Definition

Nous sommes la profession qui certifie la fiabilité des comptes, et la CSDDD nous demande désormais de certifier la fiabilité d'un processus de gestion des risques qui n'existe pas encore dans la plupart des dossiers que nous voyons. La directive (UE) 2024/1760, transposée en droit français par l'ordonnance du 11 décembre 2024, applique son premier palier au 26 juillet 2027 pour les entreprises de plus de 5 000 collaborateurs et 1,5 milliard d'euros de chiffre d'affaires. La CNCC a publié sa note de cadrage en février 2026, et la H2A a déjà signalé dans sa synthèse 2025 que le périmètre de la chaîne de valeur sera un point d'inspection prioritaire à partir de l'exercice 2027. Gouvernée par : CSDDD articles 4 à 8, articles 22 (plan climat) et 29 (responsabilité civile), avec NEP 9090 pour le volet assurance.

Ce que les dossiers manquent en pratique

Dans les dossiers que nous voyons aujourd'hui, le processus de diligence de la direction se résume à un tableau Excel transmis par le département RSE, sans lien avec la cartographie des risques de la mission d'audit. Le service achats a fait remplir un questionnaire ESG aux fournisseurs de rang 1. Personne n'a regardé au-delà. Le CAC ouvre le dossier, demande la matrice de risques de durabilité, reçoit le tableau, le classe, passe à autre chose. Six mois plus tard, un fournisseur de rang 3 fait l'objet d'un signalement DGCCRF pour travail forcé, et la question remonte au conseil d'administration : pourquoi le CAC n'a-t-il pas vu le sujet ? La réponse honnête est que le périmètre de la diligence n'a jamais été testé.

Voici ce que la CSDDD exige réellement. L'article 5 décrit cinq étapes : intégration de la diligence dans les politiques (5.1.a), identification des impacts négatifs réels et potentiels (5.1.b), prévention et atténuation (5.1.c), suivi de l'efficacité (5.1.d), communication publique (5.1.e). L'article 6 précise que ces étapes couvrent les opérations propres, celles des filiales et celles des partenaires commerciaux dans la chaîne d'activités de l'entreprise. L'article 22 ajoute une obligation distincte : adopter un plan de transition climatique compatible avec une trajectoire 1,5 °C, intégré à la rémunération des dirigeants pour les sociétés au-dessus de 1 000 collaborateurs.

La zone grise est le mot "chain of activities". Le considérant 25 inclut les partenaires commerciaux directs et indirects en amont. En aval, le périmètre s'arrête à la distribution, au transport et au stockage des produits, et exclut explicitement la phase d'utilisation par le consommateur final et le démantèlement. Un confrère pourrait défendre qu'un fabricant d'équipements lourds n'a pas à diligenter sur l'usage industriel de son produit, et il aurait raison sur la lettre du texte. Mais l'article 22 sur le plan climat couvre, lui, le scope 3 entier. La diligence et le plan climat ne partagent donc pas le même périmètre, ce que la plupart des collaborateurs en charge du dossier n'ont pas encore intégré.

Voix institutionnelle versus réalité de terrain

Sur le papier, la CSDDD est un texte de gouvernance. Chez nos clients, c'est un cataclysme opérationnel pour les directions juridiques de taille moyenne. Une ETI industrielle française de 1 800 collaborateurs avec 400 fournisseurs actifs doit, selon le palier 2028, cartographier les risques de droits humains et environnementaux sur l'ensemble de cette base. Le forfait dont nous discutons avec ces clients pour le volet d'assurance limitée a presque doublé entre l'exercice 2024 et l'exercice 2026, parce que le travail d'évaluation du processus de diligence est plus chronophage que la vérification des indicateurs CSRD. Et je l'avoue, dans plusieurs missions de l'année passée, nous avons sous-estimé le temps de revue du processus en pensant qu'il serait équivalent à celui d'une revue ISQM.

