Donnees salaries et CSRD : concilier reporting social et RGPD

Le volet social du reporting CSRD, structure autour de la norme ESRS S1, impose aux entreprises de publier des indicateurs detailles sur leurs effectifs : remuneration, sante, formation, diversite, dialogue social. La collecte de ces indicateurs repose integralement sur le traitement de donnees a caractere personnel des salaries. Dans nombre de cas, il s’agit meme de donnees sensibles au sens de l’article 9 du RGPD. La question de la conciliation entre ces deux corps de regles n’est pas theorique – elle conditionne la validite juridique de l’ensemble du dispositif de reporting social. Cet article examine les exigences specifiques de l’ESRS S1 sous l’angle de la protection des donnees et propose un cadre operationnel pour les entreprises. Pour le cadre general de la CSRD, voir notre guide complet. Pour l’articulation globale CSRD-RGPD, voir notre article CSRD et RGPD : collecter les donnees ESG sans violer la vie privee.

Les exigences de l’ESRS S1 en matiere de donnees salaries

La norme ESRS S1 (Effectifs de l’entreprise) est la plus exigeante des normes sociales en termes de donnees individuelles requises. Elle couvre l’ensemble des salaries de l’entreprise et les travailleurs mis a disposition. Les categories de donnees requises sont les suivantes.

Caracteristiques des effectifs

L’entreprise doit publier la ventilation de ses effectifs par genre, par type de contrat (CDI, CDD, temps plein, temps partiel), par zone geographique, et distinguer les salaries des travailleurs non salaries. Ces donnees, si elles sont publiees sous forme agregee, reposent neanmoins sur un traitement prealable de donnees individuelles : chaque salarie est classe dans une categorie selon son genre, son type de contrat et sa localisation.

Remuneration et ecarts salariaux

L’ESRS S1 exige la publication de l’ecart de remuneration entre les femmes et les hommes (gender pay gap), exprime en pourcentage de la remuneration brute moyenne masculine. Le calcul de cet indicateur suppose de disposer, pour chaque salarie, de sa remuneration individuelle et de son genre. L’entreprise doit egalement publier le ratio entre la remuneration du dirigeant le mieux paye et la remuneration mediane des salaries. La encore, l’acces aux donnees de remuneration individuelles est indispensable.

L’indicateur de remuneration adequate (adequate wage) requiert de verifier, pour chaque salarie, si sa remuneration atteint le seuil de reference applicable (salaire minimum legal ou salaire de subsistance selon le contexte).

Sante et securite au travail

Les indicateurs de sante-securite incluent le taux de frequence des accidents du travail (y compris les accidents mortels), le nombre de jours perdus pour cause d’accident ou de maladie professionnelle, et les cas de maladies professionnelles declarees. Ces donnees constituent des donnees de sante au sens de l’article 9 du RGPD. Leur traitement est soumis a un regime renforce.

Formation et developpement des competences

L’entreprise doit publier le nombre moyen d’heures de formation par salarie, ventile par genre et par categorie professionnelle. Ces donnees impliquent un traitement individuel des historiques de formation de chaque salarie.

Diversite et inclusion

Les indicateurs de diversite portent sur la composition des organes de direction et de surveillance par genre et par tranche d’age. Pour les entreprises de certaines juridictions, des indicateurs relatifs au handicap ou a d’autres criteres de diversite peuvent etre exiges ou recommandes. Les donnees relatives au handicap constituent des donnees de sante et relevent de l’article 9 du RGPD.

Dialogue social

L’ESRS S1 requiert des informations sur le taux de couverture par des conventions collectives, l’existence de comites de sante-securite, et les mecanismes de representation des salaries. Si ces donnees sont generalement collectees a un niveau collectif, certaines situations (par exemple, l’identification des salaries couverts ou non par une convention collective) peuvent impliquer des traitements individuels.

