Green IT
CSRD et CS3D : l’Europe resserre l’obligation, le volontariat s’organise
Par Thierry Derouet, publié le 02 mars 2026
Avec la directive Omnibus (UE) 2026/470 publiée le 26 février 2026, l’Europe acte un tournant : la CSRD et la CS3D restent, mais elles se concentrent sur les très grandes entreprises. Pour le reste du tissu économique, la dynamique bascule vers un reporting volontaire plus structuré, poussé par la chaîne de valeur, les financeurs et les appels d’offres. La loi recule sur le périmètre ; l’exigence de preuve, elle, continue de s’étendre.
On appelle cela une simplification. On pourrait aussi y voir un tri. Quand un responsable politique promet une « baisse historique des coûts », il ne parle pas d’abstractions. Il parle de formulaires, de contrôles, de délais, de chaînes de valeur qui s’énervent — et d’entreprises qui finissent par produire de la durabilité comme on produit un dossier, à la chaîne.
C’est exactement ce que vient acter l’Omnibus : la CSRD (Corporate Sustainability Reporting Directive) et la CS3D ou CSDDD (Corporate Sustainability Due Diligence Directive), restent debout, mais elles se resserrent sur les plus grandes entreprises, tandis que le reste de l’économie bascule vers un volontariat plus structuré. La règle se retire un peu ; la preuve, elle, continue de circuler.
Une chronologie qui mène à un basculement : de l’extension à la sélection
Début 2025, le mot d’ordre prend déjà forme : simplifier, alléger, réduire la friction. La discussion n’est pas seulement européenne, elle est aussi nationale : la France pousse son propre agenda de “choc de simplification” et revendique une trajectoire Omnibus qui assume de revoir les curseurs.
Fin février 2025, la discussion s’épaissit : CSRD et devoir de vigilance se retrouvent dans le même paquet de simplification. On y voit déjà l’idée qui deviendra la colonne vertébrale du texte final : réduire l’obligation sur le “noyau dur” des plus grands, et éviter que les demandes d’informations ne se déversent sur les PME au titre de la chaîne de valeur.
Au printemps 2025, un autre constat s’impose : la CSRD n’est pas seulement complexe, elle devient politique. Elle touche à la manière dont l’Europe arbitre entre comparabilité, charge administrative et compétitivité. La critique se structure : trop de données, trop d’exigences “en cascade”, trop de coûts de mise en œuvre, trop vite.
À l’été 2025, l’architecture du compromis apparaît plus nettement : “moins d’obligation, plus de volontariat”, mais un volontariat qui n’a rien d’une option décorative. Car, dans une économie pilotée par les donneurs d’ordre et les financeurs, le volontariat devient rapidement une condition de crédibilité. C’est aussi là que se joue un basculement pour les DSI : si l’entreprise doit prouver, elle doit produire une donnée défendable, traçable, gouvernée — obligation légale ou pas.
Fin 2025, une idée se cristallise : la règle peut céder, l’enjeu reste. C’est-à-dire : l’obligation peut se rétrécir dans le droit, mais la demande de preuve reste portée par la chaîne de valeur, les appels d’offres et l’accès au financement. En pratique, cela signifie qu’on sort d’un modèle “tout le monde publie” pour entrer dans un modèle “tout le monde doit être capable de répondre”.
Le 26 février 2026, cette trajectoire devient un texte. La directive Omnibus (UE) 2026/470 est publiée au journal officiel de l’Union européenne : elle resserre la CSRD sur les plus grandes entreprises, encadre la cascade d’exigences vers les fournisseurs, et décale le devoir de vigilance en concentrant son champ sur un cercle encore plus restreint.
Ce que l’Omnibus entérine : un “noyau dur” obligatoire, une périphérie volontaire… mais pas libre
Le mouvement est désormais lisible. D’un côté, la CSRD reste un dispositif de publication encadré, pensé pour produire de la comparabilité et de la vérifiabilité. Mais le périmètre se resserre : l’obligation se concentre sur les entreprises les plus grandes, celles qui disposent (en théorie) des moyens financiers et organisationnels pour absorber la complexité.
