Directive CSRD : optimiser la gestion et la sécurité des données pour fiabiliser le reporting

Entrée en vigueur le 1^er janvier 2024, la Directive (EU) 2022/2464 relative à la publication d’informations en matière de durabilité par les entreprises, en anglais intitulée Corporate Sustainability Reporting Directive (CSRD) transforme le paysage du reporting extra-financier européen. Elle introduit des exigences inédites en matière de communication de leurs données environnementales, sociales, et de gouvernance (ESG). Les entreprises concernées doivent désormais gérer un volume considérable d’informations sensibles, telles que les indicateurs environnementaux, données sociales et informations stratégiques.

Et pour la première fois, ces données feront l’objet d’une vérification obligatoire par un commissaire aux comptes (CAC) ou un organisme tiers indépendant, sur le modèle de la certification des informations financières. Afin de répondre à cette obligation d’audit, les entreprises sont tenues de sécuriser leurs données ESG et de mettre en place des processus internes leur permettant de collecter et de présenter des informations fiables et vérifiables.

Directive CSRD : un tournant pour le reporting ESG

Adoptée en décembre 2022, la directive européenne CSRD remplace la directive sur le reporting extra-financier des entreprises (NFRD), dont elle étend le périmètre d’application. Le nombre d’entreprises concernées par les obligations de reporting de durabilité passe de 11 700 à près de 50 000. Cette directive participe à renforcer les objectifs de l’Union européenne en matière de transparence des entreprises.

La directive CSRD impose des exigences de divulgation plus strictes et standardisées que la précédente directive. Son objectif : harmoniser le reporting de durabilité des entreprises et améliorer la disponibilité et la qualité des données ESG publiées. Elle répond aux besoins d’information des acteurs financiers, eux-mêmes soumis à des obligations de reporting ESG.

La mise en œuvre de la directive CSRD constitue un tournant pour les entreprises. Celles-ci sont désormais tenues d’intégrer les questions de durabilité au cœur de leur stratégie et de faire du reporting extra-financier un outil de pilotage stratégique.

La directive CSRD s’applique progressivement, en suivant un calendrier échelonné s’appuyant sur l’effectif des entreprises (nombre de salariés), leur chiffre d’affaires et leur bilan total. Les grandes entreprises (plus de 250 salariés, chiffre d’affaires supérieur à 50 millions d’euros ou bilan supérieur à 25 millions d’euros) y sont d’ores et déjà soumises. Elles avaient l’obligation de publier leur premier rapport de durabilité en 2025, sur la base des données collectées sur l’exercice 2024.

À noter : en France, dans le cadre de la loi du 30 avril 2025 (DDADUE5), le calendrier d’application a été reporté de 2 ans pour les grandes entreprises et les PME cotées en bourse. Le premier reporting  sera donc obligatoire à partir de 2028 pour l’année 2027.

Les défis liés à la collecte et la gestion des données ESG

Avec près de 1200 indicateurs référencés dans la directive CSRD, la collecte des données s’avère particulièrement complexe en raison de la typologie et de la volumétrie des données à collecter : données environnementales, données sociales et données de gouvernance.

La directive CSRD introduit également le concept de « double matérialité ».

• Matérialité d’impact : évalue comment l’entreprise affecte l’environnement et la société.
• Matérialité financière : évalue comment les enjeux ESG impactent la performance économique de l’entreprise.

Cette analyse de double matérialité amplifie l’ampleur des défis de collecte de données, puisque chaque enjeu identifié déclenche des obligations de collecte de données spécifiques en fonction des normes ESRS correspondantes. Plus une entreprise identifie des enjeux matériels, plus elle devra collecter et gérer un volume important de données hétérogènes provenant de sources multiples.

La collecte de données imposée par la directive CSRD implique de nombreuses parties prenantes, à la fois internes et externes : multiples départements de l’entreprise (RH, achat, qualité, etc.), filiales, fournisseurs et sous-traitants, etc. Cette collecte de données induit différents types de risques : erreurs, incohérences entre les différentes sources, fuites de données sensibles (données personnelles, stratégiques, etc.), non-conformité réglementaire, etc.

Sécuriser les données sensibles et fiabiliser leur collecte : exigences et bonnes pratiques

La directive CSRD exige que le reporting de durabilité des entreprises fasse l’objet d’une vérification obligatoire par un CAC ou un organisme tiers indépendant (OTI). Cette obligation d’audit et d’assurance indépendante vise à s’assurer que les données ESG publiées par les entreprises sont bien vérifiées par des tiers qualifiés, sur le modèle de la certification des informations financières. Il s’agit d’une rupture majeure avec la directive NFRD, le reporting ESG étant désormais traité avec le même niveau d’exigence que le reporting financier.

