Intégrer la protection des données dans la diligence raisonnable des entreprises en matière de droits humains

La Commission européenne a présenté sa directive sur les services numériques comme « le premier ensemble commun de règles sur les obligations et la responsabilité des intermédiaires dans le marché unique ». Et pour cause : son impact économique prévisionnel pourrait se situer entre 12 et 23 milliards d’euros, grâce à des opportunités accrues pour une diversité d’opérateurs du marché.  

Compte-tenu de l’augmentation constante de la manipulation des données et de la désinformation, elle pourrait également (et peut-être surtout) favoriser un contrôle et une surveillance démocratiques accrus, en améliorant les droits fondamentaux des citoyens. Il s’agit ainsi de promouvoir davantage de choix qui soient également plus inclusifs et abordables. Le tout en limitant l’essor de contenus illégaux.  

À ce titre, le lien avec la directive européenne sur la diligence raisonnable des entreprises en matière de développement durable semble évident. Diverses missions auprès des clients de Ksapa montrent combien la protection des données reste une considération délicate dans les systèmes de gestion, notamment vis-à-vis du devoir de vigilance des entreprises. Ksapa examine ici les implications de la loi sur les services numériques pour le devoir de diligence en matière de droits humains. Nous délinéons enfin une approche pour aider les organisations à mieux intégrer la protection des données dans leur diligences raisonnables. 

1. Aspects clés de la directive européenne sur les services numériques 

Le 20 janvier 2022, le Parlement européen adoptait une directive sur les services numériques. Des amendements de dernière minute comprenaient en outre l’interdiction de toute publicité ciblant les mineurs, l’utilisation de données personnelles très sensibles à des fins de ciblage comportemental et la manipulation ou le forçage du consentement pour l’utilisation de toute donnée personnelle. Le document qui en résulte sera donc soumis à une série de 5 négociations inter-institutionnelles initiées en avril 2022.  

Ce nouvel élément de la réglementation européenne impose essentiellement aux grandes plateformes numériques – dites de la « Big Tech » (dont Facebook et Instagram et YouTube) – d’évaluer et de gérer les risques générés par leurs services. On pense notamment aux appels à la haine et la diffusion de campagnes de désinformation. Ces entreprises seront en effet tenues de se soumettre à des audits annuels indépendants et de donner accès aux régulateurs et aux chercheurs – y compris les organisations de la société civile – à leurs données, y compris celles ayant trait à leurs algorithmiques, véritables boîtes noires jusque-ici. La nouvelle directive, en un mot, vise la responsabilisation des organisations. grâce aux mesures suivantes : 

• Contrer la diffusion de biens, services ou contenus illégaux en ligne, grâce à des mécanismes permettant aux utilisateurs de signaler les contenus et aux plateformes de coopérer avec des tiers de confiance ; 
• Faire respecter les obligations de traçabilité relatives aux places de marché en ligne. Les usagers professionnels sont donc tenus de contribuer à identifier les vendeurs de biens illégaux. Le cas échéant, ils devront déployer des efforts raisonnables pour vérifier par échantillonnage aléatoire si leurs produits ou services ont été identifiés comme illégaux dans les bases de données officielles ; 
• Développer des garanties efficaces pour les utilisateurs, avec la possibilité pour ces derniers de contester les décisions de modération de contenu des plateformes ; 
• Bannir certains types de publicités en ligne ciblant par exemple les enfants ou utilisant des catégories particulières de données personnelles, comme l’origine ethnique, l’orientation politique ou sexuelle ; 
• Introduire des mesures de transparence pour les plateformes en ligne – notamment sur les algorithmes qu’elles utilisent pour développer leurs recommandations ; 
• Faire respecter l’obligation des grandes plateformes ou moteurs de recherche de prévenir l’utilisation abusive de leur système, en prenant des mesures appropriées de remédiation des risques et en se soumettant à des audits indépendants de leurs systèmes de gestion; 
• Favoriser l’accès aux données clés des plus grandes plateformes et moteurs de recherche pour permettre aux chercheurs d’analyser l’évolution des risques en ligne ; 
• Développer une structure de surveillance au niveau des États membres, avec le soutien d’un nouveau conseil européen aux services numériques. 

