En Janvier 2024, la Corporate Sustainability Reporting Directive (CSRD) entrera en application et s'appliquera à 50 000 entreprises. Cette directive s’accompagne d’un ensemble de normes et d’indicateurs, nommées European Sustainability Reporting Standards (ESRS), qui fourniront un cadre aux entreprises pour répondre aux exigences de la CSRD.
A l’instar du RGPD* qui définit le terme législatif de “Privacy by design”, la CSRD plaide pour la mise en œuvre d’une “Sustainability by Design” par les entreprises et de répondre à l’ambition de l’Europe d’atteindre la neutralité carbone en 2050. En effet, l'Union européenne s'est engagée dans une politique climatique ambitieuse : dans le cadre du Pacte vert pour l'Europe, elle vise à devenir le premier continent à éliminer autant d'émissions de CO2 qu'elle en produit d'ici 2050. Cet objectif est devenu juridiquement contraignant lorsque le Parlement européen et le Conseil ont adopté la loi sur le climat en 2021.
Cet article déchiffre les impacts et les opportunités associées pour les DSI.
Retrouvez les mots marqués d'un astérisque * en glossaire, à la fin de cet article.
Présentation de la CSRD
Mise en place par la commission européenne, la CSRD impose un reporting extra-financier à nos entreprises. Ce reporting, dont l’ESRS fournit le cadre, est un reporting de durabilité qui inclut des informations détaillées sur les risques, opportunités et impacts matériels en lien avec les questions sociales, environnementales et de gouvernance pour les entreprises (la suite de cet article va démystifier cette définition !).
La CSRD touchera environ 50 000 entreprises et se substituera à la NFRD*. Les entreprises concernées répondent à une de ces catégories :
- Les sociétés cotées sur les marchés réglementés européens, y compris les banques, assurances, PME cotées (les micro-entreprises identifiées par la directive comptable européenne sont exclues) ;
- Autres grandes entreprises européennes, cotées ou non, excédant deux des trois seuils définis : 250 salariés, 40 millions d'euros de chiffre d’affaires et/ou 20 millions d'euros de total au bilan ;
- Sociétés non-européennes dont les filiales ou succursales réalisent au sein de l'Union européenne un chiffre d’affaires supérieur à 150 millions d'euros.
La CSRD introduit de nouvelles contraintes pour les entreprises, toutes impactantes pour les DSI de celles-ci.
- Un renforcement et une standardisation des obligations de reporting : en s’appuyant sur des normes européennes harmonisées, les sociétés devront publier des informations détaillées sur leurs risques, opportunités et impacts matériels en lien avec les questions sociales, environnementales et de gouvernance, selon un principe de « double matérialité* » ;
- Une localisation unique : le reporting de durabilité sera publié dans une section dédiée du rapport de gestion ;
- Un format digital imposé : le rapport de gestion sera publié dans un format électronique unique européen xHTML. Des balises (ou tags) seront insérées dans le reporting de durabilité et seront définies dans une nouvelle taxonomie digitale ;
- Une vérification obligatoire de l’information par un commissaire aux comptes ou un organisme tiers indépendant (au choix des Etats), dans un premier temps avec un niveau d’assurance « modérée ». Un passage au niveau d’assurance « raisonnable » pourrait être requis à compter de 2028.
Les sanctions seront définies par chaque État membre dans le courant de l’année 2024, on peut prévoir des sanctions financières, administratives et éventuellement judiciaires. Sur le même modèle que la RGPD, ces sanctions seront publiques et pourraient avoir un impact d’image en compromettant la réputation de l’entreprise ainsi que ses relations commerciales.
S’il est regrettable de ne pas avoir les mêmes niveaux de sanctions au niveau européen, il est probable que celles prévues par la France seront parmi les plus contraignantes étant donné notre engagement politique et culturel, ainsi que nos textes de lois déjà en application sur ces sujets.
