En bref
Publiée au Journal officiel de l’Union européenne le 26 février 2026, la directive Omnibus I a revéhicule la CS3D en relevant ses seuils à 5 000 employés et 1,5 milliard d’euros de chiffre d’affaires. L’application est repoussée au 26 juillet 2028 au plus tard (Dalloz Actualité, 2026). En France, la loi vigilance de 2017 reste applicable selon ses propres seuils. Cet article fait le tri entre obligation, anticipation et opportunité stratégique. Voyez aussi notre méthode d’organisation RSE.
Sommaire
- Omnibus I : ce qui change pour la CS3D
- Les nouveaux seuils CS3D et qui reste concerné
- Calendrier d’application : juillet 2028 au plus tard
- Ce qui survit de la loi vigilance française de 2017
- Plan de vigilance : structure et contenu attendus
- Cascade fournisseurs : pourquoi les PME sont aussi concernées
- Stratégie : volontariat anticipé ou attente passive
- Questions fréquentes
Omnibus I : ce qui change pour la CS3D
La Corporate Sustainability Due Diligence Directive (CS3D), adoptée en juillet 2024, devait imposer un devoir de vigilance européen aux entreprises de plus de 1 000 employés et 450 millions d’euros de chiffre d’affaires. Le paquet de simplification Omnibus I, adopté le 24 février 2026 et publié au Journal officiel européen le 26 février, a profondément remanié ce texte.
Quatre modifications structurantes ont été actées. D’abord, les seuils sont relevés à 5 000 employés et 1,5 milliard d’euros. Ensuite, la rupture commerciale n’est plus exigée en cas de partenaire « à risque » dès lors qu’il existe des « perspectives raisonnables d’amélioration ». Le suivi du plan passe d’annuel à quinquennal. Enfin, le plafond des amendes baisse de 5 % à 3 % du chiffre d’affaires mondial (Face au Risque, 2026).
Devoir de vigilance : obligation pour une entreprise d’identifier, prévenir et limiter les atteintes aux droits humains et à l’environnement dans sa chaîne de valeur (opérations propres, filiales, partenaires commerciaux directs et indirects). Il se matérialise par un plan public et une obligation de moyens.
Les nouveaux seuils CS3D et qui reste concerné
Avec les seuils Omnibus, la CS3D ne s’applique plus qu’aux géants économiques. Selon les estimations de la Commission européenne, environ 1 000 entreprises européennes restent concernées, contre 14 000 dans la version initiale. Le périmètre s’aligne ainsi plutôt sur celui des grandes entreprises cotées au sens MFID II.
| Périmètre | Seuils CS3D initiaux | Seuils CS3D Omnibus |
|---|---|---|
| Salariés | 1 000 | 5 000 |
| Chiffre d’affaires mondial | 450 M€ | 1,5 Md€ |
| Entreprises européennes concernées | ~14 000 | ~1 000 |
| Plafond d’amende | 5 % CA mondial | 3 % CA mondial |
| Périodicité du suivi | Annuelle | Quinquennale |
Source : Capstan Avocats, mars 2026
Pour les entreprises non concernées par les nouveaux seuils CS3D, la question essentielle est de savoir si elles restent assujetties à d’autres dispositifs. C’est en particulier le cas en France avec la loi du 27 mars 2017 sur le devoir de vigilance.
Calendrier d’application : juillet 2028 au plus tard
L’Omnibus I repousse l’application effective de la CS3D au 26 juillet 2028 au plus tard. Cette échéance vaut pour la première vague d’entreprises concernées. Les vagues suivantes (sociolisation progressive aux entreprises de seuils plus bas éventuels) suivent un calendrier propre, fixé par les transpositions nationales.
Pour les entreprises françaises, l’enjeu calendaire est supérieur à celui des autres États membres : la loi vigilance de 2017 continue de s’appliquer indépendamment, avec des seuils nationaux (5 000 salariés en France ou 10 000 dans le monde pour les sociétés ayant leur siège en France) et une obligation de moyens cumulée.
« L’Omnibus simplifie la CS3D pour les géants européens, mais ne détricote pas les obligations nationales préexistantes. Les entreprises françaises doivent gérer un double régime jusqu’à l’harmonisation effective. »
Ce qui survit de la loi vigilance française de 2017
La loi du 27 mars 2017 relative au devoir de vigilance des sociétés mères et entreprises donneuses d’ordre reste en vigueur en France. Elle impose un plan de vigilance public aux sociétés commerciales qui emploient au moins 5 000 salariés en France ou 10 000 salariés en France et à l’étranger sur deux exercices consécutifs.
Le contenu obligatoire du plan de vigilance français inclut cinq mesures structurantes : une cartographie des risques, des procédures d’évaluation des fournisseurs et sous-traitants, des actions d’atténuation et de prévention, un mécanisme d’alerte et un dispositif de suivi des mesures. Ce plan doit être rendu public et intégré dans le rapport de gestion.
Pour les entreprises françaises proches des seuils, anticipez les calculs sur deux exercices consécutifs et intégrez le périmètre élargi de la holding (effet de groupe). Voyez notre méthode de diagnostic ESG pour structurer cette cartographie.
Plan de vigilance : structure et contenu attendus
Le plan de vigilance, qu’il résulte de la loi française de 2017 ou de la CS3D à partir de 2028, s’articule autour de cinq composants standards. La structure recommandée par les guides de bonne pratique du ORSE et de l’ADEME est la suivante :
- Cartographie des risques : matrice des risques droits humains, environnement et santé par activité, géographie et niveau de la chaîne de valeur.
- Évaluation des partenaires : audits fournisseurs, due diligence amont sur les acquisitions, indicateurs ESG dans les appels d’offres.
