employment-law
L'impact de Gdpr sur les manuels des employés internationaux
Table of Contents
Comprendre le RGPD: un amorce pour les employeurs mondiaux
Le règlement général sur la protection des données (RGPD) est un cadre historique de confidentialité des données adopté par l'Union européenne en mai 2018. Sa portée s'étend bien au-delà de l'Europe et de la 8217; ses frontières: toute organisation qui traite les données personnelles des personnes résidant dans l'UE, quel que soit le lieu où l'entreprise est basée, doit se conformer.
Dans le cadre du RGPD, les données à caractère personnel comprennent toute information relative à une personne physique identifiée ou identifiable, ce qui comprend des éléments évidents tels que les noms, adresses et détails de paie, mais aussi des données moins évidentes comme les adresses IP, les examens de performance, les dossiers de santé, et même les opinions politiques d'origine ethnique (qui relèvent de catégories particulières faisant l'objet de protections accrues). Les employeurs agissent en tant que responsables du traitement des données, déterminent les finalités et les moyens de traitement des données des employés et doivent s'assurer qu'ils ont une base légale pour chaque activité de traitement.
Les employés jouissent également d'une série de droits en vertu du RGPD, y compris le droit d'être informé, le droit d'accès, le droit de rectification, le droit d'effacer (“droit d'être oublié”), le droit de restreindre le traitement, le droit à la portabilité des données, le droit d'opposition et les droits liés à la prise de décision automatisée et au profilage.Ces droits ne sont pas absolus.
Les autorités de surveillance (comme le UK’s Commissaire à l'information’s Office ou la CNIL française) peuvent imposer des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel global, selon le chiffre d'affaires le plus élevé.
Pourquoi les manuels des employés doivent-ils traiter du RGPD?
Avant le RGPD, de nombreux manuels contenaient des déclarations de protection de la vie privée succinctes ou ne faisaient référence qu'à des lois locales sur la protection des données. Aujourd'hui, le manuel doit doubler en tant que document transparent sur la protection des données qui satisfait aux obligations d'information prévues aux articles 13 et 14 du RGPD. Lorsque les employés adhèrent à une entreprise, ils doivent être informés, dans un langage concis, transparent et facilement accessible, de ce qui suit :
- Les coordonnées et les coordonnées du responsable du traitement (l'employeur) et du délégué à la protection des données (DPO) si un tel responsable est nommé.
- Les finalités et la base légale du traitement de leurs données personnelles.
- Les catégories de données personnelles collectées (si elles ne sont pas obtenues directement auprès du salarié).
- Les bénéficiaires ou les catégories de bénéficiaires des données (p. ex., les fournisseurs de la paye, les administrateurs des prestations, les assureurs).
- Détails sur tout transfert de données vers des pays tiers et garanties en place.
- La période de conservation pour chaque catégorie de données ou les critères utilisés pour la déterminer.
- L'existence de chaque droit de la personne concernée et la manière de l'exercer.
- Le droit de porter plainte auprès d'une autorité de contrôle.
- La fourniture de données à caractère personnel est une exigence légale ou contractuelle et les conséquences de l'omission de la fournir.
- L'existence d'un processus décisionnel automatisé, y compris le profilage, et de renseignements significatifs sur la logique en cause.
La publication de ces informations uniquement dans un manuel que les employés reçoivent en cours d'embauche ne suffit pas. Le RGPD exige que les informations soient fournies au moment de la collecte des données. Pour les données recueillies au cours du recrutement, cela signifie un avis de confidentialité à l'étape de la demande.
Sections clés du manuel qui nécessitent un RGPD
Clauses de consentement (et pourquoi les éviter)
Le considérant 43 du RGPD stipule que le consentement n'est pas donné librement s'il existe un déséquilibre évident entre la personne concernée et le responsable du traitement et 8212; précisément la situation dans une relation de travail. Au lieu de cela, il faut se fier à la nécessité contractuelle (traitement nécessaire à l'exécution du contrat de travail, p. ex., salaire) ou à des intérêts légitimes (traitement pour l'administration du personnel, la sécurité ou la gestion du rendement, équilibrés par rapport aux employés et 8217; droits). Lorsque l'intérêt légitime est utilisé, le manuel doit expliquer l'intérêt et le test d'équilibre effectué.
