CSRD et gouvernance : role du DPO dans le reporting ESG

La mise en oeuvre de la CSRD genere une collecte massive de donnees, dont une part significative constitue des donnees personnelles au sens du RGPD. Donnees sociales des salaries, informations sur les fournisseurs, donnees de la chaine de valeur, enquetes aupres des parties prenantes : le reporting de durabilite touche directement au perimetre du delegue a la protection des donnees (DPO). Pourtant, dans de nombreuses entreprises, le DPO est absent des discussions CSRD. Cet article analyse pourquoi son implication est indispensable, comment structurer la gouvernance a l’intersection du RGPD et de la CSRD, et quelles actions concretes le DPO doit mener.

Pourquoi le DPO doit etre implique dans la CSRD

Les donnees personnelles dans le reporting ESG

Le reporting CSRD implique le traitement de volumes importants de donnees personnelles. Les normes ESRS sociales (S1 a S4) exigent des indicateurs detailles sur les salaries (effectifs, remuneration, ecarts de remuneration, diversite, handicap, formation, sante-securite, liberte syndicale), les travailleurs de la chaine de valeur (conditions de travail, droits fondamentaux), les communautes affectees, et les consommateurs/utilisateurs finaux.

Certaines de ces donnees sont des categories particulieres au sens de l’article 9 du RGPD : appartenance syndicale, donnees de sante (accidents du travail, maladies professionnelles), origine ethnique (indicateurs de diversite dans certaines juridictions), handicap. Le traitement de ces donnees est soumis a des conditions strictes. Pour une analyse detaillee, consultez notre article sur les donnees des salaries et la CSRD.

Les obligations de gouvernance ESRS 2

La norme ESRS 2 (Informations generales) contient des exigences de gouvernance qui touchent indirectement a la protection des donnees. L’entreprise doit decrire le role de l’organe de direction dans la supervision du reporting de durabilite, les processus de due diligence en matiere de durabilite (qui incluent des aspects de protection des donnees dans la chaine de valeur), et les mecanismes de remontee des preoccupations des parties prenantes (qui doivent respecter la confidentialite des donnees).

Le DPO, en tant que garant de la conformite RGPD, est un acteur naturel de cette gouvernance. Son expertise sur les flux de donnees, les bases legales, les droits des personnes et la securite est directement pertinente pour le reporting CSRD.

Le risque de non-conformite croisee

Une entreprise qui collecte des donnees ESG sans respecter le RGPD s’expose a un double risque : sanctions CSRD pour insuffisance du reporting, et sanctions RGPD pour traitement illicite de donnees personnelles. Ce risque est particulierement aigu pour les donnees sensibles des salaries et les donnees collectees aupres des fournisseurs de la chaine de valeur. La CNIL peut sanctionner independamment de la conformite CSRD.

Les missions du DPO dans le contexte CSRD

Cartographie des traitements CSRD

Le DPO doit realiser une cartographie des traitements de donnees personnelles generes par le reporting CSRD. Pour chaque indicateur ESRS impliquant des donnees personnelles, il convient d’identifier les donnees collectees et leur nature (donnees courantes ou categorie particuliere), les sources de donnees (SIRH, enquetes, questionnaires fournisseurs), les bases legales applicables, les destinataires (equipe RSE, direction, auditeur, plateforme XBRL), les transferts hors UE le cas echeant, et les durees de conservation.

Cette cartographie doit etre integree dans le registre des traitements (article 30 du RGPD) et tenue a jour.

Determination des bases legales

La determination de la base legale appropriee pour chaque traitement est une mission essentielle du DPO dans le contexte CSRD.

Pour la collecte de donnees sociales agregees (effectifs, masse salariale, taux de formation), l’obligation legale (article 6.1.c du RGPD) constitue la base legale principale, l’entreprise etant tenue par la CSRD de publier ces indicateurs.

Pour les donnees sensibles (diversite, handicap, sante), l’article 9.2.b du RGPD autorise le traitement lorsqu’il est necessaire pour respecter les obligations en matiere de droit du travail ou de protection sociale. L’article 9.2.g autorise le traitement pour des motifs d’interet public important. La CSRD constitue un tel motif.

Pour les enquetes aupres des salaries (satisfaction, engagement, bien-etre), le consentement ou l’interet legitime peut etre mobilise, mais le DPO doit evaluer le caractere libre du consentement dans le contexte de la relation de travail.

Pour les donnees collectees aupres des fournisseurs (questionnaires ESG), l’interet legitime ou l’execution du contrat peut constituer la base legale, selon le contexte.

Analyse d’impact (AIPD)

Le traitement de donnees sensibles a grande echelle dans le cadre du reporting CSRD peut necessiter une analyse d’impact relative a la protection des donnees (AIPD) au titre de l’article 35 du RGPD. Le DPO doit evaluer si une AIPD est requise et, le cas echeant, la conduire ou la superviser. Les criteres declenchant l’obligation d’AIPD incluent le traitement a grande echelle de categories particulieres de donnees, la surveillance systematique des salaries (si des outils de collecte automatisee sont utilises), et le croisement de jeux de donnees (donnees RH et donnees ESG).

Minimisation et anonymisation

Le DPO doit veiller au respect du principe de minimisation dans la collecte de donnees CSRD. Les normes ESRS exigent des indicateurs agreges (moyennes, pourcentages, totaux) et non des donnees individuelles. Le DPO doit s’assurer que les processus de collecte et de consolidation integrent l’agregation et, si necessaire, l’anonymisation des donnees en amont de la transmission a l’equipe RSE.