De l’autre, pour les entreprises qui sortent du champ, la question ne devient pas “sommes-nous tranquilles ?”. Elle devient “qu’est-ce qu’on va nous demander ?”. Parce que les demandes ne viennent pas que du législateur. Elles viennent du client, du donneur d’ordre, de l’assureur, de la banque, de l’investisseur, parfois de l’employeur lui-même qui doit prouver sa trajectoire sociale et environnementale.
Ce que l’Omnibus change, au fond, c’est l’équilibre entre droit et marché. Le droit dessine un cercle plus petit. Le marché, lui, continue d’élargir la zone de preuve. Et cette zone de preuve est le territoire naturel du SI : une donnée sans définition, sans source, sans piste d’audit n’est pas une preuve. C’est une phrase.
VSME : le volontariat qui se structure pour éviter la jungle
C’est ici qu’entre le VSME (Voluntary Standard for non-listed micro-, small- and medium-sized undertakings). Le nom est technique, mais l’idée est simple : si la majorité des entreprises vont produire des informations de durabilité “hors champ”, il faut un langage commun pour éviter que chaque donneur d’ordre n’invente sa propre grille, et que chaque PME ne réponde dix fois à la même question avec dix formats différents.
Le VSME s’inscrit dans ce rôle : un socle volontaire, plus léger qu’un reporting complet, qui sert de format de réponse dans la chaîne de valeur. Pour les PME, c’est une manière de reprendre la main : répondre de façon cadrée, sans se laisser aspirer dans une surenchère de questionnaires. Pour les grands groupes, c’est une manière de standardiser les demandes fournisseurs, donc de réduire la friction et d’améliorer la qualité des données collectées. Pour les DSI, c’est surtout un effet très concret : quand les demandes se standardisent, les portails se rationalisent, les définitions se stabilisent, et la gouvernance de la donnée devient possible.
On bascule ainsi vers un volontariat plus structuré : pas un volontariat “à la carte”, mais un volontariat aligné sur des formats partagés, dicté par les échanges économiques. La loi se retire sur une partie du périmètre, mais elle laisse derrière elle une infrastructure de fait : des indicateurs, des formats, des attentes, des contrôles.
CS3D : le devoir de vigilance reste, mais pour les très grands
La même logique vaut pour le devoir de vigilance. Il reste un texte structurant, mais l’Omnibus le concentre sur un cercle encore plus étroit de très grandes entreprises (plus de 5 000 salariés et chiffre d’affaires net supérieur à 1,5 milliard d’euros) et repousse le calendrier. Le résultat est proche de celui de la CSRD : un “noyau dur” obligatoire, et autour, une exigence contractuelle et réputationnelle qui continue de se diffuser — parce que la vigilance finit par être demandée dans les clauses d’achats, les référencements, les audits fournisseurs, et les dues diligences des financeurs.
Autrement dit : ce n’est pas “moins de vigilance”. C’est “moins d’entreprises sous obligation directe”, mais potentiellement plus d’entreprises confrontées à des demandes de vigilance indirecte, par la chaîne de valeur.
Note Comex
ESRS / Omnibus
ESRS : réponse Comex (simple, chiffrée, actionnable)
Omnibus réduit le nombre d’entreprises soumises à l’obligation complète (CSRD/CS3D), mais pas l’exigence de preuve. Les ESRS vont être simplifiés : moins de points de données, plus de priorités. Réponse DSI : un socle stable (15–20 indicateurs), traçable, et un dialogue fournisseurs standardisé (VSME).
La phrase en 20 secondes
La loi se resserre, la preuve reste. CSRD/CS3D sont réservées aux plus grands, mais nos clients, banques et assureurs continueront de demander des preuves. Nous sécurisons un socle : 15–20 indicateurs, traçables.
Repères (dates + seuils)
26 février 2026 : Omnibus publié (entrée en vigueur autour de mi-mars 2026).
CSRD : obligation “pleine” concentrée sur > 1 000 salariés et > 450 M€ de CA net.
CS3D : application repoussée au 26 juillet 2029 pour les très grands.
Traduction simple
Avant : trop de questions → rapports longs et coûteux. Après : moins de questions imposées, plus de priorités, mais toujours une exigence : pouvoir prouver ce que l’on avance.