La CSRD vient enfin remplacer plusieurs textes de loi qui régissent la durabilité et la responsabilité sociale des entreprises (RSE) en France et à l’international. On peut nommer notamment
- La “Loi PACTE” (2019, France) ;
- La directive européenne “Non-Financial Reporting Directive” - NFRD - rentrée en application en France en juillet 2017 (concerne actuellement 11 700 entreprises) ;
- Les “Objectifs de développement durable de l’ONU” (2015, International) ;
- Ou encore la “Loi sur la transition énergétique pour la croissance verte” (2015, France).
Les nouvelles normes ESRS
ESRS : European Sustainability Reporting Standards
La CSRD prévoit la création de normes de reporting de durabilité détaillées, dites normes « ESRS » permettant d’encadrer et d’harmoniser les publications des sociétés. Ces normes sont de plusieurs types:
1- Des normes trans-sectorielles (« sector-agnostic »), applicables à l’ensemble des sociétés quel que soit leur secteur d’activité (référentiel de Juillet 2023) et elles-mêmes regroupées en trois catégories selon les critères ESG.
1.1 - Environnement
- E1 - Le changement climatique : ce critère exige une certaine transparence quant aux émissions de l’entreprise, l’usage de crédits carbone, les mesures d’adaptation mises en œuvre, la résilience au changement climatique et le plan de réduction des émissions de gaz à effet de serre (GES) ;
💬 Les DSI sont fortement partie-prenantes avec la mise en œuvre d’indicateurs carbones sur les projets informatiques, particulièrement sur les émissions carbones de la consommation électrique (scope* 2) et de la fabrication (scope* 3).
- E2 - la pollution : il convient de déterminer avec précision les polluants rejetés par l’entreprise et les postes les plus émetteurs ;
💬 Les DSI doivent prendre en compte les émissions directes (scope* 1) et la fabrication, le transport et la fin de vie (scope* 3) nécessaires aux projets informatiques; Que ce soit des impacts directs (hébergement on-premise) ou indirects avec un fournisseur (cloud), ou encore pour le matériel informatique local.
- E3 - les ressources hydriques et marines : l’entreprise doit délivrer des informations quant à la consommation d’eau de l’entreprise et la pollution des zones d’eau dont elles sont responsables ;
💬 Que ce soit au travers de ses activités propres ou de ses fournisseurs : les DSI peuvent inclure les consommations d’eau nécessaires au bon fonctionnement des serveurs responsables de l’exécution de leurs applications.
- E4 - la biodiversité et les écosystèmes : il s’agit d’indiquer l’impact de l’entreprise sur son environnement et la biodiversité qu’il abrite ;
💬 Que ce soit au travers de ses activités propres ou de ses fournisseurs : l’exploitation de serveurs a nécessité l’extraction de matières premières et d’industries pour permettre leur fabrication. La fabrication, le transport et la fin de vie des équipements (ainsi que des datacenters !) possède un impact sur la biodiversité.
- E5 - l’utilisation des ressources et l’économie circulaire : l’entreprise doit indiquer le type de ressources utilisées et la manière dont elle s’inscrit dans une démarche d’économie circulaire.
💬 Comme précisé dans les derniers points : une DSI s’appuie sur différents partenaires pour accéder à des puissances de calculs (on-premise ou via un “Cloud Service Provider”) et exécuter ses applications. La CSRD attend des entreprises une co-responsabilité dans le reporting des différents aspects environnementaux en considérant l’ensemble de la chaîne de valeur.
1.2 - Société
- S1 - les effectifs de l’entreprise : l’entreprise doit fournir des informations sur les conditions de travail de ses employés (rémunération, inclusivité, gestion des conflits, etc.) ;
- S2 - les employés de la chaîne de valeur : tout comme le premier critère, l’entreprise doit indiquer les politiques encadrant les employés de ses parties prenantes et ses fournisseurs, les processus de travail et les objectifs de réduction des impacts ;
- S3 - les communautés affectées : le fonctionnement d’une entreprise affecte la société et la population locale. Ce critère permet de savoir si cet impact est positif ou négatif ;
- S4 - les consommateurs et les utilisateurs : ici, l’entreprise doit partager des informations concernant les utilisateurs finaux de ses produits et/ou services - l’acquisition de la marchandise et son utilisation.
