un fort niveau d’adaptabilité de la part des entreprises et c’est pourquoi certaines d’entre elles ont encore du mal avec sa mise en œuvre. Le milieu de l’entreprise n’est pas encore assez familier avec le plan de vigilance, tout n’est pas encore assimilé notamment concernant la délimitation des objectifs. En effet, les documents à produire sont souvent considérés comme trop formels et juridiques, il est régulièrement mis en avant l’idée de proposer des formats plus adaptés au grand public pour mieux communiquer. Néanmoins afin de faciliter l’appropriation de ces pratiques, un certain nombre d’entreprises ont recours à des partages d’expériences et de leurs recherches pour progresser et respecter la loi. Dans un premier temps, en interne pour que les objectifs soient partagés par tous, puis en externe avec un rôle pédagogique pour les partenaires et sous-traitants. Certaines entreprises n’ont pas encore pris la mesure de l’importance de la transparence vis-à-vis du plan. Il faut qu’elles comprennent que cette législation a aussi pour but de les défendre en cas de litige et d’être clair quant aux actions mises en œuvre, il y a ici un réel intérêt juridique pour l’entreprise.

Retour sur les plans de vigilance après un an d’application de la Loi

La cartographie des risques et des impacts négatifs potentiels liés à l’activité de l’entreprise, de ses filiales ou de ses fournisseurs constitue le point fondamental de loi sur le devoir de vigilance car elle justifie le contenu du plan de vigilance. La mise en place d’un tel plan nécessite une sensibilisation de tous les acteurs de l’entreprise à tous les niveaux de façon à ce que tous aient une perception interne partagée des risques et que les business units communiquent sur leurs risques. En outre, il importe de prendre en compte dans cette cartographie le fait que les risques listés et évalués ne dépendent pas de la taille de l’entreprise. Enfin, il est parfois difficile d’établir clairement des liens de causalité afin de mettre sur pied un plan d’action.

Au-delà de la cartographie se pose la question des risques et des enjeux : les entreprises devant mettre en place un plan de vigilance ne peuvent pas définir ni traiter tous les enjeux relatifs au devoir de vigilance en même temps. La rédaction du plan de vigilance peut relever d’une approche réactive ou pro active vis-à-vis des risques. Deux options s’offrent à elles : (1) mettre de côté certains risques, passés sous silence ; (2) être dans un discours de vérité en mettant en avant ce qui est fait au présent tout en admettant qu’elles ne peuvent pas tout prévoir. La question qui se pose alors est de savoir comment auditer et contrôler ce qui paraît le plus important.  Dans l’impossibilité de tout vérifier, la responsabilité des entreprises est donc de PRIORITISER, c’est pourquoi il faut évaluer efficacement ce qui est prioritaire en termes de DDH tout en pré-constituant la preuve d’activité.

Des acteurs présents pour accompagner et contrôler les pratiques

Bien que pour le moment il n’y ait que la France qui ait légiféré sur les plans de vigilance, l’écosystème du respect des droits de l’Homme en entreprise dépasse très largement le cadre des entreprises françaises. En atteste les différentes structures visant à orienter et encadrer les impacts sociaux, environnementaux et les risques liés à la gouvernance des entreprises à échelle internationale. En effet, la RSE pousse à l’innovation et fait émerger des attitudes comme par exemple l’échange et les alliances entre entreprises plutôt que la concurrence. Néanmoins cette dernière peut laisser place à des déviances comme le développement de marché dû à la sensibilisation des consommateurs ; par exemple la plus-value pour les produits grâce à la labélisation. Ce contrôle ne peut pas être fait seul.  C’est pourquoi il est essentiel de créer un jeu coopératif du fait de l’interdépendance au centre de laquelle se trouve la RSE.

Dans un premier temps et comme mentionné ci-dessus, il est nécessaire d’accompagner les entreprises dans leurs démarches éthiques et l’application de leurs plans de vigilance. C’est dans ces conditions que les Nations Unis proposent, par le biais de leur programme Global Compact, un dialogue avec les entreprises sur la RSE et un accompagnement dans son application. Cette action ne cache pas ses ambitions en regroupant 11 000 entreprises et couvrant pas moins de 70 pays.

