Guides & Ressources pratiques
Communication de crise en entreprise : méthode et cadre juridique
Audit CSRD : étapes, acteurs et préparation du rapport
Points clés de l'article
- L'audit CSRD est une vérification obligatoire du rapport de durabilité par un tiers accrédité, imposée par la directive européenne 2022/2464.
- Seuls les commissaires aux comptes (CAC) et les organismes tiers indépendants (OTI) accrédités par le COFRAC peuvent réaliser cet audit en France.
- Le niveau d'assurance exigé est d'abord limité (dès 2025), puis passera à raisonnable d'ici 2028.
- Le processus suit 5 phases : cadrage, analyse de matérialité, collecte de preuves, tests de contrôle et émission de l'avis.
- La direction juridique joue un rôle central dans la coordination des preuves, la conformité des données et la gestion des risques liés à l'audit.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Qu'est-ce que l'audit CSRD du rapport de durabilité ?
Qui peut réaliser l'audit : CAC et OTI
Les niveaux d'assurance limitée puis raisonnable
Les étapes du processus d'audit de durabilité
Comment préparer son entreprise à l'audit CSRD ?
Documents et preuves à réunir avant l'audit
Rôle de la direction juridique dans l'audit
Qu'est-ce que l'audit CSRD du rapport de durabilité ?
L'audit CSRD désigne la vérification externe du rapport de durabilité que certaines entreprises doivent publier en application de la directive européenne 2022/2464, dite Corporate Sustainability Reporting Directive. Cet audit vise à certifier la fiabilité des informations environnementales, sociales et de gouvernance (ESG) communiquées par l'entreprise.
En France, la transposition de la CSRD par l'ordonnance n° 2023-1142 du 6 décembre 2023 rend cette certification obligatoire pour les premiers exercices ouverts à compter du 1er janvier 2024. Concrètement, les entreprises de plus de 500 salariés et 50 M€ de chiffre d'affaires (ou 25 M€ de total de bilan) sont les premières concernées. À terme, environ 50 000 entreprises en Europe — dont près de 6 000 en France — devront soumettre leur rapport de durabilité à un auditeur accrédité.
L'audit ne se limite pas à un contrôle formel. L'auditeur examine la cohérence des données déclarées, la robustesse des processus de collecte et la conformité aux normes européennes de reporting, les European Sustainability Reporting Standards (ESRS), adoptées par le règlement délégué 2023/2772 de la Commission européenne.
Qui peut réaliser l'audit : CAC et OTI
En France, 2 catégories de professionnels sont habilitées à certifier le rapport de durabilité.
Le commissaire aux comptes (CAC) constitue le premier acteur légitime. Lorsqu'il est déjà en charge de la certification des comptes financiers, il peut étendre sa mission à l'audit de durabilité, sous réserve de disposer des compétences ESG requises. La Compagnie nationale des commissaires aux comptes (CNCC) a publié en 2024 des lignes directrices encadrant cette extension de mission.
L'organisme tiers indépendant (OTI) représente la seconde option. Il s'agit d'un organisme accrédité par le COFRAC (Comité français d'accréditation) selon la norme ISO 17029. L'OTI intervient de manière autonome, sans lien avec l'audit financier. Cette dualité permet aux entreprises de choisir le profil le mieux adapté à leur organisation.
| Critère | CAC | OTI |
|---|---|---|
| Accréditation | Inscription auprès de la CNCC | Accréditation COFRAC (ISO 17029) |
| Périmètre habituel | Comptes financiers + durabilité | Durabilité uniquement |
| Indépendance | Règles déontologiques du code de commerce | Exigences ISO 17029 |
| Avantage principal | Connaissance préalable de l'entreprise | Expertise ESG spécialisée |
Le choix entre CAC et OTI relève d'un arbitrage stratégique. Une entreprise dont le CAC maîtrise déjà les flux de données internes peut privilégier la continuité. À l'inverse, une structure aux enjeux ESG complexes (chaîne d'approvisionnement multi-pays, empreinte carbone élevée) peut préférer un OTI doté d'une expertise sectorielle ciblée.
Identifier le bon auditeur suppose d'évaluer en amont la maturité de vos processus de conformité et la complexité de vos obligations ESG.
Découvrir les avocats spécialisés en conformité et vigilance
Les niveaux d'assurance limitée puis raisonnable
La CSRD introduit une montée en puissance progressive du niveau de certification exigé. Cette gradation distingue 2 niveaux d'assurance.
