Journée de la protection des données: Privacy, un aspect fondamental en matière d’ESG

Les critères environnementaux, sociaux et de gouvernance (« ESG ») occupent une place de plus en plus importante dans les préoccupations de nombreuses entreprises. En effet, ils constituent aujourd'hui un critère essentiel pour les investisseurs, les clients, les fournisseurs et les employés qui décident sur cette base de collaborer ou non avec une entreprise. 

Traditionnellement, le terme « ESG » désigne les incidences néfastes « classiques » sur les personnes et l'environnement, telles que le travail forcé, le travail des enfants ou les émissions de gaz à effet de serre. Cet e-zine démontre que la vie privée et la protection des données sont des aspects tout aussi fondamentaux de la responsabilité sociale et du développement durable des entreprises, et qu'une stratégie ESG responsable va au-delà du simple respect de la législation sur la vie privée.

Une politique de vie privée responsable présuppose qu'une entreprise respecte les trois critères ESG dans la manière dont elle traite les données.

Dans le cadre de la Gouvernance, les entreprises doivent garantir les droits fondamentaux en matière de vie privée et de protection des données des personnes physiques lors du traitement de leurs données à caractère personnel. À cet égard, le règlement général sur la protection des données (RGPD) donne aux personnes physiques un plus grand degré de contrôle sur leurs données à caractère personnel, oblige les entreprises à les traiter de manière légitime et transparente, et garantit une application efficace grâce à un système de lourdes sanctions. 

En vertu du RGPD, les entreprises sont déjà largement tenues responsables du comportement des intervenants (internes ou externes) qui traitent les données à caractère personnel. Par exemple, une entreprise doit conclure un accord de sous-traitance avec chaque sous-traitant et un transfert de données à caractère personnel à des sous-traitants situés en dehors de l'Union européenne doit être accompagné de garanties appropriées pour assurer la protection des droits des personnes physiques. Il est possible d’y parvenir en adoptant, au niveau de groupes, des règles d'entreprise contraignantes. 

L'importance de bonnes politiques de vie privée à l'égard des partenaires commerciaux a aussi été soulignée dans le cadre de la législation spécifique à l'ESG récemment adoptée. Partant du constat que la législation européenne existante ne s'applique pas toujours aux chaînes de valeur des entreprises situées en dehors de l'Union européenne, la proposition de directive sur le devoir de diligence des entreprises en matière de durabilité (plus connue sous le nom de « Corporate Sustainability Due Diligence Directive » ou "directive CSDD") encourage les entreprises à évaluer et à contrôler les violations des droits de l'homme, de la vie privée et de la protection des données commises mondialement sur l'ensemble de la chaîne de valeur à l’aide de mesures de diligence appropriées, et ce conformément aux lignes directrices de l'OCDE sur le devoir de diligence et les entreprises responsables. Les chaînes d'approvisionnement en données (data supply chains) ne font pas exception, car elles sont souvent à l'origine de fuites de données ou d'autres traitements illicites de données à caractère personnel.

Au demeurant, de nombreuses entreprises s'appuient aujourd'hui sur des normes volontaires telles que les normes Global Reporting Initiative (GRI) pour établir leur rapport ESG. En vertu de la norme GRI 418, les entreprises s'engagent à fournir des informations sur les effets sur la vie privée de leurs clients, notamment en ce qui concerne les plaintes relatives aux fuites de données et à la perte de données des clients.    

Toutefois, le lien entre la vie privée et l'ESG va au-delà du respect des lois ou des normes en matière de vie privée. Compte tenu de la portée considérable des technologies axées sur les données, telles que l'intelligence artificielle et le Big Data mining, les entreprises doivent plus que jamais être conscientes des implications éthiques de certains traitements (le volet Social). Cela est d'autant plus vrai lorsque des catégories particulières de données sont traitées, comme les données relatives à la santé, les données génétiques ou les données relatives à l'origine ethnique. En effet, les entreprises ont la responsabilité sociale de protéger les données à caractère personnel. Les administrateurs devront arbitrer entre la réputation à long terme de leurs entreprises et les bénéfices à court terme découlant d'un traitement intensif des données, car les actionnaires seront de plus en plus attentifs à la croissance éthique de leurs entreprises. 

En outre, la protection de la vie privée et des données comporte également un volet Environnemental qu'il ne faut pas sous-estimer. Une politique de vie privée qui privilégie les principes de minimisation des données et de limitation de la conservation, qui remplace autant que possible les centres de données physiques par le stockage dans le cloud et qui utilise délibérément des technologies à haut rendement énergétique permet de créer un environnement plus durable pour la population et la planète. 

En conclusion, la vie privée et la protection des données sont indissociables de l'ESG et vont au-delà de la conformité au RGPD. Une gestion responsable des données (tant en interne qu'en ce qui concerne la chaîne d'approvisionnement globale des données) est essentielle pour conserver la confiance nécessaire des clients, des employés, des partenaires commerciaux et des investisseurs.