La portée de ces exigences explique pourquoi cette directive sur les services numériques a été saluée comme moment décisif dans la réglementation d’Internet. Il est encourageant de constater que 65 signataires ont d’ailleurs exprimé leur soutien à une réglementation d’Internet fondée sur le respect des droits humains, par l’intermédiaire de l’Investor Alliance for Human Rights. Cela dit, des convergences porteuses entre le Digital Services Act et la directive sur la diligence raisonnable en matière de développement durable restent à identifier. Sans parler de leur activation pratique dans le cadre des systèmes de gestion des organisations. 

2. Convergences porteuses entre DSA et CS3D 

En 2018, la Commission européenne a lancé un baromètre des contenus illégaux en ligne. Le rapport a montré que 61% des personnes interrogées déclaraient avoir vu du contenu illégal en ligne, 66,5% ne considérant pas qu’Internet soit un espace sûr pour ses usagers. Ce Digital Services Act vise moins à encourager les entreprises à prendre des mesures volontaires pour protéger leurs utilisateurs qu’à les pousser à utiliser de nouveaux mécanismes simples et efficaces. Le but ? Signaler les contenus illégaux et les biens qui portent atteinte aux droits fondamentaux (tels que les droits de propriété intellectuelle ou les pratiques de concurrence déloyale). Elle renforce en outre les obligations pour les places de marché d’appliquer des politiques KYC (Know Your Customer), de faire des efforts raisonnables pour mener des contrôles aléatoires sur les produits vendus sur leur plateforme et d’adopter de nouvelles technologies pour assurer une meilleure traçabilité des produits. 

Au-delà des marchés numériques, la directive européenne sur le devoir de diligence des entreprises en matière de développement durable s’appuie sur les principes directeurs des Nations unies relatifs aux entreprises et aux droits de l’Homme. Autrement dit, les entreprises doivent faire preuve de diligence raisonnable en matière de droits humains, ce qui implique des les identifier, prévenir, éradiquer, atténuer, ou d’y remédier. Le tout en rendant publiquement compte de leurs impacts négatifs potentiels ou avérés. Dans le contexte spécifique des services numériques, il s’agit de cibler les risques pour les usagers qui seraient reliés à la façon dont les grandes entreprises technologiques augmentent leurs revenus, leur compétitivité et leur attrait pour les investisseurs. Cela inclut notamment : 

• La collecte de données à grande échelle (pour former des algorithmes ou vendre des informations à des tiers) ;  
• La vente de produits et services technologiques en soutien aux fonctions de l’État ou la prestation de services publics, qui peuvent cibler de manière disproportionnée les communautés vulnérables ; 
• L’hyper-personnalisation des outils de prise de décision des entreprises, qui peut favoriser la discrimination, limiter les garanties des travailleurs ou rendre leurs emplois totalement superflus ; 
• La fourniture de technologies à un grand nombre d’entreprises ou d’individus sans système de gouvernance évident, ce qui peut maximiser les dommages causés aux personnes ; 
• La généralisation de propositions de valeur basées sur des choix et des comportements personnels, sans que l’utilisateur en soit informé ou y consente. 

Les organisations de la société civile soutiennent que la directive européenne sur les services numériques part du principe que tous les risques pour les entreprises peuvent être atténués. Dans sa version actuelle, elle n’exigerait donc pas explicitement que les entreprises mettent en œuvre toute la gamme des outils de remédiation à leur disposition. Elles affirment également que la liste de risques prédéfinie néglige les considérations socio-économiques et même environnementales liées aux pratiques des plateformes numériques. La combinaison des deux séries d’exigences réglementaires – DSA et CS3D – aiderait donc les entreprises et les investisseurs à pointer d’éventuelles zones d’ombre dans leurs programmes de conformité et ainsi maximiser la portée des mesures mises en œuvre. 