💬 Dans le cadre des solutions informatiques, à l’instar de la RGPD : les DSI doivent mettre en place des solutions transparentes et être claires sur les finalités de traitement.
1.3 - Gouvernance
- G1 - Cette dernière catégorie exige des informations quant au mode de gouvernance de l’entreprise, notamment au sujet de la conduite des affaires. L’entreprise doit démontrer qu’elle se protège contre les comportements anticoncurrentiels, les activités de lobbying ou la corruption, la fraude et le blanchiment d’argent permettant de faire progresser illégalement l’entreprise.
💬 La RGPD introduit la notion de renversement de la charge de la preuve : c’est à l’entreprise de démontrer qu’elle met en œuvre les outils et processus afin de respecter la loi. On peut s’attendre à ce que cette même exigence soit appliquée à cette norme.
2- Des normes sectorielles, dont la rédaction et l’adoption sont prévues en juin 2024. Il est d’or et déjà prévu un secteur “Technology” regroupant les “Media & Communication” (TMC) et “Software & IT Services” (TSI) qui auront donc leur propres normes de reporting associées aux DSI.
3- Des normes spécifiques pour les PME cotées sur les marchés réglementés, également prévues pour une adoption prévue en juin 2024.
Quelles opportunités pour les DSI
Bien que non-spécifiques aux entreprises dans l’informatique, certaines de ces nouvelles normes s’appliquent bel et bien aux DSI de tous types d’entreprises avec l’obligation de mettre en œuvre donc un reporting dédié aux impacts des parcs et solutions informatiques.
Le volet environnemental de ce reporting obligatoire s’inscrit pleinement dans la démarche du Numérique Responsable et du Green-IT : mettre en place des indicateurs qui doivent être intégrés aux projets comme critères de réussite dès la phase de cadrage et de conception. Ces objectifs permettront d’influencer l’ensemble des collaborateurs et des décisions qui participeront à la création des solutions informatiques.
Ces indicateurs inciteront les équipes à intégrer plusieurs leviers techniques dont voici quelques exemples et les impacts associés :
- Au niveau de l’hébergement d’une solution chez un fournisseur cloud, il est possible de sélectionner les régions les plus éco-responsable en fonction des émissions carbones lors de la production électrique de la région où est installé le datacenter (par exemple : choisir une région en Irlande, Allemagne ou Pologne est beaucoup plus polluant en CO2 équivalent qu'en France ou en Suède). Il est également possible de favoriser des technologies et générations de matériel plus économes en énergie (par exemple Graviton avec AWS).
- Dans l’automatisation devops, il est conseillé d’automatiser l’extinction des environnements de non-production la nuit, le week-end, ou pour de plus longues périodes lorsque les applications ne sont pas dans une phase active de développement. Il est aussi possible d’intégrer aux “pipelines” de livraison des solutions mesurant la consommation des ressources physiques et y associer une équivalence carbone (et directement intégrable dans le reporting final). Enfin la mise en place de règles sur le cycle de vie des données (stockage et registres d’objets, règles des sauvegardes, etc.) est une bonne manière d’éviter l’accumulation involontaire de données devenant obsolètes.
- L’éco-développement logiciel doit être vigilant à la complexité applicative et tendre à une optimisation du code plutôt que l’utilisation abusive à des dépendances “sans fond” de certains langages. Favoriser le contenu statique et les architectures exploitant le “caching” permet aussi une diminution des temps de calcul (certaines architectures exécutent les changements sur une page de contenu du côté serveur une seule fois pour mettre à jour seulement certaines informations afin d’éviter de recalculer l’ensemble de la page à chaque requête). Enfin et de manière transverse, la réduction des contenus, la compression des images, ou encore éviter les fonctionnalités énergivores telles que les vidéos sont de puissants leviers pour réduire l’impact carbone des applications.
