Données salariés et CSRD : concilier reporting social et RGPD

Le volet social du reporting CSRD, structuré autour de la norme ESRS S1, impose aux entreprises de publier des indicateurs détaillés sur leurs effectifs : rémunération, santé, formation, diversité, dialogue social. La collecte de ces indicateurs repose intégralement sur le traitement de données à caractère personnel des salariés. Dans nombre de cas, il s’agit même de données sensibles au sens de l’article 9 du RGPD. La question de la conciliation entre ces deux corps de règles n’est pas théorique – elle conditionne la validité juridique de l’ensemble du dispositif de reporting social. Cet article examine les exigences spécifiques de l’ESRS S1 sous l’angle de la protection des données et propose un cadre opérationnel pour les entreprises. Pour le cadre général de la CSRD, voir notre guide complet. Pour l’articulation globale CSRD-RGPD, voir notre article CSRD et RGPD : collecter les données ESG sans violer la vie privée. Pour les enjeux plus larges de protection des données personnelles en droit du travail, voir notre article dédié.

Les exigences de l’ESRS S1 en matière de données salariés

La norme ESRS S1 (Effectifs de l’entreprise) est la plus exigeante des normes sociales en termes de données individuelles requises. Elle couvre l’ensemble des salariés de l’entreprise et les travailleurs mis à disposition. Les catégories de données requises sont les suivantes.

Caractéristiques des effectifs

L’entreprise doit publier la ventilation de ses effectifs par genre, par type de contrat (CDI, CDD, temps plein, temps partiel), par zone géographique, et distinguer les salariés des travailleurs non salariés. Ces données, si elles sont publiées sous forme agrégée, reposent néanmoins sur un traitement préalable de données individuelles : chaque salarié est classe dans une catégorie selon son genre, son type de contrat et sa localisation.

Rémunération et écarts salariaux

L’ESRS S1 exigé la publication de l’écart de rémunération entre les femmes et les hommes (gender pay gap), exprimé en pourcentage de la rémunération brute moyenne masculine. Le calcul de cet indicateur suppose de disposer, pour chaque salarié, de sa rémunération individuelle et de son genre. L’entreprise doit également publier le ratio entre la rémunération du dirigeant le mieux payé et la rémunération médiane des salariés. La encore, l’accès aux données de rémunération individuelles est indispensable.

L’indicateur de rémunération adéquate (adéquate wage) requiert de vérifier, pour chaque salarié, si sa rémunération atteint le seuil de référence applicable (salaire minimum légal ou salaire de subsistance selon le contexte).

Sante et sécurité au travail

Les indicateurs de santé-sécurité incluent le taux de fréquence des accidents du travail (y compris les accidents mortels), le nombre de jours perdus pour cause d’accident ou de maladie professionnelle, et les cas de maladies professionnelles déclarées. Ces données constituent des données de santé au sens de l’article 9 du RGPD. Leur traitement est soumis à un régime renforcé.

Formation et développement des compétences

L’entreprise doit publier le nombre moyen d’heures de formation par salarié, ventile par genre et par catégorie professionnelle. Ces données impliquent un traitement individuel des historiques de formation de chaque salarié.

Diversite et inclusion

Les indicateurs de diversité portent sur la composition des organes de direction et de surveillance par genre et par tranche d’âge. Pour les entreprises de certaines juridictions, des indicateurs relatifs au handicap ou a d’autres critères de diversité peuvent être exigés ou recommandés. Les données relatives au handicap constituent des données de santé et relèvent de l’article 9 du RGPD.

Dialogue social

L’ESRS S1 requiert des informations sur le taux de couverture par des conventions collectives, l’existence de comités de santé-sécurité, et les mécanismes de représentation des salariés. Si ces données sont généralement collectées à un niveau collectif, certaines situations (par exemple, l’identification des salariés couverts ou non par une convention collective) peuvent impliquer des traitements individuels.

