Initiez-vous à l'éthique de l'ingénierie dans le numérique

La RSE a longtemps été promue comme une pratique volontaire des entreprises, reposant sur la bonne volonté des propriétaires de firmes, sans cadre public spécialement contraignant. Cette situation change suite à l’effondrement, en 2013, à Dacca au Bangladesh, d’un bâtiment de confection textile, le Rana Plaza.

Celui-ci sous-traitait la production de multinationales de l’habillement telles que Mango, Benetton ou Primark. Plus de 1 100 morts sont dénombrés. D’emblée, ils sont vus comme les victimes de la « fast fashion », de la concurrence féroce que se livrent les firmes du secteur à l’aide d’une chaîne de valeur éclatée aux quatre coins du globe.

En France, l’indignation internationale qui a suivi cette catastrophe a conduit à modifier la législation sur la RSE (loi n° 2017-399 du 27 mars 2017). Deux principales modifications font alors leur apparition.

D’abord, la RSE devient obligatoire pour les grandes entreprises et les sociétés cotées en bourse. Elle concerne donc les firmes domiciliées en France qui emploient au moins 5 000 salariés et les sociétés étrangères implantées en France qui emploient au moins 10 000 salariés. Ces entreprises doivent désormais publier un « reporting extra financier », c’est-à-dire rendre publics leurs engagements et leurs résultats en matière de RSE, tout comme elles le font pour leurs performances financières.

Parallèlement, un deuxième mécanisme fait son apparition : il s’agit du « devoir de vigilance ». Celui-ci exprime la nécessaire vigilance des sociétés donneuses d’ordre vis-à-vis de leurs sous-traitants.

Désormais, l'entreprise pourra être tenue responsable des agissements de ses sous-traitants et devra veiller à ce que ceux-ci s’engagent aussi dans une démarche de RSE.

« La loi crée une obligation juridiquement contraignante pour les sociétés mères et les entreprises donneuses d’ordre d’identifier et de prévenir les atteintes aux droits humains et à l’environnement résultant non seulement de leurs propres activités, mais aussi de celles des sociétés qu’elles contrôlent directement et indirectement, ainsi que des activités de leurs sous-traitants et fournisseurs avec lesquels elles entretiennent une relation commerciale établie, en France et dans le monde. Elle instaure donc une obligation légale de comportement prudent et diligent » (source : CCFD, rapport "Loi sur le devoir de vigilance des sociétés mères et entreprises donneuses d’ordre - Année 1 : les entreprises doivent mieux faire", 2019).

Ce qui signifie que les grandes entreprises définissent des cahiers des charges pour le choix de leurs sous-traitants, telles que des PME.

Pour les entreprises du numérique, l’évolution la plus notable en matière de RSE est l’entrée en vigueur en 2018 du Règlement général sur la protection des données (RGPD). Celui-ci s’impose à tous les États membres de l’Union européenne. Adopté par le Parlement européen, ce texte précise les conditions de collecte et de traitement des données personnelles des citoyens européens par tous types d’organismes (entreprises, administrations, associations).

Sont concernés les organismes établis en Europe (dont le marché est européen ou non) et ceux ciblant des résidents européens, ainsi que leurs sous-traitants. Ce texte marque un tournant majeur en matière de RSE et surtout de législation du big data. C’est un enjeu économique et politique crucial, tant les données personnelles représentent le pétrole de nos économies numériques. Selon une estimation du Boston Consulting Group (BCG), « le marché des données personnelles en Europe représentera une valeur économique de 1 000 milliards d’euros par an à l'horizon 2020 ».

L’objectif final du texte est d’accroître la sécurité des données personnelles des utilisateurs et de préciser davantage les responsabilités des organismes qui les collectent.

Pour le RGPD, il s’agit de tous les éléments permettant d’identifier directement ou non une personne. Cela va de son état civil, jusqu’à une base de données collectant ses achats en ligne, en passant par des photos postées sur les réseaux sociaux.

En pratique, quels sont les effets du RGPD ? Pour un internaute lambda, le RGPD a d’abord conduit à l’apparition systématique, lors de sa visite d’une page web, de boîtes de dialogue destinées à lui permettre d’autoriser ou non le site visité à déposer des cookies sur son appareil. Cependant, le RGPD comprend d’autres dispositions. Retenons ici les plus marquantes :

• le traitement des données personnelles doit avoir un objectif clair. L’entreprise qui collecte ces informations doit être capable de justifier quelle est leur utilité légale et légitime. Pour caricaturer, il n’est plus possible pour une plateforme de vente de chaussures en ligne de demander aux clients de renseigner obligatoirement leur numéro de Sécurité sociale. Ce qui signifie également qu’il n’est plus possible de stocker des informations sans les utiliser concrètement ;

• découle du principe précédent une transparence en matière de failles de sécurité. Les autorités (CNIL) et les utilisateurs doivent être informés lorsque leurs données personnelles ont été violées délibérément (par une cyberattaque par exemple) ou accidentellement ;

• les entreprises doivent recueillir le consentement explicite de leurs usagers quant à la collecte et à l’utilisation de leurs données, sous forme explicite, non ambiguë. Ce consentement concerne également les mineurs de moins de 16 ans et leur responsable légal ;

• les usagers ont droit à la portabilité de leurs données. Ils doivent pouvoir récupérer aisément leurs données personnelles. En pratique, cela signifie que si le client d’une plateforme de streaming musical souhaite cesser son abonnement et changer d’offre, il doit pouvoir récupérer sa bibliothèque, ses playlists, dans un format lisible par un autre opérateur de streaming ;

