Evaluation de la mise en œuvre de la loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre

Evaluation de la loi relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre

Le drame du Rana Plaza au Bangladesh le 24 avril 2013 a déclenché une réaction mondiale. Même si la prise en compte des enjeux sociaux, environnementaux et sociétaux par les entreprises existait déjà, tout comme les cadres et guides publiés par les organisations internationales (OCDE, ONU, OIT), l’opinion publique a réclamé que les entreprises multinationales assument pleinement leurs responsabilités dans une économie mondialisée.

En France, des ONG, des syndicats et les élus ont voulu aller plus loin que la « soft law » en militant pour la création d’une obligation légale. Après un parcours heurté, la loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et entreprises donneuses d’ordre a été adoptée.

Cette loi s’applique aux entreprises et groupes qui emploient deux années consécutives plus de 5 000 salariés en France ou plus de 10 000 en France et à l’étranger. Ils doivent établir, publier, respecter et évaluer un Plan de vigilance qui vise à identifier les risques et à prévenir les atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l’environnement dans toute leur sphère d’influence, les filiales comme les sous-traitants « en relation commerciale établie », ce qui représente des dizaines voire des centaines de milliers d’entreprises pour un seul groupe français.

La Loi liste les cinq volets du Plan de vigilance :

– une cartographie des risques ;

– des procédures d’évaluation régulière de la situation des filiales, des sous-traitants ou

fournisseurs ;

– des actions adaptées d’atténuation des risques et de prévention des atteintes graves ;

– un mécanisme d’alerte et de recueil des signalements ;

– un dispositif de suivi des mesures et d’évaluation de leur efficacité.

L’articulation avec les autres obligations, notamment de déclaration de performances extra-financières, touchant à de multiples enjeux depuis 2002, et de lutte anti-corruption, n’est pas simple car les limites de chacune diffèrent et les entreprises voient ainsi s’accroître d’année en année le poids de ces obligations de « reporting ».

Le passage de la « soft law », reposant sur le volontariat, à la Loi a des conséquences lourdes pour les entreprises et peut conduire à des recours judiciaires et à des sanctions. Les premières mises en demeure ont été déposées et tous les recours devront être suivis de près pour en analyser la portée.

Les études existantes et les analyses de la mission montrent que certaines entreprises ne respectent pas encore formellement le Devoir de vigilance alors que d’autres jouent bien le jeu et ont été récompensées publiquement par des évaluations et un Prix.

Les forces de la Loi se révèlent notamment dans la gouvernance plus élevée du Devoir de vigilance, par rapport à celle d’autres politiques comme la Responsabilité sociétale des entreprises, mais aussi dans des efforts pour utiliser des référentiels pertinents (ceux de l’OIT, de l’OCDE et de l’ONU sur les Droits de l’homme et les entreprises multinationales, notamment), adapter des outils préexistants ou en créer de nouveaux pour son application.

« Civic tech » : la CNIL appelle à la vigilance

Z

Par Claire Legros Le monde 9/12/2019

Un an après l’annonce du grand débat, l’instance de régulation publie un document incitant à construire « des modèles vertueux » de technologies civiques.

C’est un mot fourre-tout bien pratique mais aux contours assez flous. Dans la famille des civic tech (« technologies civiques »), on trouve aussi bien des plates-formes de pétitions en ligne et de mobilisation citoyenne, indépendantes des pouvoirs publics, que des outils plus institutionnels de budgets participatifs et de concertation.

Si l’on y ajoute les technologies à visée électorale – pour personnaliser par exemple les messages adressés par les partis aux électeurs – (pol tech), les outils déployés par les gouvernements pour améliorer leur fonctionnement ou la transparence des politiques publiques (gov tech), et les réseaux sociaux, où se joue désormais une partie du débat politique, on obtient un écosystème foisonnant et disparate où les modèles économiques sont aussi variés que les profils des acteurs.

Lire aussi: La démocratie participative, un marché convoité

Publié ce lundi 9 décembre, le cahier intitulé Civic tech, données et Demos, que consacre la Commission nationale de l’informatique et des libertés (CNIL) aux technologies civiques, dresse un panorama bienvenu, d’autant qu’il intervient dans un contexte particulier. Du mouvement des « gilets jaunes », parti des réseaux sociaux, au grand débat en ligne organisé par le gouvernement, l’année écoulée a marqué un tournant dans l’usage des technologies civiques, de plus en plus présentes dans le débat démocratique.

Elle a de fait apporté une visibilité à des questionnements qui courent depuis une dizaine d’années : comment garantir la confiance dans la protection des données personnelles et la loyauté des logiciels utilisés ? Quelle valeur accorder à la participation en ligne quand une partie de la population n’y est pas représentée ? Comment l’analyser ? Quel rôle doit-elle jouer dans le processus de décision politique et, in fine, l’exercice du pouvoir ?

Lire aussi: Grand débat en ligne et démocratie : l’analyse et la transparence des données en question

Des données « sensibles » à la protection renforcée

Si elle n’apporte pas de réponses définitives à ces questions, l’instance garante de la protection des données personnelles éclaire les enjeux éthiques et politiques de la démocratie en ligne, et livre une série de recommandations pour « garantir un environnement de confiance » et renforcer les bonnes pratiques.

