RSE, collecte de données et éthique numérique des entreprises

La RSE comprend un volet sur l'éthique des entreprises. Même s'il n'existe pas de texte juridique qui lie le numérique, et notamment la gestion des données personnelles à la RSE, il a toute sa place dans la stratégie d'une entreprise. Voici ce qu'est la Responsabilité numérique des entreprises (RNE) et comment respecter les règles de sécurité informatique liées au droit européen.

Qu'est-ce que la Responsabilité Numérique des Entreprises (RNE) ?

Proposée par la Plateforme RSE dans un rapport au gouvernement français datant de juillet 2020, le principe de Responsabilité Numérique des Entreprises (RNE) est défini comme étant indissociable d'une politique RSE (Responsabilité Sociétale des Entreprises) car elle « se fonde sur les mêmes principes de confiance, de redevabilité, d'éthique et d'échanges avec les parties prenantes des entreprises. »

Qu'il s'agisse d'une responsabilité réglementaire avec le respect du RGPD et de la protection des données, d'une responsabilité sociétale relative à la gestion et au partage des données ou encore la responsabilité éthique liée aux logiciels d'intelligence artificielle (IA) ; les entreprises collectent, gèrent, conservent et traitent des données régulièrement : relations clients, service après-vente, données commerciales, données comptables et financières, fichiers de prospection, données de géolocalisation, statistiques de consultation, données de caisse... avec la multiplication des données personnelles recueillies, les entreprises font face à des risques accrus en matière de gestion et de sécurisation des données.

Ajoutons à cela l'empreinte carbone du numérique et la nécessité de développer des technologies sobres et responsables afin d'en limiter l'impact, et on comprend que la RNE est un sujet à part entière de la RSE. Pourtant, d'après Accenture, seulement 4% des entreprises françaises ont une approche globale de la technologie responsable intégrée à la stratégie globale de l'entreprise ainsi qu'à sa stratégie de développement durable.

Pourquoi adopter la RNE dans sa stratégie d'entreprise ?

Vous avez une responsabilité en tant que TPE-PME de protéger les données en votre possession dans le respect des droits, des libertés, de la vie privée et de communiquer sur l'usage que vous en faites auprès des concernés (salariés, parties prenantes et clients). Cette responsabilité de sécurité des données est fondamentale dans une démarche RSE, tant d'un point de vue sociétal qu'éthique.

Selon une étude Accenture, 54% des consommateurs sont plus à l'aise avec des marques et des entreprises transparentes sur leur gestion des données et 48% d'entre eux indiquent qu'ils seraient plus à même d'acheter auprès de ces marques et entreprises. La collecte de data est un échange à double sens et la question de l'éthique doit être un pilier de la stratégie de l'entreprise pour recréer un lien de confiance avec les consommateurs.

Respect du RGPD, principe de base de la RSE

Le RGPD (Règlement général sur la protection des données) instaure la protection des données à caractère personnel comme un droit fondamental et rappelle que leur traitement doit être conçu pour servir l'humanité. Votre mise en conformité et son respect, même s'il est réglementaire, gagne à être intégré à votre politique RSE comme un véritable pilier et palier indispensable sur la question du numérique dans les entreprises. Il s'agit d'un engagement sociétal fort et pérenne dans une ère digitale en perpétuelle évolution. 

Communiquez avec transparence sur ce sujet auprès de vos parties prenantes et vos clients. Par exemple : définissez clairement les usages que vous avez de leurs données et informez-les de votre intention au moment de récupérer son email pour lui envoyer une newsletter, sur votre site internet lorsque vous lui laissez ouvertement le choix d'accepter ou non les cookies, etc. Vous pouvez également communiquer sur la durée de conservation de leurs données qui doit être ajustée proportionnellement à la finalité du traitement de la donnée.
Voici un rappel sur comment vous mettre en conformité avec les normes du RGPD.

Adoptez des chartes et des labels numériques pour votre politique RSE

Il existe des labels et des chartes relatives à la question du numérique dans les entreprises, ils peuvent servir de ligne de conduite et de référentiels pour des actions concrètes à mettre en place pour pratiquer un numérique éthique. Les labels et chartes relatives au numérique en entreprise, étant d'application volontaire, peuvent aussi rassurer et témoigner de votre engagement auprès de vos parties prenantes (salariés, partenaires, fournisseurs…), c'est un atout RSE à mettre en avant. 

Parmi les labels, on peut citer :

• le label Numérique Responsable qui rejoint également des engagements de réduction de l'impact numérique sur l'environnement
• le label ADEL (Algorithm Data Ethics Label) est le premier label sur l'éthique des algorithmes de traitement des données numériques.

C'est un process d'accompagnement avec un ensemble de préconisations de bonnes pratiques éthiques en fonction du degré de maturité de votre entreprise et sa recherche de qualité.

Francenum, l'agence gouvernementale de la transformation numérique des entreprises en France, propose également des aides dédiées aux TPE-PME sur les pratiques liées à la gestion des données et le numérique de manière plus large.

Protégez les données que vous détenez dans votre entreprise

La protection des données que vous collectez est de votre responsabilité et de celle de votre sous-traitant qui les collecte également si vous en possédez un. La CNIL stipule notamment que votre sous-traitant a une obligation de transparence et doit permettre si besoin la réalisation d'un audit pour s'assurer que la collecte et le traitement des données se font de manière éthique et responsable. Il doit également tenir et pouvoir vous fournir un registre des activités de traitement effectuées pour le compte de votre entreprise. Les sous-traitants ont aussi un devoir de sécurisation des données traitées et ont une obligation d'assistance, d'alerte et de conseil à votre égard.

Le détournement des données que vous avez collectées peut avoir des conséquences graves. Assurez-vous que la sécurisation des données de votre entreprise quels que soient les moyens et outils utilisés (cloud, local…) répond proportionnellement à leur degré de sensibilité. Par exemple, il n'est pas nécessaire que l'ensemble de vos salariés aient accès à toutes les données dont dispose votre entreprise.

Enfin, maintenez une bonne hygiène informatique et pensez à supprimer les données inutiles ou trop anciennes en votre possession. Plus l'entreprise possède de données, plus l'empreinte carbone de son activité numérique augmente, ainsi que le risque de voir ces données tomber entre de mauvaises mains. La suppression des données s'inscrit donc dans une démarche doublement responsable ! En conservant seulement les données nécessaires, il vous sera également plus facile de supprimer les données d'un consommateur souhaitant exercer son « droit à l'oubli » prévu par le RGPD.