L'assurance limitée s'applique dès les premiers exercices soumis (à partir de 2025 pour les rapports portant sur l'exercice 2024). L'auditeur procède à des vérifications analytiques et des entretiens ciblés. Il conclut en indiquant si des éléments portés à sa connaissance le conduisent à estimer que le rapport contient des anomalies significatives. Le degré de confiance obtenu est modéré.
L'assurance raisonnable, prévue à horizon 2028-2029 selon le calendrier de la Commission européenne, impose un niveau de vérification nettement plus exigeant. L'auditeur réalise des tests de détail, des recoupements systématiques et des contrôles approfondis. Il exprime alors une opinion positive sur la conformité du rapport. Ce niveau se rapproche de celui appliqué aux comptes financiers annuels.
| Caractéristique | Assurance limitée | Assurance raisonnable |
|---|---|---|
| Applicable à partir de | 2025 (exercice 2024) | 2028-2029 (calendrier indicatif) |
| Nature des vérifications | Analytiques, entretiens | Tests de détail, recoupements |
| Formulation de l'avis | Négative ("rien ne nous conduit à…") | Positive ("le rapport est conforme à…") |
| Niveau de confiance | Modéré | Élevé |
| Effort de préparation | Significatif | Très élevé |
Pour la direction juridique, cette distinction a un impact direct : les preuves et contrôles internes à mettre en place dès aujourd'hui doivent anticiper le passage à l'assurance raisonnable, sous peine de devoir restructurer l'ensemble du dispositif dans 3 ans.
Les étapes du processus d'audit de durabilité
Le processus d'audit CSRD suit une séquence structurée en 5 phases.
1. Cadrage et planification
L'auditeur définit le périmètre de sa mission : entités consolidées, thématiques ESRS couvertes, calendrier d'intervention. Il identifie les interlocuteurs clés au sein de l'entreprise (direction RSE, direction financière, direction juridique).
2. Analyse de la matérialité
L'auditeur vérifie que l'entreprise a correctement conduit son analyse de double matérialité — c'est-à-dire l'évaluation croisée de l'impact de l'entreprise sur son environnement et de l'impact des enjeux ESG sur sa performance financière. Il contrôle la méthodologie utilisée, les parties prenantes consultées et la documentation associée.
3. Collecte et examen des preuves
L'auditeur recueille les données quantitatives (émissions de CO₂, consommation d'eau, taux de rotation du personnel) et qualitatives (politiques internes, plans d'action). Il confronte ces données aux pièces justificatives : factures énergétiques, rapports de mesure, procès-verbaux de comités, contrats fournisseurs.
4. Tests de contrôle interne
L'auditeur évalue la fiabilité des processus de collecte. Il vérifie l'existence de contrôles internes, la traçabilité des données et la séparation des responsabilités. En assurance raisonnable, ces tests sont exhaustifs.
5. Émission de l'avis
L'auditeur formule son avis (limité ou raisonnable) et rédige son rapport. En cas d'anomalies, il peut émettre des réserves ou refuser de certifier. Ce rapport est annexé au rapport de gestion et publié avec les comptes annuels.
La structuration en amont du processus d'audit réduit le risque de réserves et sécurise la publication du rapport de durabilité.
Consulter un avocat en conformité et vigilance
Comment préparer son entreprise à l'audit CSRD ?
La préparation repose sur 3 axes opérationnels.
Structurer la gouvernance ESG. Désigner un responsable de projet CSRD, constituer un comité de pilotage transversal (RSE, finance, juridique, RH, opérations) et définir un calendrier de production aligné sur les délais de publication des comptes.
Cartographier les données. Identifier pour chaque norme ESRS les indicateurs requis, les sources de données existantes et les écarts à combler. En pratique, les entreprises découvrent souvent que 30 à 40 % des données nécessaires ne sont pas collectées de manière structurée.
Fiabiliser les processus de collecte. Mettre en place des contrôles internes dédiés : validation à double niveau, pistes d'audit documentées, outils de consolidation automatisés. L'objectif est de garantir la traçabilité de chaque donnée, de sa source brute jusqu'au rapport final.
Un audit « à blanc » (dry run), réalisé 3 à 6 mois avant l'audit officiel, permet de tester la robustesse du dispositif et de corriger les failles identifiées.
Documents et preuves à réunir avant l'audit
L'auditeur attend un dossier structuré. Les preuves se répartissent en 4 catégories :
- Données environnementales : bilans carbone (scopes 1, 2 et 3), relevés de consommation énergétique, certificats d'énergie renouvelable, rapports de mesure des émissions, plans de transition climatique.
- Données sociales : registres du personnel, accords collectifs, indicateurs de santé-sécurité (taux de fréquence, taux de gravité), résultats d'enquêtes internes, plans de formation.
