Publicité
ERP IMPLEMENTATION
Stratégie ERP

Directive CSDDD et ERP : comment tracer le devoir de vigilance dans votre supply chain

Guide conformite CSDDD pour DSI et directeurs achats : fonctionnalites ERP, scoring ESG fournisseurs, feuille de route 18 mois et articulation CSRD/Sapin II.

· 11 min de lecture · Stéphane ZÉ-OGIER
Directive CSDDD et ERP : comment tracer le devoir de vigilance dans votre supply chain
#ERP #Réglementaire #Stratégie #Conformité

La directive CSDDD (Corporate Sustainability Due Diligence Directive) change la nature des obligations ESG des grandes entreprises europeennes. Contrairement a la CSRD qui impose un exercice de reporting, la CSDDD exige des actions concretes : cartographier les risques dans la chaine de valeur, les prevenir, les attenuer, et reparer les dommages causes. Ce n’est plus un rapport a publier, c’est un processus operationnel a mettre en place, et votre ERP est au coeur de ce processus.

Adoptee en avril 2024 sous la reference Directive (UE) 2024/1760 (texte officiel sur EUR-Lex), la directive a vu son calendrier d’application repousse d’un an par la directive “Stop-the-Clock” adoptee par le Conseil europeen le 14 avril 2025 (communique du Conseil). Ce report ne change rien a l’ampleur du chantier SI qui attend les entreprises concernees.

CSDDD en 60 secondes : ce que dit la directive

La CSDDD impose aux grandes entreprises un devoir de vigilance sur l’ensemble de leur chaine de valeur, couvrant les atteintes aux droits humains et a l’environnement. L’obligation ne se limite pas aux fournisseurs directs (tier 1) : elle s’etend aux fournisseurs indirects lorsque l’entreprise a des informations sur des risques potentiels.

Calendrier d’application (apres Stop-the-Clock)

Le report d’un an modifie le calendrier comme suit :

  • Transposition en droit national : 26 juillet 2027 (au lieu de juillet 2026)
  • Vague 1 (plus de 5 000 salaries et plus de 1,5 Md EUR de CA mondial) : application a partir du 26 juillet 2028
  • Vague 2 (plus de 3 000 salaries et plus de 900 M EUR de CA mondial) : application a partir du 26 juillet 2029
  • Vague 3 (plus de 1 000 salaries et plus de 450 M EUR de CA mondial) : application a partir du 26 juillet 2030

Les entreprises non europeennes generant un chiffre d’affaires superieur a 450 M EUR dans l’UE sont egalement concernees, selon les memes seuils (Commission europeenne, page CSDDD). La Commission estime qu’environ 6 000 entreprises europeennes et 900 entreprises non europeennes entrent dans le perimetre.

Sanctions prevues

Les Etats membres doivent mettre en place un regime de sanctions incluant des amendes pouvant atteindre 5 % du chiffre d’affaires net mondial de l’exercice precedent (Directive 2024/1760, article 27). A cela s’ajoute un regime de responsabilite civile : les victimes d’atteintes aux droits humains ou a l’environnement peuvent demander reparation si l’entreprise n’a pas rempli ses obligations de vigilance (Baker McKenzie, Penalties and civil liability under the CSDDD).

Pour une ETI realisant 500 M EUR de chiffre d’affaires, l’amende maximale theorique atteint 25 M EUR. Ce n’est plus un risque reputationnel abstrait, c’est un risque financier chiffrable.

Ce que la CSDDD exige concretement de votre SI

La directive impose quatre capacites que votre systeme d’information doit supporter. Aucune n’est optionnelle.

Cartographie des fournisseurs sur toute la chaine (tier 1 a tier N)

La fiche fournisseur classique d’un ERP contient un nom, un SIRET, un RIB et une adresse. C’est insuffisant pour la CSDDD. Vous devez pouvoir documenter pour chaque fournisseur significatif : le pays d’operation, le secteur d’activite, les sous-traitants connus, les certifications ESG detenues et les risques identifies.

