Directive CS3D (CSDDD) : devoir de vigilance, entreprises concernées et calendrier post-Omnibus

Cinq mille salariés, un milliard et demi d'euros de chiffre d'affaires : c'est désormais le seuil d'entrée du devoir de vigilance européen.

La directive CS3D a été profondément remaniée par le paquet Omnibus début 2026. Moins d'entreprises directement concernées, un calendrier repoussé, une responsabilité civile allégée : le texte qui devait imposer un devoir de vigilance à des milliers d'entreprises a été resserré sur les plus grandes. Mais l'effet de ruissellement sur les fournisseurs, lui, ne disparaît pas.

Cet article fait le point sur ce qu'est la directive CS3D, qui est concerné après l'Omnibus, quelles obligations elle crée, son calendrier d'application et la façon dont elle s'articule avec la loi française de 2017 et avec la CSRD.

En bref

• La CS3D (Corporate Sustainability Due Diligence Directive, aussi notée CSDDD) est la directive (UE) 2024/1760 : elle impose un devoir de vigilance sur les droits humains et l'environnement le long de la chaîne d'activités des très grandes entreprises.
• Après le paquet Omnibus (directive (UE) 2026/470, en vigueur le 18 mars 2026), le seuil d'entrée est relevé à plus de 5 000 salariés et plus de 1,5 milliard € de chiffre d'affaires net mondial (contre 1 000 salariés et 450 M€ initialement).
• Transposition par les États membres au plus tard le 26 juillet 2028 ; application aux entreprises concernées à compter du 26 juillet 2029.
• L'Omnibus allège le dispositif : suivi tous les 5 ans au lieu de chaque année, sanctions plafonnées à 3 % du chiffre d'affaires mondial, responsabilité civile renvoyée au droit national.
• En France, la loi du 27 mars 2017 impose déjà un plan de vigilance aux entreprises de plus de 5 000 salariés : la CS3D harmonise et étend cette logique à l'échelle européenne.

Qu'est-ce que la directive CS3D (CSDDD) ?

La CS3D — pour Corporate Sustainability Due Diligence Directive, traduite par directive sur le devoir de vigilance des entreprises en matière de durabilité — est la directive (UE) 2024/1760, adoptée le 13 juin 2024 et publiée au Journal officiel de l'Union européenne le 5 juillet 2024. On la rencontre aussi sous le sigle CSDDD : les deux désignent le même texte.

Son objet : obliger les très grandes entreprises à identifier, prévenir et corriger les atteintes aux droits humains et à l'environnement liées à leurs activités. Le périmètre ne s'arrête pas aux murs de l'entreprise. Il couvre ses propres opérations, celles de ses filiales et celles de sa chaîne d'activités — autrement dit ses partenaires commerciaux en amont (fournisseurs, sous-traitants) et, dans une moindre mesure, en aval.

Le mécanisme repose sur la notion de vigilance fondée sur le risque (risk-based due diligence), directement inspirée des principes directeurs de l'OCDE (Organisation de coopération et de développement économiques) à destination des entreprises multinationales. L'entreprise ne doit pas garantir un résultat parfait : elle doit déployer des moyens raisonnables, proportionnés à la gravité et à la probabilité des atteintes.

À distinguer de la CSRD. La CSRD (Corporate Sustainability Reporting Directive) porte sur la publication d'informations de durabilité. La CS3D porte sur l'action : prévenir et corriger des atteintes réelles. L'une rapporte, l'autre agit. Les deux ont été modifiées par le même paquet Omnibus.

Quelles entreprises sont concernées après l'Omnibus ?

C'est sur le périmètre que le paquet Omnibus a le plus pesé. Le seuil d'entrée a été nettement relevé.

Sont désormais directement concernées les entreprises de l'Union européenne qui dépassent cumulativement deux critères : plus de 5 000 salariés en moyenne et plus de 1,5 milliard € de chiffre d'affaires (CA) net mondial sur le dernier exercice. Les entreprises hors UE entrent dans le champ si elles réalisent plus de 1,5 milliard € de CA net dans l'Union.

Avant l'Omnibus, le texte de 2024 visait un périmètre bien plus large : plus de 1 000 salariés et plus de 450 M€ de CA, avec une application progressive selon la taille. Le relèvement des seuils retire donc du champ direct une grande partie des entreprises de taille intermédiaire (ETI).

Le tableau ci-dessous résume le changement de périmètre.

Attention au piège du périmètre indirect. Ne pas dépasser les seuils ne signifie pas être hors sujet. Une entreprise concernée doit exercer sa vigilance sur sa chaîne d'activités : ses fournisseurs, même petits, reçoivent des demandes d'information et des exigences contractuelles. C'est le même effet de cascade que pour la CSRD.