Avis de collecte et de traitement de données
Le manuel doit servir de préavis détaillé. Énumérez chaque catégorie de données sur les employés que l'entreprise recueille et n°8212;des coordonnées de base aux mesures de rendement, aux images vidéosurveillance, aux registres d'utilisation des appareils et aux horloges biométriques. Indiquez l'objet de chaque catégorie (p. ex., la vidéosurveillance pour la sécurité et la sûreté; la surveillance des appareils pour la conformité aux TI).
Droits des employés en matière de données et comment les exercer
Décrivez chaque RGPD en langage clair.
- Droit d'accès: Vous pouvez demander une copie des données personnelles que nous détenons à votre sujet.
- Droit à la rectification: Si vos données personnelles sont inexactes ou incomplètes, vous pouvez nous demander de les corriger.
- Droit à l'effacement: Dans certaines situations, vous pouvez nous demander de supprimer vos données personnelles.
- Droit de restreindre le traitement[: Vous pouvez demander que nous limitions la façon dont nous utilisons vos données.
- Droit à la portabilité des données[ : Vous pouvez demander à recevoir vos données dans un format structuré, couramment utilisé, lisible par machine.
- Droit d'opposition: Vous pouvez vous opposer à un traitement fondé sur des intérêts légitimes ou le marketing direct.
Fournir une procédure claire: qui contacter (DP ou RH), comment soumettre une demande (de préférence par écrit ou via un portail dédié) et les délais de réponse prévus. Inclure les coordonnées de l'autorité de surveillance principale afin que les employés sachent qu'ils peuvent déposer une plainte à l'extérieur.
Protocole de réponse aux cas de violation des données
Le RGPD exige que les responsables du traitement avisent l'autorité de surveillance dans les 72 heures suivant la prise de conscience d'une violation de données personnelles, à moins que la violation ne risque peu de se produire pour les personnes. Si la violation présente un risque élevé, les employés touchés doivent être informés sans retard indu. Le manuel doit décrire la chaîne de signalement des infractions internes : qui doit aviser (p. ex., sécurité des TI, DPD), quelles informations inclure et les mesures que l'entreprise prendra pour contenir, évaluer et aviser.
Calendriers de conservation et de suppression des données
Le principe de limitation du stockage du RGPD’ exige que les données personnelles ne soient conservées que pendant la période nécessaire aux fins pour lesquelles elles sont traitées. Le manuel devrait renvoyer à la politique de conservation des données de l'entreprise’, en précisant les délais standard (p. ex., les états de paie pendant six ans après la cessation d'emploi; les données de recrutement pendant six mois si elles échouent; les données de l'examen du rendement pour la durée de l'emploi plus deux ans).
Les défis pour les employeurs multinationaux
Pour les entreprises opérant dans plusieurs pays, l'harmonisation des manuels des employés avec le RGPD tout en respectant les lois locales est une tâche complexe. L'Union européenne elle-même se compose de 27 États membres, chacun ayant ses propres lois d'application et autorités de surveillance. De plus, le Royaume-Uni exploite maintenant sa propre version du RGPD (RGPD britannique), qui est largement identique mais qui diverge de manière mineure et est appliqué par l'ICO.
Surlaps de temps judiciaire[: Lorsqu'une entreprise américaine embauche un résident de l'UE comme travailleur à distance, le RGPD et les lois applicables des États américains (comme la LCPA) peuvent s'appliquer. Le manuel doit concilier des exigences contradictoires. Par exemple, la LCPA donne aux employés le droit de ne pas vendre de données personnelles et #8212; un concept absent du RGPD. Le RGPD a un droit d'effacement plus large à certains égards que les droits de suppression de la LCPA. Les employeurs devraient créer une politique de base globale qui répond au plus grand dénominateur commun (généralement le RGPD) et ensuite ajouter des addenda spécifiques à chaque pays.
Les obstacles linguistiques et culturels: Le RGPD exige que l'information soit fournie dans une langue que l'employé peut comprendre.Pour les travailleurs multinationaux, cela signifie traduire le manuel dans les langues locales pertinentes.Mais la traduction seule est insuffisante; le contenu doit également être culturellement approprié et conforme à la terminologie juridique locale.Un avis de confidentialité mal traduit peut entraîner la confusion et la non-conformité.
Risques d'exécution: Les autorités de surveillance coordonnent de plus en plus les affaires transfrontalières par le biais du RGPD’s “un-stop-shop” mécanisme, c'est-à-dire qu'une multinationale peut être confrontée à une seule autorité de tête (celle où se trouve son établissement principal dans l'UE) mais être toujours sujette à des plaintes de personnes concernées dans l'ensemble du bloc.
