2 mai 2018 | Sterling

Mise en conformité de votre programme de vérification des antécédents au RGPD : quelques pratiques exemplaires

Mise en conformité de votre programme de vérification des antécédents au RGPD : quelques pratiques exemplaires

À compter du 25 mai 2018, dans quelques semaines, le Règlement général sur la protection des données (RGPD) entrera en vigueur et transformera les règles entourant la protection des données personnelles des Européens. Le but du RGPD est d’harmoniser les lois européennes sur la protection des données, d’affermir les règles sur la protection des données pour tenir compte de la révolution numérique et d’uniformiser les exigences qui s’appliquent aux entreprises et aux particuliers.

Depuis que la loi a été rédigée, Sterling Talent SolutionsMC n’a ménagé aucun effort pour assurer sa conformité au RGPD. Nous avons créé une série de webinaires en 10 volets, une liste de contrôle (en anglais), des FAQ sur le RGPD et des billets de blogue afin d’informer nos lecteurs des obligations que leur impose le RGPD et d’aider leurs programmes de vérification des antécédents à s’y adapter.

En quoi consiste le RGPD ? À qui s’applique-t-il ?

En général, le RGPD s’applique à toutes les entreprises qui exercent leurs activités au sein de l’Espace économique européen (EEE). Il s’applique aussi aux entreprises locales ou étrangères qui collectent des renseignements personnels dans le cadre de la prestation ou de la promotion de produits ou de services dans l’EEE, ou qui surveillent le comportement de personnes situées dans l’EEE.

En règle générale, il ne s’applique pas aux programmes de sélection préemploi des entreprises dont les activités de recrutement et d’exploitation ont lieu à l’extérieur de l’Espace économique européen. Par contre, si vos activités de vérification ne se limitent pas au contexte de l’emploi, le RGPD s’applique peut-être aux données que vous recueillez dans l’EEE, même si votre entreprise n’y a aucune présence commerciale. Sterling vous recommande de consulter vos conseillers juridiques pour savoir si le RGPD s’applique à votre programme de vérification.

Actions requises

En vertu des lois de protection de la vie privée en vigueur dans le monde, une organisation qui désire recueillir et traiter les renseignements personnels d’un particulier doit lui présenter un avis de confidentialité qui lui explique comment et pourquoi ces renseignements seront traités. Cette exigence ne date pas d’hier. Par contre, le RGPD a formulé de nouvelles directives précises concernant les avis de confidentialité. Si le RGPD s’applique à votre organisation, vous aurez besoin d’entreprendre certaines démarches pour répondre aux nouvelles exigences.

D’ici le 25 mai 2018, vous devez conclure un contrat avec votre fournisseur de vérifications des antécédents et formuler un avis de confidentialité qui seront conformes au RGPD. Veuillez noter que les formulaires de divulgation et d’autorisation requis par la FCRA, aux États-Unis, ne sont aucunement touchés par l’entrée en vigueur du RGPD. Les exigences de la FCRA et du RGPD sont tout à fait distinctes, notamment en ce qui concerne la documentation.

Effet du RGPD sur les vérifications des antécédents préemploi

Si vos décisions de recrutement se basent sur des renseignements obtenus pendant la vérification des antécédents, nous vous recommandons de formuler une politique de vérification des antécédents. Vous devez comprendre les méthodes de traitement des données qu’emploient vos fournisseurs tiers afin de vous assurer que leurs avis de confidentialité, leurs politiques et leurs contrats répondent aux exigences du RGPD. En général, le RGPD s’applique seulement aux programmes de sélection préemploi des entreprises dont les activités de recrutement et d’exploitation ont lieu dans les pays européens où il est en vigueur. Par contre, si vos activités de vérification ne se limitent pas au contexte de l’emploi, le RGPD s’applique peut-être aux données que vous recueillez en Europe, même si votre entreprise n’y a aucune présence commerciale. Les infractions au RGPD peuvent entraîner une amende de 4 % du chiffre d’affaires mondial de votre organisation ou de 20 millions d’euros, la valeur la plus élevée l’emportant.

