Skip to content
Voir tous les articles

CPRA : Les employés et la Nouvelle loi californienne sur la confidentialité

La Californie a préparé le terrain pour de nouvelles politiques globales lois et exigences en matière de confidentialité aux États-Unis. Cela a commencé avec la pose de la première pierre Loi californienne sur la protection de la vie privée des consommateurs (« CCPA ») qui a accordé aux consommateurs californiens plusieurs droits en matière de confidentialité des données. La Californie a innové en étant le premier (et jusqu'à présent le seul) État à offrir à ses employés un certain nombre de droits. droits à la vie privée.

Les « consommateurs californiens » devaient également inclure les employés ; après deux ans, la loi est entrée en vigueur, mais avec l'adoption de la Loi californienne sur les droits à la vie privée (« CPRA »), qui a considérablement modifié et élargi les exigences du CCPA – la disposition relative aux droits des employés entrera désormais en vigueur le 1er janvier 2023.

L'Agence californienne de protection de la vie privée (CPPA) Des séances d'information sur la CPRA sont toujours en cours, et les règles officielles ne sont pas attendues avant la fin de l'année. Par conséquent, les entreprises disposeront de peu de temps pour mettre en œuvre les nouvelles règles. Face à cette incertitude, les entreprises devraient prendre des mesures concrètes pour se conformer aux dispositions de la CPRA concernant les employés.

Qui est un employé ?

Dans le cadre de la CPRA, les exigences relatives aux employés s'appliquent aux résidents californiens exerçant leurs fonctions à temps plein ou partiel, aux candidats, aux entrepreneurs indépendants et à d'autres postes liés au travail (les « employés »). De nombreuses entreprises ayant de plus en plus proposé le télétravail pendant et depuis la pandémie, elles doivent déterminer quels employés seront soumis à la CPRA.

Le droit à la vie privée [des employés]

L'aspect le plus novateur de la loi californienne réside dans le fait que les droits à la vie privée accordés aux consommateurs seront également étendus aux employés. Ces droits incluent :

  • Le droit de savoir
  • Le droit de corriger les informations inexactes
  • Le droit de supprimer les informations personnelles détenues par l'entreprise – ou par un tiers de l'entreprise au nom de l'entreprise
  • Le droit de refuser la vente ou le partage de données
  • Le droit de limiter l'utilisation et la divulgation des informations personnelles sensibles des employés
  • Et, surtout, le droit de ne pas subir de représailles pour avoir exercé ces droits.

L'une des tâches les plus importantes consistera à évaluer et à répondre rapidement aux demandes de droits des employés, en y accédant ou en déterminant si une exception s'applique. Les entreprises devront élaborer un processus détaillé pour gérer les demandes de droits des employés, afin qu'elles soient vérifiées, acceptées ou refusées, en tout ou en partie, et qu'une réponse leur soit apportée dans les meilleurs délais.

Certains droits peuvent être exercés dans le cadre d'un modèle de libre-service. Par exemple, de nombreuses entreprises permettent déjà à leurs employés de mettre à jour ou de corriger les informations qu'elles détiennent à leur sujet. Dans d'autres cas, certains droits des employés peuvent ne pas s'appliquer du tout. Par exemple, si une entreprise ne « vend » pas de données à des fournisseurs, elle n'est pas tenue de leur accorder le droit de refuser la vente de données.

En outre, il existera probablement des exceptions légales sur lesquelles les entreprises pourront s'appuyer, car le droit à la vie privée des employés n'a pas pour objet d'affecter le besoin légitime d'une entreprise de continuer à traiter et à conserver certaines informations personnelles des employés. Par exemple, la demande d'un employé de supprimer des informations personnelles n'est pas absolue, car un employeur peut conserver des informations personnelles telles que le nom, l'adresse et les coordonnées bancaires, car ces informations sont nécessaires à l'exécution d'un contrat de travail existant.

