Vie privée des employés : Quelles sont les données que les employeurs n'ont pas le droit d'obtenir ?

À l'ère numérique, l'information est la valeur suprême. Des algorithmes élaborés et invisibles suivent chacun de nos clics en ligne pour dresser notre portrait détaillé en vue de publicités ciblées. Les médias sociaux en savent et peuvent en dire plus sur nous que nous n'osons l'admettre. Même nos employeurs peuvent suivre tout ce que nous faisons à l'intérieur des murs du bureau - et parfois à l'extérieur.

En 2022, un comptable américain a perdu son emploi après avoir participé à la World Naked Bike Ride. Son passe-temps n'était pas lié à sa carrière ; il n'était pas en service pendant qu'il roulait et n'a pas publié de photos de lui en ligne. Pourtant, son patron a décidé de le licencier après avoir vu un visage familier sur l'image postée par un autre participant.

Ce cas n'est pas unique. Les employés peuvent recueillir de nombreuses données sur leurs salariés, qu'il s'agisse de coordonnées de base, d'expériences professionnelles antérieures, d'informations sur la santé ou d'opinions politiques. La collecte de données essentielles est nécessaire pour la paie, la gestion des performances ou d'autres objectifs légitimes de l'entreprise. La collecte d'autres informations personnelles et la prise de décisions managériales sur cette base sont illégales et contraires à l'éthique, mais où se situe la limite ?

Cet article tente de tracer cette ligne et d'approfondir la question cruciale des données que les employeurs n'ont pas le droit d'obtenir. En fin de compte, notre objectif est de fournir un point de départ pour comprendre les limites que les employeurs doivent respecter lorsqu'ils collectent des données sur les employés.

Les limites des données qu'un employeur peut collecter sont dictées par la législation sur la protection de la vie privée et sur le travail. Toutefois, ces lois peuvent varier considérablement d'un pays à l'autre. Dans cet article, nous n'examinerons brièvement que quelques juridictions clés. Pour connaître les particularités juridiques de votre région, nous vous recommandons de consulter votre avocat.

Il convient de noter que la plupart des lois sur la protection de la vie privée ne couvrent pas spécifiquement la collecte de données sur le lieu de travail. Elles fixent plutôt des exigences générales pour le traitement des données à caractère personnel, qui doivent être interprétées ultérieurement dans le cadre des relations entre l'employeur et l'employé. Dans le cadre de cet article, nous décrirons ces lois en utilisant les termes "employeur" et "employé".

• Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) est la principale loi protégeant les informations sur la santé des employés. Elle restreint l'accès des employeurs aux dossiers médicaux des employés et stipule qu'ils ne peuvent être utilisés et divulgués qu'à des fins spécifiques et avec l'autorisation du patient.

• Loi sur les Américains handicapés (ADA) protège les personnes handicapées contre la discrimination. Cette loi restreint également l'accès de l'employeur aux informations médicales des employés. En particulier, l'employeur ne peut obtenir des informations médicales que si elles sont liées à l'emploi ou si l'employé a besoin d'aménagements spécifiques pour son handicap.

• Loi sur les rapports de crédit équitables (FCRA) réglemente la manière dont les employeurs recueillent, utilisent et divulguent les informations relatives à la solvabilité des employés. Les employeurs doivent généralement avoir une raison valable (comme une vérification des antécédents) et obtenir le consentement écrit de l'employé avant d'obtenir des informations sur sa solvabilité.

• Loi sur les relations de travail (NLRA) protège notamment le droit des employés à discuter entre eux de leurs conditions de travail, y compris sur les médias sociaux. Toutefois, il ne garantit pas une confidentialité totale sur les médias sociaux, et les employeurs peuvent disposer d'une certaine latitude pour sanctionner les employés dont les messages sont jugés perturbateurs ou menaçants pour le lieu de travail.

