Changements récents dans les lois et règlements relatifs à la surveillance des employés
Le renforcement des lois sur la protection de la vie privée des utilisateurs a connu une évolution rapide à l'échelle mondiale. Cela s'explique en grande partie par le fait que les technologies sont plus rapides que les cadres juridiques. L'avènement et l'ampleur de l'IA générative (ou Gen AI) en sont un exemple.
En 2023, McKinsey a indiqué que le potentiel économique des applications de l'IA générique se situait entre 2,6 trillions de dollars et 4,4 trillions de dollars chaque année. Mais en même temps, la compréhension, le contrôle et la garantie de la sécurité de l'IA générique constituent un défi important pour les fonctions de risque et de conformité. Pourquoi ? En raison du manque de transparence fonctionnelle et des données utilisées pour la formation, du risque de violation de la propriété intellectuelle et d'une multitude de problèmes liés à la violation de la vie privée des utilisateurs - et tout cela à une échelle et à une vitesse sans précédent.
La situation n'est pas aussi claire dans le domaine de la surveillance des employés, mais la facilité d'accès et d'utilisation des données des employés - grâce à des analyses puissantes, à l'utilisation de l'IA et à l'unification des données - remet en question la viabilité des règles et réglementations conçues pour une époque où les données étaient moins nombreuses.
Tout d'abord, l'évolution vers une réglementation plus stricte est-elle nécessaire ?
Selon un enquête Selon Top10VPN, la demande de solutions de surveillance des employés a grimpé en flèche après la pandémie, jusqu'à 75% en mars 2020, 75% en janvier 2022, et 73% au premier trimestre 2022. De nombreuses entreprises, grandes et petites, dans le monde entier, comptent sur ces solutions pour s'assurer que le travail est sur la bonne voie, que les gens sont responsables et qu'il n'y a pas de vol de temps qui pourrait être préjudiciable à la fois à la vie privée des employés et aux résultats de l'entreprise. Mais il y a deux côtés à la médaille.
Risque d'utilisation abusive
Les outils de surveillance des employés sont de plus en plus puissants. Ils sont capables de tout suivre, de la frappe au clavier classique à la navigation sur le web plus avancée et même aux expressions faciales. Les avantages, si l'on y réfléchit bien, sont multiples. Les entreprises peuvent accroître leur productivité, identifier les failles de sécurité potentielles et les menaces internes, découvrir les domaines à améliorer et élaborer des politiques en faveur des employés, et même comprendre de manière granulaire ce qui est bon pour le bien-être des employés.
Mais en même temps, le risque d'abus est important. Les entreprises peuvent se retrouver trop intrusives, au point de créer un environnement de travail toxique et un terrain propice à la méfiance. En fait, l'accès granulaire aux données d'activité peut ouvrir la voie à la discrimination et au traitement inéquitable. Les méthodes de travail des employés peuvent être interprétées à tort comme un relâchement. C'est pourquoi il est souvent rapporté que les employés sont mécontents d'être passés au crible. À propos de 39% des salariés déclarent que le contrôle a un impact négatif sur leurs relations avec l'employeur. 43% confirment que cette pratique affecte le moral de l'entreprise.
Rythme de développement
Nous avons souvent discuté de la les règlements en vigueur, comme le règlement général sur la protection des données (RGPD), la loi sur la protection de la vie privée dans les communications électroniques (ECPA), etc. Ces règlements, en particulier le GDPR, ont fixé des normes élevées pour la protection des données des utilisateurs et de la vie privée. Ces réglementations, en particulier le GDPR, ont fixé des normes élevées pour la protection des données et de la vie privée des utilisateurs, notamment en ce qui concerne les données des employés.
Cependant, la portée et l'ampleur de la collecte de données possibles dépassent les capacités des réglementations envisagées il y a seulement quelques années. En d'autres termes, l'écart entre ce qui est technologiquement possible et ce qui est légalement admissible se creuse. Le résultat ? Un vide réglementaire qui laisse le champ libre à une utilisation abusive, par inadvertance ou même intentionnellement, de la technologie à des fins de surveillance. Les réformes réglementaires et le dialogue continu sur le maintien des cadres existants sont donc un appel valable.
Mises à jour et changements dans les lois sur la surveillance des employés
Mises à jour et changements dans les lois sur la surveillance des employés
Compte tenu de ces préoccupations, les juridictions du monde entier prennent conscience de l'urgence de mettre en œuvre des lois qui promettent de réglementer les systèmes alimentés par l'IA et de protéger les droits et les données des employés.
Pour faciliter la compréhension de l'impact, nous énumérons quatre de ces mises à jour majeures et les zones géographiques qui seront influencées.
1. Orientations actualisées de l'ICO (Royaume-Uni, 2023)
L'Information Commissioner's Office (ICO) a récemment renforcé la réglementation des activités d'intrusion dans les données par les entreprises. L'affaire Serco Leisure Operating Limited, qui s'est déroulée en février 2024, a permis à l'ICO d'obtenir des informations sur les activités d'intrusion. Avis d'exécution Le cas de l'ICO en est un bon exemple. L'autorité de régulation a demandé à l'entreprise de cesser de traiter les données biométriques. Cette instruction s'appuyait sur les articles 5, 6 et 9, qui préconisent un traitement loyal et licite, une base licite pour le traitement, etc.
