CSRD et RGPD : collecter les données ESG sans violer la vie privée

La mise en oeuvre du reporting de durabilité impose par la directive CSRD conduit les entreprises a collecter un volume considérable de données, dont une part significative constitue des données à caractère personnel au sens du RGPD. Données sur les salariés, sur les travailleurs de la chaîne de valeur, sur les membres des organes de gouvernance : le reporting ESG mobilisé des informations qui relèvent directement du champ d’application du règlement européen sur la protection des données. La conciliation de ces deux cadres réglementaires n’est pas seulement souhaitable – elle est juridiquement obligatoire. Cet article analyse les points de friction et les solutions opérationnelles.

Les données personnelles dans le reporting ESG

Le reporting CSRD, structuré autour des normes ESRS, exigé la publication d’indicateurs qui reposent nécessairement sur le traitement de données personnelles. L’ampleur de cette collecte est souvent sous-estimée.

Données relatives aux salariés (ESRS S1)

La norme ESRS S1 (Effectifs de l’entreprise) impose la publication d’indicateurs particulièrement détaillés. La ventilation des effectifs par genre, par type de contrat et par région. Les écarts de rémunération entre femmes et hommes. Les taux d’accidents du travail et de maladies professionnelles. Les heures de formation par catégorie de salariés. Les indicateurs de diversité au sein des organes de direction.

Certains de ces indicateurs impliquent le traitement de données sensibles au sens de l’article 9 du RGPD : données de santé (accidents, maladies professionnelles), données relatives à l’origine ethnique (indicateurs de diversité dans certaines juridictions), ou données syndicales (liberté d’association, négociation collective).

Données relatives à la chaîne de valeur (ESRS S2)

La norme ESRS S2 concerné les travailleurs de la chaîne de valeur. Elle peut conduire l’entreprise a collecter des informations sur les conditions de travail chez ses fournisseurs et sous-traitants, incluant potentiellement des données nominatives lorsque des incidents ou des violations des droits humains sont identifiés.

Données de gouvernance (ESRS 2, ESRS G1)

Les exigences de transparence sur la gouvernance impliquent la publication d’informations sur les membres du conseil d’administration et de la direction : compétences, indépendance, rémunérations, formation aux enjeux de durabilité. Ces informations constituent des données personnelles.

Données environnementales a dimension personnelle

Même les normes environnementales peuvent impliquer des données personnelles. Les données de consommation énergétique par site, les déplacements professionnels ou les trajets domicile-travail des salariés utilisés pour calculer les émissions de scope 3 (catégorie 7) sont des exemples concrets.

Base légale du traitement : une question centrale

Le choix de la base légale au sens de l’article 6 du RGPD est la première question a trancher. Plusieurs fondements sont envisageables.

L’obligation légale (article 6.1.c)

Pour les entreprises soumises à la CSRD, la base légale la plus solide est l’obligation légale. La directive, transposée en droit national, crée une obligation de publier un rapport de durabilité conforme aux normes ESRS. Le traitement de données personnelles nécessaire à l’exécution de cette obligation est licite au titre de l’article 6.1.c du RGPD.

Cette base légale présente l’avantage de ne pas dépendre du consentement des personnes concernées, ce qui est essentiel dans un contexte ou le refus d’un salarié de communiquer ses données ne saurait exonérer l’entreprise de son obligation réglementaire.

Toutefois, l’obligation légale ne constitue un fondement validé que dans la mesure où le traitement est strictement nécessaire à l’exécution de l’obligation. Toute collecté excédant ce qui est requis par les normes ESRS devra reposer sur une autre base légale.

L’intérêt légitime (article 6.1.f)

Pour les traitements qui excédent les exigences strictes de la CSRD mais restent lies à la démarche ESG (par exemple, un reporting interne plus détaillé, des indicateurs supplémentaires pour le pilotage), l’intérêt légitime peut constituer un fondement adéquat, sous réserve de la mise en balance avec les droits des personnes concernées.

