July 6, 2026

Devoir de vigilance : quand la cartographie des risques devient source de responsabilité civile

Risk management
Compliance
Gouvernance
On a longtemps traité la cartographie des risques comme une formalité. Bonne nouvelle : on sait désormais ce qu’attend un juge — et donc comment se protéger. On a synthétisé dans l’article : ce que change cette décision, ce que ça implique concrètement, et les 5 priorités pour sécuriser la démarche.
Partager cet article

Le 12 mars 2026, le Tribunal judiciaire de Paris a rendu une décision qui restera. Pour la première fois, un juge civil condamne une entreprise pour insuffisance de sa cartographie des risques au titre du devoir de vigilance.

Pas pour absence de plan. Pour insuffisance méthodologique.

Ce jugement (TJ Paris, 34e ch., RG n° 22/04017) déplace le curseur : la cartographie des risques n'est plus un exercice formel de conformité. Elle devient un acte de gestion dont la qualité engage la responsabilité civile de l'entreprise — et potentiellement celle de ses dirigeants.

La cartographie des risques jugée pour la première fois

Jusqu'ici, le devoir de vigilance restait une obligation de moyens renforcés, rarement sanctionnée. Les quelques contentieux portaient sur l'absence totale de plan ou sur des manquements documentaires évidents. Cette fois, le juge franchit un seuil : il examine la méthodologie elle-même.

Le tribunal reproche à la société mère une approche « purement formelle ou partielle » pour évaluer les risques d'atteintes graves aux droits humains et à l'environnement. En clair : avoir publié un plan de vigilance ne suffit pas. Encore faut-il que la cartographie repose sur une démarche rigoureuse, documentée, exhaustive — capable d'identifier, d'évaluer et de hiérarchiser les risques de manière pertinente.

Cette exigence n'est pas nouvelle dans le texte de la loi. Mais elle l'est dans son application judiciaire. Le juge entre dans le détail de la méthode, évalue sa robustesse, sanctionne ses lacunes.

Ce que cela change pour les Comex

La question change : ce n’est plus « avons-nous un plan de vigilance ? », mais « notre cartographie résisterait-elle à un contrôle judiciaire ? ».

Trois conséquences immédiates.

Première conséquence : la responsabilité personnelle du dirigeant devient engageable.

La Cour d'appel de Bordeaux, dans un arrêt du 19 février 2026 (n° 22/03553), rappelle qu'un manquement à une obligation légale de l'entreprise peut constituer une faute séparable des fonctions du dirigeant dès lors que la société exerce une activité soumise à cette obligation. Le parallèle avec le devoir de vigilance est direct. Un dirigeant qui valide une cartographie manifestement lacunaire s'expose à une mise en cause personnelle, au-delà de la responsabilité sociale de l'entreprise.

Deuxième conséquence : la cartographie devient un acte de gouvernance.

Elle ne peut plus être déléguée sans supervision. Le Comex doit en valider la méthodologie, en comprendre les hypothèses, en assumer les arbitrages. Un rapport du Club des Juristes (octobre 2024) sur la responsabilité civile des administrateurs et dirigeants en matière de durabilité le souligne : les conseils d'administration devront désormais superviser et valider l'élaboration des plans de vigilance, en cohérence avec le modèle d'affaires de l'entreprise. Ces exigences accroissent naturellement les responsabilités des dirigeants et administrateurs.

Troisième conséquence : les fonctions Risk Management et Compliance montent au niveau exécutif.

Une cartographie robuste ne se construit pas en silo juridique. Elle exige une articulation fine entre les directions opérationnelles, les fonctions support, les filiales. Elle suppose des ressources, des outils, une indépendance fonctionnelle. Autrement dit : un rattachement direct au Comex ou à la Direction Générale, avec les moyens qui vont avec.

Cinq priorités pour sécuriser la démarche

Face à ce nouveau standard jurisprudentiel, cinq priorités s’imposent.

  • D’abord, documenter la méthodologie. Le juge va regarder la rigueur du processus : sources mobilisées, critères de hiérarchisation, périmètres retenus. Il faut pouvoir l’expliquer et le prouver.
  • Ensuite, ancrer la cartographie dans le terrain. Des questionnaires corporate et des audits documentaires ne suffisent plus : il faut des remontées opérationnelles, des audits sur site, des échanges avec les parties prenantes locales. L’exhaustivité ne se décrète pas depuis le siège.
  • Troisième exigence : mettre le Comex en position de validation. La cartographie doit être présentée, discutée, arbitrée en instance exécutive ; et cette validation doit être tracée (procès-verbal, compte-rendu). C’est un sujet de gouvernance, et aussi un élément de protection en cas de contentieux.
  • Quatrième point : actualiser chaque année, sans automatisme. Les risques évoluent ; une cartographie figée devient rapidement fragile. L’actualisation doit intégrer les incidents de l’année, revisiter les hypothèses et ajuster les périmètres.
  • Enfin, donner des moyens aux fonctions Risk et Compliance. Une cartographie robuste exige des ressources dédiées et une capacité à piloter transversalement ; au croisement des opérations, du juridique et du réputationnel. Sans moyens, elle ne tiendra pas.

La compliance devient un acte de gestion

Ce jugement du 12 mars 2026 marque un tournant.

Il inscrit le devoir de vigilance dans le droit commun de la responsabilité civile. Il fait de la cartographie des risques un acte de gestion stratégique, au même titre que la validation d'un budget ou d'un plan de développement.

Pour les directions générales, cela signifie une chose : la compliance n'est plus une fonction périphérique. Elle devient un levier de maîtrise des risques, un outil de préservation de la valeur, un sujet de gouvernance.

Cela suppose de revoir le positionnement des fonctions Risk Management et Compliance dans l'organigramme. De leur donner les moyens de produire une cartographie qui résiste à l'examen. De les faire remonter au niveau exécutif, avec un rattachement direct au DG ou au Secrétaire Général.

La cartographie des risques ne se mesure plus à sa conformité formelle. Elle se mesure à sa capacité à anticiper, à documenter, à tenir devant un juge.

Vous voulez tester la robustesse de votre cartographie ou repositionner vos fonctions Risk/Compliance avant qu’un contentieux ne le fasse à votre place ?

Parlons-en.

Blandine CORDIER-PALASSE

Lire plus d'articles :

Juridique et compliance : qui protège vraiment le dirigeant lorsque tout tourne mal ?

Il y a une question que la plupart des dirigeants de PME et d’ETI ne se posent pas, jusqu’au jour où ils auraient dû. Pas la question du marché. Pas celle du financement. Pas celle des ressources humaines. Celle-ci : si quelque chose tourne mal demain, qui vous protège ? Une question qui conduit de plus en plus de dirigeants à s’interroger sur le rôle du directeur juridique et compliance dans la protection de leur entreprise et de leur propre responsabilité.

Du DJ gardien au DJ créateur de valeur M&A : ce qui change au Comex en 2026

En 2026, un Directeur Juridique M&A n’est plus seulement un « sécurisateur »

Retrouvez tous nos articles