Le second-ordre que la directive ne dit pas explicitement : l'article 29 crée une responsabilité civile directe de la société mère pour les dommages causés par un manquement à la diligence, ce qui transforme tout dossier de provisions IAS 37 lié à un litige fournisseur en zone d'évaluation auditée distincte. Les provisions et passifs éventuels devront être réévalués, non pas sur la base de la matérialité historique, mais sur la base de la responsabilité élargie. Aucun cabinet n'a encore une méthodologie publiée pour cela.

Exemple pratique : SARL Boulangerie Artisanale Méditerranéenne

Client : SARL Boulangerie Artisanale Méditerranéenne, boulangerie industrielle régionale, chiffre d'affaires 12 M EUR, France, exercice clos le 31 décembre 2025.

Contexte : L'entreprise emploie 450 collaborateurs sur cinq sites. Elle se situe au-dessus du seuil PME français pour la CSRD (250 collaborateurs et 50 M EUR de bilan ou 50 M EUR de CA), mais sous les seuils CSDDD. La direction prépare néanmoins un processus de diligence par anticipation, parce que son donneur d'ordre principal (un distributeur de 1 200 M EUR) sera soumis à la CSDDD au palier 2028 et exige déjà un dossier diligence de ses fournisseurs de rang 1.

Étape 1. Intégration dans les politiques. La direction adopte une politique de diligence datée du 15 janvier 2025 et signée par le gérant, intégrée dans le code de conduite fournisseurs et publiée sur le site corporate. Note de documentation : politique référencée PDD-2025-01, jointe en annexe 4.2 du dossier permanent.

Étape 2. Identification des risques. Trois familles de risques sont cartographiées. Premièrement, la consommation énergétique des cinq sites (480 MWh par an, soit environ 120 tonnes équivalent CO2). Deuxièmement, les fournisseurs de matières premières (farine de Roumanie, sucre de Bulgarie, beurre de Normandie) avec exposition résiduelle au risque pesticides et au risque conditions de travail saisonnières. Troisièmement, le transport routier sous-traité (12 transporteurs, dont 4 hors UE). Note de documentation : matrice des risques datée du 20 février 2025, validée par le comité d'audit le 5 mars 2025.

Étape 3. Évaluation des impacts. L'impact réel principal porte sur la consommation électrique (60 K EUR de coûts annuels, exposition à un scénario de hausse tarifaire de 15 % à 20 % à horizon 2027 selon les analyses RTE). Les fournisseurs de rang 2 n'ont pas été audités physiquement, ce qui est documenté comme une limitation connue du processus. Note de documentation : analyse de scénarios climatiques NGFS Net Zero 2050, document interne du 1er avril 2025.

Étape 4. Plans d'action. Installation de panneaux photovoltaïques sur deux sites (80 kWc, budget 220 K EUR, validation conseil du 15 mai 2025). Renégociation des contrats des quatre transporteurs hors UE avec clause de conformité aux conventions OIT, échéance 31 décembre 2025. Note de documentation : budget d'investissement et calendrier de mise en œuvre référencés au PV de conseil.

Étape 5. Mécanisme de signalement. Plateforme de signalement externe lancée en juillet 2025, opérée par un prestataire indépendant, ouverte aux collaborateurs, fournisseurs et tiers. Note de documentation : convention de service du prestataire signée le 20 juillet 2025, première synthèse trimestrielle reçue le 15 octobre 2025.

Complication. En janvier 2026, lors de la revue intérimaire, vous identifiez qu'un fournisseur de farine roumain a fait l'objet d'une enquête médiatique pour conditions de travail saisonnières. Le client n'a pas mis à jour sa matrice de risques. La question se pose : faut-il une provision IAS 37 au titre de la responsabilité civile élargie de l'article 29 CSDDD ? Le client n'est pas directement assujetti, mais son donneur d'ordre l'est et pourrait répercuter une réclamation contractuelle. Vous documentez le risque comme passif éventuel (probabilité possible mais non probable), avec mention spécifique au paragraphe IAS 37.86. C'est précisément ce type de situation que les futures inspections H2A regarderont.