- Données de gouvernance : charte éthique, politique anti-corruption, cartographie des risques, procès-verbaux des comités RSE, registre des parties prenantes consultées lors de l'analyse de matérialité.
- Documentation méthodologique : note décrivant la méthodologie de double matérialité, périmètre de consolidation retenu, hypothèses de calcul, limites identifiées.
| Catégorie | Exemples de pièces | Fréquence de mise à jour |
|---|---|---|
| Environnement | Bilan carbone, factures énergie, certificats | Annuelle |
| Social | Registre du personnel, accords collectifs | Continue |
| Gouvernance | Charte éthique, PV comités, cartographie risques | Annuelle ou événementielle |
| Méthodologie | Note de matérialité, périmètre, hypothèses | À chaque exercice |
Chaque document doit être daté, versionné et rattaché à l'indicateur ESRS correspondant. L'absence de traçabilité constitue le premier motif de réserves lors des audits de durabilité.
Structurer un dossier de preuves conforme aux ESRS nécessite une coordination juridique rigoureuse entre les directions métiers.
Trouver un avocat en conformité et vigilance
Rôle de la direction juridique dans l'audit
La direction juridique intervient à 3 niveaux dans le processus d'audit CSRD.
Conformité réglementaire. Le directeur juridique vérifie que le rapport respecte les exigences de la directive 2022/2464, de l'ordonnance de transposition et des normes ESRS. Il s'assure que les obligations de publication sont respectées dans les délais (intégration au rapport de gestion, dépôt au greffe).
Sécurisation des données. La direction juridique contrôle la licéité de la collecte de données personnelles (conformité RGPD), la validité des engagements contractuels avec les fournisseurs de données ESG et la protection des informations sensibles transmises à l'auditeur. Elle encadre également les clauses de confidentialité dans la lettre de mission de l'auditeur.
Gestion des risques. En cas de réserves ou de refus de certification, les conséquences juridiques sont concrètes : sanctions de l'AMF pour les sociétés cotées, risque de contentieux en greenwashing, mise en cause de la responsabilité des dirigeants. La direction juridique anticipe ces scénarios et prépare les réponses aux observations de l'auditeur.
Dans les entreprises où l'équipe juridique est restreinte, le recours à un avocat spécialisé en conformité permet de sécuriser les points critiques sans surcharger les ressources internes. Cette approche est particulièrement pertinente pour les groupes multi-pays, où les exigences de transposition varient d'un État membre à l'autre.
FAQ
L'audit CSRD est-il obligatoire pour toutes les entreprises ?
Non. L'obligation s'applique progressivement. Les entreprises de plus de 500 salariés déjà soumises à la NFRD sont concernées dès l'exercice 2024. Les entreprises dépassant 2 des 3 seuils (250 salariés, 50 M€ de CA, 25 M€ de bilan) suivront pour l'exercice 2025. Les PME cotées seront concernées à partir de 2026, avec une option de report jusqu'en 2028.
Quelle différence entre un CAC et un OTI pour l'audit de durabilité ?
Le CAC est un commissaire aux comptes qui étend sa mission à la durabilité. L'OTI est un organisme accrédité par le COFRAC, spécialisé dans la vérification ESG. Le CAC connaît déjà l'entreprise et ses flux financiers. L'OTI apporte une expertise sectorielle ESG plus pointue.
Que se passe-t-il si l'auditeur émet des réserves ?
Les réserves sont publiées avec le rapport de gestion. Pour les sociétés cotées, l'AMF peut engager des contrôles complémentaires. Des réserves répétées exposent l'entreprise à un risque réputationnel et à d'éventuelles actions en justice pour défaut d'information.
Quand le passage à l'assurance raisonnable est-il prévu ?
La Commission européenne prévoit une transition vers l'assurance raisonnable entre 2028 et 2029. Un acte délégué précisera les modalités exactes. Les entreprises ont intérêt à structurer dès maintenant leurs contrôles internes pour anticiper ce renforcement.
La direction juridique doit-elle piloter l'audit CSRD ?
La direction juridique ne pilote pas l'audit, qui relève de l'auditeur externe. En revanche, elle coordonne la conformité réglementaire du rapport, sécurise la collecte des données et gère les risques juridiques associés. Elle travaille en lien étroit avec la direction RSE et la direction financière.
Pour aller plus loin
Tout savoir sur la CSRD - economie.gouv.fr
SWIM LEGAL est une alternative au cabinet d'avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l'Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d'accéder rapidement via la plateforme à des avocats d'affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu'il s'agisse d'un dossier, d'une consultation ou d'un renfort temporaire — de manière confidentielle et recevoir des propositions d'avocats pour répondre rapidement à leur demande.
