• Sat. Jul 2nd, 2022

Jeux News

Retrouvez toute l'actualité du jeu video sur Android, PS4, PC et consoles.

Loi californienne sur les droits à la vie privée pour les employeurs : exigences contractuelles des fournisseurs

ByMaria G

Apr 15, 2022

Ceci est le quatrième d’une série d’articles sur les implications de la loi californienne sur les droits à la vie privée pour les employeurs.

La date d’entrée en vigueur imminente du 1er janvier 2023 de la California Privacy Rights Act (CPRA) a créé une longue liste de tâches de conformité pour les départements des ressources humaines (RH). Entre autres choses, les RH devront aider à effectuer un audit des renseignements personnels recueillis auprès des membres du personnel de l’entreprise («données RH») pour aider à la création de «l’avis à la collecte» requis par l’ACPL et superviser le développement d’un flux de travail processus visant à faciliter la réponse de l’entreprise aux demandes des membres du personnel d’exercer leurs droits CPRA. Pourtant, les RH ne sont pas le seul service de l’entreprise avec une liste de choses à faire pour l’ACPL. En plus de travailler avec les RH sur chacune des tâches mentionnées précédemment, les équipes juridiques internes et les équipes d’approvisionnement ont la responsabilité de superviser la tâche qui fait l’objet de cet article : préparer et mettre en œuvre un avenant conforme à la CPRA pour les contrats de service de l’entreprise. avec les fournisseurs qui gèrent les données RH.

Cet article explique les exigences contractuelles de l’ACPL et donne un aperçu des considérations pour les employeurs lors de la rédaction et de la négociation d’avenants de confidentialité de l’ACPL avec les fournisseurs qui ont accès aux données RH de l’entreprise.

L’ACPL impose de nouvelles exigences contractuelles aux employeurs

Les exigences contractuelles de la CPRA sont un autre exemple du large éventail d’obligations de conformité auxquelles les employeurs sont confrontés en vertu de la CPRA, par rapport à son prédécesseur, la California Consumer Privacy Act (CCPA). En vertu du CCPA, il y a peu de raisons pour qu’un employeur mette à jour ses accords de service avec des entités qui stockent ou traitent ses données RH. Le CCPA n’impose pas de dispositions particulières dans les accords avec les prestataires de services. La loi incite toutefois les entreprises à inclure certaines dispositions dans ces accords. La définition de la vente exclut effectivement les arrangements avec les fournisseurs de services qui incluent certaines clauses dans le contrat. Par conséquent, l’inclusion de cette formulation dans le contrat réduit considérablement le risque que le transfert d’informations personnelles d’une entreprise à un fournisseur soit considéré comme une vente, avec le résultat clé potentiel que l’entreprise n’aurait pas besoin de se conformer au droit de se retirer des ventes qui les subventions du CCPA aux consommateurs. En n’incluant pas le langage contractuel autorisé du fournisseur CCPA, le transfert d’informations personnelles d’une entreprise à un fournisseur de services pourrait être considéré comme une vente, ce qui pourrait à son tour obliger l’entreprise à fournir un avis de vente et un mécanisme permettant aux individus de se retirer du transfert. de leurs informations au tiers.

Pour les employeurs, cependant, cette exigence du CCPA ne présente pas de risque important car les employés n’ont pas le droit de refuser toute vente d’informations personnelles en vertu du CCPA. Par conséquent, même si le transfert de données RH d’un employeur à un fournisseur de services devait être considéré comme une vente sur la base de l’absence de libellé dans l’accord de service, une telle conclusion ne déclencherait pas d’obligations de conformité supplémentaires pour l’employeur.

