CSRD et gouvernance : rôle du DPO dans le reporting ESG

CSRD et gouvernance : rôle du DPO dans le reporting ESG

La mise en oeuvre de la CSRD génère une collecte massive de données, dont une part significative constitue des données personnelles au sens du RGPD. Données sociales des salariés, informations sur les fournisseurs, données de la chaîne de valeur, enquêtes auprès des parties prenantes : le reporting de durabilité touche directement au périmètre du délégué à la protection des données (DPO). Pourtant, dans de nombreuses entreprises, le DPO est absent des discussions CSRD. Cet article analyse pourquoi son implication est indispensable, comment structurer la gouvernance à l’intersection du RGPD et de la CSRD, et quelles actions concrètes le DPO doit mener.

Pourquoi le DPO doit être impliqué dans la CSRD

Les données personnelles dans le reporting ESG

Le reporting CSRD implique le traitement de volumes importants de données personnelles. Les normes ESRS sociales (S1 a S4) exigent des indicateurs détaillés sur les salariés (effectifs, rémunération, écarts de rémunération, diversité, handicap, formation, santé-sécurité, liberté syndicale), les travailleurs de la chaîne de valeur (conditions de travail, droits fondamentaux), les communautés affectées, et les consommateurs/utilisateurs finaux.

Certaines de ces données sont des catégories particulières au sens de l’article 9 du RGPD : appartenance syndicale, données de santé (accidents du travail, maladies professionnelles), origine ethnique (indicateurs de diversité dans certaines juridictions), handicap. Le traitement de ces données est soumis à des conditions strictes. Pour une analyse détaillée, consultez notre article sur les données des salariés et la CSRD.

Les obligations de gouvernance ESRS 2

La norme ESRS 2 (Informations générales) contient des exigences de gouvernance qui touchent indirectement à la protection des données. L’entreprise doit décrire le rôle de l’organe de direction dans la supervision du reporting de durabilité, les processus de due diligence en matière de durabilité (qui incluent des aspects de protection des données dans la chaîne de valeur), et les mécanismes de remontée des préoccupations des parties prenantes (qui doivent respecter la confidentialité des données).

Le DPO, en tant que garant de la conformité RGPD, est un acteur naturel de cette gouvernance. Son expertise sur les flux de données, les bases légales, les droits des personnes et la sécurité est directement pertinente pour le reporting CSRD.

Le risque de non-conformité croisée

Une entreprise qui collecte des données ESG sans respecter le RGPD s’expose à un double risque : sanctions CSRD pour insuffisance du reporting, et sanctions RGPD pour traitement illicite de données personnelles. Ce risque est particulièrement aigu pour les données sensibles des salariés et les données collectées auprès des fournisseurs de la chaîne de valeur. La CNIL peut sanctionner indépendamment de la conformité CSRD.

Les missions du DPO dans le contexte CSRD

Cartographie des traitements CSRD

Le DPO doit réaliser une cartographie des traitements de données personnelles générés par le reporting CSRD. Pour chaque indicateur ESRS impliquant des données personnelles, il convient d’identifier les données collectées et leur nature (données courantes ou catégorie particulière), les sources de données (SIRH, enquêtes, questionnaires fournisseurs), les bases légales applicables, les destinataires (équipe RSE, direction, auditeur, plateforme XBRL), les transferts hors UE le cas échéant, et les durées de conservation.

Cette cartographie doit être intégrée dans le registre des traitements (article 30 du RGPD) et tenue à jour.

Détermination des bases légales

La détermination de la base légale appropriée pour chaque traitement est une mission essentielle du DPO dans le contexte CSRD.

Pour la collecte de données sociales agrégées (effectifs, masse salariale, taux de formation), l’obligation légale (article 6.1.c du RGPD) constitue la base légale principale, l’entreprise étant tenue par la CSRD de publier ces indicateurs.

Pour les données sensibles (diversité, handicap, santé), l’article 9.2.b du RGPD autorise le traitement lorsqu’il est nécessaire pour respecter les obligations en matière de droit du travail ou de protection sociale. L’article 9.2.g autorise le traitement pour des motifs d’intérêt public important. La CSRD constitue un tel motif.

Pour les enquêtes auprès des salariés (satisfaction, engagement, bien-être), le consentement ou l’intérêt légitime peut être mobilisé, mais le DPO doit évaluer le caractère libre du consentement dans le contexte de la relation de travail.

Pour les données collectées auprès des fournisseurs (questionnaires ESG), l’intérêt légitime ou l’exécution du contrat peut constituer la base légale, selon le contexte.

Analyse d’impact (AIPD)

Le traitement de données sensibles à grande échelle dans le cadre du reporting CSRD peut nécessiter une analyse d’impact relative à la protection des données (AIPD) au titre de l’article 35 du RGPD. Le DPO doit évaluer si une AIPD est requise et, le cas échéant, la conduire ou la superviser. Les critères déclenchant l’obligation d’AIPD incluent le traitement à grande échelle de catégories particulières de données, la surveillance systématique des salariés (si des outils de collecte automatisée sont utilisés), et le croisement de jeux de données (données RH et données ESG).

Minimisation et anonymisation

Le DPO doit veiller au respect du principe de minimisation dans la collecte de données CSRD. Les normes ESRS exigent des indicateurs agrégés (moyennes, pourcentages, totaux) et non des données individuelles. Le DPO doit s’assurer que les processus de collecte et de consolidation intègrent l’agrégation et, si nécessaire, l’anonymisation des données en amont de la transmission à l’équipe RSE.

