21 juin 2018 | Sterling

La conformité au RGPD au Canada et aux États-Unis : une réponse à vos questions

La conformité au RGPD au Canada et aux États-Unis : une réponse à vos questions

Quelques semaines se sont écoulées depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD), le 25 mai 2018. Je reçois toujours des messages contextuels qui m’alertent des changements, ainsi que des courriels qui m’avisent que divers sites Web ou réseaux sociaux ont modifié leurs ententes de confidentialité. Autour du monde, les pleines conséquences du RGPD sur la protection des données en entreprise prendront encore du temps à se faire sentir.

Dans cet article, notre vice-président adjoint de la protection de la vie privée, Mark Sward, nous explique les conséquences des nouvelles lois relatives à la protection de la vie privée sur les entreprises dont les bureaux, les salariés, les fournisseurs ou les activités se situent dans l’Union européenne.

La conformité au RGPD : une réponse à vos questions

Mark a pris quelques moments pour aborder les questions auxquelles il n’a pas eu le temps de répondre au cours du webinaire :

  1. Je suis responsable du recrutement et du ressourcement. Si des données sont supprimées en vertu du « droit à l’oubli », qui dois-je faire pour éviter de les rajouter dans notre système ? Une fois que les données d’une personne ont été supprimées, vous pouvez les rajouter dans votre système, à la condition d’avoir une raison licite pour le faire (vraisemblablement, après avoir eu une nouvelle interaction avec cette personne).
  2. Nous demandons à nos candidats de subir une vérification internationale de casier judiciaire s’ils ont déjà vécu en Europe. Ces candidats habiteront et travailleront aux États-Unis. Dans ce scénario, le RGPD est-il applicable ? En règle générale, le RGPD s’applique seulement à la vérification préemploi quand l’entreprise qui la commande ou l’utilise est établie dans l’Espace économique européen (EEE). Le RGPD ne s’applique pas toujours à la vérification des antécédents de personnes qui ont déjà habité en Europe.
  3. Notre organisation n’offre pas ses services en Europe. Peut-elle quand même signer une convention sur le traitement des données ? Si c’est le cas, que devons-nous faire pour la conclure ? Sterling n’a pas d’objection à conclure une convention sur le traitement des données avec ses clients. Les conventions sur le traitement des données ont une portée mondiale
  4. Il n’existe pas de certificat de conformité au RGPD. Que faites-vous, alors, pour vérifier la conformité d’une partie ? Est-ce possible d’obtenir une évaluation ? Il existe des consultants qui peuvent auditer votre conformité. Sterling dispose de spécialistes en protection de la vie privée qui s’occupent de ses audits.
  5. Le RGPD s’applique-t-il aux bénévoles et aux stagiaires non rémunérés ? Le RGPD ne fait aucune distinction entre les interactions rémunérées et non rémunérées
  6. Qu’en est-il du Royaume-Uni avant et après le Brexit ? Quoique nous n’ayons aucune certitude en la matière, nous avons raison de croire que le Royaume-Uni continuera à appliquer le RGPD après le Brexit.
  7. Le RGPD s’applique-t-il à notre entreprise si elle est enregistrée dans l’Union européenne et engage des travailleurs européens ? Le RGPD s’applique aux entreprises établies dans l’Union européenne. Comme votre entreprise semble y être établie, le RGPD s’applique à vos activités
  8. Le RGPD s’applique-t-il aux citoyens européens qui ont la résidence permanente aux États-Unis ? Le RGPD s’applique aux entreprises établies dans l’Union européenne, aux entreprises qui offrent leurs biens ou leurs services à des personnes situées dans l’Union européenne (même si les transactions financières ont lieu ailleurs) et aux entreprises qui surveillent le comportement de personnes situées dans l’Union européenne. Le RGPD ne tient pas compte de la citoyenneté ou de la résidence. Il se base sur l’emplacement actuel de la personne ou de l’entreprise concernée.

Quelles sont les conséquences du RGPD sur le programme de vérification des antécédents de mon entreprise ?

L’incidence du RGPD sur les programmes de vérification des antécédents est l’un des sujets qui ont suscité le plus grand nombre de questions lors du webinaire. Il est important pour vous de ne pas oublier qu’en général, le RGPD s’applique seulement aux entreprises qui recrutent et pratiquent leurs activités dans l’Espace économique européen et dont le programme de sélection des employés est déjà soumis à la loi européenne. Par contre, si vos activités de vérification ne se limitent pas au contexte de l’emploi, le RGPD s’applique peut-être aux données que vous recueillez dans l’EEE, même si votre entreprise n’y exerce pas ses activités. Consultez vos spécialistes en protection de la vie privée ou vos conseillers juridiques pour de plus amples informations.

Le Règlement général sur la protection des données ne s’applique pas normalement dans les contextes suivants:

  • La vérification des antécédents de citoyens européens qui habitent et travaillent à l’extérieur de l’Union européenne
  • La vérification des antécédents d’employés ou de candidats qui ont postulé à distance afin d’obtenir un emploi au Canada, aux États-Unis ou à l’extérieur de l’EEE
  • La vérification des antécédents de travailleurs basés au Canada ou aux États-Unis

Pour commencer, déterminez si le RGPD s’applique à votre programme de vérification des antécédents. Si ce n’est pas le cas, vous n’avez pas à vous en préoccuper. Par contre, si le RGPD s’applique à votre organisation, révisez votre programme de vérification des antécédents et vos politiques.

Vous devez être au courant des lois qui s’appliquent à votre programme pour comprendre les méthodes de traitement des données qu’emploient vos fournisseurs tiers et vous assurer que leurs avis de confidentialité, leurs politiques et leurs contrats répondent aux exigences juridiques. La liste de contrôle de Sterling (en anglais) est un guide pratique conçu pour aider les entreprises à se mettre en conformité au RGPD. Demandez à votre fournisseur de services de vérification des antécédents de vous fournir une copie de son nouvel avis de confidentialité et de sa nouvelle entente de traitement des données, car vous avez peut-être besoin de les signer.

Pour en savoir plus sur l’incidence du RGPD sur la vérification des antécédents au Canada et aux États-Unis, téléchargez notre webinaire à la demande (en anglais).

Le présent document vous est présenté à titre indicatif seulement et ne peut aucunement être interprété comme un avis juridique. Nous déclinons toute responsabilité pour les dommages découlant de son utilisation. Nous vous recommandons de consulter votre conseiller juridique pour obtenir des conseils adaptés à vos besoins. Nous ne nous engageons pas à modifier les documents qui ont déjà été publiés.

Catégories de blogue