Pratiques exemplaires pour les manuels des employés conformes au RGPD
Vérification des données avant la rédaction
Avant de mettre à jour le manuel, cartographiez toutes les activités de traitement des données des employés tout au long du cycle de vie des employés : recrutement, embarquement, paye, avantages sociaux, gestion du rendement, voyages, remboursement des dépenses, surveillance des TI, hors-bord et archives post-emploi. Documentez chaque objectif de traitement, base légale, catégories de données, période de conservation et si les données sont transférées à des tiers ou à l'étranger.
Impliquez les ressources juridiques et humaines dès le début
Les professionnels des RH comprennent les aspects pratiques des processus d'emploi, mais le droit de la protection des données est un domaine spécialisé. Assembler une équipe interfonctionnelle qui comprend des conseillers internes ou externes en protection des données, le DPD (s'il est nommé), le leadership des RH et la sécurité des TI.
Mettre en oeuvre les programmes de formation des employés
Un manuel n'est efficace que si les employés comprennent et suivent ce guide. Offrir une formation obligatoire sur la protection de la vie privée à tous les employés à bord et aux personnes qui se rafraîchissent chaque année. La formation devrait couvrir : la reconnaissance des données personnelles, la connaissance des personnes à qui signaler les violations, la compréhension des droits (de sorte que les employés peuvent les exercer avec confiance) et la compréhension des activités de traitement des données de l'entreprise et de la société.
Examens réguliers et contrôle de version
Le RGPD n'est pas statique; le Conseil européen de la protection des données publie des lignes directrices et les décisions judiciaires (comme la décision Schrems II invalidant Privacy Shield) changent le paysage. Prévoir un examen officiel du manuel des employés et du numéro 8217; s'applique aux sections sur la protection des données au moins une fois par année, ou chaque fois qu'un développement réglementaire important se produit.
Utiliser un langage clair et non légaliste
Le RGPD exige que les informations soient claires, transparentes, intelligibles et facilement accessibles.” Évitez de réciter des articles du RGPD de façon textuelle. Au lieu de cela, expliquez les obligations en anglais simple (ou en langue locale). Par exemple, au lieu de “Nous traitons vos données personnelles en fonction d'un intérêt légitime,” écrivez “Nous utilisons vos données de performance pour déterminer les promotions et les bonus parce que cela nous aide à gérer notre entreprise équitablement.
Liste de contrôle applicable aux employeurs
Utilisez cette liste de contrôle pour vous assurer que votre manuel des employés respecte les normes du RGPD :
- Inclure une section dédiée à la protection des données au début du manuel.
- Indiquer l'identité de la société, les coordonnées et le DPO (s'il y a lieu).
- Énumérez toutes les catégories de données sur les employés recueillies et les fins de chaque enquête.
- Préciser le fondement légal de chaque activité de traitement (éviter le consentement général).
- Décrire les droits des employés au RGPD et la procédure à suivre pour les exercer.
- Inclure un calendrier de conservation des données ou une référence pour la trouver.
- Expliquer les transferts transfrontaliers de données et les mesures de sauvegarde en place.
- Fournir une procédure de notification d'infraction pour les employés.
- Ajouter une clause sur la prise de décision et le profilage automatisés (le cas échéant).
- Obtenir un examen juridique auprès d'un spécialiste du RGPD dans chaque juridiction pertinente.
- Traduire le manuel dans les langues parlées par les employés.
- Former tous les employés aux politiques de confidentialité.
- Établir un cycle d'examen (au moins une fois par année) avec contrôle de la version.
- Rendre le manuel facilement accessible (intranet, lecteur partagé, copie imprimée).
L'intégration des exigences du RGPD dans les manuels des employés n'est pas un projet ponctuel mais un engagement continu. En intégrant la protection des données dans la gouvernance quotidienne du lieu de travail, les employeurs non seulement respectent la loi, mais aussi construisent une culture de transparence, de confiance et de respect des frontières personnelles.
Pour plus d'informations, consulter les ressources officielles: le texte intégral du RGPD est disponible sur EUR-Lex, l'ICO du Royaume-Uni publie des guides pratiques pour les employeurs, et le Conseil européen pour la protection des données fournit des lignes directrices contraignantes[ sur des sujets tels que la notification d'intérêts légitimes et de violation de données.