L’ACPL modifie cette analyse. Les exigences contractuelles de l’ACPL s’appliquent spécifiquement à la divulgation de renseignements personnels à un fournisseur de services ou à un entrepreneur1 qui a accès aux renseignements personnels d’un employé à des fins commerciales, conformément à un contrat écrit. Alors que le CCPA exigeait l’inclusion de la langue comme mesure préventive (c’est à dire, pour éviter que le fournisseur de services ne tombe dans la définition de « tiers » du CCPA), l’ACPL impose une obligation positive aux employeurs d’inclure des dispositions spécifiques dans leurs ententes de services avec les fournisseurs de services et les entrepreneurs qui recevront des données RH. Comme nous le verrons ci-après, ces dispositions vont au-delà de la restriction de la capacité du fournisseur à vendre des renseignements personnels reçus d’une entreprise. Les employeurs n’auront donc pas beaucoup de latitude dans le cadre de la CPRA pour éviter de distribuer un addendum conforme à la CPRA aux prestataires de services ou sous-traitants qui traitent leurs données RH.

Dispositions requises par l’ACPL que les employeurs doivent ajouter aux ententes de service

L’ACPL exige qu’un employeur inclue ce qui suit dans ses ententes avec les fournisseurs de services :

  1. Libellé précisant les finalités pour lesquelles les données RH des salariés peuvent être utilisées par le prestataire ;
  2. Libellé interdisant au prestataire de vendre ou de partager les données RH ;
  3. Libellé interdisant au prestataire de conserver, d’utiliser, de divulguer les données RH autrement qu’aux fins précisées dans le contrat de service ;
  4. Libellé interdisant au prestataire de services d’utiliser ou de divulguer les données RH en dehors de la relation commerciale directe des parties ;
  5. Libellé interdisant au fournisseur de services de combiner les données RH avec des informations personnelles reçues d’une autre partie ou directement de la personne, sauf si la réglementation l’autorise ;
  6. Une disposition « faisant suivre » les obligations de protection de la vie privée de l’employeur en vertu de la CPRA au fournisseur de services;
  7. Une disposition accordant à l’employeur le droit de prendre des « mesures raisonnables et appropriées » pour s’assurer que le fournisseur de services utilise les données RH d’une manière conforme aux obligations de l’employeur en vertu de l’ACRP ;
  8. Libellé obligeant le fournisseur de services à aviser l’employeur de son incapacité à se conformer à la CPRA ;
  9. Une disposition accordant à l’employeur le droit de prendre des « mesures raisonnables et appropriées » pour arrêter et remédier à l’utilisation non autorisée des données RH ; et
  10. Une disposition obligeant le prestataire à informer l’employeur si des sous-traitants sont utilisés pour traiter les données RH de l’employeur.

Lorsqu’un employeur fait appel à un entrepreneur, l’ACPL impose deux exigences contractuelles supplémentaires. Les entrepreneurs qui reçoivent des données RH doivent également :

  • Attestent qu’ils comprennent et respecteront chacune des dispositions énumérées ci-dessus ;
  • Accepter de permettre à l’employeur de surveiller la conformité de l’entrepreneur avec le contrat par des mesures comprenant, mais sans s’y limiter, des examens manuels, des évaluations régulières, des audits annuels et des tests techniques au moins une fois tous les 12 mois.