Quelles obligations concrètes crée la CS3D ?

La directive traduit le devoir de vigilance en un processus continu, proche de la logique de l'OCDE. On peut le résumer en six étapes.

La première étape consiste à intégrer la vigilance dans les politiques de l'entreprise et ses systèmes de gestion. La deuxième est le cœur du dispositif : identifier et évaluer les incidences négatives, réelles ou potentielles, par un exercice de cartographie. La troisième impose de prévenir, atténuer ou faire cesser ces incidences, à l'aide de plans d'action et d'engagements contractuels avec les partenaires.

La quatrième étape est le suivi de l'efficacité des mesures. La cinquième est la communication publique, via une déclaration annuelle. La sixième prévoit la réparation des dommages avérés et un mécanisme de réclamation ouvert aux parties prenantes concernées.

Côté légal, la directive prévoit une supervision par des autorités nationales, des sanctions administratives et un volet de responsabilité civile — tous trois revus à la baisse par l'Omnibus, comme détaillé plus bas.

Ce que le paquet Omnibus a changé

Le paquet Omnibus est porté par la directive (UE) 2026/470, adoptée par le Parlement européen le 16 décembre 2025, signée par le Conseil le 24 février 2026, publiée au Journal officiel le 26 février 2026 et entrée en vigueur le 18 mars 2026. Le même texte modifie la CSRD et la CS3D.

Pour le volet reporting du paquet Omnibus, vous pouvez consulter notre guide sur la directive CSRD post-Omnibus.

Sur la CS3D, les ajustements sont substantiels. Le tableau ci-dessous compare les principales dispositions avant et après l'Omnibus.

Plusieurs points méritent d'être soulignés. Les demandes d'information adressées aux partenaires de moins de 5 000 salariés sont encadrées, pour limiter la charge sur les PME fournisseurs. L'évaluation approfondie est limitée aux domaines où les incidences sont les plus probables et les plus graves, et non plus à l'ensemble indistinct de la chaîne. Enfin, l'harmonisation maximale est étendue à plusieurs éléments du processus : les États membres ne peuvent plus, sur ces points, imposer des règles nationales divergentes.

Ce mouvement de simplification ne supprime pas l'obligation. Il en concentre la charge sur les plus grands acteurs et allège la fréquence et l'intensité des contrôles.

Calendrier d'application : 2028, 2029, 2030

La CS3D est une directive : elle doit être transposée dans le droit de chaque État membre avant de produire ses effets. L'Omnibus a repoussé l'ensemble du calendrier.

Les États membres doivent transposer la directive au plus tard le 26 juillet 2028. Les entreprises concernées devront s'y conformer à compter du 26 juillet 2029. L'obligation de publier sur son site une déclaration annuelle de vigilance s'applique aux exercices ouverts à compter du 1er janvier 2030.

Ce délai n'est pas un répit. Construire une cartographie fiable de sa chaîne de valeur, contractualiser des exigences avec ses fournisseurs et mettre en place une gouvernance de la vigilance prend plusieurs exercices. Les entreprises qui attendront 2029 pour commencer auront du retard.

CS3D, loi française de 2017 et CSRD : comment s'articulent-elles ?

La France n'a pas attendu l'Europe. La loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre a fait de la France le premier pays à imposer un plan de vigilance contraignant. Elle s'applique aux entreprises employant au moins 5 000 salariés en France (société et filiales) ou au moins 10 000 salariés dans le monde.

Cette loi pionnière a directement inspiré la CS3D. Pour les grandes entreprises françaises déjà soumises, la directive européenne représente donc une montée en exigence et une harmonisation, plus qu'une découverte. La transposition de la CS3D conduira à articuler le dispositif français existant avec le cadre européen.

Reste à situer la CS3D par rapport à la CSRD. Les deux directives sont complémentaires et partagent un socle d'analyse.

• La CSRD demande de publier des informations de durabilité, selon les normes ESRS, à partir d'une analyse de double matérialité.
• La CS3D demande d'agir : prévenir et corriger les atteintes réelles dans la chaîne d'activités.

Le point de jonction est l'analyse des incidences. Une entreprise qui a déjà conduit son analyse de double matérialité dispose d'une base utile pour cartographier les risques de sa chaîne de valeur au titre de la vigilance. Les deux exercices ne se confondent pas, mais ils se nourrissent.

➡️ Votre entreprise est-elle concernée par la CS3D ou par la CSRD post-Omnibus ? Validez votre situation avec un expert climat.

Comment se préparer concrètement

La préparation passe d'abord par la chaîne de valeur. Le devoir de vigilance, comme le scope 3 d'un bilan carbone, impose de connaître ses fournisseurs et de collecter des données auprès d'eux. Les entreprises qui ont déjà structuré la collecte de données fournisseurs pour leur reporting carbone partent avec une longueur d'avance : la cartographie des partenaires est largement commune.

