Politique de confidentialité des employés

Une politique de confidentialité des employés est une documentation spécifiant les règles et procédures d'une organisation pour la collecte, l'utilisation et la divulgation des informations personnelles des anciens, actuels ou futurs employés. Certains éléments des politiques de confidentialité peuvent être imposés par les lois du travail, tandis que d'autres sont spécifiques à une organisation donnée.

Une politique de confidentialité des employés doit définir ce qui constitue des informations personnelles et les moyens par lesquels elles pourraient être collectées. En règle générale, la plupart des entreprises définissent les informations personnelles comme incluant toutes les données des employés (telles que l'adresse du domicile et les antécédents professionnels), et toutes les communications qui ne sont pas liées au travail.

Une politique doit clairement stipuler les situations dans lesquelles un employé ne doit pas supposer que ses données et communications sont privées. Les appels téléphoniques, les textes, les courriels et les communications sur les médias sociaux qui sont transmis sur des équipements appartenant à l'entreprise, par exemple, ne sont pas légalement protégés. Les logiciels et les sites web qui ne sont pas nécessaires à des fins professionnelles peuvent être restreints selon la politique ou bloqués pour éviter les problèmes.

Il est également important de préciser dans quelles conditions les données des employés seront divulguées. Ces conditions pourraient inclure des situations où l'employé avait consenti, des situations d'urgence et des situations juridiques, comme un mandat ou une ordonnance du tribunal.

Les politiques de confidentialité devraient également divulguer tout système de surveillance des employés, comme l'enregistrement vidéo. Les employés devraient recevoir des copies de la politique de confidentialité et devraient être tenus de confirmer qu'ils l'ont lue et comprise.

Les données personnelles deviennent plus précieuses car les appareils en réseau sont fréquemment utilisés à des fins professionnelles et personnelles. Avec les données sensibles échangées sur ces appareils, les préoccupations concernant les données personnelles ont tendance à exister -- les employés craignant que leurs données soient mal traitées et fuient vers des entités malveillantes. A good employee privacy policy aims to prevent these concerns with upfront disclosures.

Frequent employee privacy concerns

Privacy-related issues employees are likely to be concerned include the following:

• What personal information/data is being collected about them.
• Why it is being collected.
• With whom it is being shared.
• How their sensitive personal information/data is being protected.
• Email privacy.
• Whether use of company assets (such as mobile devices, internet) is being monitored.
• Whether they are subject to video surveillance.
• Whether they must submit to background checks and/or drug tests.
• Si leur utilisation des médias sociaux en dehors de l'entreprise est surveillée et/ou peut être contrôlée.
• Ce qu'il advient de leurs informations/données personnelles après qu'ils ont été licenciés et/ou qu'ils ne travaillent plus pour un employeur.
• Quels sont leurs droits à la vie privée en ce qui concerne leurs informations/données personnelles, tels que leur capacité à accéder, refuser de fournir, demander la suppression, modifier, corriger ou transférer leurs données personnelles.

Qu'est-ce qu'une information protégée sur les employés ?

Typiquement, seules les informations personnelles (alias données personnelles ou informations personnellement identifiables, ou IPI) bénéficient d'une protection spéciale par la réglementation sur la confidentialité des données des employés. Il s'agit généralement d'un ou plusieurs types d'informations personnelles qui identifient ou sont liées à une personne vivante identifiable (comme le nom, l'adresse, le numéro de téléphone, la date de naissance, le numéro de sécurité sociale, les dossiers médicaux, etc.) Dans certains cas, il s'agit d'une combinaison de ces informations qui pourraient potentiellement identifier une personne (par exemple, la date de naissance, le sexe et le code postal pris ensemble).

Certains types de données sensibles bénéficient souvent d'une protection renforcée dans le cadre des réglementations sur la confidentialité telles que le GDPR (General Data Privacy Regulation). Les données sensibles en vertu du GDPR, par exemple, comprennent la race, l'ethnicité ou l'origine nationale, les opinions ou associations politiques, l'appartenance syndicale, l'orientation sexuelle, l'état civil, les informations liées à la santé et les antécédents criminels.