Dans un second temps, pour veiller à l’efficacité des avancements en termes de respect des Droits de l’Homme,  il est essentiel de dénoncer les mauvaises pratiques des entreprises à travers le monde. Des structures comme Human Rights Watch (HRW) permettent d’établir des bases juridiques et morales de par leurs enquêtes et leurs actions de plaidoyer ciblées. Quand les entreprises ne répondent pas aux enquêtes finies, HRW est en mesure de mettre en place des formes de pression pour les interpeler. En effet, l’ONGI est en mesure de les exposer à de fortes répercutions comme des dénonciations dans la presse mais aussi la sensibilisation direct auprès des consommateurs.

Pour être en mesure d’appliquer de telles mesures à l’échelle internationale, il est nécessaire de se référer à des institutions faisant office d’arbitre dans ces conflits d’intérêts entre exigences éthiques et économiques. Selon Cyril Cosme, Directeur du Bureau de l’Organisation Internationale du Travail (OIT) pour la France, Il est possible d’expliquer le fonctionnement de la chaine de valeur en se référant à la mondialisation de la production. En effet, l’économiste David Ricardo l’a très justement souligné, nous évoluons dans un réseau de production morcelé où la spécialisation des régions concernant l’exécution des taches et les fonctions de chacun semble être de plus en plus évidente. L’exemple le plus flagrant est celui des pays émetteurs de main d’œuvre et les pays hébergeant les sièges sociaux. Dans les phases précédentes de la mondialisation l’Etat restait moteur, aujourd’hui de nouveaux acteurs sont en place, permis en partie par la libéralisation : les entreprises. Grâce à leur politique d’achat et de production elles peuvent aujourd’hui influencer les lois du marché. Toutes ces problématiques consistent en un défi pour l’OIT : la régularisation de la mondialisation. Toute son action repose sur la possibilité de faire des traités internationaux ratifiés et adoptés par les juges nationaux. L’objectif étant de créer un dialogue entre règles et ordre économique mondial. D’un point de vue local, le problème d’efficacité du droit dans certains pays notamment par rapport aux normes de l’OIT, est dû au fait que les entreprises locales sont davantage en mesure de les faire respecter que l’Etat. Par exemple, concernant le respect de la liberté syndicale (USA, Asie etc.) l’entreprise peut ouvrir la voie à des initiatives.

Si aujourd’hui n’existent pas des outils de soutien à la mise en œuvre d’un plan de vigilance existants « clé en main » (http://www.vigilance-societale.com/guide/), les entreprises doivent s’approprier chaque outil et les adapter aux enjeux et aux risques de leur secteur et de leur activité, en s’appuyant sur les points communs avec les autres entreprises de leur secteur.

Rayonnement des plans de vigilances par la création de chaines de valeurs – Exemple des télécoms

Avec pour objectif d’aller encore plus loin dans sa démarche d’éthique en entreprise, le groupe Orange a pris l’initiative de créer une chaine de valeur impliquant l’ensemble des parties prenantes de son écosystème dans sa politique de prévention des risques. C’est grâce à sa position de leader sur son marché que la firme a eu la chance de pouvoir orienter son plan de développement autour de l’utilisation de son activité comme levier du changement, tout en étant efficace et responsable. L’entreprise a institué des pratiques régulières de dialogues parties-prenantes (entre salariés, représentants mais aussi extérieurs, financeurs, ONG, presse). En tout, le groupe dénombre plus de 45 dialogues parties-prenantes sur les 10 dernières années. Dans un premier temps et d’un point de vu méthodologique, l’approche de ces rencontres se fait à l’échelle du pays puis finit par se focaliser sur une problématique verticale comme par exemple l’agriculture dans certaines zones géographiques. Depuis 2 ans, ces dialogues thématiques dans les pays concernés s’inscrivent dans une performance durable. Avec pour objectif de comprendre au mieux les attentes des partie-prenantes Orange a lancé le «Digital society program» qui permet la rencontre avec des experts et sociologues.

