1 octobre 2024 | Sterling
Ce qu’il faut savoir sur les conséquences du RGPD
Le règlement général de protection des données (RGPD) est une loi sur la protection des données qui est entrée en effet le 25 mai 2018. Promulgué par le Parlement européen et le Conseil de l’Union européenne, le RGPD a pour objet d’harmoniser les lois européennes en matière de protection des données, de renforcer les règles pertinentes à l’ère du numérique et d’uniformiser les pratiques pour les personnes physiques comme pour les sociétés.
Les employeurs qui ont une présence dans l’Union européenne ou l’Espace économique européen, qui emploient des ressortissants européens ou qui offrent leurs services en Europe se demandent souvent si le RGPD s’applique à leur situation. Dans cet article, Sterling Backcheck définit les principes fondamentaux du RGPD et vous propose des pratiques exemplaires pour vous aider à vous assurer que vos programmes de recrutement et de vérification des antécédents s’y conforment. Visitez notre Bibliothèque pour obtenir davantage de ressources sur la conformité.
À qui s’applique le RGPD ?
Le RGPD s’applique :
- Aux entreprises établies dans l’Union européenne dont les activités incluent le traitement de données personnelles, sans égard pour le lieu où se déroule ce traitement.
- Aux entreprises non établies dans l’Union européenne qui offrent des biens ou des services à des personnes physiques situées sur le territoire de l’Union européenne, que ce soit en échange d’un paiement ou non.
- Aux entreprises non établies dans l’Union européenne qui surveillent les activités de personnes physiques situées sur le territoire de l’Union européenne.
En règle générale, le RGPD s’applique seulement aux programmes de vérification à des fins d’emploi qui sont déjà régis par la loi européenne. Les activités suivantes sont typiquement exclues :
- La vérification de citoyens européens qui habitent et travaillent à l’extérieur de l’Union européenne.
- La vérification de travailleurs ou de candidats qui habitent actuellement dans l’Union européenne et déménageront aux États-Unis, au Canada ou ailleurs pour travailler.
On croit souvent, à tort, que le RGPD s’applique à toutes les données appartenant à un citoyen de l’Union européenne, sans égard pour le lieu où il se trouve actuellement. En réalité, le RGPD ne s’applique que dans des circonstances bien précises : c’est-à-dire, lorsque des données sont conservées ou traitées par une société située dans l’Union européenne, lorsqu’elles sont collectées en vue d’offrir des biens ou des services à une personne située dans l’Union européenne ou lorsqu’il est question de surveiller les activités d’une personne physique située dans l’Union européenne.
Si vous ne savez pas si le RGPD est applicable à votre situation, veuillez consulter votre service de protection des renseignements personnels ou vos conseillers juridiques.
Comprendre le RGPD
Pour comprendre le contenu du RGPD, il est important de saisir les concepts de « responsable des données » et de « sous-traitant ». Une organisation qui traite les données personnelles ou demande à un tiers de le faire pour elle peut être considérée comme un responsable ou un sous-traitant, selon les circonstances.
- Responsable des données : le responsable des données définit les buts et les moyens du traitement. L’organisation qui requiert une vérification des antécédents est responsable des données traitées dans ce contexte.
- Sous-traitant : le sous-traitant traite les données pour le compte de leur responsable. Les entreprises qui se chargent de la vérification des antécédents pour le compte de leurs clients, comme Sterling Backcheck, sont considérées comme des sous-traitants.
Le RGPD consacre en droit le principe du « respect de la vie privée dès la conception », ce qui signifie que tous les mécanismes de protection des données doivent être intégrés au traitement des renseignements personnels dès le départ. Par défaut, les paramètres doivent privilégier la confidentialité et limiter la quantité d’information susceptible d’être transmise.
Le RGPD prévoit des mécanismes de contrôle rigoureux et peut infliger des amendes s’élevant à 20 millions € ou à 4 % du chiffre d’affaires d’un groupe de sociétés. Il introduit également un organe de réglementation centralisé qui élimine la nécessité d’impliquer les autorités de réglementation de chaque pays.
Effet du RGPD sur la vérification des antécédents
Voici quelques principes clés du RGPD qui sont susceptibles d’avoir une incidence sur la vérification à des fins d’emploi :
- Droits des candidats : les candidats ont droit à certaines informations de base sur le processus de vérification. Cela signifie notamment qu’un avis de confidentialité devrait leur expliquer la façon dont leurs renseignements personnels sont traités et à quelles fins. Il est essentiel de communiquer avec les candidats de manière franche et transparente.
