CSRD et supply chain : donnees fournisseurs et RGPD

La directive CSRD impose aux entreprises concernees de reporter sur l’ensemble de leur chaine de valeur, incluant les fournisseurs, sous-traitants et partenaires commerciaux. Cette obligation de reporting sur la supply chain implique la collecte et le traitement de volumes importants de donnees, dont une partie significative constitue des donnees personnelles au sens du RGPD. L’articulation entre les exigences de transparence de la CSRD et les exigences de protection des donnees du RGPD constitue un defi juridique et operationnel que les entreprises doivent anticiper.

Le guide CSRD presente le cadre general de la directive. Le present article se concentre sur les enjeux specifiques lies a la collecte de donnees de la chaine d’approvisionnement et leur traitement dans le respect du RGPD.

La collecte de donnees supply chain imposee par la CSRD

Les normes ESRS et la chaine de valeur

Les normes europeennes de reporting de durabilite (ESRS) imposent une approche de double materialite qui couvre non seulement les activites propres de l’entreprise, mais egalement l’ensemble de sa chaine de valeur (amont et aval). Les principales categories de donnees supply chain a reporter incluent :

Les donnees environnementales :

• Les emissions de gaz a effet de serre scope 3 (emissions indirectes liees aux achats, au transport, a l’utilisation des produits vendus, etc.) ;
• L’empreinte eau de la chaine d’approvisionnement ;
• Les impacts sur la biodiversite lies aux matieres premieres ;
• Les pratiques d’economie circulaire des fournisseurs.

Les donnees sociales :

• Les conditions de travail chez les fournisseurs (salaires, heures de travail, securite) ;
• Le respect des droits humains dans la chaine d’approvisionnement ;
• Le travail des enfants et le travail force ;
• L’acces a la formation et a la protection sociale ;
• Les donnees de diversite et d’inclusion.

Les donnees de gouvernance :

• Les pratiques anti-corruption des fournisseurs ;
• Les politiques de devoir de vigilance ;
• Les mecanismes de signalement et de remediation ;
• La conformite reglementaire des fournisseurs (RGPD, environnement, droit du travail).

Les donnees personnelles dans les donnees supply chain

Les donnees supply chain contiennent des donnees personnelles a plusieurs niveaux :

Les donnees des contacts fournisseurs : noms, fonctions, coordonnees professionnelles des interlocuteurs au sein des entreprises fournisseurs. Ces donnees sont des donnees personnelles au sens du RGPD.

Les donnees des salaries des fournisseurs : lorsque les normes ESRS imposent de reporter sur les conditions de travail dans la chaine de valeur, les donnees collectees peuvent inclure des informations sur les salaries des fournisseurs (effectifs, remuneration moyenne, indicateurs de sante-securite, diversite). Meme agregees, ces donnees peuvent constituer des donnees personnelles si elles permettent d’identifier des individus (petites structures, categories specifiques).

Les donnees des dirigeants : les donnees de gouvernance des fournisseurs (identite des dirigeants, participation a des formations anti-corruption, eventuelles sanctions) sont des donnees personnelles.

Les donnees relatives aux incidents : les incidents de droits humains, les accidents du travail et les plaintes peuvent impliquer des donnees personnelles de victimes ou de temoins.

Les obligations RGPD applicables

La qualification des roles

L’entreprise soumise a la CSRD qui collecte des donnees supply chain est responsable de traitement au sens du RGPD pour le traitement des donnees personnelles collectees aupres de ses fournisseurs a des fins de reporting CSRD.

Le fournisseur qui transmet les donnees de ses salaries a son client est egalement responsable de traitement pour le traitement initial de ces donnees (collecte, agregation, transmission). Il peut aussi etre considere comme responsable conjoint avec son client si les deux parties determinent ensemble les finalites et les moyens du traitement.

Un prestataire tiers (plateforme de collecte de donnees ESG, cabinet d’audit) agissant pour le compte de l’entreprise est sous-traitant au sens de l’article 28 du RGPD.

La base legale du traitement

La collecte de donnees personnelles dans le cadre de la CSRD doit reposer sur une base legale valide. Plusieurs bases legales sont envisageables :

L’obligation legale (article 6.1.c) : pour les entreprises directement soumises a la CSRD, l’obligation de reporter sur la chaine de valeur constitue une obligation legale qui peut fonder le traitement des donnees personnelles necessaires a ce reporting. Cette base legale est la plus solide pour les donnees dont la collecte est imposee par les normes ESRS.

L’interet legitime (article 6.1.f) : pour les traitements qui vont au-dela du strict necessaire impose par les ESRS (collecte de donnees supplementaires, analyses approfondies), l’interet legitime peut etre invoque, sous reserve d’une mise en balance avec les droits des personnes.

L’execution contractuelle (article 6.1.b) : lorsque la fourniture de donnees ESG est prevue dans le contrat entre l’entreprise et son fournisseur.

Le principe de minimisation

Le principe de minimisation (article 5.1.c du RGPD) impose de ne collecter que les donnees personnelles strictement necessaires au reporting CSRD. En pratique, cela signifie privilegier les donnees agregees et anonymisees plutot que les donnees individuelles, limiter les donnees collectees aux indicateurs requis par les normes ESRS, ne pas demander des informations nominatives lorsque des indicateurs statistiques suffisent, et documenter la justification de chaque categorie de donnees collectees.

Les obligations indirectes pesant sur les PME doivent egalement respecter le principe de proportionnalite : les demandes adressees aux fournisseurs PME ne doivent pas exceder le cadre des normes ESRS simplifiees.