Le groupe adopte aujourd’hui une perspective de respect et de défense des droits de l’Homme car il considère comme un devoir vis-à-vis de ses collaborateurs. De là, Orange a porté à l’extérieur des murs ses objectifs de RSE afin de garder une cohérence dans ses actes ; c’est à partir de ce constat qu’a commencé la chaine de valeur d’Orange.

Exemple de chaine de valeur en termes d’audit avec l’initiative « Joint Audit Corporation »

Partant du constat que les audits étaient tous polarisés sur les mêmes fournisseurs, Orange a proposé qu’un audit valable pour un fournisseur serait également valable pour l’ensemble de la chaine verticale de production. Pour se faire le groupe a du s’accorder sur des normes très spécifiques pour ses audits. Aujourd’hui il y a 1 audit pour 16 opérateurs et depuis 2010 la firme à réaliser plus de 455 audits et alliances et représente 450 milliards d’euros. Désormais, 80% des audits sont réalisés sur les niveaux 2,3 et 4 c’est-à-dire sur les fournisseurs des fournisseurs, qui jusqu’à présent n’étaient pas considérés comme parties prenantes. Les résultats se sont fait ressentir à mesure des audits et les conditions de travail se sont améliorées avec l’acquisition d’items sociaux, éthiques et environnementaux. Cette initiative a notamment permis de s’accorder sur des points comme les « audits surprises ».

[Focus] Le défi des dispositifs d’alerte et de remédiation des entreprises

« Gates », « Leaks » ou encore « Papers » autant de dénominations pour exprimer toutes ces affaire résultant de dispositifs d’alertes informels en entreprise. Ces dernières années ont vu dévoiler au grand jour de nombreux scandales, qu’ils soient financiers, environnementaux ou encore relatifs au respect du droit humain. Toutes ces investigations sont aujourd’hui des cas d’écoles pour les spécialistes car les regards sont portés sur la pérennisation de modèles de remédiation afin de généraliser ces pratiques, encore trop rares dans le monde l’entreprise.

C’est donc la loi Sapin II qui pose le premier cadre juridique en France pour le traitement des dispositifs d’alerte en entreprise. On y dénombre deux articles en particulier en termes de procédure de vigilance :

• Article 3.3 : Des procédures appropriées sont mises en place pour les Institutions et les entreprises de plus 50 salariés. Elles doivent permettre de révéler les procédures illégales comme légales qui feraient peser un risque grave sur le bien commun.

• Article 17 : Prévoit la détection de corruption dans les entreprises de plus de 100 millions de chiffres d’affaire (CA) ou de plus 500 salariés, elle concerne également les atteintes graves aux droits de l’Homme, à l’environnement et à la santé. (Obligation de création d’un code de conduite, d’un dispositif d’alerte, d’une cartographie des risques etc…)

Les sanctions peuvent aller jusqu’à 200 000 euros pour les personnes physiques et jusqu’à 1 million pour les personnes morales. Entraver l’alerte peut même mener jusqu’à 1 an d’emprisonnement et 30 000 euros d’amende. De même, il existe désormais des sanctions s’il n’y a pas de dispositif d’alerte. Les panelistes souilignent quesi les principes de vigilance s’appliquaient à la NSA, elle aurait dû protéger Snowden sur de nombreux points.

