CSRD et RGPD : collecter les donnees ESG sans violer la vie privee

La mise en oeuvre du reporting de durabilite impose par la directive CSRD conduit les entreprises a collecter un volume considerable de donnees, dont une part significative constitue des donnees a caractere personnel au sens du RGPD. Donnees sur les salaries, sur les travailleurs de la chaine de valeur, sur les membres des organes de gouvernance : le reporting ESG mobilise des informations qui relevent directement du champ d’application du reglement europeen sur la protection des donnees. La conciliation de ces deux cadres reglementaires n’est pas seulement souhaitable – elle est juridiquement obligatoire. Cet article analyse les points de friction et les solutions operationnelles.

Les donnees personnelles dans le reporting ESG

Le reporting CSRD, structure autour des normes ESRS, exige la publication d’indicateurs qui reposent necessairement sur le traitement de donnees personnelles. L’ampleur de cette collecte est souvent sous-estimee.

Donnees relatives aux salaries (ESRS S1)

La norme ESRS S1 (Effectifs de l’entreprise) impose la publication d’indicateurs particulierement detailles. La ventilation des effectifs par genre, par type de contrat et par region. Les ecarts de remuneration entre femmes et hommes. Les taux d’accidents du travail et de maladies professionnelles. Les heures de formation par categorie de salaries. Les indicateurs de diversite au sein des organes de direction.

Certains de ces indicateurs impliquent le traitement de donnees sensibles au sens de l’article 9 du RGPD : donnees de sante (accidents, maladies professionnelles), donnees relatives a l’origine ethnique (indicateurs de diversite dans certaines juridictions), ou donnees syndicales (liberte d’association, negociation collective).

Donnees relatives a la chaine de valeur (ESRS S2)

La norme ESRS S2 concerne les travailleurs de la chaine de valeur. Elle peut conduire l’entreprise a collecter des informations sur les conditions de travail chez ses fournisseurs et sous-traitants, incluant potentiellement des donnees nominatives lorsque des incidents ou des violations des droits humains sont identifies.

Donnees de gouvernance (ESRS 2, ESRS G1)

Les exigences de transparence sur la gouvernance impliquent la publication d’informations sur les membres du conseil d’administration et de la direction : competences, independance, remunerations, formation aux enjeux de durabilite. Ces informations constituent des donnees personnelles.

Donnees environnementales a dimension personnelle

Meme les normes environnementales peuvent impliquer des donnees personnelles. Les donnees de consommation energetique par site, les deplacements professionnels ou les trajets domicile-travail des salaries utilises pour calculer les emissions de scope 3 (categorie 7) sont des exemples concrets.

Base legale du traitement : une question centrale

Le choix de la base legale au sens de l’article 6 du RGPD est la premiere question a trancher. Plusieurs fondements sont envisageables.

L’obligation legale (article 6.1.c)

Pour les entreprises soumises a la CSRD, la base legale la plus solide est l’obligation legale. La directive, transposee en droit national, cree une obligation de publier un rapport de durabilite conforme aux normes ESRS. Le traitement de donnees personnelles necessaire a l’execution de cette obligation est licite au titre de l’article 6.1.c du RGPD.

Cette base legale presente l’avantage de ne pas dependre du consentement des personnes concernees, ce qui est essentiel dans un contexte ou le refus d’un salarie de communiquer ses donnees ne saurait exonerer l’entreprise de son obligation reglementaire.

Toutefois, l’obligation legale ne constitue un fondement valide que dans la mesure ou le traitement est strictement necessaire a l’execution de l’obligation. Toute collecte excedant ce qui est requis par les normes ESRS devra reposer sur une autre base legale.

L’interet legitime (article 6.1.f)

Pour les traitements qui excedent les exigences strictes de la CSRD mais restent lies a la demarche ESG (par exemple, un reporting interne plus detaille, des indicateurs supplementaires pour le pilotage), l’interet legitime peut constituer un fondement adequat, sous reserve de la mise en balance avec les droits des personnes concernees.

Le cas des donnees sensibles

Les donnees sensibles (sante, origine ethnique, appartenance syndicale) relevent de l’article 9 du RGPD, qui pose un principe d’interdiction de traitement. L’exception la plus pertinente dans le contexte CSRD est celle de l’article 9.2.b : le traitement est necessaire aux fins de l’execution des obligations en matiere de droit du travail et de protection sociale. L’article 9.2.g (interet public important) peut egalement etre invoque lorsque le droit national le prevoit.

