La conformité au RGPD : indicateur inconnu dans le cadre du reporting extra-financier ?
Par Franck-Hervé Fofie
Posté le: 04/07/2024 19:31
Le monde économique et plus exactement le monde des affaires est depuis un certain temps investi par des normes de soft law dans tous les domaines. Au nombre de ceux-ci, la RSE occupe une place importante.
La RSE se définit selon la commission européenne comme la prise en considération volontaire par une entreprise des répercussions de son activité sur l'environnement et sur la société ainsi que dans sa relation avec les parties prenantes.
L’évaluation de la mise en œuvre de la RSE se fait à travers un rapport qui doit contenir des informations précises sur les aspects Environnement, Social et Gouvernance.
La volonté des entreprises à se conformer à la RSE s’inscrit dans une dynamique plus large qu’on appelle la compliance qui prend en compte la conformité avec des normes de concurrence, RGPD, RSE etc.
Visée par le référentiel international ISO 26000, la démarche RSE se construit à partir de lignes directrices appelées indicateurs. Parmi ces indicateurs, nous nous intéresserons à certains dont les sous-ensembles semblent être liés aux RGPD et notamment aux missions du DPO. Il s’agit des indicateurs du point 6 lié à la vie privée qui comprend le domaine 6.4.3.2 et le domaine d’action 5 relatif aux questions en relation avec les consommateurs (6.7.7) enfin, il s’agira du domaine 7.7.4 Relatif à amélioration et à la fiabilité des données collectées.
Dès lors on s’interroge de savoir : dans quelle mesure le DPO pourrait-il être acteur de la RSE ?
Afin de répondre à cette question nous analyserons d’abord le point sur la protection des données et de la vie privée des consommateurs et enfin, sur l'amélioration et à la fiabilité des données collectées.
D’abord, cette ligne directrice mentionne 6.4.3.2 Actions et attentes associées : « il convient que l’organisation (…) protège les données personnelles des employés et leur vie privée ». De plus, le point 6.7.7, sur les questions relatives aux consommateurs, la norme dispose un ensemble attentes relatives aux devoirs du DPO. En effet, il est exigé la minimisation des données collectées, l’exigence de consentement libre et éclairé du consommateur, le droit à la suppression et à la rectification ; les informations sur le responsable du traitement etc.
Ces directives ci-dessus sont en lien étroit avec les missions du DPO. Dès lors,ils semblent l’inclure implicitement dans la mise en œuvre de la stratégie RSE.
Ensuite, sur l’amélioration de la collecte et de la gestion de certaines données sensibles (données financières et de santé) la directive appelle les entreprises à la vigilance afin d’éviter les risques de fuite de ces données.
Par ailleurs, la commission estime, dans un rapport de 2011, que : « pour assumer [leur responsabilité sociale], il faut au préalable que les entreprises respectent la législation en vigueur et les conventions collectives conclues entre partenaires sociaux. Afin de s’acquitter pleinement de leur responsabilité sociale, il convient que les entreprises aient engagé, en collaboration étroite avec leurs parties prenantes, un processus destiné à intégrer les préoccupations en matière sociale, environnementale, éthique, de droits de l’homme et de consommateurs dans leurs activités commerciales ».
À ce titre, des organismes prennent de plus en plus en considération la conformité RGPD dans leur rapport de performance extra financière. C’est notamment le cas d’Orange.
De tout ce qui précède, fort est de constater que le DPO n’est expressément visé comme acteur de la mise en œuvre de la RSE au sein des entreprises, les différentes normes relatives à la RSE ne le mentionnant pas. Cependant, implicitement et dans les faits les lignes directrices de la norme de référence RSE, portent des exigences dont lui seul a les compétences. Ainsi, il peut-être d’un atout indéniable et garant de la protection des droits essentielles dans la mise en œuvre de la démarche RSE et de la conformité des entreprises.
Sources consultées:
indicateurs 6.4.3.2; 6.7.7; 7.7.4 . de la norme ISO 26000
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:52001DC0366
: Commission Européenne (2011). Responsabilité sociale des entreprises : une nouvelle stratégie pour l’UE pour la période 2011-2014, Bruxelles, p.7.
https://gallery.orange.com/finance/?v=sharedSelection#l=row&ss=34517c3a-aa98-4af2-a5da-73fbf534dc96. P. 393