• Loi sur la protection de la vie privée de 1974 : Cette loi s'applique principalement à la manière dont les agences fédérales traitent les informations personnelles, mais elle donne quelques indications. Elle établit des principes tels que les "pratiques loyales en matière d'information", qui obligent les agences à être transparentes sur la collecte des données et à en limiter l'utilisation à des fins légitimes.

Il ne s'agit là que de quelques réglementations clés concernant la protection des données. En outre, il existe quelques lois nationales, telles que la loi californienne sur la protection de la vie privée des consommateurs (CCPA), qui accordent aux employés certains droits concernant la collecte de leurs données personnelles par les employeurs.

Le règlement général sur la protection des données (RGPD) est le principal règlement régissant la protection des données et de la vie privée dans l'UE. Il place la barre très haut en matière de droit à la vie privée, en limitant l'étendue des données que les employeurs peuvent collecter et en donnant aux employés un contrôle important sur leurs données collectées par les employeurs.

Bien que le GDPR n'indique pas clairement quelles données personnelles peuvent et ne peuvent pas être collectées, il oblige les employeurs à adhérer aux principes de transparence et de nécessité. En d'autres termes, ils doivent disposer d'une base juridique valable pour collecter chaque type d'information, par exemple la nécessité contractuelle, la sécurité sur le lieu de travail ou l'évaluation des performances. En outre, les employeurs doivent être ouverts avec les employés sur la nature des données collectées, leur utilisation et leur durée de conservation.

Le GDPR exige des employeurs qu'ils mettent en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données des employés contre l'accès, la divulgation, l'altération ou la destruction non autorisés.

En cas de violation de données présentant un risque élevé pour les droits et libertés des employés, les employeurs doivent informer l'autorité compétente en matière de protection des données et les personnes potentiellement concernées.

La Lei Geral de Proteção de Dados (LGPD) du Brésil est une loi récente et complète sur la protection de la vie privée qui s'inspire du GDPR et qui entrera en vigueur en 2020.

À l'instar du GDPR, le LGPD n'indique pas les données des employés que les employeurs ne peuvent pas collecter. Cependant, elle établit un cadre pour la manière dont les employeurs doivent collecter, utiliser et stocker les informations personnelles des employés. Les employeurs sont tenus d'obtenir le consentement des employés avant de collecter leurs données. Ils ne peuvent collecter que les données strictement nécessaires à l'exécution du contrat de travail, à la sécurité de l'espace de travail, à l'enquête sur les fautes professionnelles ou à d'autres fins professionnelles légitimes. Ils doivent veiller à ce que les données collectées soient stockées en toute sécurité et protégées contre l'accès, la divulgation, la modification ou la destruction non autorisés. Enfin, en cas de violation de données présentant un risque élevé pour les droits et libertés des employés, les employeurs doivent en informer l'Autorité nationale brésilienne de protection des données (ANPD) et les personnes potentiellement concernées.

En Chine, les données personnelles sont protégées par la loi sur la protection des informations personnelles (PIPL). Cette loi définit les "informations personnelles" au sens large comme toute donnée permettant d'identifier une personne, soit seule, soit combinée à d'autres informations. Ces informations comprennent les données relatives aux employés, telles que le nom, les coordonnées, l'historique de l'emploi, les évaluations des performances et les dossiers médicaux (avec des restrictions supplémentaires).

Selon la PIPL, les employeurs ne peuvent collecter et traiter les données des employés qu'après avoir obtenu leur consentement. La loi autorise également d'autres motifs légaux, notamment la nécessité contractuelle, le respect des obligations légales (lorsque la collecte de données est requise par la loi chinoise) et les intérêts légitimes.

À l'instar du GDPR et du LGPD, la PIPL oblige les employeurs à être transparents sur les pratiques de collecte des données, notamment en fournissant une politique de confidentialité claire et accessible et en mettant en œuvre des mesures de sécurité raisonnables pour protéger les données des employés contre l'accès, la divulgation, l'altération ou la destruction non autorisés.