Dispositions supplémentaires que les employeurs devraient envisager

Bien que l’ACPL présente une longue liste d’exigences contractuelles, cette liste n’est en aucun cas exhaustive. Un certain nombre de questions importantes de conformité à la CPRA qui devraient être traitées par les employeurs ne sont pas définies dans la CPRA comme des conditions contractuelles obligatoires, mais les employeurs doivent être conscients de ces problèmes lors de la préparation des addenda de la CPRA. Un exemple est la question de la réponse aux demandes de droits de l’ACPL. Le CPRA donne aux salariés le droit de demander la suppression de leurs données, de faire rectifier leurs données et de « connaître » les données collectées par l’employeur. Afin de répondre à ces demandes, les employeurs auront probablement besoin de l’aide de prestataires de services qui traitent et stockent leurs données RH. Répondre à la demande de suppression de données d’un salarié en est une bonne illustration. Un employeur qui reçoit une demande de suppression de données doit prendre des mesures pour garantir non seulement que les données sont supprimées des systèmes internes de l’employeur, mais également des systèmes des prestataires de services qui stockent les données de l’employé pour le compte de l’employeur. Le CPRA impose un délai de 45 jours pour la réponse de l’employeur aux demandes de droits sur les données,2 il est donc d’une importance cruciale que l’employeur et le fournisseur de services s’entendent sur le délai d’intervention. Le retard du fournisseur de services pourrait amener l’employeur à faire l’objet d’un examen minutieux par la California Privacy Protection Agency. L’inverse est également vrai : si le prestataire de services reçoit une demande qui aurait dû être adressée à l’employeur, le prestataire de services doit s’efforcer de rediriger la demande vers une adresse e-mail identifiée chez l’employeur dans les meilleurs délais.

L’exigence de conservation des données de l’ACPL fournit un autre bon exemple d’une question qui devrait être envisagée par les employeurs lors de la préparation des addenda de l’ACPL. L’ACPL oblige les employeurs à maintenir des calendriers de conservation des renseignements personnels recueillis auprès des membres du personnel et à fournir des renseignements sur les périodes de conservation dans le cadre de l’avis requis par l’ACPL lors de la collecte. La mise en œuvre de calendriers de conservation oblige nécessairement un employeur à développer des processus de flux de travail avec ses fournisseurs pour vérifier la suppression des données des membres du personnel conformément au calendrier de conservation/destruction de l’employeur. Les employeurs seraient bien servis s’ils s’assuraient que ces questions, ainsi que d’autres tâches de conformité à la CPRA impliquant un fournisseur de services, soient prises en compte lors de la rédaction de l’addenda CPRA d’une entreprise.

Conseils pratiques

Le processus de rédaction et de négociation des dispositions contractuelles requises par la CPRA avec les fournisseurs pourrait créer une quantité importante de travail pour les avocats internes en 2022. Heureusement, il existe des mesures que les services juridiques internes et les équipes d’approvisionnement peuvent prendre dès maintenant pour aider à rationaliser le travail. être réalisé:

  1. Réaliser un « audit interne » pour identifier les fournisseurs externes de l’entreprise : La première étape pour les employeurs consiste souvent à identifier les fournisseurs de services qui seront utilisés pour traiter, stocker ou auront simplement accès aux informations personnelles des membres de l’effectif californien de l’employeur à compter du 1er janvier 2023. Une fois ces entités identifiées, l’employeur peut commencer à déterminer la portée de sa campagne d’avenant CPRA.
  1. Travaillez avec les RH et les parties prenantes internes pour définir le processus de réponse aux demandes de droits et de demande de destruction des données des membres du personnel : Avant de préparer un addenda CPRA, les employeurs doivent réfléchir aux processus qui devront être abordés dans le cadre de l’accord. Comme indiqué ci-dessus, répondre aux demandes de droits sur les données de l’ACPL et assurer la destruction rapide des données sont deux processus qui doivent être abordés. Les employeurs devraient essayer de s’assurer que de telles dispositions, qui ne sont pas imposées par l’ACPL, sont envisagées avant de mettre la plume sur papier.
  1. Coordination avec les prestataires : Comme le savent bien les juristes internes qui ont négocié des accords de traitement des données GDPR en 2018, de nombreux grands fournisseurs de services prépareront leur propre addendum sur la confidentialité et le rendront disponible sur leur site Web. Une fois que les employeurs ont une liste des fournisseurs de services et des fournisseurs qui traiteront les informations personnelles des membres de la main-d’œuvre californienne à compter du 1er janvier 2023, les employeurs peuvent déterminer lesquels de ces fournisseurs de services peuvent être dépriorisés comme susceptibles de fournir leur propre accord.

Juex News

Leave a Reply

Your email address will not be published.