La cartographie doit aller au-dela du tier 1. Si votre fournisseur de composants electroniques sous-traite l’assemblage dans un pays a risque pour les droits humains, la CSDDD vous oblige a en avoir connaissance et a agir. Votre ERP doit permettre de modeliser cette arborescence fournisseur et de la maintenir a jour.

Evaluation et scoring des risques ESG par fournisseur

Chaque fournisseur dans le perimetre doit faire l’objet d’une evaluation des risques ESG. Cela suppose un questionnaire structure, un systeme de notation, des seuils d’alerte et un historique des evaluations. L’evaluation doit couvrir quatre domaines : droits humains, conditions de travail, impact environnemental et ethique des affaires.

Le scoring n’est pas un exercice ponctuel. Il doit etre periodique (annuel au minimum) et declencher des actions quand un fournisseur passe sous un seuil critique. Votre ERP doit stocker ces scores, les relier aux contrats d’achat et les rendre accessibles au service conformite.

Tracabilite des actions correctives

Quand un risque est identifie, la CSDDD impose de mettre en place des mesures de prevention ou d’attenuation. Quand un dommage est constate, elle impose une remediation. Chaque action doit etre documentee : qui l’a decidee, quand, quel resultat attendu, quel resultat obtenu.

Votre ERP doit donc gerer des workflows de non-conformite fournisseur avec escalade, suivi des plans d’action et verification d’efficacite. C’est exactement le meme principe que les CAPA (actions correctives et preventives) dans un systeme qualite ISO 9001, applique au perimetre ESG de la supply chain.

Reporting et conservation des preuves

La directive exige que les entreprises publient une declaration annuelle de vigilance et conservent les preuves de leurs diligences pendant au moins cinq ans. Votre SI doit assurer l’archivage structure des questionnaires fournisseurs, des rapports d’audit, des plans d’action et des communications avec les fournisseurs concernes.

5 fonctionnalites ERP indispensables pour la conformite CSDDD

1. Module achats avec qualification fournisseurs etendue

Le module achats standard doit etre enrichi pour integrer des criteres ESG dans le processus de qualification fournisseur. Cela inclut : des questionnaires ESG configurables, la gestion des certifications (ISO 14001, SA 8000, labels sectoriels), des criteres de blocage automatique (fournisseur non evalue ou sous le seuil minimal), et un workflow d’approbation specifique pour les fournisseurs a risque eleve.

2. Gestion documentaire liee aux fournisseurs

Chaque fournisseur dans le perimetre CSDDD genere un volume documentaire significatif : attestations de conformite, rapports d’audit tiers, certificats environnementaux, correspondance relative aux plans d’action corrective. Ce corpus doit etre versionne, date, relie au fournisseur dans l’ERP et accessible au service conformite sans avoir a fouiller dans des dossiers partages ou des emails.

3. Workflows d’alerte et d’escalade

Votre ERP doit implementer des circuits d’alerte a plusieurs niveaux. Quand un fournisseur ne repond pas au questionnaire ESG dans le delai imparti, une relance automatique part. Quand un audit revele une non-conformite grave (travail d’enfants, pollution majeure), une escalade automatique notifie le directeur conformite et le directeur achats. Quand un plan d’action corrective n’est pas mis en oeuvre dans le delai prevu, le systeme genere une alerte de suivi.

4. Tableaux de bord ESG supply chain

Le pilotage de la conformite CSDDD necessite des indicateurs agreges : taux de couverture des evaluations fournisseurs (objectif : 100 % des fournisseurs significatifs), score ESG moyen par pays ou par categorie d’achat, nombre de non-conformites ouvertes, delai moyen de traitement des actions correctives, evolution du score ESG global du portefeuille fournisseur.

Ces indicateurs alimentent la declaration annuelle de vigilance et la revue de direction. Ils doivent etre calculables directement depuis les donnees de l’ERP, sans consolidation manuelle dans un tableur.