Les règlements décrits donnent apparemment aux employeurs la liberté de collecter presque toutes les données à caractère personnel, pour autant qu'ils puissent l'expliquer par des raisons professionnelles. Toutefois, dans la pratique, ce n'est pas le cas.

Les employeurs n'ont pas le droit de collecter certaines données sans justification légitime et sans le consentement de l'employé. Ces données entrent généralement dans les catégories suivantes :

Les données sensibles sont des informations personnelles qui peuvent être utilisées pour discriminer une personne ou révéler des aspects privés de sa vie. Ces données comprennent, sans s'y limiter, la race et l'origine ethnique, la religion, les croyances philosophiques, l'orientation sexuelle, l'identité de genre et les opinions politiques.

La collecte et l'utilisation de ces données peuvent conduire à une discrimination lors de l'embauche, de la promotion ou d'autres décisions managériales. Cela peut également créer un environnement de travail inconfortable ou hostile pour les employés.

De nombreuses juridictions limitent l'accès des employeurs aux informations sur la santé des employés. Il existe toutefois quelques exceptions :

• L'employé donne son accord par écrit.

• Les informations sont nécessaires pour gérer un plan de santé ou pour des raisons de sécurité sur le lieu de travail (par exemple, évaluation de l'aptitude au travail ou mise en place d'aménagements spéciaux pour le handicap).

• La divulgation est exigée par la loi (par exemple, les demandes d'indemnisation des travailleurs ou les demandes de congé).

Il n'y a aucune raison légitime pour que les employeurs collectent des données financières détaillées sur leurs employés, au-delà des informations de base nécessaires à l'établissement des fiches de paie et des déclarations fiscales. Les données interdites, dans ce cas, comprennent les détails des comptes bancaires, les scores de crédit et les investissements.

Bien que les employeurs puissent avoir un intérêt légitime à surveiller le comportement de leurs employés, ils ne peuvent pas étendre cette surveillance aux comptes personnels de médias sociaux. Par exemple, les employeurs ne peuvent pas exiger de leurs employés qu'ils soient leurs amis sur les médias sociaux ou qu'ils accèdent à des comptes privés, car les employés ont droit au respect de leur vie privée dans l'utilisation qu'ils font des médias sociaux.

Le droit à la vie privée du salarié le protège contre la surveillance de l'employeur pendant son temps libre. La surveillance par l'employeur ne s'étend généralement qu'aux heures de travail et aux activités liées au travail. La collecte de données sur les activités des employés en dehors du travail est limitée dans la plupart des juridictions, à moins qu'il n'y ait une justification commerciale légitime et que cela ne viole pas le droit à la vie privée.

Selon le la Harvard Business Review, 67,6 % des entreprises nord-américaines de plus de 500 salariés suivent l'activité professionnelle de leurs employés à l'aide d'un logiciel spécifique. Une autre recherche résumée par WifiTalents indique que près de 96 % des organisations interrogées utilisent une forme ou une autre de technologie de surveillance des employés.

De par leur nature, les logiciels de surveillance des employés peuvent collecter de nombreuses données sur les employés. Les fonctions les plus courantes sont la surveillance des courriels, la surveillance de l'activité sur Internet, l'enregistrement des écrans, le suivi de l'utilisation des applications et même la surveillance vidéo et sonore. La surveillance des employés poursuit des objectifs nobles, tels que la garantie d'une communication professionnelle correcte, la prévention des menaces de sécurité et l'amélioration de la productivité. Cependant, elle peut occasionnellement collecter des données personnelles hors limites si elle n'est pas mise en œuvre en tenant compte de considérations juridiques et éthiques.