Incidents et droits humains

Les incidents, plaintes et violations gravés des droits humains lies aux conditions de travail doivent être reportes. Ces informations peuvent impliquer des données personnelles des salariés concernés, y compris des données relatives à des infractions ou des procédures disciplinaires.

Catégories de données sensibles en jeu

L’article 9 du RGPD interdit par principe le traitement de catégories particulières de données, sauf exceptions limitativement énumérées. Dans le contexte de l’ESRS S1, plusieurs catégories de données sensibles sont directement concernées.

Données de santé. Les indicateurs d’accidents du travail, de maladies professionnelles, de jours d’absence pour raison de santé, et les données relatives au handicap constituent des données de santé. Leur traitement est soumis à l’article 9.

Données relatives à l’appartenance syndicale. Les indicateurs de dialogue social et de liberté d’association peuvent impliquer le traitement d’informations révélant l’appartenance syndicale de certains salariés, notamment dans les petites structurés ou l’identité des représentants syndicaux est connue.

Données relatives à l’origine ethnique. Bien que les normes ESRS ne requièrent pas explicitement d’indicateurs d’origine ethnique, certaines entreprises peuvent être amenées à les collecter dans le cadre de programmes de diversité ou sous l’influencé de référentiels anglo-saxons. En France, la collecte de données ethniques est strictement encadrée et ne peut être réalisée sur une base nominative.

Bases légales applicables

Pour les données non sensibles

L’obligation légale (article 6.1.c du RGPD) constitue la base légale principale. La CSRD, transposée en droit français par l’ordonnance n. 2023-1142 du 6 décembre 2023, crée une obligation légale de publier un rapport de durabilité conforme aux normes ESRS. Le traitement de données personnelles nécessaire à l’exécution de cette obligation est licite sans qu’il soit nécessaire de recueillir le consentement des salariés.

Cette base légale couvre les traitements strictement nécessaires à la production des indicateurs ESRS S1. Elle ne couvre pas les traitements supplémentaires que l’entreprise souhaiterait réaliser à des fins de pilotage interne ou de reporting volontaire au-delà des exigences ESRS. Pour ces traitements, l’intérêt légitime (article 6.1.f) peut être invoqué, sous réserve d’une mise en balance documentée avec les droits des salariés.

Pour les données sensibles

Le traitement de données sensibles requiert, en plus d’une base légale au titre de l’article 6, une exception au titre de l’article 9.2 du RGPD.

Article 9.2.b – Droit du travail et protection sociale. Cette exception autorise le traitement de données sensibles lorsqu’il est nécessaire aux fins de l’exécution des obligations du responsable de traitement en matière de droit du travail. L’obligation de reporting social issue de la CSRD peut être rattachée à cette exception, dans la mesure où elle porte sur les conditions de travail et la santé-sécurité des salariés.

Article 9.2.g – Intérêt public important. Le reporting de durabilité peut être qualifié d’intérêt public important au sens de cette disposition, à condition que le droit national le prévoit. La transposition française de la CSRD pourrait fournir ce fondement.

Article 9.2.h – Medecine du travail. Pour les données de santé spécifiquement liées à la médecine du travail (maladies professionnelles, aptitude), cette exception peut s’appliquer, sous réserve du secret médical et de l’intervention d’un professionnel de santé soumis au secret.

Le consentement des salariés : une fausse bonne idée

Le recours au consentement des salariés comme base légale pour la collecte de données ESG est juridiquement fragile. Le RGPD exige que le consentement soit libre, spécifique, éclairé et univoque. Or, dans la relation de travail, le déséquilibre de pouvoir entre l’employeur et le salarié rend le caractère “libre” du consentement hautement questionnable. Le CEPD a souligné à plusieurs reprises que le consentement est rarement une base légale appropriée dans le contexte de l’emploi.