Par exemple, les écarts de rémunération entre hommes et femmes peuvent être calcules à partir de données individuelles de la paie, mais seul le résultat agrège doit être transmis pour le rapport. Les données individuelles ne doivent pas quitter le SIRH. Les données des salariés font l’objet d’enjeux spécifiques détaillés dans notre article dédié.

Information des personnes

Le DPO doit s’assurer que les personnes dont les données sont collectées pour le reporting CSRD sont informées conformément aux articles 13 et 14 du RGPD. Pour les salariés, cette information peut figurer dans la charte informatique, le règlement intérieur ou une note d’information spécifique. Pour les fournisseurs, l’information doit figurer dans les conditions contractuelles ou dans les questionnaires ESG.

L’information doit mentionner la finalité (reporting de durabilité au titre de la CSRD), les catégories de données traitées, les destinataires (y compris l’auditeur), les durées de conservation et les droits des personnes.

Structurer la gouvernance CSRD-RGPD

Comité de pilotage conjoint

La mise en place d’un comité de pilotage incluant les fonctions RSE, conformité, DPO, RH et systèmes d’information est recommandée. Ce comité assure la cohérence entre les exigences CSRD et RGPD, arbitre les questions de bases légales, validé les processus de collecte et de consolidation, et supervise les analyses d’impact.

Processus de validation croisée

Chaque nouveau traitement de données pour le reporting CSRD doit être soumis à une validation croisée : l’équipe RSE validé la pertinence au regard des normes ESRS, le DPO validé la conformité RGPD (base légale, minimisation, sécurité, information). Ce processus évite les collectés de données non conformes et les traitements non documentés.

Formation croisée

Les équipes RSE doivent être sensibilisées aux enjeux RGPD : quelles données sont personnelles, quelles catégories sont sensibles, quelles précautions prendre. Le DPO doit comprendre les exigences des normes ESRS pour anticiper les besoins de données et proposer des solutions conformes. La formation croisée est un investissement essentiel.

L’audit CSRD et le RGPD

Transmission de données à l’auditeur

La transmission du dossier de preuve à l’auditeur CSRD implique potentiellement des données personnelles. Le DPO doit vérifier que la transmission est couverte par une base légale (obligation légale), que l’auditeur est soumis au secret professionnel et à des obligations de confidentialité, que les données transmises sont limitées au nécessaire (principe de minimisation), et que les données sensibles sont pseudonymisées ou anonymisées lorsque possible.

Accès de l’auditeur aux systèmes

Si l’auditeur accède directement aux systèmes d’information (SIRH, plateforme ESG) pour ses vérifications, les conditions d’accès doivent respecter le RGPD : habilitations limitées, journalisation des accès, engagement de confidentialité.

Le DPO comme facilitateur

Proposition de solutions conformes

Le DPO n’est pas un frein à la CSRD. Il est un facilitateur qui propose des solutions conformes pour atteindre les objectifs de reporting. Par exemple, pour les indicateurs de diversité, le DPO peut proposer des méthodes de collecte anonyme (questionnaires anonymes avec traitement statistique) plutôt que la collecte nominative. Pour les données de la chaîne de valeur, il peut recommander l’utilisation de données sectorielles moyennes plutôt que des données individuelles fournisseurs lorsque c’est possible.

Contribution à la qualité des données

Le DPO contribue à la qualité des données ESG en imposant des processus de collecte structurés, documentés et traces – des exigences qui rejoignent les attentes de l’auditeur CSRD. La rigueur RGPD bénéficie à la fiabilité du reporting de durabilité. Consultez notre plan de conformité CSRD pour l’intégration du DPO dans le projet.

Veille réglementaire croisée

Le DPO assure une veille réglementaire sur l’articulation RGPD-CSRD. Les évolutions des normes ESRS, les recommandations de la CNIL sur les données des salariés, les décisions de la CJUE sur les catégories particulières de données impactent directement les processus de reporting. Le DPO doit informer l’équipe CSRD de ces évolutions. Pour une analyse transversale, consultez notre article sur la CSRD et les données ESG.

FAQ

Le DPO doit-il être membre de l’équipe projet CSRD ?

Le DPO doit être impliqué dans le projet CSRD, mais pas nécessairement en tant que membre permanent de l’équipe opérationnelle. Son rôle est celui de conseil et de superviseur de la conformité RGPD. Il doit être consulté systématiquement pour la cartographie des traitements, la détermination des bases légales, les analyses d’impact et la validation des processus de collecte. Sa participation aux comités de pilotage est recommandée. L’intensité de son implication dépend du volume de données personnelles traitées.

Quelles sont les données ESG les plus sensibles au regard du RGPD ?

Les données les plus sensibles sont les indicateurs de diversité (origine ethnique, genre non binaire dans certains contextes), les données de santé (accidents du travail, maladies professionnelles, handicap), les données syndicales (taux de syndicalisation, couverture conventionnelle), et les écarts de rémunération détaillés (qui peuvent permettre de reidentifier des individus dans les petites équipes). Le DPO doit porter une attention particulière à ces indicateurs et proposer des méthodes de collecte et de publication préservant l’anonymat des personnes.

Comment articuler registre des traitements RGPD et reporting CSRD ?

Le registre des traitements RGPD (article 30) doit être complète pour inclure les traitements générés par le reporting CSRD. Une fiche de traitement “Reporting de durabilité CSRD” doit décrire les finalités, les catégories de données, les bases légales, les destinataires (équipe RSE, direction, auditeur, autorités), les transferts, les durées de conservation et les mesures de sécurité. Si les traitements CSRD impliquent des sous-traitants (logiciels de reporting ESG), les contrats de sous-traitance doivent être conformes à l’article 28 du RGPD.