Par exemple, les ecarts de remuneration entre hommes et femmes peuvent etre calcules a partir de donnees individuelles de la paie, mais seul le resultat agrege doit etre transmis pour le rapport. Les donnees individuelles ne doivent pas quitter le SIRH. Les donnees des salaries font l’objet d’enjeux specifiques detailles dans notre article dedie.

Information des personnes

Le DPO doit s’assurer que les personnes dont les donnees sont collectees pour le reporting CSRD sont informees conformement aux articles 13 et 14 du RGPD. Pour les salaries, cette information peut figurer dans la charte informatique, le reglement interieur ou une note d’information specifique. Pour les fournisseurs, l’information doit figurer dans les conditions contractuelles ou dans les questionnaires ESG.

L’information doit mentionner la finalite (reporting de durabilite au titre de la CSRD), les categories de donnees traitees, les destinataires (y compris l’auditeur), les durees de conservation et les droits des personnes.

Structurer la gouvernance CSRD-RGPD

Comite de pilotage conjoint

La mise en place d’un comite de pilotage incluant les fonctions RSE, conformite, DPO, RH et systemes d’information est recommandee. Ce comite assure la coherence entre les exigences CSRD et RGPD, arbitre les questions de bases legales, valide les processus de collecte et de consolidation, et supervise les analyses d’impact.

Processus de validation croisee

Chaque nouveau traitement de donnees pour le reporting CSRD doit etre soumis a une validation croisee : l’equipe RSE valide la pertinence au regard des normes ESRS, le DPO valide la conformite RGPD (base legale, minimisation, securite, information). Ce processus evite les collectes de donnees non conformes et les traitements non documentes.

Formation croisee

Les equipes RSE doivent etre sensibilisees aux enjeux RGPD : quelles donnees sont personnelles, quelles categories sont sensibles, quelles precautions prendre. Le DPO doit comprendre les exigences des normes ESRS pour anticiper les besoins de donnees et proposer des solutions conformes. La formation croisee est un investissement essentiel.

L’audit CSRD et le RGPD

Transmission de donnees a l’auditeur

La transmission du dossier de preuve a l’auditeur CSRD implique potentiellement des donnees personnelles. Le DPO doit verifier que la transmission est couverte par une base legale (obligation legale), que l’auditeur est soumis au secret professionnel et a des obligations de confidentialite, que les donnees transmises sont limitees au necessaire (principe de minimisation), et que les donnees sensibles sont pseudonymisees ou anonymisees lorsque possible.

Acces de l’auditeur aux systemes

Si l’auditeur accede directement aux systemes d’information (SIRH, plateforme ESG) pour ses verifications, les conditions d’acces doivent respecter le RGPD : habilitations limitees, journalisation des acces, engagement de confidentialite.

Le DPO comme facilitateur

Proposition de solutions conformes

Le DPO n’est pas un frein a la CSRD. Il est un facilitateur qui propose des solutions conformes pour atteindre les objectifs de reporting. Par exemple, pour les indicateurs de diversite, le DPO peut proposer des methodes de collecte anonyme (questionnaires anonymes avec traitement statistique) plutot que la collecte nominative. Pour les donnees de la chaine de valeur, il peut recommander l’utilisation de donnees sectorielles moyennes plutot que des donnees individuelles fournisseurs lorsque c’est possible.

Contribution a la qualite des donnees

Le DPO contribue a la qualite des donnees ESG en imposant des processus de collecte structures, documentes et traces – des exigences qui rejoignent les attentes de l’auditeur CSRD. La rigueur RGPD beneficie a la fiabilite du reporting de durabilite. Consultez notre plan de conformite CSRD pour l’integration du DPO dans le projet.

Veille reglementaire croisee

Le DPO assure une veille reglementaire sur l’articulation RGPD-CSRD. Les evolutions des normes ESRS, les recommandations de la CNIL sur les donnees des salaries, les decisions de la CJUE sur les categories particulieres de donnees impactent directement les processus de reporting. Le DPO doit informer l’equipe CSRD de ces evolutions. Pour une analyse transversale, consultez notre article sur la CSRD et les donnees ESG.

FAQ

Le DPO doit-il etre membre de l’equipe projet CSRD ?

Le DPO doit etre implique dans le projet CSRD, mais pas necessairement en tant que membre permanent de l’equipe operationnelle. Son role est celui de conseil et de superviseur de la conformite RGPD. Il doit etre consulte systematiquement pour la cartographie des traitements, la determination des bases legales, les analyses d’impact et la validation des processus de collecte. Sa participation aux comites de pilotage est recommandee. L’intensite de son implication depend du volume de donnees personnelles traitees.

Quelles sont les donnees ESG les plus sensibles au regard du RGPD ?

Les donnees les plus sensibles sont les indicateurs de diversite (origine ethnique, genre non binaire dans certains contextes), les donnees de sante (accidents du travail, maladies professionnelles, handicap), les donnees syndicales (taux de syndicalisation, couverture conventionnelle), et les ecarts de remuneration detailles (qui peuvent permettre de reidentifier des individus dans les petites equipes). Le DPO doit porter une attention particuliere a ces indicateurs et proposer des methodes de collecte et de publication preservant l’anonymat des personnes.

Comment articuler registre des traitements RGPD et reporting CSRD ?

Le registre des traitements RGPD (article 30) doit etre complete pour inclure les traitements generes par le reporting CSRD. Une fiche de traitement “Reporting de durabilite CSRD” doit decrire les finalites, les categories de donnees, les bases legales, les destinataires (equipe RSE, direction, auditeur, autorites), les transferts, les durees de conservation et les mesures de securite. Si les traitements CSRD impliquent des sous-traitants (logiciels de reporting ESG), les contrats de sous-traitance doivent etre conformes a l’article 28 du RGPD.