Depuis mai 2018, le règlement européen sur la protection des données (RGPD) encadre l’utilisation des données politiques considérées comme « sensibles ». Un parti politique ne peut, par exemple, utiliser des données personnelles sans un consentement explicite de la personne concernée. Pour autant, les procédures ne sont pas toujours respectées et de nombreuses questions demeurent. Ainsi l’organisation d’un débat démocratique en ligne est soumise à des impératifs qui peuvent sembler contradictoires : il faut à la fois préserver l’anonymat des participants tout en garantissant le recueil d’informations suffisantes pour les authentifier.

Le grand débat reste à ce titre un exemple de ce qu’il ne faut pas faire. Le choix des organisateurs de demander aux participants uniquement leur code postal a empêché toute authentification et a conduit à une instrumentalisation de la consultation par des groupes d’intérêt. A l’inverse, dans le cadre du référendum sur la privatisation de Groupe ADP (anciennement Aéroports de Paris), la publication des signataires peut dissuader des citoyens d’y participer.

Lire aussi: Contributions au « grand débat » : comment analyser 68 millions de mots en deux semaines ?

A l’instar de l’isoloir dans un bureau de vote, « les technologies civiques doivent permettre aux individus de s’exprimer librement sans avoir à supporter le poids de la pression sociale », rappelle le groupe d’experts de la CNIL. Alors qu’Emmanuel Macron s’était déclaré partisan, en janvier, d’une « sortie progressive de l’anonymat » sur Internet, l’instance de régulation défend au contraire le recours au « pseudonymat » et engage les acteurs à proscrire l’indexation des participations sur les moteurs de recherche. Pour aller plus loin, elle recommande d’explorer l’usage de tiers de confiance et la gestion décentralisée des identités afin que le commanditaire d’une consultation puisse authentifier les participants sans les identifier.

Lire aussi: « La démocratie ne peut exister que grâce à une saine dose d’anonymat »

« Les technologies civiques ne sont pas neutres »

Comment s’assurer que la présentation des débats ou le classement des contributions ne risquent pas d’influencer les participants ? Parce que « les technologies civiques ne sont pas neutres », la CNIL invite les acteurs à penser des outils respectueux de la vie privée « dès leur conception », en privilégiant une information claire sur le déroulé de la consultation et les droits des utilisateurs.

Dans le débat qui oppose les partisans des logiciels ouverts aux tenants des logiciels propriétaires, l’instance de régulation ne tranche pas, mais précise que « l’ouverture du code de la plate-forme et des données de la participation est une garantie visant à permettre l’auditabilité des traitements algorithmiques ». « On n’est pas dans l’injonction en faveur de tel ou tel modèle économique, précise Régis Chatellier, l’un des auteurs du document. Mais tout acteur qui traite de la donnée personnelle est soumis au RGPD et doit savoir qu’il peut faire l’objet d’un contrôle, où il lui pourrait lui être demandé l’accès au code de l’algorithme. »

La CNIL recommande en outre aux acteurs de « se fédérer pour harmoniser leurs pratiques et aller vers la coconstruction d’un code de conduite » qui définisse les bonnes pratiques. Une telle charte, contraignante pour ceux qui y adhèrent, représenterait un « signal positif » envoyé aux citoyens et aux commanditaires.

Un peu plus d’un an après les révélations sur le scandale Cambridge Analytica, l’heure est à la méfiance à l’égard des réseaux sociaux. Alors qu’une large part des collectivités reconnaissent utiliser Facebook pour échanger avec leurs habitants, la CNIL met en garde les acteurs publics contre le risque de dépendance vis-à-vis d’entreprises dont ils ne maîtrisent pas les règles de traitement des données, de modération ou d’affichage. Elle invite aussi à proscrire leur recours pour authentifier les participants à une consultation.

Lire aussi: Ce qu’il faut savoir sur Cambridge Analytica, la société au cœur du scandale Facebook

Risque d’exclusion

Au-delà des aspects techniques, l’impact et l’efficacité des outils sont aussi questionnés. Alors que la démocratie en ligne est souvent mise en avant pour sa capacité à renouveler les publics des consultations, le danger existe bel et bien d’« exclure des processus politiques des pans entiers de la population », du fait des inégalités profondes en matière d’accès au numérique, estime la CNIL qui recommande aux pouvoirs publics de développer une éducation civique technologique pour que les civic tech ne fassent pas de la démocratie « une affaire d’experts ».

Face au risque de « solutionnisme technologique », les auteurs du cahier recommandent de combiner systématiquement « des dispositifs en ligne et en présentiel », voire d’explorer des formats innovants de participation, sur le modèle de la convention citoyenne pour la transition écologique. Avec un mot d’ordre : si la technologie offre des opportunités en matière d’innovation démocratique, elle doit rester avant tout un moyen au service de la décision politique.

Un an après l’annonce du grand débat, l’instance de régulation publie un document incitant à construire « des modèles vertueux » de technologies civiques.

« Civic tech » : la CNIL appelle à la vigilance