3. Intégrer la protection des données dans le processus de diligence raisonnable des entreprises 

La directive européenne sur le devoir de diligence des entreprises en matière de développement durable vise notamment à interdire toute ingérence arbitraire ou illégale dans la vie privée, la famille, le domicile ou la correspondance d’une personne et toute autre atteinte à sa réputation. Si la directive ne couvre pas explicitement la protection des données, elle renvoie à la Déclaration européenne des droits et principes numériques – qui ne saurait, elle, être plus claire. Diverses missions auprès des clients de Ksapa montrent cependant combien entreprises et investisseurs tardent à pleinement inclure la protection des données dans leurs programmes de diligence raisonnable. La CS3D promouvant une approche à travers toute la chaîne de valeur, la phase d’usage devrait logiquement être prise en considération.  

Dans cette optique, Ksapa présente une approche en 5 étapes à destination des entreprises et investisseurs. L’objectif ? Pleinement intégrer la protection des données dans leurs processus de diligence raisonnable en matière de développement durable : 

1. Adopter une vision systémique des questions prioritaires 

La question des droits humains est aussi complexe que sensible. D’autre part, les données circulent dans le monde entier en quelques secondes et en quantités incalculables. Toute velléité de contrôle est d’autant plus complexe pour les entreprises, dont les modèles reposent de plus en plus sur ces données.  

Elles doivent néanmoins faire face aux implications potentielles de la diffusion de données vis-à-vis du respect des droits humains. Le cas échéant, les acteurs privés sont régulièrement critiqués pour leurs violations des droits humains – et sont donc tenus d’atténuer leurs risques. Cela dit, les efforts qu’ils déploient à cet égard suscitent presque automatiquement la méfiance. Une méfiance entretenue par la capacité de ces mêmes services numériques à donner du pouvoir et à diffuser des informations (ou de la désinformation).  

Les usagers peuvent par exemple détourner l’usage des services numériques pour commettre des violations des droits humains. Considérez l’impact d’une violation de la protection des informations relatives aux clients d’une chaîne hôtelière. Comment le registre des employés d’une multinationale technologique pourrait permettre à des régimes autoritaires de cibler des groupes vulnérables. Comment les fichiers d’un opérateur de transport, s’ils tombent entre de mauvaises mains, pourraient avoir des implications majeures pour la sécurité internationale.  

2. Calibrer les plans d’action et les mesures correctives  

Dans le même temps, les outils numériques sont essentiels pour qu’une entreprise améliore de manière proactive son identification des risques prioritaires en matière de droits humains. Et ce, à mesure que ses activités et ses contextes opérationnels évoluent. Ces outils peuvent en effet objectiver une évaluation complète et régulièrement mise à jour des risques d’atteinte aux droits humains liés à l’utilisation d’un produit ou d’un service. Le tout en gardant à l’esprit d’autres avantages pour la société et, justement, le bon respect des droits humains.  

Ces mêmes outils contribuent en outre à structurer les mesures de remédiation de ces risques et à suivre l’efficacité de la feuille de route qui en découle. Ils jouent un rôle dans la documentation des risques l’entreprise n’auraient pas encore abordés ou qu’elle ne saurait contrôler (du moins pas seule). Les services numériques, tels que le Big Data ou le Machine Learning, pourraient par exemple être calibrés pour décupler la capacité des organisations à faire preuve de prévoyance quant aux risques potentiels ou avérés, qu’elles soient à même de les résoudre ou non. Enfin, les informations tirées de ces données sont clefs pour permettre aux organisations de rendre compte de leurs processus décisionnels, en particulier en cas d’atteinte grave des droits humains.  

3. Inclure et diffuser le point de vue des détenteurs de droits 

Les processus de diligence raisonnable des entreprises dépendent directement de la richesse du dialogue inter-parties prenantes. Les entreprises et les investisseurs ont en effet tout à gagner à structurer un dialogue continu, proactif et ouvert avec leurs parties prenantes prioritaires, tout au long du cycle de vie de leurs projets.  

L’engagement des parties prenantes permet aux équipes internes de mieux faire face à la diversité croissante des considérations relatives aux droits humains à l’ère numérique qui est la nôtre. Et ce, tout au long de leur chaîne de valeur. Avec le bon niveau de granularité. En tenant compte de spécificités locales. En adaptant les mesures en fonction du stade de développement du projet concerné. Ce dialogue inter-parties prenantes est peut-être plus crucial encore lorsqu’il s’agit d’évaluer l’efficacité de mesures correctives et de suivre les progrès accomplis au fil du temps. A savoir, deux des exigences de la CS3D.  

