CSRD et supply chain : données fournisseurs et RGPD

La directive CSRD impose aux entreprises concernées de reporter sur l’ensemble de leur chaîne de valeur, incluant les fournisseurs, sous-traitants et partenaires commerciaux. Cette obligation de reporting sur la supply chain impliqué la collecte et le traitement de volumes importants de données, dont une partie significative constitue des données personnelles au sens du RGPD. L’articulation entre les exigences de transparence de la CSRD et les exigences de protection des données du RGPD constitue un défi juridique et opérationnel que les entreprises doivent anticiper.

Le guide CSRD présente le cadre général de la directive. Le présent article se concentre sur les enjeux spécifiques lies à la collecte de données de la chaîne d’approvisionnement et leur traitement dans le respect du RGPD.

La collecte de données supply chain imposée par la CSRD

Les normes ESRS et la chaîne de valeur

Les normes européennes de reporting de durabilité (ESRS) imposent une approche de double matérialité qui couvre non seulement les activités propres de l’entreprise, mais également l’ensemble de sa chaîne de valeur (amont et aval). Les principales catégories de données supply chain a reporter incluent :

Les données environnementales :

• Les émissions de gaz a effet de serre scope 3 (émissions indirectes liées aux achats, au transport, à l’utilisation des produits vendus, etc.) ;
• L’empreinte eau de la chaîne d’approvisionnement ;
• Les impacts sur la biodiversité lies aux matières premières ;
• Les pratiques d’économie circulaire des fournisseurs.

Les données sociales :

• Les conditions de travail chez les fournisseurs (salaires, heures de travail, sécurité) ;
• Le respect des droits humains dans la chaîne d’approvisionnement ;
• Le travail des enfants et le travail forcé ;
• L’accès à la formation et à la protection sociale ;
• Les données de diversité et d’inclusion.

Les données de gouvernance :

• Les pratiques anti-corruption des fournisseurs ;
• Les politiques de devoir de vigilance ;
• Les mécanismes de signalement et de remédiation ;
• La conformité réglementaire des fournisseurs (RGPD, environnement, droit du travail) et la sécurité de la chaîne d’approvisionnement au sens de NIS2.

Les données personnelles dans les données supply chain

Les données supply chain contiennent des données personnelles à plusieurs niveaux :

Les données des contacts fournisseurs : noms, fonctions, coordonnées professionnelles des interlocuteurs au sein des entreprises fournisseurs. Ces données sont des données personnelles au sens du RGPD.

Les données des salariés des fournisseurs : lorsque les normes ESRS imposent de reporter sur les conditions de travail dans la chaîne de valeur, les données collectées peuvent inclure des informations sur les salariés des fournisseurs (effectifs, rémunération moyenne, indicateurs de santé-sécurité, diversité). Même agrégées, ces données peuvent constituer des données personnelles si elles permettent d’identifier des individus (petites structurés, catégories spécifiques).

Les données des dirigeants : les données de gouvernance des fournisseurs (identité des dirigeants, participation à des formations anti-corruption, éventuelles sanctions) sont des données personnelles.

Les données relatives aux incidents : les incidents de droits humains, les accidents du travail et les plaintes peuvent impliquer des données personnelles de victimes ou de témoins.

Les obligations RGPD applicables

La qualification des rôles

L’entreprise soumise à la CSRD qui collecte des données supply chain est responsable de traitement au sens du RGPD pour le traitement des données personnelles collectées auprès de ses fournisseurs à des fins de reporting CSRD.

Le fournisseur qui transmet les données de ses salariés à son client est également responsable de traitement pour le traitement initial de ces données (collecté, agrégation, transmission). Il peut aussi être considéré comme responsable conjoint avec son client si les deux parties determinent ensemble les finalités et les moyens du traitement.

Un prestataire tiers (plateforme de collecte de données ESG, cabinet d’audit) agissant pour le compte de l’entreprise est sous-traitant au sens de l’article 28 du RGPD.

La base légale du traitement

La collecte de données personnelles dans le cadre de la CSRD doit reposer sur une base légale validé. Plusieurs bases légales sont envisageables :

L’obligation légale (article 6.1.c) : pour les entreprises directement soumises à la CSRD, l’obligation de reporter sur la chaîne de valeur constitue une obligation légale qui peut fonder le traitement des données personnelles nécessaires à ce reporting. Cette base légale est la plus solide pour les données dont la collecte est imposée par les normes ESRS.

L’intérêt légitime (article 6.1.f) : pour les traitements qui vont au-delà du strict nécessaire impose par les ESRS (collecté de données supplémentaires, analyses approfondies), l’intérêt légitime peut être invoqué, sous réserve d’une mise en balance avec les droits des personnes.

L’exécution contractuelle (article 6.1.b) : lorsque la fourniture de données ESG est prévue dans le contrat entre l’entreprise et son fournisseur.

Le principe de minimisation

Le principe de minimisation (article 5.1.c du RGPD) impose de ne collecter que les données personnelles strictement nécessaires au reporting CSRD. En pratique, cela signifie privilégier les données agrégées et anonymisées plutôt que les données individuelles, limiter les données collectées aux indicateurs requis par les normes ESRS, ne pas demander des informations nominatives lorsque des indicateurs statistiques suffisent, et documenter la justification de chaque catégorie de données collectées.

Les obligations indirectes pesant sur les PME doivent également respecter le principe de proportionnalité : les demandes adressées aux fournisseurs PME ne doivent pas excéder le cadre des normes ESRS simplifiées.