5. Integration avec des bases de risques externes

Aucun ERP ne couvre seul l’ensemble du besoin d’evaluation ESG. L’integration avec des plateformes specialisees est indispensable :

  • EcoVadis : plateforme leader de notation ESG avec plus de 150 000 entreprises evaluees dans 180 pays (ecovadis.com). L’integration bidirectionnelle permet d’alimenter la fiche fournisseur ERP avec le score EcoVadis et de declencher des alertes quand le score se degrade.
  • Sedex/SMETA : referentiel d’audit social largement utilise dans l’agroalimentaire et le retail.
  • CDP (Carbon Disclosure Project) : pour les donnees d’emissions carbone des fournisseurs.
  • IntegrityNext : plateforme de conformite fournisseur specialisee dans le devoir de vigilance, avec des connecteurs SAP natifs (integritynext.com).

Quel ERP pour la CSDDD : etat des lieux des editeurs

SAP S/4HANA

SAP propose la couverture fonctionnelle la plus mature grace a deux briques complementaires. SAP Responsible Design and Production (RDP) assure la tracabilite de bout en bout des materiaux et l’analyse d’impact environnemental (documentation SAP RDP). SAP Ariba et le module Supplier Risk Management permettent la qualification fournisseur etendue, l’integration EcoVadis native et les workflows d’audit. La brique S/4HANA for Product Compliance integre le devoir de vigilance directement dans les processus achats et ventes (SAP Community, Supply Chain Due Diligence meets Product Compliance).

Oracle Fusion Cloud

Oracle propose Supplier Qualification Management dans son module Procurement Cloud, avec des questionnaires fournisseurs configurables et un workflow d’approbation. L’integration avec des plateformes ESG tierces est possible via les API REST, mais elle necessite un effort d’integration specifique. La couverture est correcte pour les grandes entreprises deja sur l’ecosysteme Oracle.

Microsoft Dynamics 365

Dynamics 365 Supply Chain Management offre des capacites de base pour la gestion fournisseurs. Des add-ons ISV (editeurs tiers sur AppSource) completent le dispositif pour le scoring ESG et la tracabilite supply chain. L’approche est modulaire : le noyau ERP gere les achats, les extensions gerent la conformite ESG. C’est une approche pragmatique pour les ETI qui ne veulent pas changer d’ERP.

Odoo

Odoo Community et Enterprise ne disposent pas de module natif pour le devoir de vigilance. Des modules communautaires existent pour la gestion des certifications fournisseurs, mais le scoring ESG, les workflows d’escalade et l’integration avec EcoVadis ou Sedex necessitent un developpement specifique. Pour une PME en vague 3 (plus de 1 000 salaries), Odoo peut servir de socle a condition de budgeter un projet de personnalisation significatif.

Solutions specialisees en complement de l’ERP

Pour les entreprises dont l’ERP ne couvre pas nativement le perimetre CSDDD, des solutions dediees au devoir de vigilance se positionnent en complement : EcoVadis (evaluation et scoring), IntegrityNext (conformite fournisseur), Osapiens (plateforme de due diligence automatisee, osapiens.com), Supplier.io (diversite et risque fournisseur). Ces solutions s’interfacent avec l’ERP via API et enrichissent les fiches fournisseurs sans remplacer le systeme achats.

Feuille de route de mise en conformite ERP : 18 mois avant l’echeance

Phase 1 (M-18 a M-12) : audit des donnees fournisseurs existantes

Commencez par un etat des lieux brutal. Exportez votre base fournisseurs et evaluez : combien ont une adresse complete ? Un code pays fiable ? Un secteur d’activite renseigne ? Une information sur leurs propres sous-traitants ? Dans la majorite des ERP, la fiche fournisseur se limite au strict necessaire pour passer une commande et emettre un paiement.

Cette phase identifie l’ecart entre ce que vous avez et ce que la CSDDD exige. Elle produit un plan de remediation des donnees et un cahier des charges fonctionnel pour les evolutions ERP.

Phase 2 (M-12 a M-6) : parametrage des modules et integration bases externes

Deployez les modules de qualification fournisseurs etendus ou l’outil specialise choisi. Configurez les questionnaires ESG, les seuils de scoring, les workflows d’escalade. Mettez en place les connecteurs avec EcoVadis, Sedex ou la plateforme retenue. Formez l’equipe achats a la saisie des donnees ESG dans le nouveau processus.