Incidents et droits humains

Les incidents, plaintes et violations graves des droits humains lies aux conditions de travail doivent etre reportes. Ces informations peuvent impliquer des donnees personnelles des salaries concernes, y compris des donnees relatives a des infractions ou des procedures disciplinaires.

Categories de donnees sensibles en jeu

L’article 9 du RGPD interdit par principe le traitement de categories particulieres de donnees, sauf exceptions limitativement enumerees. Dans le contexte de l’ESRS S1, plusieurs categories de donnees sensibles sont directement concernees.

Donnees de sante. Les indicateurs d’accidents du travail, de maladies professionnelles, de jours d’absence pour raison de sante, et les donnees relatives au handicap constituent des donnees de sante. Leur traitement est soumis a l’article 9.

Donnees relatives a l’appartenance syndicale. Les indicateurs de dialogue social et de liberte d’association peuvent impliquer le traitement d’informations revelant l’appartenance syndicale de certains salaries, notamment dans les petites structures ou l’identite des representants syndicaux est connue.

Donnees relatives a l’origine ethnique. Bien que les normes ESRS ne requierent pas explicitement d’indicateurs d’origine ethnique, certaines entreprises peuvent etre amenees a les collecter dans le cadre de programmes de diversite ou sous l’influence de referentiels anglo-saxons. En France, la collecte de donnees ethniques est strictement encadree et ne peut etre realisee sur une base nominative.

Bases legales applicables

Pour les donnees non sensibles

L’obligation legale (article 6.1.c du RGPD) constitue la base legale principale. La CSRD, transposee en droit francais par l’ordonnance n. 2023-1142 du 6 decembre 2023, cree une obligation legale de publier un rapport de durabilite conforme aux normes ESRS. Le traitement de donnees personnelles necessaire a l’execution de cette obligation est licite sans qu’il soit necessaire de recueillir le consentement des salaries.

Cette base legale couvre les traitements strictement necessaires a la production des indicateurs ESRS S1. Elle ne couvre pas les traitements supplementaires que l’entreprise souhaiterait realiser a des fins de pilotage interne ou de reporting volontaire au-dela des exigences ESRS. Pour ces traitements, l’interet legitime (article 6.1.f) peut etre invoque, sous reserve d’une mise en balance documentee avec les droits des salaries.

Pour les donnees sensibles

Le traitement de donnees sensibles requiert, en plus d’une base legale au titre de l’article 6, une exception au titre de l’article 9.2 du RGPD.

Article 9.2.b – Droit du travail et protection sociale. Cette exception autorise le traitement de donnees sensibles lorsqu’il est necessaire aux fins de l’execution des obligations du responsable de traitement en matiere de droit du travail. L’obligation de reporting social issue de la CSRD peut etre rattachee a cette exception, dans la mesure ou elle porte sur les conditions de travail et la sante-securite des salaries.

Article 9.2.g – Interet public important. Le reporting de durabilite peut etre qualifie d’interet public important au sens de cette disposition, a condition que le droit national le prevoit. La transposition francaise de la CSRD pourrait fournir ce fondement.

Article 9.2.h – Medecine du travail. Pour les donnees de sante specifiquement liees a la medecine du travail (maladies professionnelles, aptitude), cette exception peut s’appliquer, sous reserve du secret medical et de l’intervention d’un professionnel de sante soumis au secret.

Le consentement des salaries : une fausse bonne idee

Le recours au consentement des salaries comme base legale pour la collecte de donnees ESG est juridiquement fragile. Le RGPD exige que le consentement soit libre, specifique, eclaire et univoque. Or, dans la relation de travail, le desequilibre de pouvoir entre l’employeur et le salarie rend le caractere “libre” du consentement hautement questionnable. Le CEPD a souligne a plusieurs reprises que le consentement est rarement une base legale appropriee dans le contexte de l’emploi.

De surcroit, fonder le reporting CSRD sur le consentement des salaries serait operationnellement risque : le retrait du consentement par un nombre significatif de salaries pourrait compromettre la capacite de l’entreprise a produire ses indicateurs, la placant en situation de non-conformite avec la CSRD.