Le cas des données sensibles

Les données sensibles (santé, origine ethnique, appartenance syndicale) relèvent de l’article 9 du RGPD, qui pose un principe d’interdiction de traitement. L’exception la plus pertinente dans le contexte CSRD est celle de l’article 9.2.b : le traitement est nécessaire aux fins de l’exécution des obligations en matière de droit du travail et de protection sociale. L’article 9.2.g (intérêt public important) peut également être invoqué lorsque le droit national le prévoit.

En France, le traitement de données relatives à l’origine ethnique reste encadré de manière restrictive, ce qui pose des difficultés spécifiques pour les indicateurs de diversité ethnique, lesquels ne sont d’ailleurs pas exigés par les normes ESRS mais peuvent l’être par d’autres référentiels ou par les attentes des investisseurs.

Minimisation versus exhaustivité du reporting

Le RGPD impose le principe de minimisation des données (article 5.1.c) : seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement doivent être collectées. Or, la CSRD visé précisément un reporting exhaustif et détaillé.

Cette tension apparente se resout par une application méthodique. L’entreprise doit identifier précisément les indicateurs ESRS qu’elle doit publier (en fonction de son analyse de double matérialité). Pour chaque indicateur, elle détermine le niveau de détail minimal des données personnelles nécessaires. Elle privilégie les données agrégées et anonymisées lorsque l’indicateur le permet.

En pratique, la plupart des indicateurs ESRS se publient sous forme agrégée (taux, pourcentages, moyennes). Le traitement de données individuelles est nécessaire en amont pour calculer ces agrégats, mais les données publiées ne permettent pas d’identifier les personnes. L’enjeu réside donc principalement dans la phase de collecte et de traitement, et non dans la phase de publication.

L’anonymisation : une solution a manier avec précaution

L’anonymisation des données est souvent présentée comme la solution idéale pour concilier CSRD et RGPD. Si les données sont véritablement anonymisées – c’est-à-dire si elles ne permettent plus, de manière irréversible, d’identifier directement ou indirectement une personne physique – elles sortent du champ d’application du RGPD.

Cependant, l’anonymisation véritable est plus exigeante qu’il n’y paraît. Le Groupe de travail Article 29 (devenu le CEPD) a précise dans son avis 05/2014 que l’anonymisation doit résister a trois types de risques : l’individualisation (isoler un individu dans le jeu de données), la corrélation (relier des jeux de données concernant le même individu) et l’inférence (déduire des informations sur un individu).

Dans le contexte du reporting CSRD, le risque de ré-identification est particulièrement élevé pour les petites entités ou les catégories à faible effectif. Par exemple, si une filiale ne compte qu’un seul cadre dirigeant femme, publier l’écart de rémunération par genre au niveau de la direction de cette filiale revient a divulguer sa rémunération individuelle.

La pseudonymisation (remplacement des identifiants directs par des pseudonymes) constitue une mesure de sécurité utile pendant la phase de traitement, mais elle ne suffit pas a sortir les données du champ du RGPD.

Les mesures recommandées incluent l’agrégation à un niveau suffisant pour prévenir la ré-identification, la définition de seuils minimaux d’effectifs en dessous desquels les données ne sont pas ventilées, et l’application de techniques de perturbation statistique lorsque nécessaire.

L’analyse d’impact (AIPD) : une obligation probable

L’article 35 du RGPD impose la réalisation d’une analyse d’impact relative à la protection des données (AIPD) lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. La collecte de données ESG à l’échelle d’un groupe, portant sur l’ensemble des salariés, incluant potentiellement des données sensibles et couvrant la chaîne de valeur, présente des caractéristiques qui rendent l’AIPD fortement recommandée, voire obligatoire.

L’AIPD devra couvrir la description systématique des traitements ESG, l’évaluation de la nécessité et de la proportionnalité de chaque catégorie de données collectées, l’évaluation des risques pour les personnes concernées, et les mesures envisagées pour atténuer ces risques.

Pour les entreprises qui n’ont pas encore réalisé d’audit RGPD incluant les traitements ESG, il est urgent de compléter cette analyse.

Information des personnes concernées

Le RGPD impose une information transparente des personnes dont les données sont traitées (articles 13 et 14). Dans le contexte CSRD, cela impliqué d’informer les salariés que leurs données sont collectées aux fins du reporting de durabilité. La politique de confidentialité interne doit être mise à jour pour inclure cette finalité, les catégories de données traitées, la base légale retenue, les destinataires (notamment l’auditeur indépendant), et la durée de conservation.

