Nous contacter
Réglementation & référentiels

Assurance limitée CSRD : ce que votre OTI va vérifier en 2026

Vous avez produit votre rapport CSRD. Votre OTI, lui, ne va pas le lire. Il va remonter chaque donnée jusqu'à sa source, vérifier qui l'a saisie, qui l'a validée, si elle a été modifiée. La question n'est plus "avons-nous un rapport conforme ?" Elle est : "notre infrastructure tient-elle à ce niveau d'exigence ?"

Temps de lecture estimé : X min

Illustration : ce que l'OTI vérifie lors de l'assurance limitée CSRD sur les données extra-financières
Sophie Petitjean
June 12, 2026
Copier le lien

Sommaire

Heading 2
Heading 3
Heading 4
Heading 5
Heading 6

L'assurance limitée, qu'est-ce que c'est ?

L'assurance limitée est le niveau de vérification externe imposé par la CSRD sur les informations de durabilité publiées. Elle est déjà obligatoire pour les entreprises de la vague 1 (ex-NFRD). Elle s'étend progressivement aux entreprises dépassant 1 000 salariés et 450 millions d'euros de chiffre d'affaires.

Concrètement, l'OTI doit pouvoir conclure qu'aucun élément significatif ne lui permet de penser que les informations publiées comportent des anomalies. Pour y parvenir, il ne lit pas le rapport. Il remonte la chaîne de la donnée.

Le standard définitif d'assurance limitée est attendu avant juillet 2027, mais les premières vagues d'audit sont déjà en cours. Les entreprises qui attendent ce standard pour se préparer prennent un risque.

Ce que l'OTI vérifie

L'auditeur ne part pas du rapport publié. Il part de la donnée brute et vérifie qu'elle peut raisonnablement justifier ce qui est publié.

Les cinq questions types qu'un OTI pose systématiquement :

  • D'où vient cette donnée ? Quelle est sa source, qui l'a collectée, selon quelle méthodologie ?
  • Qui l'a validée ? Y a-t-il un workflow de validation documenté, avec un responsable identifié ?
  • A-t-elle été modifiée ? Si oui, par qui, quand, et pour quelle raison ?
  • Est-elle cohérente dans le temps ? Peut-on la comparer à l'exercice précédent sans rupture méthodologique ?
  • Est-elle cohérente entre entités ? Pour les groupes multi-sites, la consolidation est-elle traçable ?

Si vous ne pouvez pas répondre à ces cinq questions en quelques clics, vous avez un problème d'infrastructure, pas un problème de reporting.

Pourquoi Excel et les outils de reporting classiques ne passent pas l'audit

La plupart des équipes RSE ont construit leur processus de collecte autour d'un tableur et d'un outil de reporting. Ce modèle a une limite structurelle : la piste d'audit n'est pas native, elle est reconstituée.

Reconstituer une piste d'audit signifie retrouver les emails, les fichiers versionnés, les notes éparses, les exports qui ne correspondent pas exactement aux chiffres publiés. C'est du temps. C'est du risque. Et c'est souvent impossible quand la personne qui a construit le modèle n'est plus là.

Un auditeur qui ne peut pas retracer une donnée jusqu'à sa source dispose de deux options : émettre une réserve, ou demander à l'entreprise de reconstituer l'historique avant de conclure. Dans les deux cas, le coût est élevé.

Le problème n'est pas le rapport. C'est que la donnée n'a pas été gouvernée en amont.

Les 4 exigences d'infrastructure qu'un auditeur attend

Pour passer l'assurance limitée aisément, votre infrastructure de données extra-financières doit répondre à quatre exigences concrètes.

1. Une source unique de vérité

Chaque point de données doit être défini, collecté, et réutilisé dans tous les contextes : rapport CSRD, questionnaire investisseur, tableau de bord de direction. Si la même donnée existe dans plusieurs fichiers avec des valeurs légèrement différentes, l'auditeur le verra.

2. Une traçabilité native, pas reconstituée

Qui a saisi quoi, quand, avec quelle méthode ? Qui a validé ? Qui a modifié, et pourquoi ? Ces informations doivent être enregistrées automatiquement par le système, pas reconstituées manuellement avant chaque audit.

3. Des droits d'accès documentés

L'auditeur vérifie que les personnes qui ont accès à la donnée sont celles qui sont censées l'avoir. Un système sans gestion des droits par rôle ne peut pas garantir l'intégrité de la donnée.

4. Un hébergement souverain

Pour les entreprises soumises au RGPD, les données ESG incluant des informations sur les salariés (écarts de rémunération, taux d'accidents, données démographiques) sont des données personnelles. Les traiter sur une infrastructure hors juridiction européenne crée une exposition juridique directe. Un OTI peut soulever ce point dans son rapport.

Ce que ça change pour le DAF et le responsable RSE

Pour le responsable RSE, la préparation à l'audit ne commence pas trois mois avant la clôture. Elle commence dès le lancement des campagnes de collecte. Chaque point de données collecté doit être validé, sourcé et documenté au fil de l'eau. Pas en amont de l'audit.

Pour le DAF, l'enjeu est de traiter la donnée extra-financière avec le même niveau d'exigence que la donnée financière. Dans votre ERP financier, l'auditeur peut retracer n'importe quel chiffre jusqu'à sa source en quelques clics. La traçabilité est native. Elle doit l'être aussi pour vos données de durabilité.

La bonne question à se poser n'est pas "notre rapport est-il conforme ?" mais "notre infrastructure permet-elle à un auditeur de vérifier chaque chiffre sans que nos équipes passent trois semaines à reconstituer l'historique ?"

Comment Harnest répond à ces exigences

Harnest est conçu autour de cette logique d'auditabilité native.

Chaque point de données collecté dans Harnest dispose d'un historique complet : qui l'a saisi, quand, avec quelle valeur, qui l'a modifié et pour quelle raison. Cette traçabilité est automatique, pas optionnelle.

Les statuts de validation permettent à chaque organisation de définir ses workflows : un contributeur saisit, un responsable valide, un validateur final approuve. Chaque étape est horodatée et documentée.

Les droits d'accès sont gérés par rôle et par périmètre. Un utilisateur ne voit et ne modifie que ce qu'il est autorisé à voir. L'auditeur peut vérifier ces droits directement.

L'audit d'un enjeu permet de consulter l'intégralité des modifications apportées à un enjeu de durabilité, avec l'identité de chaque intervenant et la date de chaque action.

Harnest est hébergé sur une infrastructure cloud SecNumCloud, et utilise Mistral AI pour ses fonctionnalités d'intelligence artificielle. Vos données extra-financières ne quittent pas la juridiction européenne.

Le reporting CSRD n'est pas le point de départ de l'audit. C'est le résultat d'un pilotage structuré tout au long de l'année. C'est précisément pour cela que Harnest est un ERP extra-financier, pas un outil de reporting.

La bonne question à poser avant de choisir son infrastructure de pilotage ESG

Avant de sélectionner un outil pour piloter vos données extra-financières, posez quatre questions simples :

  • Si mon OTI me demande de retracer cette donnée jusqu'à sa source, combien de temps me faut-il ?
  • Puis-je montrer qui a validé chaque point de données, et quand ?
  • Mes données ESG incluant des informations sur mes salariés sont-elles traitées en conformité avec le RGPD ?
  • Mon infrastructure me permettra-t-elle de passer à l'assurance raisonnable si les exigences évoluent ?

Si vous ne pouvez pas répondre clairement à ces quatre questions, vous n'avez pas un outil de pilotage. Vous avez un outil de production documentaire.