Anonymisation et agregation : exigences pratiques

Le principe de minimisation impose de traiter les donnees au niveau le plus agrege possible. En pratique, la chaine de traitement des donnees ESRS S1 comporte trois etapes.

Collecte de donnees individuelles. Les donnees sont extraites des systemes d’information RH (SIRH) au niveau individuel. Cette etape est necessaire pour calculer les indicateurs.

Calcul et agregation. Les donnees individuelles sont traitees pour produire les indicateurs agreges (moyennes, taux, pourcentages). A ce stade, les donnees individuelles ne sont plus necessaires a la finalite de publication.

Publication. Les indicateurs publies dans le rapport de durabilite sont exclusivement agreges. Ils ne permettent pas en principe d’identifier des individus.

L’enjeu principal reside dans le risque de re-identification par croisement. Dans les petites entites ou les categories a faible effectif, les indicateurs agreges peuvent indirectement reveler des informations individuelles. Par exemple, dans une filiale ou le comite de direction ne comprend que deux femmes, l’ecart de remuneration femmes-hommes au niveau de la direction de cette filiale peut permettre de deduire leur remuneration.

Les mesures recommandees pour prevenir ce risque sont la definition d’un seuil minimal d’effectifs (generalement 5 a 10 personnes) en dessous duquel les donnees ne sont pas ventilees. Le regroupement de categories a faible effectif. La publication au niveau consolide plutot que par filiale lorsque les effectifs locaux sont insuffisants. La documentation des choix de perimetres de publication.

Consultation du CSE

En droit francais, le comite social et economique (CSE) doit etre consulte sur les moyens et techniques permettant un controle de l’activite des salaries (article L. 2312-38 du Code du travail). La mise en place d’un dispositif de collecte systematique de donnees personnelles pour le reporting CSRD peut, selon ses modalites, relever de cette obligation de consultation.

Par ailleurs, le CSE est destinataire du rapport de durabilite dans le cadre de ses attributions de consultation sur la politique sociale et les conditions de travail. Le CSE peut donc constituer un interlocuteur pertinent pour la conception du dispositif de collecte, ce qui contribue egalement a la transparence exigee par le RGPD.

L’information prealable du CSE sur les categories de donnees collectees, les finalites et les mesures de protection constitue une bonne pratique tant au regard du droit du travail que du RGPD.

Groupes internationaux : transferts et harmonisation

Les groupes multinationaux sont confrontes a des difficultes specifiques. Le reporting CSRD est consolide au niveau du groupe, ce qui implique la remontee de donnees individuelles des filiales vers la societe mere pour le calcul des indicateurs consolides.

Transferts intra-groupe

Les transferts de donnees personnelles entre filiales et vers la societe mere constituent des traitements soumis au RGPD. La societe mere qui recoit les donnees individuelles des salaries de ses filiales agit en qualite de responsable de traitement ou de responsable conjoint. Un contrat de transfert ou des regles d’entreprise contraignantes (Binding Corporate Rules, BCR) doivent encadrer ces flux.

Transferts hors EEE

Lorsque la societe mere est situee hors de l’Espace economique europeen, les transferts sont soumis aux exigences du chapitre V du RGPD. Les mecanismes applicables comprennent les clauses contractuelles types (CCT) adoptees par la Commission europeenne, les regles d’entreprise contraignantes (BCR), ou une decision d’adequation lorsqu’elle existe pour le pays de destination.

Heterogeneite des legislations sociales

Les legislations en matiere de protection des donnees et de droit du travail varient d’un pays a l’autre. Certaines categories de donnees collectables en France (par exemple, le genre) peuvent etre soumises a des restrictions specifiques dans d’autres juridictions (par exemple, l’Allemagne impose des conditions plus strictes pour le traitement des donnees de sante des salaries). Le groupe doit harmoniser ses pratiques en s’alignant sur le niveau de protection le plus eleve.