Pour permettre aux technologies numériques d’atteindre leur plein potentiel tout en atténuant les risques sous-jacents, les organisations doivent impliquer de manière significative la société civile et les détenteurs de droits dans leur diligence raisonnable. Le tout en accordant une attention particulière aux groupes vulnérables. Cela les aide également à exercer leur influence sur d’autres détenteurs d’obligations afin de prévenir les violations des droits humains. Par exemple en créant des associations de clients. En formalisant les normes et les attentes en matière de comportement des usagers. En établissant des normes industrielles collaboratives ou encore en menant des négociations constructives avec les organismes de réglementation et d’élaboration des politiques. Un client peut en effet se rendre dans une station balnéaire pour se livrer à un trafic illégal dont la société mère pourrait être tenue responsable. L’entreprise en question pourra toutefois recourir au profilage de tels comportements grâce à la donnée collectées. Elle pourra ainsi repérer les comportements illégaux, aider ses équipes à y mettre fin ou contacter les autorités locales pour prévenir d’autres abus.  

4. Activation des mécanismes d’application et accès aux recours  

Le dialogue inter-parties prenantes est également essentiel pour que les détenteurs de droits contribuent pleinement au processus de décision des entreprises qui pourraient avoir un impact direct sur leur vie – tant en termes de gestion de projet que d’allocation de ressources. Il s’agit notamment de disposer de systèmes de réclamation adaptés afin d’affiner les résultats d’une approche strictement descendante de la gestion des griefs et de garantir un recours aux victimes potentielles.  

Si les services numériques alimentent littéralement ces plateformes de réclamation (sites en ligne, plateformes d’assistance WhatsApp…), ils peuvent aussi être appelés à remédier aux abus générés par l’usage de machines ou d’algorithmes. L’omniprésence des données dans le tissu de notre économie mondiale implique également que des millions de titulaires de droits lésés pourraient présenter des demandes légitimes. Enfin et compte tenu de l’architecture de plus en plus complexe de l’Internet moderne, des acteurs d’une grande variété pourraient, au titre du DSA, être identifiés comme porteurs d’obligations et potentiellement tenus responsables des dommages liés à l’interaction de divers produits et services numériques. 

5. Fonctionnement en toute transparence  

Si la collecte de données crée de l’information en temps quasi réel, ces services numériques n’œuvrent pas nécessairement en faveur de plus de transparence. La directive européenne sur la diligence raisonnable des entreprises en matière de développement durable, en revanche, exige des organisations qu’elles fassent des efforts sincères pour comprendre, partager leurs réflexions et développer des solutions probants. S’attaquer aux problèmes endémiques nécessite en effet un travail collaboratif, même si cela implique de se concentrer sur une partie seulement des enjeux. Cependant, une logique d’amélioration continue sera toujours plus acceptable socialement que l’inaction ou l’opacité (perçue) des entreprises. 

Conclusion 

La société civile a émis des réserves vis-à-vis de la directive européenne sur les services numériques, que la directive sur la diligence raisonnable en matière de développement durable des entreprises pourrait contribuer à lever. Dans un monde de plus en plus numérisé, il va de soi que les organisations devront se conformer aux deux directives. Cela implique d’élargir le périmètre des enjeux respectivement pris en compte. Ce faisant, les entreprises et investisseurs seront plus à même d’anticiper la complexité croissante des attentes réglementaires.  

Ksapa est à ce titre une plateforme stratégique mondiale conçue pour répondre à ses interrogations. Notre réseau international de quelques 300 praticiens travaille justement avec les entreprises et investisseurs pour concevoir des cadres, politiques et initiatives collaboratives sur le terrain pour développer des solutions de remédiation des risques à grande échelle. Contactez-nous pour échanger sur la meilleure façon pour votre organisation de faire face aux pressions et réglementations multilatérales, en ayant un impact avéré à travers votre chaîne de valeur.