- Actions de prévention et atténuation : clauses contractuelles, plans correctifs, accompagnement des partenaires, exclusions ciblées.
- Mécanisme d’alerte : dispositif ouvert aux salariés, fournisseurs, ONG et communautés locales (whistleblower line, plateforme tiers).
- Dispositif de suivi : indicateurs de performance vigilance, gouvernance des actions, reporting annuel.
Structurez votre plan de vigilance opposable
Notre méthode cartographie les risques de votre chaîne de valeur, audite vos fournisseurs clés et formalise votre plan de vigilance avec indicateurs tracés, conformément à la loi 2017 et anticipant la CS3D.
30 minutes : Gratuit : Sans engagement
Cascade fournisseurs : pourquoi les PME sont aussi concernées
Les seuils CS3D peuvent donner l’illusion qu’une PME n’a rien à craindre. C’est une erreur stratégique. Dès lors qu’une entreprise sous CS3D ou sous loi vigilance française structure son audit fournisseurs, elle démultiplie les questionnaires ESG, les clauses contractuelles et les exigences documentaires vers ses partenaires commerciaux, quelle que soit leur taille.
Une PME fournisseur d’un grand groupe sous CS3D peut donc être tenue contractuellement de produire un BEGES, un plan d’action carbone, une cartographie sociale fournisseurs et un mécanisme d’alerte. Sans tout cela, elle peut être exclue des consultations. Selon une enquête Bpifrance de 2025, 67 % des PME déclarent avoir déjà reçu un questionnaire ESG de leurs grands donneurs d’ordre.
Le standard volontaire VSME (Voluntary SME Standard) publié par l’EFRAG sert précisément de socle harmonisé pour les PME sollicitées par les groupes sous CSRD ou CS3D. C’est l’outil pivot pour ne pas être submergé par des questionnaires hétérogènes.
Stratégie : volontariat anticipé ou attente passive
Face au double régime français et européen, et aux cascades fournisseurs, trois options s’offrent aux entreprises. Première option : attente passive (« je vois venir »). Risque : perdre l’avantage compétitif vis-à-vis des donneurs d’ordre engagés et subir un rattrapage sous tension. Deuxième option : volontariat aligné sur le standard VSME pour les PME, ou anticipation CSRD pour les ETI. Risque : coûts à court terme. Bénéfice : accessibilité au capital, marchés publics, grands donneurs d’ordre. Troisième option : conformité strictement réglementaire. Compromis raisonnable mais moins différenciant.
Notre recommandation pour 2026 est l’anticipation ciblée : aligner dès maintenant la cartographie des risques et le plan d’action vigilance sur le squelette CS3D pour les ETI, sur le squelette VSME pour les PME. Cela permet de capitaliser les efforts déjà engagés en réponse aux questionnaires fournisseurs.
« L’anticipation réglementaire est moins coûteuse que la mise en conformité sous tension. Les entreprises qui structurent leur démarche dès aujourd’hui transforment une contrainte en avantage compétitif. »
Spotlight Fletchr : module vigilance et chaîne de valeur
Notre module structure la cartographie des risques de votre chaîne de valeur, automatise le suivi des audits fournisseurs et formalise votre plan de vigilance conformément à la loi française 2017 et à la CS3D Omnibus.
Transformez la vigilance en avantage stratégique
Fletchr accompagne votre cartographie des risques, votre suivi fournisseurs et votre plan de vigilance. Approche modulaire pour s’aligner CS3D ou VSME selon vos cibles commerciales.
30 minutes : Gratuit : Sans engagement
Questions fréquentes sur la CS3D et le plan de vigilance
Après Omnibus I, la CS3D s’applique aux entreprises de plus de 5 000 employés et 1,5 milliard d’euros de chiffre d’affaires mondial. Ces seuils ont été relevés par rapport à la version initiale (1 000 employés et 450 M€). Environ 1 000 entreprises européennes restent concernées, contre 14 000 dans le scénario initial.
Au plus tard le 26 juillet 2028. Cette date concerne la première vague d’entreprises soumises. Les transpositions nationales peuvent toutefois prévoir des dates d’application différentes pour les vagues suivantes. La France conserve par ailleurs sa loi vigilance de 2017 en parallèle.
Oui, la loi du 27 mars 2017 continue de s’appliquer indépendamment de la CS3D. Elle vise les sociétés d’au moins 5 000 salariés en France ou 10 000 dans le monde sur deux exercices consécutifs, avec son propre périmètre et son propre contentieux civil devant le tribunal judiciaire de Paris.
Cinq composants : cartographie des risques, évaluation des partenaires, actions de prévention et atténuation, mécanisme d’alerte, dispositif de suivi. Le plan est rendu public et intégré dans le rapport de gestion. La sanction est civile (responsabilité, injonction sous astreinte) et non pénale en France.
Pas directement, sauf si elle dépasse les seuils. En revanche, comme fournisseur ou sous-traitant d’une entreprise sous CS3D, elle peut être tenue contractuellement de produire des données ESG, un BEGES et des plans correctifs. Le standard VSME sert de socle harmonisé pour ces demandes.
Pour la CS3D Omnibus : amendes administratives jusqu’à 3 % du chiffre d’affaires mondial, plus responsabilité civile possible en cas de dommage. Pour la loi vigilance française : injonction sous astreinte par le juge civil, responsabilité civile en cas de dommage et réputation impactée par la publication du contentieux.
Oui pour deux raisons. D’une part, les seuils peuvent évoluer (les transpositions nationales sont libres d’abaisser). D’autre part, les cascades fournisseurs imposent déjà des exigences à nombre de PME et ETI. Anticiper permet de capitaliser les efforts et d’éviter une mise en conformité sous tension. Voyez notre guide stratégie RSE.