Duree de conservation

Le RGPD impose que les donnees personnelles ne soient conservees que pendant la duree necessaire aux finalites du traitement (article 5.1.e). Dans le contexte du reporting CSRD, la duree de conservation doit etre determinee en fonction de la duree necessaire au calcul des indicateurs de l’exercice en cours. La duree de conservation des rapports de durabilite eux-memes (qui ne contiennent que des donnees agregees). Les obligations legales de conservation des documents comptables et sociaux (10 ans en droit francais pour les documents comptables). Les delais de prescription applicables en cas de contentieux (5 ans pour les actions en responsabilite civile).

En pratique, les donnees individuelles utilisees pour le calcul des indicateurs ESRS S1 n’ont pas vocation a etre conservees au-dela de la validation du rapport de durabilite et de l’expiration des delais de recours. Une duree de conservation de 3 a 5 ans a compter de la publication du rapport parait proportionnee, sous reserve de justification.

Analyse d’impact (AIPD)

La collecte systematique de donnees personnelles de salaries, incluant des donnees sensibles, a l’echelle d’un groupe, pour une finalite nouvelle (reporting CSRD), constitue un traitement susceptible d’engendrer un risque eleve au sens de l’article 35 du RGPD. La realisation d’une AIPD est donc fortement recommandee, voire obligatoire au regard des criteres definis par la CNIL dans ses lignes directrices.

L’AIPD doit couvrir la description des traitements (categories de donnees, finalites, destinataires, durees de conservation). L’evaluation de la necessite et de la proportionnalite. L’evaluation des risques pour les salaries (re-identification, discrimination, surveillance). Les mesures de mitigation (anonymisation, controles d’acces, chiffrement, formation).

Recommandations operationnelles

Integrer le DPO des la conception. Le deleguee a la protection des donnees doit etre associe a la conception du dispositif de reporting ESRS S1. Son role est de verifier la conformite des processus de collecte et de proposer des mesures de minimisation.

Cartographier les flux de donnees. Etablir une cartographie precise des donnees individuelles necessaires a chaque indicateur ESRS S1, incluant la source (quel systeme), les destinataires (quels services, quels prestataires) et les mesures de securite.

Privilegier l’extraction automatisee. Les donnees doivent de preference etre extraites des SIRH de maniere automatisee et anonymisees le plus tot possible dans la chaine de traitement, limitant ainsi l’acces aux donnees individuelles.

Documenter les choix. Chaque decision relative au perimetre de collecte, aux seuils d’agregation et aux exceptions doit etre documentee pour justifier la proportionnalite du traitement.

Outiller la conformite. Des outils specialises permettent de gerer conjointement les exigences CSRD et RGPD. Legiscope offre des fonctionnalites de registre des traitements, d’analyse d’impact et de documentation de conformite qui facilitent cette gestion integree. L’automatisation de la documentation est particulierement utile pour les groupes multinationaux confrontes a la multiplicite des filiales et des legislations.

Former les equipes RH. Les equipes ressources humaines, en premiere ligne pour la collecte des donnees ESRS S1, doivent etre formees aux exigences du RGPD applicables dans ce contexte.

Conclusion

Le reporting social CSRD ne peut etre conduit dans l’ignorance du RGPD. Les donnees salaries constituent le coeur des indicateurs ESRS S1, et leur traitement mobilise des categories de donnees parmi les plus protegees par le droit europeen. L’entreprise qui engage sa mise en conformite CSRD doit integrer la dimension protection des donnees des la phase de conception de son dispositif de collecte. Le risque n’est pas seulement celui d’une sanction RGPD : un dispositif de collecte juridiquement fragile compromet la fiabilite meme du rapport de durabilite et expose l’entreprise a une contestation de la part de l’auditeur independant, des representants du personnel ou des salaries eux-memes. La rigueur juridique sur ce point conditionne la credibilite de l’ensemble de la demarche.