De surcroit, fonder le reporting CSRD sur le consentement des salariés serait opérationnellement risque : le retrait du consentement par un nombre significatif de salariés pourrait compromettre la capacité de l’entreprise a produire ses indicateurs, la plaçant en situation de non-conformité avec la CSRD.

Anonymisation et agrégation : exigences pratiques

Le principe de minimisation impose de traiter les données au niveau le plus agrège possible. En pratique, la chaîne de traitement des données ESRS S1 comporte trois étapes.

Collecte de données individuelles. Les données sont extraites des systèmes d’information RH (SIRH) au niveau individuel. Cette étape est nécessaire pour calculer les indicateurs.

Calcul et agrégation. Les données individuelles sont traitées pour produire les indicateurs agrégés (moyennes, taux, pourcentages). À ce stade, les données individuelles ne sont plus nécessaires à la finalité de publication.

Publication. Les indicateurs publiés dans le rapport de durabilité sont exclusivement agrégés. Ils ne permettent pas en principe d’identifier des individus.

L’enjeu principal réside dans le risque de ré-identification par croisement. Dans les petites entités ou les catégories à faible effectif, les indicateurs agrégés peuvent indirectement révéler des informations individuelles. Par exemple, dans une filiale ou le comité de direction ne comprend que deux femmes, l’écart de rémunération femmes-hommes au niveau de la direction de cette filiale peut permettre de déduire leur rémunération.

Les mesures recommandées pour prévenir ce risque sont la définition d’un seuil minimal d’effectifs (généralement 5 à 10 personnes) en dessous duquel les données ne sont pas ventilées. Le regroupement de catégories à faible effectif. La publication au niveau consolidé plutôt que par filiale lorsque les effectifs locaux sont insuffisants. La documentation des choix de périmètres de publication.

Consultation du CSE

En droit français, le comité social et économique (CSE) doit être consulté sur les moyens et techniques permettant un contrôle de l’activité des salariés (article L. 2312-38 du Code du travail). La mise en place d’un dispositif de collecte systématique de données personnelles pour le reporting CSRD peut, selon ses modalités, relever de cette obligation de consultation.

Par ailleurs, le CSE est destinataire du rapport de durabilité dans le cadre de ses attributions de consultation sur la politique sociale et les conditions de travail. Le CSE peut donc constituer un interlocuteur pertinent pour la conception du dispositif de collecte, ce qui contribue également à la transparence exigée par le RGPD.

L’information préalable du CSE sur les catégories de données collectées, les finalités et les mesures de protection constitue une bonne pratique tant au regard du droit du travail que du RGPD.

Groupes internationaux : transferts et harmonisation

Les groupes multinationaux sont confrontés à des difficultés spécifiques. Le reporting CSRD est consolidé au niveau du groupe, ce qui implique la remontée de données individuelles des filiales vers la société mère pour le calcul des indicateurs consolides.

Transferts intra-groupe

Les transferts de données personnelles entre filiales et vers la société mère constituent des traitements soumis au RGPD. La société mère qui reçoit les données individuelles des salariés de ses filiales agit en qualité de responsable de traitement ou de responsable conjoint. Un contrat de transfert ou des règles d’entreprise contraignantes (Binding Corporate Rules, BCR) doivent encadrer ces flux.

Transferts hors EEE

Lorsque la société mère est située hors de l’Espace économique européen, les transferts sont soumis aux exigences du chapitre V du RGPD. Les mécanismes applicables comprennent les clauses contractuelles types (CCT) adoptées par la Commission européenne, les règles d’entreprise contraignantes (BCR), ou une décision d’adéquation lorsqu’elle existe pour le pays de destination.

Hétérogénéité des législations sociales

Les législations en matière de protection des données et de droit du travail varient d’un pays à l’autre. Certaines catégories de données collectables en France (par exemple, le genre) peuvent être soumises à des restrictions spécifiques dans d’autres juridictions (par exemple, l’Allemagne impose des conditions plus strictes pour le traitement des données de santé des salariés). Le groupe doit harmoniser ses pratiques en s’alignant sur le niveau de protection le plus élevé.