• les usagers ont également le « droit à l’oubli ». La loi leur permet de demander expressément l’effacement de leurs données personnelles, au nom de six motifs précisés par l’article 17 ;

• pour les concepteurs informatiques, il découle de la mise en place du RGPD le principe de « protection des données dès la conception et par défaut (privacy by design) ». Cela consiste, par défaut, à minimiser la collecte de données personnelles et à garantir à l’usager un niveau de sécurité maximal. Ce qui conduit les développeurs à partir des normes du RGPD pour écrire leur code et non l’inverse, une « approche éthique de la donnée » selon le quotidien Les Échos ;

• dans les entreprises, la mise en place du RGPD a conduit à l’apparition d’une nouvelle fonction : le délégué à la protection des données (DPO). Sa mission consiste précisément à conseiller et accompagner son entreprise dans la mise en place du RGPD ;

• le RGPD prévoit des sanctions adaptées et graduées au non-respect de ces normes. La Commission nationale de l’informatique et des libertés (CNIL, autorité française chargée d’appliquer le RGPD) précise que « s’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2 % jusqu’à 4 % du  chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu ». C’est à ce titre que Google s’est vu infliger une amende de 50 millions d’euros par la CNIL en 2019. Le motif de la sanction ? Les nombreuses étapes qu’un utilisateur du système d’exploitation Android doit réaliser avant d’accéder aux informations légales à propos de la collecte et de l’utilisation de ses données personnelles.

Dans le chapitre 2, nous avons vu que la RSE pose des questions théoriques profondes. Récemment, certaines d’entre elles se sont immiscées dans le débat public, à l’occasion de l’examen du projet de loi intitulé « Plan d'action pour la croissance et la transformation des entreprises (PACTE) ». Ce paquet de réformes économiques dirigées vers le fonctionnement de l’économie française a notamment ouvert le débat sur l’opportunité de modifier la définition légale de l’entreprise et plus particulièrement son objet social, c’est-à-dire le but qu’elle poursuit.

C’est qu’actuellement, la loi véhicule une définition minimaliste de l’entreprise ou plutôt de la société :

« La société est un contrat par lequel deux ou plusieurs personnes conviennent de mettre en commun des biens ou leur industrie, en vue de partager le bénéfice ou de profiter de l'économie qui pourra en résulter » (Article 1832).

Le choix des mots est important.

Privilégier le terme de société insiste ici sur la mise en commun de capitaux par des personnes physiques afin d’en tirer profit. Ce terme a longtemps prévalu, avant l’apparition de la notion d’entreprise au début du 20e siècle. Elle ajoute à la maximisation du profit l’idée d’un collectif de travail créateur, de la recherche d’innovation et d’un objectif assigné à la production dépassant la seule création de profit (source : Blanche Segrestin et Armand Hatchuel, Refonder l’entreprise, Paris, Seuil, 2012).

Mais la loi n’évolue pas en conséquence. L’article 1833 du Code civil stipule ainsi que « toute société doit avoir un objet licite et être constituée dans l'intérêt commun des associés ». En 2018, le rapport Notat-Senard propose de compléter cet article de la sorte : « la société doit être gérée dans son intérêt propre, en considérant les enjeux sociaux et environnementaux de son activité ».

Après des débats houleux, la rédaction finalement adoptée par l’Assemblée nationale est la suivante : « la société est gérée dans son intérêt social et en prenant en considération les enjeux sociaux et environnementaux de son activité ». L’article 1835 portant sur les statuts de l’entreprise évolue également par l’ajout suivant : « les statuts peuvent préciser une raison d’être, constituée des principes dont la société se dote et pour le respect desquels elle entend affecter des moyens dans la réalisation de son activité ».

La loi ouvre ainsi la possibilité de la création d’« entreprises à missions » à l’instar de l’exemple anglo-saxon des benefit corporations (source : Branellec Gurvan et Lee Ji-Yong, « Benefit Corporation : Faut-il introduire en France une nouvelle forme d’entreprise lucrative ayant l’obligation d’être utile socialement ou environnementalement ? », Recherches en Sciences de Gestion, 2015/1 (N° 106), p. 159-181). Cette évolution légale est le résultat de nombreuses recherches académiques, portées notamment par des écoles d’ingénieurs, visant à questionner et à faire évoluer légalement la finalité des entreprises (source : Blanche Segrestin et al., La « société à objet social étendu ». Un nouveau statut pour l’entreprise, Paris, Presses des Mines, 2015 ; Armand Hatchuel, « L’entreprise à mission et ses partenaires », Multitudes, 2018/3 (n° 72), p. 211-217).

Mené à son terme, ce débat conduirait à une transformation profonde de la gouvernance d’entreprise, dirigée notamment vers une participation accrue des salariés aux prises de décision, c’est-à-dire à un approfondissement de la démocratie en entreprise (source : Blanche Segrestin, « La mission, un nouveau contrat social pour l’entreprise », Esprit, 2018/3 (Mars), p. 90-101). Il en ressortirait une conception de l’entreprise pensée comme un « commun », au sens d’une « démarche d’interprétation et d’action collective en vue de la création, de la répartition et de l’usage des biens au service du lien social et écologique » (source : Swann Bommier et Cécile Renouard, L’entreprise comme commun. Au-delà de la RSE, Paris, Éditions Charles Léopold Mayer, 2018).

Le spectre de la RSE couvre un champ d’actions très variées. Rendez-vous dans le prochain chapitre où nous aborderons quelques concepts et outils utiles pour analyser les choix de RSE des entreprises.