L’information des personnes

Les personnes dont les donnees sont collectees dans le cadre du reporting supply chain doivent etre informees conformement aux articles 13 et 14 du RGPD. L’obligation d’information pese a la fois sur le fournisseur (pour l’information initiale de ses salaries) et sur l’entreprise collectrice (pour l’information au moment de la reception des donnees).

En pratique, le fournisseur doit informer ses salaries que leurs donnees (agregees) seront transmises a des clients dans le cadre du reporting CSRD. L’entreprise collectrice doit mentionner le traitement des donnees supply chain dans sa politique de confidentialite.

Les transferts internationaux

Les chaines d’approvisionnement sont souvent internationales. La collecte de donnees ESG aupres de fournisseurs situes hors de l’Union europeenne implique des transferts internationaux de donnees soumis au chapitre V du RGPD. Les mecanismes de transfert habituels s’appliquent : decisions d’adequation, clauses contractuelles types, ou autres garanties appropriees.

Ce point est particulierement sensible pour les donnees relatives aux conditions de travail et aux droits humains, qui peuvent reveler des informations sensibles sur des personnes situees dans des pays ou les protections sont moins robustes.

Les bonnes pratiques

Structurer la collecte

L’entreprise soumise a la CSRD doit structurer la collecte de donnees supply chain en definissant un questionnaire standardise aligne sur les normes ESRS, en privilegiant la collecte de donnees agregees et anonymisees, en utilisant des plateformes securisees de collecte, en encadrant contractuellement la transmission des donnees (clauses de confidentialite, clauses RGPD), et en documentant le processus dans le registre des traitements.

Encadrer contractuellement

Les contrats avec les fournisseurs doivent inclure des clauses relatives a la fourniture de donnees ESG, la protection des donnees personnelles transmises, la confidentialite des informations, la base legale de la transmission, et les conditions d’utilisation des donnees (finalite de reporting uniquement). Ces clauses doivent etre coherentes avec les obligations du RGPD et les recommandations du CEPD.

Anonymiser et agreger

La meilleure protection des donnees personnelles dans le contexte du reporting supply chain est l’anonymisation et l’agregation des donnees en amont de la transmission. Plutot que de collecter des donnees individuelles, l’entreprise doit demander des indicateurs agreger : nombre total de salaries, salaire moyen par categorie, taux de frequence des accidents, pourcentage de femmes dans l’encadrement. Ces indicateurs, lorsqu’ils portent sur des effectifs suffisamment importants, ne constituent plus des donnees personnelles.

Auditer la chaine de collecte

L’entreprise doit auditer regulierement la chaine de collecte des donnees supply chain pour verifier la conformite au RGPD a chaque etape, de la collecte initiale par le fournisseur a l’integration dans le rapport de durabilite. Les donnees ESG et le RGPD doivent faire l’objet d’une attention constante.

L’articulation avec le devoir de vigilance

La loi francaise sur le devoir de vigilance (loi n° 2017-399) et le projet de directive europeenne sur le devoir de vigilance (CSDDD) imposent des obligations similaires de collecte d’informations sur la chaine de valeur, avec un focus sur les droits humains et l’environnement. L’articulation entre la CSRD, le devoir de vigilance et le RGPD cree un cadre tripartite que les entreprises doivent gerer de maniere integree.

La collecte de donnees pour le devoir de vigilance (identification des risques, mesures de prevention, mecanismes de signalement) implique egalement des donnees personnelles. Les principes de minimisation, de transparence et de securite du RGPD s’appliquent de la meme maniere, conformement aux exigences de la legislation europeenne.

FAQ

Un fournisseur peut-il refuser de transmettre les donnees ESG demandees au motif du RGPD ?

Le RGPD ne constitue pas un motif general de refus de transmission de donnees ESG. Si les donnees demandees sont des donnees agregees et anonymisees (effectifs totaux, indicateurs statistiques), elles ne constituent pas des donnees personnelles et le RGPD ne s’applique pas. Si les donnees demandees contiennent des donnees personnelles, le fournisseur peut invoquer le RGPD pour limiter la transmission aux donnees necessaires et exiger des garanties de protection. Le refus total n’est pas justifie si les donnees peuvent etre anonymisees ou agregees. En revanche, un fournisseur peut legitimement refuser de transmettre des donnees nominatives de ses salaries sans justification proportionnee.

Comment gerer les transferts de donnees ESG avec des fournisseurs situes hors de l’UE ?

Les transferts de donnees personnelles vers des pays tiers doivent etre encadres par les mecanismes prevus par le RGPD : decision d’adequation de la Commission europeenne, clauses contractuelles types (CCT), ou regles d’entreprise contraignantes. Pour les donnees ESG contenant des donnees personnelles, les clauses contractuelles types constituent le mecanisme le plus couramment utilise. L’entreprise doit egalement evaluer les risques lies a la legislation du pays tiers (analyse d’impact du transfert). L’anonymisation des donnees en amont du transfert constitue la solution la plus sure pour eviter les contraintes du RGPD sur les transferts.

Le rapport de durabilite CSRD peut-il contenir des donnees personnelles ?

Le rapport de durabilite publie ne doit pas contenir de donnees personnelles identifiantes. Les normes ESRS requierent des indicateurs agreger et anonymes (nombre total de salaries, pourcentages, ratios). Les donnees personnelles collectees en amont pour calculer ces indicateurs ne doivent pas figurer dans le rapport publie. Si, exceptionnellement, une information specifique devait identifier une personne (par exemple, un incident grave impliquant une personne nommement designee dans des procedures publiques), l’entreprise doit evaluer la necessite et la proportionnalite de cette divulgation au regard du RGPD et du droit a la vie privee.