Durée de conservation

Le RGPD impose que les données personnelles ne soient conservées que pendant la durée nécessaire aux finalités du traitement (article 5.1.e). Dans le contexte du reporting CSRD, la durée de conservation doit être déterminée en fonction de la durée nécessaire au calcul des indicateurs de l’exercice en cours. La durée de conservation des rapports de durabilité eux-mêmes (qui ne contiennent que des données agrégées). Les obligations légales de conservation des documents comptables et sociaux (10 ans en droit français pour les documents comptables). Les délais de prescription applicables en cas de contentieux (5 ans pour les actions en responsabilité civile).

En pratique, les données individuelles utilisées pour le calcul des indicateurs ESRS S1 n’ont pas vocation a être conservées au-delà de la validation du rapport de durabilité et de l’expiration des délais de recours. Une durée de conservation de 3 à 5 ans à compter de la publication du rapport paraît proportionnée, sous réserve de justification.

Analyse d’impact (AIPD)

La collecte systématique de données personnelles de salariés, incluant des données sensibles, à l’échelle d’un groupe, pour une finalité nouvelle (reporting CSRD), constitue un traitement susceptible d’engendrer un risque élevé au sens de l’article 35 du RGPD. La réalisation d’une AIPD est donc fortement recommandée, voire obligatoire au regard des critères définis par la CNIL dans ses lignes directrices.

L’AIPD doit couvrir la description des traitements (catégories de données, finalités, destinataires, durées de conservation). L’évaluation de la nécessité et de la proportionnalité. L’évaluation des risques pour les salariés (ré-identification, discrimination, surveillance). Les mesures de mitigation (anonymisation, contrôles d’accès, chiffrement, formation).

Recommandations opérationnelles

Intégrer le DPO des la conception. Le déléguée à la protection des données doit être associé à la conception du dispositif de reporting ESRS S1. Son rôle est de vérifier la conformité des processus de collecte et de proposer des mesures de minimisation.

Cartographier les flux de données. Établir une cartographie précise des données individuelles nécessaires à chaque indicateur ESRS S1, incluant la source (quel système), les destinataires (quels services, quels prestataires) et les mesures de sécurité.

Privilégier l’extraction automatisée. Les données doivent de préférence être extraites des SIRH de manière automatisée et anonymisées le plus tot possible dans la chaîne de traitement, limitant ainsi l’accès aux données individuelles.

Documenter les choix. Chaque décision relative au périmètre de collecte, aux seuils d’agrégation et aux exceptions doit être documentée pour justifier la proportionnalité du traitement.

Outiller la conformité. Des outils spécialisés permettent de gérer conjointement les exigences CSRD et RGPD. Legiscope offre des fonctionnalités de registre des traitements, d’analyse d’impact et de documentation de conformité qui facilitent cette gestion intégrée. L’automatisation de la documentation est particulièrement utile pour les groupes multinationaux confrontés à la multiplicité des filiales et des législations.

Former les équipes RH. Les équipes ressources humaines, en première ligne pour la collecte des données ESRS S1, doivent être formées aux exigences du RGPD applicables dans ce contexte.

Conclusion

Le reporting social CSRD ne peut être conduit dans l’ignorance du RGPD. Les données salariés constituent le coeur des indicateurs ESRS S1, et leur traitement mobilisé des catégories de données parmi les plus protégées par le droit européen. L’entreprise qui engage sa mise en conformité CSRD doit intégrer la dimension protection des données des la phase de conception de son dispositif de collecte. Le risque n’est pas seulement celui d’une sanction RGPD : un dispositif de collecte juridiquement fragile compromet la fiabilité même du rapport de durabilité et expose l’entreprise à une contestation de la part de l’auditeur indépendant, des représentants du personnel ou des salariés eux-mêmes. La rigueur juridique sur ce point conditionné la crédibilité de l’ensemble de la démarche.