Conclusion : Le processus de diligence est documenté et opérationnel, avec une couverture matières premières incomplète au niveau du rang 2. À titre de CAC, vous documentez l'absence de couverture rang 2 comme une limitation acceptable au stade 2025 compte tenu du fait que le client n'est pas directement assujetti, et vous notez dans le dossier que cette limitation devra être levée d'ici la clôture 2027.

Ce que les auditeurs et confrères confondent

La CSRD et la CSDDD couvrent deux objets différents. Beaucoup de dossiers traitent les deux directives comme un bloc unique. La CSRD impose la divulgation publique d'informations de durabilité avec assurance. La CSDDD impose le processus opérationnel sous-jacent. L'article 8 de la CSDDD précise que les informations divulguées sous CSRD doivent prendre racine dans le processus de diligence. Une déclaration CSRD construite sans processus de diligence sous-jacent est, techniquement, non conforme aux deux directives.

Le périmètre de la chaîne d'activités est mal délimité dans la plupart des cabinets. Les articles 4 et 6 imposent une couverture des opérations propres, des filiales et des partenaires commerciaux directs et indirects en amont, plus la distribution et le transport en aval. Les collaborateurs réduisent souvent le périmètre aux fournisseurs de rang 1 par confort opérationnel. L'article 6.2 admet une priorisation fondée sur la sévérité et la probabilité, mais cette priorisation doit être documentée et justifiée. Un dossier qui exclut le rang 2 sans justification écrite ne tient pas.

Le plan de transition climatique de l'article 22 est un objet distinct. Vous pouvez avoir une diligence parfaitement documentée et un plan climat absent. L'article 22 exige un plan compatible avec la limitation à 1,5 °C, des objectifs intermédiaires à cinq ans et un lien avec la rémunération variable des dirigeants pour les entités au-dessus de 1 000 collaborateurs. Ce volet est rarement intégré aux processus de diligence existants. Les premières inspections H2A sur ce point sont attendues fin 2027.

L'analyse de scénarios n'est pas une exigence CSRD recyclée. L'article 7 demande une analyse de scénarios prospectifs raisonnablement prévisibles, avec ancrage dans des trajectoires reconnues (NGFS, IEA, GIEC). Si l'analyse de scénarios n'apparaît que dans le rapport de durabilité sans lien avec le processus opérationnel de gestion des risques, le processus ne satisfait pas à la CSDDD.

Termes et concepts connexes

Matérialité en durabilité : la double matérialité distingue l'impact financier sur l'entreprise et l'impact de l'entreprise sur l'environnement et la société. La CSDDD couvre l'axe d'impact ; la CSRD impose la déclaration des deux axes ; les états financiers IFRS ne couvrent que l'axe financier.

Directive CSRD (reporting de durabilité) : la directive sœur qui impose la divulgation publique. La CSDDD est le processus, la CSRD est la divulgation, et l'article 8 CSDDD relie les deux.

Évaluation des risques ISA 315 révisée : votre processus d'identification des risques d'anomalies significatives. Le processus de diligence de la direction est un élément de l'environnement de contrôle évalué selon ISA 315.13.

Provisions et passifs éventuels IAS 37 : les risques identifiés par la diligence et la responsabilité civile de l'article 29 CSDDD peuvent générer des provisions ou des passifs éventuels à divulguer en annexe.

Assurance limitée sur les informations de durabilité : le format d'assurance applicable aux déclarations de durabilité, conduit selon NEP 9090 en France, qui inclut la vérification du processus de diligence sous-jacent.

Gouvernance et environnement de contrôle : la CSDDD ne tient pas si l'environnement de contrôle ne soutient pas la gouvernance des risques de durabilité. Évaluation selon ISA 315.15 à 315.18.

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.