En France, le traitement de donnees relatives a l’origine ethnique reste encadre de maniere restrictive, ce qui pose des difficultes specifiques pour les indicateurs de diversite ethnique, lesquels ne sont d’ailleurs pas exiges par les normes ESRS mais peuvent l’etre par d’autres referentiels ou par les attentes des investisseurs.

Minimisation versus exhaustivite du reporting

Le RGPD impose le principe de minimisation des donnees (article 5.1.c) : seules les donnees adequates, pertinentes et limitees a ce qui est necessaire au regard des finalites du traitement doivent etre collectees. Or, la CSRD vise precisement un reporting exhaustif et detaille.

Cette tension apparente se resout par une application methodique. L’entreprise doit identifier precisement les indicateurs ESRS qu’elle doit publier (en fonction de son analyse de double materialite). Pour chaque indicateur, elle determine le niveau de detail minimal des donnees personnelles necessaires. Elle privilegie les donnees agregees et anonymisees lorsque l’indicateur le permet.

En pratique, la plupart des indicateurs ESRS se publient sous forme agregee (taux, pourcentages, moyennes). Le traitement de donnees individuelles est necessaire en amont pour calculer ces agregats, mais les donnees publiees ne permettent pas d’identifier les personnes. L’enjeu reside donc principalement dans la phase de collecte et de traitement, et non dans la phase de publication.

L’anonymisation : une solution a manier avec precaution

L’anonymisation des donnees est souvent presentee comme la solution ideale pour concilier CSRD et RGPD. Si les donnees sont veritablement anonymisees – c’est-a-dire si elles ne permettent plus, de maniere irreversible, d’identifier directement ou indirectement une personne physique – elles sortent du champ d’application du RGPD.

Cependant, l’anonymisation veritable est plus exigeante qu’il n’y parait. Le Groupe de travail Article 29 (devenu le CEPD) a precise dans son avis 05/2014 que l’anonymisation doit resister a trois types de risques : l’individualisation (isoler un individu dans le jeu de donnees), la correlation (relier des jeux de donnees concernant le meme individu) et l’inference (deduire des informations sur un individu).

Dans le contexte du reporting CSRD, le risque de re-identification est particulierement eleve pour les petites entites ou les categories a faible effectif. Par exemple, si une filiale ne compte qu’un seul cadre dirigeant femme, publier l’ecart de remuneration par genre au niveau de la direction de cette filiale revient a divulguer sa remuneration individuelle.

La pseudonymisation (remplacement des identifiants directs par des pseudonymes) constitue une mesure de securite utile pendant la phase de traitement, mais elle ne suffit pas a sortir les donnees du champ du RGPD.

Les mesures recommandees incluent l’agregation a un niveau suffisant pour prevenir la re-identification, la definition de seuils minimaux d’effectifs en dessous desquels les donnees ne sont pas ventilees, et l’application de techniques de perturbation statistique lorsque necessaire.

L’analyse d’impact (AIPD) : une obligation probable

L’article 35 du RGPD impose la realisation d’une analyse d’impact relative a la protection des donnees (AIPD) lorsqu’un traitement est susceptible d’engendrer un risque eleve pour les droits et libertes des personnes physiques. La collecte de donnees ESG a l’echelle d’un groupe, portant sur l’ensemble des salaries, incluant potentiellement des donnees sensibles et couvrant la chaine de valeur, presente des caracteristiques qui rendent l’AIPD fortement recommandee, voire obligatoire.

L’AIPD devra couvrir la description systematique des traitements ESG, l’evaluation de la necessite et de la proportionnalite de chaque categorie de donnees collectees, l’evaluation des risques pour les personnes concernees, et les mesures envisagees pour attenuer ces risques.

Pour les entreprises qui n’ont pas encore realise d’audit RGPD incluant les traitements ESG, il est urgent de completer cette analyse.