Les prémisses d’une législation européenne en la matière sont plus récentes avec le projet de loi déposé le 23 janvier 2018. L’objectif est d’harmoniser la protection des lanceurs d’alerte au niveau européen. Cette loi n’ira sans doute pas aussi loin que la loi Sapin II ou que le dispositif de vigilance, mais il y aura une standardisation du comportement illégal en Europe. Ce projet de directive européenne prévoit, pour les entreprises ou les entités publiques de plus de 50 salariés et de plus de 10 millions de CA, la mise en place de structures internes dédiées à la réception des témoignages sous couvert d’une confidentialité totale. Afin qu’il soit possible d’établir des signalements à des structures externes, les Etats devront instaurer une autorité nationale. Dès lors, la presse et la société civile pourront être considérées comme des leviers de dernier recours. Désormais il y aura un délai de réponse au signalement d’un salarié, sous-traitant, consultant ou stagiaire fixé à 3 mois. Une avancée par rapport à la loi Sapin II qui indiquait uniquement un «délai raisonnable ».

Il est essentiel de faire confiance au système de dispositif d’alerte et aux sanctions qu’il prévoit. (Exemple de UBS où les sanctions ont dissuadé les collaborateurs). Il faut donc discuter sur la flexibilité, la transparence et la confiance  et faire une chartre de procédure comme l’a fait par exemple Aéroports de Paris (ADP) avec la mise en place entre 2008 et 2013 d’un partenariat avec Transparency International France.

L’atteinte d’une effectivité optimale des dispositifs d’alerte repose principalement sur deux critères :

• Une bonne communication sur l’efficience
• La gestion des données : Il est primordial de s’assurer de l’indépendance de celui qui traite la donnée, il ne faut pas omettre de prendre en compte la présomption d’innocence.

Dans une organisation, il est généralement de la responsabilité du département « compliance » de traiter la mise en place des dispositifs d’alerte. Néanmoins, il est recommandé pour plus d’effectivité de rester en contact avec l’opérationnel et d’être soutenu par le management et la RSE. Il est important de traiter simplement les signalements, il faut éviter de multiplier les processus, une seule ligne d’alerte est souvent plus efficace.

La mise en place de ces dispositifs peut être faite en interne grâce à la mise en place d’outils par l’entreprise elle-même. C’est le choix qu’a fait l’Aéroport de Paris en passant sur une plateforme unique qui permet les échanges. Si le lanceur d’alerte se connecte, il n’a accès qu’au dernier message afin que son historique ne soit pas accessible en cas de hacking. A la suite de ce signalement un comité pour traiter les alertes se met en place, il peut être juridique, RSE et parfois RH. Si les alertes ne remontent pas naturellement grâce aux outils mis en place il est important de mettre en place un système de sondages alternatif de niveau de contrôle afin comprendre où le système faillit dans la collecte d’informations. En effet, il s’avère souvent nécessaire de s’assurer que le dispositif est bien assimilé par l’ensemble des parties prenantes, ce qui n’est pas toujours le cas. En atteste les chiffres présentés par le Barreau Ethique :

• 46% des salariés des grandes entreprises connaissent les dispositifs du fait de leur notoriété et seul 19% de ces 46% savent véritablement le dispositif d’alerte
• 60% font confiance à l’entreprise pour les protéger
• 75% craignent un risque pour leur carrière

Aux vues de ces chiffres il est également possible de se demander comment protéger un salarié et un fournisseur de la même manière ; Il faut savoir que conceptuellement un lanceur d’alerte devrait être protégé de la même manière que s’il dénonçait un crime ou un délit. Néanmoins, il se trouve qu’on se heurte à un problème de confiance e la part du salarié et c’est ce premier palier de communication avec l’entreprise qui fait défaut. Cette première entrave peut causer du tort aux intérêts de l’entreprise ; comme nous le fait savoir Yves Nissim, Directeur de la transformation et des opérations RSE chez Orange, il est nécessaire pour certains collaborateurs d’avoir connaissance de l’alerte afin que d’avoir conscience des risque d’accusation à l’encontre de l’entreprise. Pour qu’un salarié comprenne qu’il est normal de d’abord communiquer ses préoccupations avec son supérieur hiérarchique il faut qu’il soit sensibilisé, c’est pour cela qu’il est primordial de faire de la communication dans les grands groupes. Il ne faut pas oublier que même les directions locales d’un groupe international, non situées en France, sont aussi concernées par cette loi.