La collecte des données ESG implique de manipuler des informations particulièrement sensibles : données sociales, données sur les conditions de travail, la santé et sécurité au travail, la formation des employés, informations stratégiques, etc. Toutes ces données exigent une protection renforcée.

Afin de satisfaire aux exigences de sécurité des données, les entreprises doivent mettre en place des mesures techniques et organisationnelles robustes pour sécuriser leurs flux d’information. Cela inclut notamment la gestion stricte des contrôles d’accès aux données, la traçabilité des accès et des modifications et la protection des données sensibles (classification des données selon leur sensibilité, chiffrement, procédures de sauvegarde et de récupération, etc.). Des outils de gestion adaptés facilitent ce travail.

Des procédures de contrôle qualité et d’auditabilité des données ESG garantissent la qualité et la fiabilité des données, notamment grâce à la documentation des différentes étapes de collecte et de traitement des informations de durabilité.

Optimiser la gestion des données sensibles, la clé d’un reporting fiable et efficace

Déterminer quelles sont les données essentielles pour l’organisation en fonction de ses objectifs RSE est un préalable pour obtenir une collecte de données ESG qui soit précise et pertinente. Cette démarche de cartographie, qui inclut à la fois l’identification et la classification des données, doit différencier :

• Les données existantes, disponibles dans les systèmes actuels,
• Les données à compléter, qui sont partiellement disponibles et doivent être enrichies,
• Les nouvelles données, à collecter spécifiquement pour la CSRD.

La CSRD encourage la numérisation des processus de collecte et de reporting. Les données pertinentes sont plus faciles à collecter, à organiser et à diffuser. Les solutions d’automatisation rendent possible une connexion aux systèmes d’information et outils en place, une collecte en temps réel ou encore la génération de rapports dans différents formats.

Les plateformes ESG ou solutions de data management permettent à la fois de collecter, stocker, mesurer, structurer, formater, gouverner et publier les données, tout en assurant la conformité et la qualité des données. Le travail de collecte des données imposé par la directive CSRD est exigeant et délicat.

Enfin, la collecte et la gestion des données ESG constituent un exercice itératif. Les entreprises vont devoir publier des rapports de durabilité chaque année. Il sera donc nécessaire pour elles de réaliser une analyse approfondie une première fois, puis de suivre et mettre à jour les données régulièrement. Ces étapes sont indispensables pour garantir la fraîcheur et la pertinence des données.

Checklist : les actions à mettre en place pour sécuriser et optimiser la gestion des données ESG dans le cadre de la directive CSRD   Phase de préparation – Réaliser un audit des données ESG existantes – Cartographier les flux de données et identifier les sources – Définir les rôles et responsabilités de chaque partie prenante – Mettre en place une gouvernance des données ESG Sécurisation technique – Implémenter des contrôles d’accès granulaires – Chiffrer les données sensibles en transit et au repos – Sauvegarder et tester la récupération des données Qualité des données – Définir des règles de validation automatiques – Établir des procédures de réconciliation – Former les équipes aux méthodologies de collecte – Planifier des contrôles périodiques Conformité et audit – Documenter les processus de collecte et de traitement – Mettre en place une piste d’audit – Préparer les justificatifs pour l’audit externe – Tester les exports aux formats requis – Planifier la revue par le commissaire aux comptes

Les bénéfices d’une gestion optimisée et sécurisée des données ESG

L’un des objectifs majeurs de la CSRD est d’améliorer la fiabilité des informations publiées. Les organisations qui parviendront à optimiser la gestion de leurs données sensibles et à renforcer la sécurité des données respecteront les méthodologies officielles et assureront leur conformité. Leurs données seront documentées, traçables et sécurisées.

Pouvoir s’appuyer sur des données ESG de qualité améliore la prise de décision stratégique. Le management peut s’appuyer sur des indicateurs fiables pour piloter la performance. L’identification des risques et l’optimisation des ressources s’en trouvent améliorées.

Des données ESG fiables et transparentes tendent également à renforcer la confiance des parties prenantes : meilleure réponse aux critères des investisseurs, amélioration de la notation et différenciation concurrentielle.

Enfin, du point de vue de l’image de marque, les entreprises qui publient leurs indicateurs ESG bénéficient souvent d’une meilleure réputation auprès des clients, des investisseurs et des talents. Il s’agit même d’un avantage compétitif.