Consommateurs ≠ Employés

Les droits CCPA existants pour les consommateurs californiens peuvent ne pas s'appliquer de la même manière dans le contexte de l'emploi. L'affaire Baker Holister illustre bien le droit de la CPRA de limiter l'utilisation et la divulgation des informations personnelles sensibles (« IPS »). Au sens strict de la loi, ce droit ne s'applique qu'aux données collectées dans le but de déduire des caractéristiques (§ 1798.121(a). En règle générale, les entreprises ne collectent pas d'IPS dans le but de déduire des caractéristiques de leurs employés ; dans le contexte de l'emploi, les IPS sont généralement traitées pour s'acquitter de responsabilités liées aux ressources humaines, telles que le traitement des paies et des avantages sociaux. La CPRA autorise le traitement des informations non collectées dans le but de déduire des caractéristiques comme des « informations personnelles » pour tous les articles de la CPRA. Sauf disposition contraire de la réglementation future, cela allège la charge de travail de l'entreprise, car il pourrait ne pas être nécessaire d'inclure le droit de limiter l'utilisation et la divulgation des IPS dans le processus de demande de la CPRA.

Toute l'Amérique ou Californie uniquement :

Si de nombreuses entreprises offrent désormais des droits aux consommateurs, quel que soit leur lieu de résidence, les avis divergent quant à la nécessité de limiter les droits des employés aux seuls employés basés en Californie. Les États non californiens pourraient éventuellement adopter des lois sur la protection de la vie privée assorties d'exigences spécifiques applicables à leurs employés résidents. De plus, il existe un risque d'abus des droits CPRA par les employés pour obtenir des informations susceptibles d'être utilisées dans le cadre d'une action en justice contre l'entreprise. Ce problème est récurrent dans le contexte du RGPD, et les entreprises basées aux États-Unis doivent en être conscientes.

4 étapes vers la conformité :

1. Faites un exercice de cartographie des données : Les entreprises doivent réaliser une cartographie des données de leurs systèmes RH afin de déterminer quelles informations personnelles elles collectent sur leurs employés, pourquoi elles le font et comment elles sont potentiellement partagées avec des tiers. Cette étape fondamentale permettra aux entreprises de comprendre ce qui doit être fourni ou non dans une demande relative aux droits des données.

2. Stockage des données des employés : Dans le cadre de la cartographie des données, les entreprises devront réfléchir à la manière dont elles gèrent et stockent les données des employés, car celles-ci sont généralement traitées séparément des systèmes de gestion client. La plupart des entreprises stockent et gèrent les données des consommateurs et des employés dans des systèmes entièrement distincts, et des services différents sont responsables de la gestion de chaque type de données.

3. Examiner les avis aux employés : La CPRA exige des entreprises qu'elles fournissent un avis à leurs employés concernant les données collectées et leur utilisation. Bien qu'aucun modèle d'avis n'ait été prévu en vertu de la CCPA ou de la CPRA, l'avis doit décrire « les catégories de renseignements personnels à collecter et les finalités de leur utilisation ». L'avis de confidentialité doit être remis aux employés « au moment de la collecte ou avant » et inclure une copie de la politique de confidentialité de l'entreprise, ou un lien vers celle-ci. Bien que la plupart de ces points puissent être abordés lors de l'intégration des employés, les équipes commerciales devront élaborer des procédures opérationnelles normalisées pour déterminer le moment opportun pour la diffusion de ces avis, car chaque nouvelle utilisation substantielle des données peut nécessiter un nouvel avis aux employés.

4. Mesures de sécurité : Comme pour les données des consommateurs, la CPRA exige des entreprises qu'elles protègent les données de leurs employés. Les entreprises doivent également savoir que les résidents californiens peuvent demander des dommages et intérêts légaux allant de $100 à 750 en cas de violation d'informations personnelles sensibles.

Comment BigID aide à gérer les données des employés de la CPRA (b2e)

BigID aide les organisations à s'adapter aux modifications spécifiques apportées CCPATirez parti de BigID pour atteindre une conformité totale avec la CPRA en utilisant notre portail libre-service et traitement automatisé des DSAR pour Conformité à la CPRAAvec BigID, les organisations peuvent :

 

Contenu