L’information des personnes

Les personnes dont les données sont collectées dans le cadre du reporting supply chain doivent être informées conformément aux articles 13 et 14 du RGPD. L’obligation d’information pèse à la fois sur le fournisseur (pour l’information initiale de ses salariés) et sur l’entreprise collectrice (pour l’information au moment de la réception des données).

En pratique, le fournisseur doit informer ses salariés que leurs données (agrégées) seront transmises à des clients dans le cadre du reporting CSRD. L’entreprise collectrice doit mentionner le traitement des données supply chain dans sa politique de confidentialité.

Les transferts internationaux

Les chaînes d’approvisionnement sont souvent internationales. La collecte de données ESG auprès de fournisseurs situés hors de l’Union européenne implique des transferts internationaux de données soumis au chapitre V du RGPD. Les mécanismes de transfert habituels s’appliquent : décisions d’adéquation, clauses contractuelles types, ou autres garanties appropriées.

Ce point est particulièrement sensible pour les données relatives aux conditions de travail et aux droits humains, qui peuvent révéler des informations sensibles sur des personnes situées dans des pays ou les protections sont moins robustes.

Les bonnes pratiques

Structurer la collecte

L’entreprise soumise à la CSRD doit structurer la collecte de données supply chain en définissant un questionnaire standardise aligné sur les normes ESRS, en privilegiant la collecte de données agrégées et anonymisées, en utilisant des plateformes sécurisées de collecte, en encadrant contractuellement la transmission des données (clauses de confidentialité, clauses RGPD), et en documentant le processus dans le registre des traitements.

Encadrer contractuellement

Les contrats avec les fournisseurs doivent inclure des clauses relatives à la fourniture de données ESG, la protection des données personnelles transmises, la confidentialité des informations, la base légale de la transmission, et les conditions d’utilisation des données (finalité de reporting uniquement). Ces clauses doivent être cohérentes avec les obligations du RGPD et les recommandations du CEPD.

Anonymiser et agréger

La meilleure protection des données personnelles dans le contexte du reporting supply chain est l’anonymisation et l’agrégation des données en amont de la transmission. Plutôt que de collecter des données individuelles, l’entreprise doit demander des indicateurs agréger : nombre total de salariés, salaire moyen par catégorie, taux de fréquence des accidents, pourcentage de femmes dans l’encadrement. Ces indicateurs, lorsqu’ils portent sur des effectifs suffisamment importants, ne constituent plus des données personnelles.

Auditer la chaîne de collecte

L’entreprise doit auditer régulièrement la chaîne de collecte des données supply chain pour vérifier la conformité au RGPD à chaque étape, de la collecte initiale par le fournisseur à l’intégration dans le rapport de durabilité. Les données ESG et le RGPD doivent faire l’objet d’une attention constante.

L’articulation avec le devoir de vigilance

La loi française sur le devoir de vigilance (loi n° 2017-399) et le projet de directive européenne sur le devoir de vigilance (CSDDD) imposent des obligations similaires de collecte d’informations sur la chaîne de valeur, avec un focus sur les droits humains et l’environnement. L’articulation entre la CSRD, le devoir de vigilance et le RGPD crée un cadre tripartite que les entreprises doivent gérer de manière intégrée.

La collecte de données pour le devoir de vigilance (identification des risques, mesures de prévention, mécanismes de signalement) impliqué également des données personnelles. Les principes de minimisation, de transparence et de sécurité du RGPD s’appliquent de la même manière, conformément aux exigences de la législation européenne.

FAQ

Un fournisseur peut-il refuser de transmettre les données ESG demandées au motif du RGPD ?

Le RGPD ne constitue pas un motif général de refus de transmission de données ESG. Si les données demandées sont des données agrégées et anonymisées (effectifs totaux, indicateurs statistiques), elles ne constituent pas des données personnelles et le RGPD ne s’applique pas. Si les données demandées contiennent des données personnelles, le fournisseur peut invoquer le RGPD pour limiter la transmission aux données nécessaires et exiger des garanties de protection. Le refus total n’est pas justifié si les données peuvent être anonymisées ou agrégées. En revanche, un fournisseur peut légitimement refuser de transmettre des données nominatives de ses salariés sans justification proportionnée.

Comment gérer les transferts de données ESG avec des fournisseurs situés hors de l’UE ?

Les transferts de données personnelles vers des pays tiers doivent être encadrés par les mécanismes prévus par le RGPD : décision d’adéquation de la Commission européenne, clauses contractuelles types (CCT), ou règles d’entreprise contraignantes. Pour les données ESG contenant des données personnelles, les clauses contractuelles types constituent le mécanisme le plus couramment utilise. L’entreprise doit également évaluer les risques lies à la législation du pays tiers (analyse d’impact du transfert). L’anonymisation des données en amont du transfert constitue la solution la plus sure pour éviter les contraintes du RGPD sur les transferts.

Le rapport de durabilité CSRD peut-il contenir des données personnelles ?

Le rapport de durabilité publié ne doit pas contenir de données personnelles identifiantes. Les normes ESRS requièrent des indicateurs agréger et anonymes (nombre total de salariés, pourcentages, ratios). Les données personnelles collectées en amont pour calculer ces indicateurs ne doivent pas figurer dans le rapport publié. Si, exceptionnellement, une information spécifique devait identifier une personne (par exemple, un incident grave impliquant une personne nommement désignée dans des procédures publiques), l’entreprise doit évaluer la nécessité et la proportionnalité de cette divulgation au regard du RGPD et du droit à la vie privée.