La légalité des pratiques de surveillance des employés peut varier en fonction du lieu. Certaines réglementations, telles que le GDPR, imposent des droits plus stricts en matière de protection de la vie privée des employés, ce qui limite la portée de la surveillance autorisée. C'est pourquoi les employeurs doivent étudier et comprendre les lois applicables dans leur région avant de mettre en œuvre toute forme de surveillance des employés.

D'un point de vue éthique, les principes de transparence, de proportionnalité et de justification devraient guider l'utilisation des logiciels de surveillance des employés. Les employeurs doivent limiter la collecte de données aux aspects strictement nécessaires et trouver un équilibre entre la collecte de données et le droit à la vie privée des employés. La meilleure façon d'y parvenir est de choisir des solutions de surveillance des employés adaptables qui peuvent être facilement personnalisées pour éviter de collecter des données excessives.

Dans ce cas, vous pouvez désactiver les fonctions de suivi inutiles afin d'éviter la collecte de données excessives et de respecter les réglementations applicables.

Envisagez également des programmes de surveillance qui permettent aux employés de démarrer et d'arrêter la surveillance manuellement. Cette option permet aux employés de protéger les données qu'ils ne souhaitent pas voir enregistrées. Elle sera particulièrement utile pour les employés à distance ou ceux qui utilisent des appareils personnels pour le travail.

Comprendre le droit à la vie privée est essentiel non seulement pour les employeurs, mais aussi pour les employés. Elle leur permet de prendre le contrôle de leurs données personnelles dans toutes les sphères de leur vie, y compris sur le lieu de travail. Les droits spécifiques accordés aux employés et les lois pertinentes varient en fonction du lieu où ils se trouvent. Par exemple, le GDPR, le LGPD et le PIPL accordent aux employés plusieurs droits importants concernant leurs données :

Le droit d'accès : Les employés peuvent demander l'accès à leurs données personnelles détenues par l'employeur.

Le droit de rectification : Les employés peuvent demander la correction de données inexactes ou incomplètes.

Le droit à l'effacement (également connu sous le nom de "droit à l'oubli") : Dans certaines circonstances, les employés peuvent demander la suppression de leurs données personnelles.

Le droit de restreindre le traitement : Les employés peuvent restreindre l'utilisation de leurs données.

Le droit à la portabilité des données : Les employés peuvent demander à recevoir leurs données personnelles dans un format structuré et couramment utilisé et les faire transférer à un autre employeur (si cela est techniquement possible).

Il est important de noter qu'il ne s'agit que d'exemples généraux. Nous encourageons les employés à consulter des ressources juridiques ou des professionnels de la protection de la vie privée pour comprendre leurs droits spécifiques en matière de confidentialité des données sur le lieu de travail.

L'ère numérique a brouillé les frontières entre le travail et la vie privée. Les employeurs peuvent collecter et accéder à de vastes données sur les employés, ce qui soulève des questions essentielles sur la protection de la vie privée et les limites éthiques. Les intérêts légitimes des employeurs, tels que la sécurité, la productivité et le respect de la législation, ne doivent pas dépasser la frontière entre la nécessité et la vie privée des employés. Les entreprises doivent comprendre les limites juridiques et trouver un équilibre entre leurs intérêts et le respect des droits des employés.

Pour les entreprises, nous recommandons de consulter un conseiller juridique pour s'assurer que vos pratiques de collecte de données sont conformes aux lois en vigueur. Envisagez de mettre en œuvre des politiques de confidentialité claires et accessibles qui décrivent les types de données que vous collectez, la manière dont elles sont utilisées et les droits des employés en ce qui concerne leurs données.

Pour les employés, nous conseillons de se familiariser avec leurs droits en matière de confidentialité des données sur le lieu de travail. De nombreuses juridictions accordent aux employés des droits d'accès, de rectification, voire de suppression de leurs données personnelles. N'hésitez pas à faire appel à un conseiller juridique ou à consulter des professionnels de la protection de la vie privée si vous avez des inquiétudes quant à la collecte de vos données par votre employeur.