Quelle place pour les parties prenantes externes ?

Au-delà de la structure de façade, les entreprises ont également leurs propres moyens pour faire remonter les plaintes, 3 exemples ci-dessous :

Au-delà de la structure de façade, les entreprises ont également leurs propres moyens pour faire remonter les plaintes, 3 exemples ci-dessous :

Pour qu’un système d’information regroupant tant de parties prenantes soit efficient il faut qu’il réponde à un certain nombre de critères :

• L’accessibilité: Mécanisme qui doit être connu largement avec un accès facilité pour toutes les populations visées
• Prédictibilité : Une fois que le process est déclenché de la part du lanceur d’alerte que va-t-il se passer ?
• Légitimité: Les gens l’utilisent souvent et lui font confiance. Les populations concernées sont concertées dans la mise en place, il faut peu de restriction sur les plaintes. Exemple : Si ceux qui mettent en place ne sont que des hommes il y aura plus difficilement de dénonciation d’harcèlement sexuel

Exemple : Si ceux qui mettent en place ne sont que des Hommes il y aura plus difficilement de dénonciation d’harcèlement sexuel

• Equitabilité: Education de toutes les parties
• Transparence: Ne pas faire de rétention ou de filtre d’information
• Compatible avec le droit: Respecter les règles de confidentialité
• Amélioration continue: Mise à niveau grâce aux retours d’expériences, mise en place d’un système d’amélioration interactif
• Direction vers le bon interlocuteur : S’assurer que l’information arrive dans les bonnes mains afin d’être traitée avec le plus pertinence possible

Exemple de Ulula, présent au Forum Mondial Convergences, qui travaille à connecter les entreprises, les travailleurs, les communautés et les gouvernements dans le but de réduire les risques et créer de la valeur. Cette plateforme permet de mesurer et de répondre aux risques associés aux droits humains dans les chaines d’approvisionnement par le biais de téléphones mobiles de base. Elle met en place des enquêtes afin de mesurer l’impact social, elle collecte les informations et plaintes auprès des parties prenantes et engage le dialogue dans les deux sens (Entreprise, employés, fournisseurs, sous-traitants etc.).

La clé de ces plans de vigilance réside dans la communication entre toutes les parties prenantes et la protection de chacun. En France, il ne faut pas oublier que la majorité des salariés aiment leur entreprise et ne veulent pas vraiment lui nuire. Pour le moment malgré le manque de recul il est possible d’affirmer qu’il n’y a pas d’explosion des signalements en entreprise.

Deux exemples sont donnés par Veolia et BSR. Chez Veolia, les ONG et les institutions internationales fournissent déjà de nombreuses informations et données pour la réalisation de la cartographie des risques. Toutefois, l’intervention de ces ONG et institutions ne se fait qu’au niveau local de chaque risque, leur intervention lors de la conception de la stratégie globale de vigilance ne paraît donc pas pertinente. Pour BSR, il est difficile d’intégrer les parties prenantes au niveau corporate pour construire le plan de vigilance ; toutefois il devient obligatoire de s’appuyer sur les parties prenantes lorsque l’on rentre dans le détail d’un risque prédéfini car elles possèdent une expertise qui n’existe pas au niveau corporate. Les syndicats et la société civile jouent ainsi aujourd’hui le rôle de lanceurs d’alerte plutôt que de véritable parties prenantes de la cartographie des risques et de la rédaction du plan de vigilance.

Deux visions du rôle des parties prenantes se dégagent donc :

1. Les parties prenantes externes n’auraient a priori pas leur place dans la réalisation de la cartographie des risques au niveau global (notamment dans les comités de vigilance internes) mais auraient un rôle à jouer dans l’évaluation locale des risques.
2. Néanmoins, le rôle des ONG et des parties prenantes externes à l’entreprise pourrait également passer par un dialogue tout au long de la construction du plan de vigilance pour que celles-ci puissent donner leur avis la stratégie globale mise en place (par exemple avec des comités de critical friends).