- Consentement : en vertu du RGPD, les personnes physiques peuvent retirer leur consentement en tout temps. Chaque activité de traitement doit être autorisée séparément, sans quoi le consentement n’est pas valable. Dans un contexte d’emploi, il est difficile d’obtenir le consentement, qui ne devrait pas être tenu pour acquis lorsqu’il est question de vérifier les antécédents.
- Objection au traitement : dans certaines situations, les personnes physiques ont le droit de limiter le traitement de leurs données personnelles ou de s’y opposer. Une personne peut s’opposer de manière générale au traitement de ses données personnelles sans nécessairement en contester l’exactitude. Il peut alors être nécessaire d’interrompre le traitement des données personnelles ou de la vérification des antécédents pour évaluer les objections de la personne concernée et y répondre.
- Transfert des données : le RGPD accorde aux personnes physiques le droit de demander que leurs données personnelles soient transférées d’une organisation à l’autre dans certaines circonstances.
Meilleures pratiques pour faciliter la conformité au RGPD
Les entreprises dont le programme de vérification entre dans le champ d’application du RGPD devraient tenir compte de plusieurs facteurs pour assurer leur conformité. À titre de pratique exemplaire, il est notamment recommandé de :
- Déterminer si les activités prévues dans le cadre du traitement des renseignements personnels sont licites, et pour quelles raisons. Est-ce nécessaire d’obtenir le consentement de la personne concernée pour vérifier ses antécédents ?
- S’assurer que les avis de confidentialité contiennent tous les renseignements nécessaires.
- S’assurer que la collecte de données sensibles ou appartenant à certaines catégories se déroule de façon licite.
- Se familiariser avec les lois en vigueur dans les pays où des activités sont exercées pour s’assurer que le programme est conforme au RGPD.
- Conclure les ententes requises pour encadrer le traitement et le transfert de données au-delà des frontières.
- Déterminer si la prise de décision est automatisée ; dans la mesure du possible, le résultat de la vérification des antécédents devrait toujours faire l’objet d’une évaluation par un être humain.
- Comprendre les mesures que l’organisation et Sterling Backcheck doivent adopter pour faire respecter les droits des candidats.
- S’assurer que le programme de vérification est évalué par un conseiller juridique ou un responsable de la protection des données.
Conservation des données
Le RGPD ne fixe aucun délai précis en ce qui concerne la conservation de dossiers, mais il exige que les renseignements personnels qui ne sont plus nécessaires pour répondre à un besoin commercial ou à une obligation juridique soient détruits.
Dans certains pays européens, des lignes directrices définissent la période pendant laquelle les données liées à la vérification des antécédents peuvent être conservées. Il en revient à l’organisation de déterminer pendant combien de temps les renseignements devraient être conservés et si son fournisseur de services de vérification doit les conserver pour son compte.
Consultez l’avis de confidentialité de Sterling Backcheck pour en savoir davantage sur nos politiques en matière de conservation des données.
Droit à l’oubli et autres droits individuels prévus par le RGPD
Un fournisseur chevronné de services de vérification des antécédents, tel que Sterling Backcheck, devrait être en mesure d’aider vos candidats à faire respecter les droits que leur octroient le RGPD et les autres lois en matière de protection des renseignements personnels. Les candidats devraient notamment avoir le droit d’accéder à leurs renseignements personnels, de les modifier, de s’opposer à leur traitement et, dans certains cas, de les faire supprimer.
Il est recommandé pour les entreprises dont le recrutement se base sur le résultat de la vérification des antécédents de mettre en place une politique rigoureuse en la matière. Les employeurs doivent comprendre la manière dont leurs fournisseurs externes traitent les données pour s’assurer que leurs avis de confidentialité, leurs politiques et leurs contrats se conforment aux exigences du RGPD.
Dans un contexte de vérification à des fins d’emploi, le RGPD ne s’applique en général qu’aux entreprises qui recrutent ou exercent leurs activités dans les pays européens où il est en effet. Si vous vérifiez les antécédents dans un autre contexte, le RGPD pourrait s’appliquer aux données que vous collectez en Europe, même si vous n’y exercez aucune activité.
Sterling Backcheck vous recommande de consulter vos conseillers juridiques ou votre responsable à la protection des renseignements personnels pour déterminer l’applicabilité du RGPD à votre programme de vérification. Pour obtenir d’autres ressources sur la conformité et les meilleures pratiques, visitez notre page Ressources. Pour mettre sur pied un programme de vérification des antécédents, contactez-nous.
Le présent document vous est présenté à titre indicatif seulement et ne peut aucunement être interprété comme un avis juridique. Nous déclinons toute responsabilité pour les dommages découlant de son utilisation. Nous vous recommandons de consulter votre conseiller juridique pour obtenir des conseils adaptés à vos besoins. Nous ne nous engageons pas à modifier les documents qui ont déjà été publiés.