Le changement le plus tangible
Passage d’une logique “checklist” à une logique hiérarchisée. Ordre de grandeur annoncé : ~60% de points de données obligatoires en moins (lorsqu’ils sont matériels) dans le projet ESRS simplifié.
Matérialité : le tri officiel
Publier ce qui compte, pas “tout pour se couvrir”. Effet attendu : moins de justification interminable, plus de priorités assumées et auditables.
Ce que cela change pour le SI
Le socle doit survivre aux ajustements : définition unique, source, méthode, trace. La simplification réduit la charge, elle ne supprime pas la gouvernance.
VSME : à quoi ça sert
VSME est le format volontaire qui évite la jungle des demandes aux PME : remplacer plusieurs questionnaires par un socle standard.
Position Comex à tenir
Nous rendons la demande de preuve proportionnée et standardisée : VSME par défaut, demandes courtes, estimations acceptées si la mesure exacte n’existe pas.
Effet attendu
Moins de friction commerciale, meilleure qualité des données collectées, et une gouvernance SI plus simple (mêmes champs, mêmes définitions, mêmes contrôles).
Plan 30 / 60 / 90 jours
J+30
Liste des 15–20 indicateurs + définitions + propriétaires (métier + SI).
J+60
Sources stabilisées + “preuve en 30 secondes” sur 10 indicateurs.
J+90
Portail fournisseurs : VSME par défaut + demandes raccourcies + règles d’estimation.
Contrat de résultat (Comex)
1. Valider le socle (15–20 KPI).
2. Exiger un propriétaire par KPI.
3. Exiger la “preuve en 30 secondes”.
Ce socle évite de reconstruire à chaque évolution : on ajuste, on ne redémarre pas.
Tableau de pilotage
| Échéance | Livrable | Critère de réussite |
|---|---|---|
| 30 jours | 15–20 KPI + définitions + propriétaires | Aucun KPI sans propriétaire |
| 60 jours | Sources stabilisées + preuve 30 sec (10 KPI) | Une source unique + méthode documentée |
| 90 jours | VSME par défaut dans le portail fournisseurs | Un seul format d’entrée PME |
CSRD : entreprises concernées
Avant
Extension progressive à un périmètre large, avec une montée en charge prévue sur plusieurs vagues.
Après Omnibus (UE) 2026/470
Recentrage sur les entreprises dépassant 1 000 salariés et 450 M€ de chiffre d’affaires net ; sortie du périmètre obligatoire pour les PME cotées.
ESRS
Avant
Référentiel détaillé, vécu comme lourd à documenter et à industrialiser.
Après Omnibus (UE) 2026/470
Révision annoncée : retrait des points jugés secondaires, priorité accrue au mesurable, clarification obligatoire/volontaire, matérialité mieux cadrée.
Chaîne de valeur
Avant
Proportionnalité évoquée, sans digue opposable ; multiplication des questionnaires fournisseurs sur le terrain.
Après Omnibus (UE) 2026/470
Encadrement visant à limiter l’effet de cascade, avec un plafond destiné à éviter les demandes disproportionnées adressées aux plus petites entreprises.
Assurance / contrôle
Avant
Trajectoire de renforcement attendue, avec pression de conformité croissante.
Après Omnibus (UE) 2026/470
Approche plus prudente : ajustements de calendrier et logique de maîtrise des coûts de vérification.
CS3D : entreprises concernées
Avant
Périmètre plus large de grands groupes visés par le devoir de vigilance.
Après Omnibus (UE) 2026/470
Recentrage sur un cercle restreint de très grands groupes, avec des seuils fortement relevés.
CS3D : calendrier
Avant
Entrée en application plus proche, avec une montée en charge plus rapide.
Après Omnibus (UE) 2026/470
Application repoussée à 2029, selon le nouveau calendrier fixé par l’Omnibus.
Philosophie générale
Avant
Extension du périmètre et densité normative, avec un risque d’externalisation de la charge sur la chaîne.
Après Omnibus (UE) 2026/470
Allègement et ciblage : moins d’entreprises obligées, collecte mieux cadrée, cadence ralentie.