Information des personnes concernees

Le RGPD impose une information transparente des personnes dont les donnees sont traitees (articles 13 et 14). Dans le contexte CSRD, cela implique d’informer les salaries que leurs donnees sont collectees aux fins du reporting de durabilite. La politique de confidentialite interne doit etre mise a jour pour inclure cette finalite, les categories de donnees traitees, la base legale retenue, les destinataires (notamment l’auditeur independant), et la duree de conservation.

Pour les travailleurs de la chaine de valeur, l’information est plus complexe a organiser, notamment lorsque l’entreprise ne dispose pas d’une relation directe avec les personnes concernees. L’article 14 du RGPD prevoit des exceptions a l’obligation d’information lorsque celle-ci se revele impossible ou exigerait des efforts disproportionnes, ce qui peut etre pertinent dans le contexte de la chaine de valeur, sous reserve d’une documentation rigoureuse.

Droits des personnes et reporting obligatoire

Les personnes concernees conservent leurs droits au titre du RGPD (acces, rectification, effacement, limitation, opposition). Toutefois, ces droits ne sont pas absolus. L’article 17.3.b du RGPD prevoit que le droit a l’effacement ne s’applique pas lorsque le traitement est necessaire au respect d’une obligation legale. De meme, l’article 21.1 prevoit que le droit d’opposition ne s’applique pas lorsque le traitement repose sur l’obligation legale.

En revanche, le droit d’acces et le droit de rectification s’appliquent pleinement. L’entreprise doit etre en mesure de communiquer a un salarie les donnees le concernant qui sont utilisees dans le cadre du reporting ESG, et de rectifier toute donnee inexacte.

Transferts de donnees au sein des groupes et hors UE

Les groupes multinationaux sont confrontes a la problematique des transferts de donnees entre filiales et vers la societe mere. Le reporting CSRD est consolide au niveau du groupe, ce qui implique la remontee de donnees individuelles des filiales vers l’entite consolidante.

Si la societe mere est situee hors de l’Espace economique europeen, les transferts doivent etre encadres conformement au chapitre V du RGPD : decision d’adequation, clauses contractuelles types, regles d’entreprise contraignantes, ou derogations de l’article 49.

Recommandations operationnelles

Pour concilier efficacement CSRD et RGPD, les entreprises doivent adopter une approche integree.

Cartographier les traitements ESG. Integrer les flux de donnees ESG dans le registre des traitements exige par le RGPD. Pour chaque indicateur ESRS, identifier les donnees personnelles sous-jacentes.

Definir les bases legales. Pour chaque traitement, documenter la base legale retenue. Privilegier l’obligation legale pour les traitements strictement requis par la CSRD.

Appliquer la minimisation des la conception. Concevoir les processus de collecte pour ne recueillir que les donnees strictement necessaires. Agreger au plus tot dans la chaine de traitement.

Realiser une AIPD. Conduire une analyse d’impact couvrant l’ensemble des traitements ESG, en particulier pour les donnees sensibles et les transferts internationaux.

Mettre a jour l’information des personnes. Completer les politiques de confidentialite internes et les mentions d’information pour integrer la finalite de reporting CSRD.

Utiliser des outils conformes. Les outils de collecte et de traitement des donnees ESG doivent etre conformes au RGPD, notamment en matiere de securite et de sous-traitance. Des plateformes comme Legiscope permettent d’automatiser une partie de la mise en conformite RGPD et de documenter les traitements de maniere structuree, ce qui facilite la gestion conjointe des obligations CSRD et RGPD.

Former les equipes. Les equipes en charge du reporting ESG (direction RSE, RH, achats) doivent etre sensibilisees aux exigences du RGPD. Inversement, le DPO doit comprendre les exigences de la CSRD pour accompagner les equipes de maniere pertinente.

Conclusion

La coexistence de la CSRD et du RGPD n’est pas un obstacle insurmontable, mais elle impose une coordination rigoureuse entre les fonctions juridiques, RSE, ressources humaines et systemes d’information. L’erreur consisterait a traiter ces deux reglementations en silos. Les entreprises qui integrent la dimension protection des donnees des la conception de leur dispositif de reporting CSRD gagneront en efficacite et en securite juridique. Celles qui negligent cet aspect s’exposent a un double risque : non-conformite au RGPD d’un cote, fragilite du reporting CSRD de l’autre. La question des donnees salaries dans le cadre CSRD merite un examen approfondi pour les entreprises qui entament leur mise en conformite.