- Les développements front-end et mobiles ont un impact significatif car, par effet multiplicatif du nombre d’appareils, ils concentrent plus de la moitié des émissions CO2 du numérique. La fabrication de ces terminaux est la part la plus importante des émissions CO2 équivalent dans leur cycle de vie : il faut encourager leur utilisation sur le long-terme, et ceux en limitant les besoins matériels des applications afin d’éviter une obsolescence matérielle; Appliquer ensuite les bonnes pratiques ci-avant sur l’éco-développement logiciel.
- Enfin, la gestion du cycle de vie des données est importante à cause de leur volume. Il est utile de stocker uniquement les données utiles et utilisées, identifier et tagguer les données lors de leur ingestion et nettoyer ou archiver les données obsolètes. Des architectures vertueuses tendent à réduire le périmètre de travail aux seules données utiles et à réunir les données proches (en termes d’usage fonctionnel) sur des mêmes instances de calcul. Enfin, l'exploitation de solutions technologiques adaptées au format des données (car moins énergivore) et avoir un regard critique sur la taille des données (médias, 4K, compression, etc.) sont autant de bonnes pratiques à adopter.
Les phases de recette, de monitoring et d’amélioration continue doivent intégrer ces nouveaux indicateurs de développement durable qui apporteront de la visibilité sur les performances environnementales des solutions, et de s’assurer de l’implémentation de ces leviers techniques afin de respecter la feuille de route initiale. Ces critères permettent donc de responsabiliser les équipes (dans leur implémentation) et les décideurs (dans leur suivi opérationnel et leur vision stratégique).
En effet, l’essence de la CSRD est d’inciter à une “Sustainability by design”, là où aujourd’hui l'essentiel des projets informatiques traitent les indicateurs environnementaux en fin de projet. En effet, cette prise en compte tardive de ces indicateurs entraîne l’implémentation tardive des leviers techniques précédemment cités, entraînant à leur tour des délais et des coûts supplémentaires aux projets car leurs mises en œuvre nécessitent souvent des changements profonds dans les architectures des projets. Cette invitation aux DSI d’intégrer ces indicateurs en début de projet est donc une réelle opportunité !
Enfin ces contraintes peuvent aussi être transformées en opportunités en permettant aux entreprises d’adopter un langage commun pour communiquer avec d’autres entreprises, comparer leurs performances et partager de bonnes pratiques.
Glossaire
RGPD : Réglementation Générale sur la Protection des Données : rentrée en application en Europe en mai 2018. GDPR (anglais).
NFRD : Non-Financial Reporting Directive : texte de loi européen et entré en application en France en juillet 2017. Cette directive concerne actuellement 11 700 entreprises.
Double matérialité : Le concept de double matérialité correspond à l’analyse de deux types de matérialité : la matérialité financière et la matérialité d’impact (ou extra-financière). Cette seconde matérialité prend en compte les impacts négatifs ou positifs de l’entreprise sur son environnement économique, social et naturel et englobe donc les impacts environnementaux, sociaux et de gouvernance (ESG).
Scopes 1, 2 & 3 : Les émissions directes et indirectes : cartographie des scopes 1, 2 et 3 selon le GHG Protocol.
Sources
- La nouvelle directive CSRD sur le reporting de durabilité des sociétés | AMF (amf-france.org)
- La nouvelle règlementation CSRD : ce que vous devez savoir (bpifrance.fr)
- La Directive CSRD (Corporate Sustainability Reporting Directive) (greenly.earth)
- Qu'est-ce que la neutralité carbone et comment l'atteindre d'ici 2050 (europa.eu)
- Qu’est-ce que la double matérialité (goodwill-management.com)