8 juin 2018 | Sterling

L’incidence du RGPD sur les ressources humaines au Canada et aux États-Unis

L’incidence du RGPD sur les ressources humaines au Canada et aux États-Unis

Votre boîte de réception a-t-elle récemment été bombardée par des ententes de confidentialité provenant de banques, de fournisseurs de services numériques et de messagerie électronique, d’outils de recherches et de réseaux sociaux? Au Canada et aux États-Unis, beaucoup d’entreprises ont révisé leurs ententes de confidentialité pour les rendre plus conformes aux nouvelles dispositions du RGPD de l’Union européenne.

Le 25 mai 2018, une nouvelle loi, le Règlement général sur la protection des données (RGPD), est entrée en vigueur et a transformé les règles entourant la protection des données personnelles des Européens. Ce changement devrait-il préoccuper les entreprises canadiennes et américaines? Dans un récent webinaire, La conformité au RGPD dans le domaine des ressources humaines au Canada et aux États-Unis (en anglais), notre vice-président adjoint de la protection de la vie privée, Mark Sward, a expliqué les conséquences des nouvelles lois relatives à la protection de la vie privée sur les entreprises dont les bureaux, les salariés, les fournisseurs ou les activités se situent dans l’Union européenne.

Sterling Talent SolutionsMC a commencé à se préparer à l’entrée en vigueur du RGPD en janvier 2016. Nous avons systématiquement révisé nos politiques, nos systèmes et nos méthodes afin de les mettre en conformité. Nous avons aussi créé une série de webinaires en 10 volets, une liste de contrôle, des FAQ sur le RGPD et des billets de blogue afin d’informer nos lecteurs des obligations imposées par le RGPD et de les aider à adapter leurs programmes de vérification des antécédents.

En quoi consiste le RGPD?

Le but du RGPD est d’harmoniser les règles européennes sur la protection des données, d’affermir les règles sur la protection des données pour tenir compte de la révolution numérique et d’uniformiser les exigences qui s’appliquent aux entreprises et aux particuliers. Il revigore et consolide les lois européennes sur la protection de la vie privée, tout en introduisant des concepts et des obligations techniques à l’intention des entreprises qui traitent des renseignements personnels. Le RGPD remplace les lois sur la protection de la vie privée des États membres de l’Union européenne. Selon la définition proposée par le RGPD, on entend, par données personnelles, « toute information se rapportant à une personne physique identifiée ou identifiable ».

À qui s’applique le RGPD?

Au contraire des anciennes lois de protection des données européennes, le RGPD a une portée extraterritoriale, ce qui représente sans doute l’innovation la plus importante du nouveau règlement. Le RGPD s’applique aux entreprises suivantes :

  • Les entreprises européennes qui traitent des données personnelles dans l’Union européenne ou ailleurs
  • Les entreprises non européennes qui offrent leurs produits ou leurs services à des particuliers dans l’Union européenne, moyennant un paiement ou non
  • Les entreprises non européennes qui surveillent le comportement de particuliers dans l’Union européenne

De nombreux mythes entourent le RGPD. Dissipons-en un : le RGPD ne s’applique PAS aux données provenant de tous les citoyens de l’Union européenne, qu’ils soient situés en Europe ou non. En fait, le règlement n’est applicable que lorsqu’une entreprise qui détient ou traite des données est située dans l’Union européenne, offre des biens ou des services à une personne qui est située dans l’Union européenne, ou surveille le comportement d’une personne dans l’Union européenne.

En quoi consistent les changements introduits par le RGPD?

Les concepts de « responsable des données » et de « sous-traitant » sous-tendent les règles du RGPD. Une organisation qui traite les données personnelles ou demande à un tiers de le faire pour elle peut être considérée comme un responsable ou un sous-traitant, selon les circonstances :

  • Responsable des données: Le responsable des données détermine les finalités et les moyens du traitement. Dans le cadre de la vérification des antécédents, l’organisation requérante est responsable des données.
  • Sous-traitant: Le sous-traitant traite les données pour le compte du responsable des données. Une entreprise qui réalise des vérifications des antécédents pour le compte de ses clients est considérée comme un sous-traitant.

Le RGPD fait de la protection des données dès la conception et de la protection des données par défaut des obligations, ce qui signifie qu’elles doivent être incorporées dans les activités de traitement des données personnelles dès leur commencement. Par défaut, chaque activité doit protéger la vie privée des personnes concernées et limiter le nombre de renseignements qui seront transmis. De plus, le RGPD a codifié certains droits, dont le « droit à l’oubli » et le droit à la portabilité des données.

De nouvelles mesures d’application, plus rigoureuses, font partie des innovations du RGPD. Une société non conforme risque de faire l’objet d’une amende pouvant aller jusqu’à 20 millions d’euros ou 4% de son chiffre d’affaires global. De surcroît, le RGPD a rendu possible la création d’un « guichet unique » où une autorité de règlementation globale est suffisante pour évaluer chaque situation, supplantant ainsi les autorités nationales.

Quelle est l’incidence du RGPD sur votre programme de vérification des antécédents?

En règle générale, le RGPD s’applique seulement aux entreprises qui recrutent et pratiquent leurs activités dans l’Espace économique européen et dont le programme de sélection des employés est déjà soumis à la loi européenne. Par contre, si vos activités de vérification ne se limitent pas au contexte de l’emploi, le RGPD s’applique peut-être aux données que vous recueillez dans l’EEE, même si votre entreprise n’y a aucune présence commerciale. Consultez vos spécialistes en protection de la vie privée ou vos conseillers juridiques pour de plus amples informations.

Le Règlement général sur la protection des données ne s’applique pas normalement dans les contextes suivants:

  • La vérification des antécédents de citoyens européens qui habitent et travaillent à l’extérieur de l’Union européenne
  • La sélection d’employés ou de candidats qui habitent dans l’Union européenne, mais déménageront aux États-Unis, au Canada ou ailleurs afin de travailler pour un employeur local
  • La vérification des antécédents de travailleurs basés au Canada ou aux États-Unis

Si vos décisions de recrutement sont fondées sur des renseignements obtenus pendant la vérification des antécédents, nous vous recommandons de formuler une politique de vérification des antécédents. Vous devez être au courant des lois qui s’appliquent à votre programme, car il vous faut comprendre les méthodes de traitement des données qu’emploient vos fournisseurs tiers pour vous assurer que leurs avis de confidentialité, leurs politiques et leurs contrats répondent aux exigences juridiques.

Conseils de conformité au RGPD

Pour commencer, déterminez si le RGPD s’applique à votre programme de vérification des antécédents. Si ce n’est pas le cas, vous n’avez pas à vous en préoccuper. Par contre, si le RGPD s’applique à votre organisation, révisez votre programme de vérification des antécédents et vos politiques. La liste de contrôle de Sterling (en anglais) est un guide pratique conçu pour aider les entreprises à se mettre en conformité au RGPD.

Demandez à votre fournisseur de services de vérification des antécédents de vous fournir une copie de son nouvel avis de confidentialité et de sa nouvelle entente de traitement des données. Pour en savoir plus sur l’incidence du RGPD sur la vérification des antécédents au Canada et aux États-Unis, téléchargez notre webinaire à la demande (en anglais).

Le présent document vous est présenté à titre indicatif seulement et ne peut aucunement être interprété comme un avis juridique. Nous déclinons toute responsabilité pour les dommages découlant de son utilisation. Nous vous recommandons de consulter votre conseiller juridique pour obtenir des conseils adaptés à vos besoins. Nous ne nous engageons pas à modifier les documents qui ont déjà été publiés.