Tout cela, dans le contexte de la mise à jour des orientations de l'ICO sur la surveillance légale au Royaume-Uni, suggère que l'autorité de régulation suit le rythme des avancées technologiques dans le domaine de la surveillance. L'idée est de garantir une meilleure certitude réglementaire, de protéger les droits des employés en matière de protection des données et de construire un écosystème commercial qui favorise la confiance entre les employés et les clients.
Voici les principales mises à jour des lignes directrices de l'ICO relatives aux pratiques en matière d'emploi et à la protection des données, qui concernent l'utilisation de logiciels de surveillance des employés :
Contrôler les travailleurs dans le respect de la loi : L'ICO oblige les entreprises à prendre en considération les six bases légales et à en choisir une pour surveiller les travailleurs en toute légalité. Ces bases sont le consentement, le contrat, l'obligation légale, les intérêts vitaux, la tâche publique et les intérêts légitimes. Chaque base englobe des procédures qui conduisent à une surveillance légale et qui permettent de tout contrôler.
Informer sur la prise de décision automatisée : L'ICO définit le plan d'action pour les entreprises utilisant des logiciels de surveillance des employés qui facilitent la prise de décision automatisée légale. Dans ce cas, les entreprises doivent informer les employés des informations traitées et de la logique sous-jacente de ce traitement. Les employés doivent également avoir la possibilité d'exiger une intervention humaine.
Listes de contrôle : Pour faciliter la mise en correspondance des exigences réglementaires avec les pratiques de l'entreprise, l'OIC propose listes de contrôle que les entreprises peuvent utiliser pour la protection des données.
2. Mesures d'application de la CNIL (France, 2023-2024)
La Commission nationale de l'informatique et des libertés (CNIL) de France a une approche similaire à celle de l'ICO pour veiller à ce que les entreprises soient tenues pour responsables de l'utilisation abusive des données des employés - ce qui est précisément ce que leur récent rapport d'évaluation de la CNIL a fait. Amende de 32 millions d'euros sur Amazon France Logistique nous dit.
L'autorité française de protection des données a jugé qu'Amazon avait mis en place un système de surveillance illégal dans lequel l'entreprise mesurait les interruptions de travail granulaires pour microgérer les employés. La réponse globale de l'autorité à l'égard d'Amazon a été une sanction contre plusieurs violations du GDPR, y compris celles liées à la surveillance des employés à l'aide de scanners, l'incapacité à assurer un traitement licite conformément à l'article 6 du GDPR, et plus encore.
Ceci étant dit, voici les récentes mises à jour de la réponse de la CNIL à la surveillance des employés que les entreprises concernées doivent garder à l'œil :
L'agrégation et la durée de conservation des données : L'une des informations clés de la récente décision de la CNIL est qu'elle se concentre strictement sur la durée de conservation des données des employés par les entreprises et sur le caractère justifiable de cette durée. Pour reprendre l'exemple d'Amazon, la CNIL a observé que les données des scanners d'entrepôt collectées pendant un mois étaient utilisées à des fins d'analyse statistique. L'autorité de régulation a jugé qu'une semaine était suffisante pour évaluer les performances et identifier les besoins de formation.
Transparence de l'information : Bien qu'elle ne soit pas nouvelle, la décision de la CNIL a suscité des interrogations sur la manière dont les entreprises évitent d'informer les employés (y compris les travailleurs temporaires) de la pratique et de l'étendue de la surveillance - ce qui ne sera pas pris en compte par les régulateurs.
3. Loi sur le DPDP (Inde, 2023-2024)
La loi de 2023 sur la protection des données personnelles numériques est en attente de législation et de consultation publique, mais elle devrait entraîner une série de changements importants dans le paysage indien de la surveillance des employés.
La loi propose une approche équilibrée du consentement en ce qui concerne l'utilisation des données des employés. Selon cette loi, les employeurs doivent obtenir le consentement des employés pour le traitement des données. Cela limitera l'utilisation non consensuelle des données par les RH de l'entreprise. Toutefois, la loi réserve aux employeurs le droit de passer outre le consentement dans le cas de scénarios qui constituent "certaines utilisations légitimes". Il s'agit notamment de situations liées à la perte ou à la responsabilité.
4. Modifications du GDPR (UE, 2023)
L'Union européenne met également à jour les politiques du GDPR, par ailleurs bien établies, qui contrôlent la surveillance des employés dans l'UE et constituent, en fait, un ensemble de règles de base pour la réglementation de la surveillance dans le monde entier. Les principaux changements portent sur les points suivants
- Favoriser un meilleur fonctionnement des affaires transfrontalières, en améliorant la recevabilité des plaintes et en rationalisant le règlement des litiges
- Offrir une meilleure scène aux parties faisant l'objet d'une enquête, afin que leur voix soit entendue et que des solutions rapides soient proposées
Il s'agit de mises à jour plus qualitatives visant à affiner le paysage réglementaire, mais leur impact pourrait être significatif en ce qui concerne la cohérence de l'application et de la mise en œuvre des principes du GDPR dans l'ensemble de l'UE.
Principaux enseignements
- Les régulateurs du monde entier réagissent à l'utilisation d'une meilleure technologie pour surveiller les employés et veiller à ce que cela se fasse dans le respect de la loi.
- Les droits des travailleurs sont au cœur de ces nouvelles mises à jour
- Toute utilisation abusive des technologies de surveillance et des données relatives aux employés devrait faire l'objet d'un examen plus approfondi et d'une plus grande responsabilité.
Lire aussi : Comment surveiller les employés de manière légale et efficace