Trois chantiers structurent la mise en conformité. D'abord, la cartographie des risques : recenser les partenaires, hiérarchiser les zones d'incidence probable sur les droits humains et l'environnement. Ensuite, la gouvernance : désigner les responsables, intégrer la vigilance dans les politiques d'achat et les contrats. Enfin, le suivi et la remédiation : définir les plans d'action, le mécanisme de réclamation et la déclaration annuelle.

Une plateforme comme Orki facilite la cartographie de la chaîne de valeur en centralisant la collecte des données d'activité fournisseurs, déjà nécessaires au calcul du scope 3. Le même socle de données sert la vigilance et le pilotage carbone.

Transformer une obligation réglementaire en démarche structurée

Pour aborder la CS3D sans la subir, la vigilance gagne à s'appuyer sur les données déjà mobilisées pour le carbone et le reporting. Orki propose trois approches complémentaires :

• Accompagnement de A à Z : un expert climat dédié pour cartographier la chaîne de valeur et structurer la collecte fournisseurs.
• Outil SaaS en autonomie : pour les équipes RSE et achats qui veulent industrialiser la collecte de données et le suivi.
• Formation : pour internaliser la compétence vigilance et reporting au sein des équipes.

➡️ Anticipez la CS3D : structurez dès maintenant la donnée de votre chaîne de valeur avec un expert Orki.

Conclusion : 5 points à retenir

1. La CS3D est la directive (UE) 2024/1760 sur le devoir de vigilance. Elle impose d'identifier, prévenir et corriger les atteintes aux droits humains et à l'environnement le long de la chaîne d'activités.
2. Le paquet Omnibus a relevé le seuil d'entrée à 5 000 salariés et 1,5 milliard € de chiffre d'affaires. Bien moins d'entreprises sont directement concernées qu'avec le texte initial de 2024.
3. Le calendrier est repoussé : transposition au 26 juillet 2028, application au 26 juillet 2029. La déclaration annuelle vise les exercices ouverts à compter du 1er janvier 2030.
4. L'Omnibus allège le dispositif : suivi tous les 5 ans, sanctions plafonnées à 3 % du chiffre d'affaires mondial, responsabilité civile renvoyée au droit national.
5. L'effet de cascade reste entier. Les fournisseurs des entreprises concernées sont sollicités : connaître et structurer sa chaîne de valeur est le vrai chantier, commun à la vigilance, à la CSRD et au scope 3.

Sources

• Union européenne — Directive (UE) 2024/1760 du 13 juin 2024 sur le devoir de vigilance des entreprises en matière de durabilité (CSDDD). https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=OJ:L_202401760 — Consulté le 8 juin 2026.
• Union européenne — Directive (UE) 2026/470 (paquet Omnibus I) modifiant la CSRD et la CSDDD. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:32026L0470 — Consulté le 8 juin 2026.
• Conseil de l'Union européenne — Council signs off simplification of sustainability reporting and due diligence requirements, 24 février 2026. https://www.consilium.europa.eu/en/press/press-releases/2026/02/24/council-signs-off-simplification-of-sustainability-reporting-and-due-diligence-requirements-to-boost-eu-competitiveness/ — Consulté le 8 juin 2026.
• Conseil de l'Union européenne — Council and Parliament strike a deal, 9 décembre 2025. https://www.consilium.europa.eu/en/press/press-releases/2025/12/09/council-and-parliament-strike-a-deal-to-simplify-sustainability-reporting-and-due-diligence-requirements-and-boost-eu-competitiveness/ — Consulté le 8 juin 2026.
• Accountancy Europe — Omnibus explained: key changes to the CSRD and CSDDD, 29 janvier 2026. https://accountancyeurope.eu/publications/omnibus-explained-key-changes-to-the-csrd-and-csddd/ — Consulté le 8 juin 2026.
• Gibson Dunn — Omnibus Simplification of EU's Sustainability Rules (CSRD and CSDDD) Enacted, 4 mars 2026. https://www.gibsondunn.com/omnibus-simplification-of-eu-sustainability-rules-csrd-and-csddd-enacted/ — Consulté le 8 juin 2026.
• Légifrance — Loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre. https://www.legifrance.gouv.fr/loda/id/JORFTEXT000034290626/ — Consulté le 8 juin 2026.
• OCDE — Guide OCDE sur le devoir de diligence pour une conduite responsable des entreprises. https://www.oecd.org/fr/publications/guide-ocde-sur-le-devoir-de-diligence-pour-une-conduite-responsable-des-entreprises.htm — Consulté le 8 juin 2026