Aux États-Unis, quelques lois fédérales américaines protègent des types spécifiques de renseignements personnels. Une loi clé est la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA), qui protège les IIP lorsqu'elles sont utilisées dans un contexte médical (pour les entités couvertes). Combiné ensemble (PII + informations médicales), ce type de données personnelles est connu sous le nom de PHI (Personal Health Information). En outre, la plupart des États américains disposent de lois concernant la sécurité des données et la notification des violations de données. Nombre de ces lois sont axées sur le vol d'identité et/ou les mesures de protection financière qui visent généralement à protéger les numéros de sécurité sociale et les informations personnelles financières similaires contre toute utilisation ou divulgation non autorisée.

Certains États américains, comme la Californie, ont adopté des lois plus strictes et plus complètes sur la protection de la vie privée, et cette tendance devrait se poursuivre aux États-Unis. Ces lois offrent aux consommateurs qu'elles couvrent une protection plus complète de la confidentialité des données.

Construire une politique de confidentialité pour les employés

En général, une excellente façon de se préparer à créer un avis de confidentialité pour les employés est de créer un registre de traitement des données personnelles, un inventaire des données et/ou une carte des données, qui identifie les éléments suivants :

• Les processus commerciaux que votre organisation effectue impliquant des données personnelles et leurs objectifs.
• Comment les données sont collectées pour chaque processus métier.
• Comment les données sont utilisées par l'organisation.
• Où les données sont stockées et avec qui (en interne et en externe) elles sont partagées.
• Où et comment les données sont transférées.
• Comment les données sont protégées.
• Combien de temps les données sont conservées.

Les informations ci-dessus peuvent ensuite être utilisées pour déterminer quelles réglementations sur la vie privée s'appliquent aux informations/données personnelles, et peuvent être utilisées pour créer des processus conformes et un avis de confidentialité, qui répondent aux exigences de ces réglementations.

Une politique de protection de la vie privée des employés doit inclure :

• Catégories d'informations et de données personnelles que l'employeur collecte sur l'employé.
• Comment les informations/données personnelles sont utilisées/finalité du traitement.
• Base juridique du traitement des informations/données personnelles, le cas échéant.
• Destinataires ou catégories de destinataires des informations/données personnelles.
• Si les informations/données personnelles seront transférées hors du pays, et le mécanisme juridique de protection des données lors du transfert, le cas échéant.
• Storage and security policies relating to the personal information/data.
• How long the organization will keep the personal information/data; how this was decided.
• Employee rights relating to the personal information/data, if applicable.
• Any employer statutory obligations as they relate to the personal information/data.
• How to exercise your rights (who to contact), where applicable.
• Effective date of the privacy notice.

Please note, the elements that should be included vary by state as well as whether a regulation is in scope for specific employees.

Laws and federal regulations

A few examples of laws and federal regulations include:

HIPAA (Health Insurance Portability and Accountability Act)

• Protects the confidentiality and security of protected health information. Compliance is required for healthcare organizations and their business associates.

GINA (Genetic Information Nondiscrimination Act)

• Protects Americans from discrimination based off genetic information (such as genetic testing and family medical history) from employers and health insurance providers.

FACTA (Fair and Accurate Credit Transactions Act)

• Sets requirements for information privacy, accuracy and disposal; limits the ways consumer information can legally be shared.

CCPA (California Consumer Privacy Act). Allows employees to:

• Know what data is being collected about them.
• Know if their personal data is sold or shared, and with whom.
• Block the sale of their own personal data.
• Accéder à leurs propres données personnelles.
• Demander qu'une entreprise supprime leurs données personnelles.
• Ne recevoir aucune discrimination pour avoir utilisé leurs droits à la vie privée.

Les lois des États sur les violations de données. Chaque État américain (plus Washington D.C., Guam, Porto Rico et les îles Vierges) dispose de lois obligeant les organisations à avertir les individus en cas de violation de la sécurité des informations personnelles. Il est important de vérifier les lois spécifiques des États pour obtenir des détails actualisés sur les réglementations.

La vie privée sur le lieu de travail.Si la vidéosurveillance est légale dans les zones de travail si elle est divulguée, elle ne l'est pas dans d'autres zones communes, telles que les toilettes et les salles de pause. Aux États-Unis, la vidéosurveillance ne peut pas inclure d'enregistrement audio, ce qui est illégal en vertu de la loi sur les écoutes téléphoniques.

.