Si le RGPD s’applique au programme de vérification de votre entreprise, il y a plusieurs facteurs importants que vous devez prendre en considération afin de bien préparer votre entreprise. Voici quelques pratiques exemplaires :

  • Déterminez si vos activités de traitement des renseignements personnels sont licites, et pour quelles raisons. Avez-vous besoin d’obtenir le consentement de la personne concernée pour vérifier ses antécédents?
  • Assurez-vous que vos avis de confidentialité contiennent tous les renseignements nécessaires.
  • Si vous collectez des données sensibles ou appartenant à une catégorie particulière, assurez-vous de le faire en conformité avec la loi.
  • Étudiez les lois des pays où vous exercez vos activités.
  • Assurez-vous que votre entreprise a conclu les ententes nécessaires pour régir le traitement et le flux transfrontières des données.
  • Dans votre entreprise, automatise-t-on parfois la prise de décisions ? Si c’est le cas, assurez-vous que quelqu’un évalue chaque dossier de vérification des antécédents, dans la mesure du possible.
  • Assurez-vous de bien comprendre les démarches que vous aurez besoin d’entreprendre, avec l’aide de Sterling, pour protéger les droits de vos candidats.
  • Demandez à vos conseillers juridiques ou à votre responsable de la protection des données (si vous en avez un) de réviser votre programme de vérification.

Conservation des dossiers en vertu du RGPD

Le RGPD n’a pas prévu de délai fixe en ce qui concerne la conservation de dossiers, mais il oblige les organisations à détruire ou à pseudonymiser les renseignements personnels dont elles n’ont plus besoin pour répondre à leurs besoins commerciaux ou à leurs obligations juridiques. Dans certains pays européens, la règlementation impose d’autres limites aux délais de conservation des renseignements qui proviennent de la vérification des antécédents. Vous aurez donc besoin de prendre certaines décisions pour votre organisation. Pendant combien de temps conserverez-vous les données qui vous sont confiées ? Souhaitez-vous que votre fournisseur de vérifications les conserve pour vous ?

Droit à l’oubli et autres droits individuels prévus par le RGPD

Votre fournisseur de vérifications des antécédents peut sans doute aider vos candidats à faire respecter les droits que leur confèrent le RGPD et les autres lois sur la protection de la vie privée, comme le droit d’accéder à leurs renseignements personnels, de les corriger, de s’opposer à leur traitement et, dans certains cas, de les faire supprimer.

Sterling enverra des communiqués à ses clients afin de les informer des mesures qui s’imposent si le RGPD s’applique à leur programme de vérification. Notamment, les clients de Sterling auront besoin de signer une entente relative au traitement de données et de réviser un nouveau modèle d’avis de confidentialité. Téléchargez notre liste de contrôle gratuite (en anglais) pour aider votre entreprise à se préparer au RGPD. Pour en savoir plus sur les conséquences du RGPD pour les employeurs américains et sur les mesures qu’ils peuvent adopter pour se conformer à la loi, inscrivez-vous à notre webinaire: GDPR Compliance: What It Means for HR in the US (en anglais).

Le présent document vous est présenté à titre indicatif seulement et ne peut aucunement être interprété comme un avis juridique. Nous déclinons toute responsabilité pour les dommages découlant de son utilisation. Nous vous recommandons de consulter votre avocat pour obtenir des conseils qui s’adaptent à vos besoins. Nous ne nous engageons pas à modifier des documents qui ont déjà été publiés.

Le présent document vous est présenté à titre indicatif seulement et ne peut aucunement être interprété comme un avis juridique. Nous déclinons toute responsabilité pour les dommages découlant de son utilisation. Nous vous recommandons de consulter votre conseiller juridique pour obtenir des conseils adaptés à vos besoins. Nous ne nous engageons pas à modifier les documents qui ont déjà été publiés.