C’est la phase la plus couteuse en charge projet. Prevoyez 4 a 6 mois de parametrage et d’integration pour un ERP de taille moyenne, davantage si vous devez interfacer plusieurs systemes achats dans un groupe multi-entites.

Phase 3 (M-6 a J-jour) : tests, formation et reporting pilote

Lancez une campagne pilote d’evaluation sur vos 50 fournisseurs les plus critiques (par volume d’achat ou par niveau de risque pays/secteur). Verifiez que le workflow complet fonctionne : envoi du questionnaire, collecte des reponses, calcul du score, declenchement des alertes, creation des plans d’action.

Produisez un premier projet de declaration de vigilance a partir des donnees du systeme. Cette repetition generale identifie les lacunes avant l’echeance reelle.

Phase 4 (post J-jour) : amelioration continue et extension aux tiers indirects

Apres l’entree en application, elargissez progressivement le perimetre d’evaluation aux fournisseurs de rang 2 et 3 identifies comme a risque. Affinez les seuils de scoring en fonction des retours d’experience. Automatisez les relances et les consolidations de reporting.

CSDDD et autres reglementations : eviter les silos de conformite

La CSDDD ne vit pas dans un vide reglementaire. Elle s’articule avec plusieurs textes que votre SI doit deja ou devra bientot gerer :

  • CSRD (Corporate Sustainability Reporting Directive) : la CSRD impose le reporting, la CSDDD impose l’action. Les donnees collectees pour la CSDDD (evaluations fournisseurs, plans d’action, KPI ESG) alimentent directement les indicateurs ESRS de la CSRD. Un SI integre evite la double saisie. Notre guide CSRD et ERP detaille les exigences de reporting.
  • Sapin II et loi sur le devoir de vigilance francais (2017) : les entreprises francaises de plus de 5 000 salaries sont deja soumises a un devoir de vigilance national depuis 2017. La CSDDD europeenne est plus large (seuils plus bas, perimetre etendu aux PME de plus de 1 000 salaries en vague 3) et plus contraignante (sanctions financieres explicites). Mais les processus mis en place pour la loi francaise constituent une base solide pour la CSDDD. Notre article Sapin II, FCPA et ERP couvre le volet anti-corruption qui partage la meme logique de cartographie des risques tiers.
  • Reglement Deforestation (EUDR) : pour les entreprises importatrices de matieres premieres a risque (bois, soja, huile de palme, cacao, cafe, caoutchouc, betail), l’EUDR impose une tracabilite geographique des approvisionnements qui s’ajoute aux exigences CSDDD.

Le piege le plus courant est de deployer un outil par reglementation : un pour la CSRD, un pour la CSDDD, un pour Sapin II, un pour l’EUDR. Le resultat est un archipel d’applications non connectees, avec des donnees fournisseurs en doublons et des incoherences entre les rapports. L’approche performante est de centraliser la donnee fournisseur ESG dans l’ERP (ou dans une plateforme connectee a l’ERP) et de la decliner en sorties reglementaires specifiques.

Passer a l’action

La CSDDD n’est pas un texte theorique a surveiller de loin. Pour les entreprises de la vague 1, l’echeance de juillet 2028 laisse moins de deux ans pour mettre en place les processus, les outils et les donnees necessaires. Le chantier SI est consequent, mais il est structurant : une base fournisseurs enrichie et un processus de vigilance automatise servent aussi la gestion des risques achats, la performance RSE et la relation donneurs d’ordre.

Pour approfondir la dimension reporting, consultez notre guide CSRD et ERP. Pour le volet supply chain operationnel, notre article sur l’ERP supply chain couvre les fonctions WMS, TMS et demand planning qui completent le dispositif logistique.

Publicité

📧 Ne manquez aucun de nos guides ERP

Recevez nos conseils d'experts pour réussir votre projet ERP et éviter les pièges coûteux.

Articles liés