Politique de protection des données des employés

La Politique de protection des données des employés définit les exigences de protection des données pour les données à caractère personnel des employés au sein du système de management des informations relatives à la vie privée. Son champ d’application couvre la collecte, l’utilisation, la divulgation, les liens avec la conservation, les mentions d’information, la gestion des droits, la surveillance, l’appui des sous-traitants et la gestion des éléments de preuve relatifs aux données à caractère personnel des employés. La politique s’applique aux contextes de responsable du traitement et de responsable conjoint du traitement lorsque l’organisation détermine les finalités et les moyens du traitement des données à caractère personnel des employés, ainsi qu’aux contextes de sous-traitant et de sous-traitant ultérieur lorsque l’organisation traite des données à caractère personnel des employés conformément à des instructions documentées. Les données à caractère personnel des employés sont définies largement comme les informations relatives aux employés, candidats à un emploi, anciens employés, contractants, personnel temporaire, stagiaires, personnes détachées et autres participants du personnel lorsque l’organisation traite leurs données à caractère personnel à des fins de gestion du personnel, recrutement, emploi, engagement, rémunération, avantages sociaux, sécurité, conformité, administration de l’espace de travail ou finalités métier connexes. Un élément central de la politique est son modèle d’éléments de preuve. La politique ne crée pas de registre RH distinct de protection des données, de registre de protection des données des employés, de registre de surveillance des employés, de registre des fournisseurs RH, de registre des droits des employés ni de registre des incidents des employés. Elle exige à la place que les éléments de preuve relatifs aux traitements des employés soient maintenus dans les registres PIMS canoniques : REG02 pour l’inventaire des traitements et les liens avec la conservation, REG04 pour les risques relatifs à la vie privée et les déclencheurs de DPIA, REG06 pour les demandes d’exercice des droits des employés, REG07 pour les mentions d’information des employés, REG08 pour les sous-traitants et fournisseurs RH, REG10 pour les incidents relatifs aux données à caractère personnel des employés, et REG12 pour les exceptions, les non-conformités, les actions correctives, la surveillance et les éléments de preuve d’amélioration. Cette structure soutient l’objet de la politique : les données à caractère personnel des employés doivent être traitées uniquement pour des finalités de gestion du personnel documentées, approuvées, transparentes, proportionnées et assorties de responsabilité, tout en évitant une couche d’éléments de preuve propre aux RH et redondante. Les énoncés de politique définissent des contrôles opérationnels détaillés pour le cycle de vie des données des employés. Avant que les données à caractère personnel des employés ne soient collectées, générées, importées, utilisées ou divulguées, le responsable de processus / propriétaire de l'entreprise doit enregistrer l’activité de traitement des employés dans REG02, y compris les catégories de données à caractère personnel, la population d’employés, la source de collecte, la finalité du traitement, les systèmes, les catégories de destinataires internes et externes et les liens avec la conservation. Les mentions d’information des employés doivent être tenues à jour dans REG07 avant toute collecte directe ou indirecte pour une finalité nouvelle ou substantiellement modifiée. La politique exige que les données à caractère personnel des employés soient utilisées uniquement pour les finalités approuvées enregistrées dans REG02, et impose que les catégories de destinataires internes, les conditions liées au besoin métier et les divulgations externes récurrentes soient documentées avant le début de toute divulgation. Toute suspicion de divulgation non autorisée, d’accès non autorisé, de perte ou d’usage abusif de données de surveillance doit être orientée vers REG10 dans un délai d’un jour ouvré après identification. La gouvernance des droits des employés, de la surveillance et des fournisseurs RH fait l’objet d’exigences spécifiques. Les demandes d’exercice des droits des employés doivent être enregistrées ou orientées dans REG06 dans un délai de deux jours ouvrés, avec des contributions des responsables de processus attendues dans un délai de cinq jours ouvrés après attribution. Les demandes complexes portant sur des enregistrements de surveillance, des enregistrements de vérification des antécédents, des données à caractère personnel de catégorie particulière, des données à caractère personnel d’employés de tiers, des restrictions légales ou la prise de décision individuelle automatisée exigent l’avis du délégué à la protection des données / conseiller en protection des données avant tout refus, prolongation, restriction ou traitement complexe. La surveillance des employés doit être documentée dans REG02 avant son activation ou toute modification substantielle, orientée via REG04 pour l’appréciation des risques relatifs à la vie privée ou l’examen préalable à la DPIA lorsque les critères de déclenchement sont réunis, appuyée par une mention d’information ou des éléments de preuve de communication à jour dans REG07, et échantillonnée dans REG12 au moins une fois par an lorsqu’elle est incluse dans REG02. Les sous-traitants RH, la paie, le SIRH, les avantages sociaux, la vérification des antécédents et les prestataires de services RH externalisés doivent être enregistrés dans REG08 avant que les données à caractère personnel des employés ne soient divulguées au prestataire, consultées par celui-ci ou traitées par son intermédiaire. Les dispositions de gouvernance attribuent des responsabilités récurrentes de supervision et de mise en application. Le responsable de la protection des données / responsable du PIMS doit réaliser des revues trimestrielles des éléments de preuve relatifs à la protection des données des employés dans REG02, REG04, REG06, REG07, REG08, REG10 et REG12, tandis que Top Management approuve les modifications substantielles de la politique et les exceptions à haut risque relatives à la protection des données des employés. Les indicateurs comprennent le pourcentage d’activités de traitement des employés disposant d’enregistrements REG02 à jour, l’actualité des mentions d’information des employés, les éléments ouverts d’orientation relatifs aux risques et à la DPIA pour les employés, le respect des délais de traitement des demandes d’exercice des droits des employés, l’achèvement des revues des fournisseurs RH et les tendances des incidents relatifs aux données à caractère personnel des employés lorsqu’ils surviennent. Les exceptions doivent être enregistrées dans REG12 avant tout écart, se voir attribuer une date d’expiration n’excédant pas 90 jours et être revues avant expiration. La mise en application exige l’enregistrement des non-conformités dans REG12 lorsque les éléments de preuve requis en matière de protection des données des employés sont manquants, empêche l’approbation de la surveillance des employés sans les éléments de preuve requis, et permet la suspension de nouvelles divulgations de données à caractère personnel des employés aux fournisseurs RH lorsque les éléments de preuve relatifs au sous-traitant, au sous-traitant ultérieur, aux instructions ou à l’assistance sont manquants.