Pour les travailleurs de la chaîne de valeur, l’information est plus complexe a organiser, notamment lorsque l’entreprise ne dispose pas d’une relation directe avec les personnes concernées. L’article 14 du RGPD prévoit des exceptions à l’obligation d’information lorsque celle-ci se révèle impossible ou exigerait des efforts disproportionnés, ce qui peut être pertinent dans le contexte de la chaîne de valeur, sous réserve d’une documentation rigoureuse.

Droits des personnes et reporting obligatoire

Les personnes concernées conservent leurs droits au titre du RGPD (accès, rectification, effacement, limitation, opposition). Toutefois, ces droits ne sont pas absolus. L’article 17.3.b du RGPD prévoit que le droit à l’effacement ne s’applique pas lorsque le traitement est nécessaire au respect d’une obligation légale. De même, l’article 21.1 prévoit que le droit d’opposition ne s’applique pas lorsque le traitement repose sur l’obligation légale.

En revanche, le droit d’accès et le droit de rectification s’appliquent pleinement. L’entreprise doit être en mesure de communiquer à un salarié les données le concernant qui sont utilisées dans le cadre du reporting ESG, et de rectifier toute donnée inexacte.

Transferts de données au sein des groupes et hors UE

Les groupes multinationaux sont confrontés à la problématique des transferts de données entre filiales et vers la société mère. Le reporting CSRD est consolidé au niveau du groupe, ce qui implique la remontée de données individuelles des filiales vers l’entité consolidante.

Si la société mère est située hors de l’Espace économique européen, les transferts doivent être encadrés conformément au chapitre V du RGPD : décision d’adéquation, clauses contractuelles types, règles d’entreprise contraignantes, ou dérogations de l’article 49.

Recommandations opérationnelles

Pour concilier efficacement CSRD et RGPD, les entreprises doivent adopter une approche intégrée.

Cartographier les traitements ESG. Intégrer les flux de données ESG dans le registre des traitements exigé par le RGPD. Pour chaque indicateur ESRS, identifier les données personnelles sous-jacentes.

Définir les bases légales. Pour chaque traitement, documenter la base légale retenue. Privilégier l’obligation légale pour les traitements strictement requis par la CSRD.

Appliquer la minimisation des la conception. Concevoir les processus de collecte pour ne recueillir que les données strictement nécessaires. Agreger au plus tot dans la chaîne de traitement.

Réaliser une AIPD. Conduire une analyse d’impact couvrant l’ensemble des traitements ESG, en particulier pour les données sensibles et les transferts internationaux.

Mettre à jour l’information des personnes. Completer les politiques de confidentialité internes et les mentions d’information pour intégrer la finalité de reporting CSRD.

Utiliser des outils conformes. Les outils de collecte et de traitement des données ESG doivent être conformes au RGPD, notamment en matière de sécurité et de sous-traitance. Des plateformes comme Legiscope permettent d’automatiser une partie de la mise en conformité RGPD et de documenter les traitements de manière structurée, ce qui facilite la gestion conjointe des obligations CSRD et RGPD.

Former les équipes. Les équipes en charge du reporting ESG (direction RSE, RH, achats) doivent être sensibilisées aux exigences du RGPD. Inversement, le DPO doit comprendre les exigences de la CSRD pour accompagner les équipes de manière pertinente.

Conclusion

La coexistence de la CSRD et du RGPD n’est pas un obstacle insurmontable, mais elle impose une coordination rigoureuse entre les fonctions juridiques, RSE, ressources humaines et systèmes d’information. L’erreur consisterait a traiter ces deux règlementations en silos. Les entreprises qui intègrent la dimension protection des données des la conception de leur dispositif de reporting CSRD gagneront en efficacité et en sécurité juridique. Celles qui négligent cet aspect s’exposent à un double risque : non-conformité au RGPD d’un côté, fragilité du reporting CSRD de l’autre. La question des données salariés dans le cadre CSRD mérite un examen approfondi pour les entreprises qui entament leur mise en conformité.