Lois sur la surveillance en ligne et considérations de conformité en matière de confidentialité
Dernière mise à jour : mai 2026
Les logiciels de surveillance en ligne peuvent aider les organisations à protéger les ressources de l’entreprise, à améliorer la productivité et à comprendre comment le travail numérique est effectué. Cependant, la surveillance des employés, des appareils, de l’activité en ligne ou des communications peut impliquer des données personnelles et des règles de confidentialité au travail.
Cette page fournit un aperçu général des considérations relatives à la confidentialité et à la conformité liées à l’utilisation autorisée de logiciels de surveillance. Elle met en évidence des thèmes communs présents dans les principaux cadres de confidentialité et de surveillance au travail, tels que la transparence, la finalité licite, la minimisation des données, la sécurité, la conservation et l’avis à l’utilisateur.
Les exigences spécifiques peuvent varier selon le pays, l’État, le secteur, la propriété de l’appareil, le type de données collectées et la manière dont la surveillance est configurée.
Avertissement : Cette page est fournie uniquement à des fins d’information générale et ne constitue pas un conseil juridique. Les lois relatives à la confidentialité, à la surveillance au travail, au travail et aux communications électroniques varient selon la juridiction et peuvent dépendre du cas d’utilisation spécifique, de la propriété de l’appareil, du secteur, de l’avis aux employés, des exigences de consentement et du type de données collectées.
Spyrix ne détermine pas si une configuration de surveillance particulière est licite pour votre organisation. Avant d’utiliser un logiciel de surveillance, vous devez examiner les lois applicables et les politiques internes, informer les utilisateurs lorsque cela est requis, limiter la surveillance aux finalités nécessaires et légitimes, et consulter un conseiller juridique qualifié lorsque cela est approprié.
Cadres mondiaux et régionaux de confidentialité
RGPD (Règlement général sur la protection des données - Union européenne)
Le RGPD est la réglementation centrale de l’Union européenne en matière de protection des données. Il peut s’appliquer aux organisations situées dans l’UE ou en dehors lorsqu’elles traitent des données personnelles d’une manière qui relève du champ d’application territorial du RGPD, y compris dans certains cas concernant des personnes dans l’UE. La surveillance de l’activité en ligne, la surveillance des employés et d’autres formes de suivi numérique peuvent relever de son champ d’application lorsqu’elles impliquent des données personnelles.
En vertu du RGPD, les activités de surveillance nécessitent généralement une base juridique valide et doivent être nécessaires, proportionnées et transparentes. Selon le contexte, les organisations peuvent s’appuyer sur une base juridique telle que les intérêts légitimes, la nécessité contractuelle, l’obligation légale ou le consentement. Dans les contextes d’emploi, le consentement peut ne pas toujours être approprié en raison de la relation entre l’employeur et l’employé.
Lorsqu’elles s’appuient sur les intérêts légitimes, les organisations doivent évaluer et documenter si la finalité de la surveillance est licite, nécessaire et équilibrée par rapport aux droits et libertés des personnes concernées. Lorsque la surveillance est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes, une analyse d’impact relative à la protection des données (DPIA) peut être requise.
La transparence est essentielle. Les personnes doivent généralement être informées à l’avance du type de surveillance, de la finalité, des catégories de données collectées, de la base juridique, des personnes pouvant accéder aux données et de la durée de conservation des données. La surveillance secrète ou non divulguée est très sensible, peut être illégale dans de nombreux cas et doit être évaluée séparément au regard des lois locales applicables.
Le RGPD met également l’accent sur la minimisation des données, exigeant des organisations qu’elles ne collectent que les données personnelles nécessaires à une finalité définie. Une surveillance continue ou trop intrusive sans justification claire peut entrer en conflit avec les principes du RGPD.
Pour les outils de surveillance en ligne, les considérations les plus pertinentes du RGPD comprennent généralement :
Fournir un avis clair concernant la surveillance lorsque cela est requis
Collecter uniquement les données nécessaires et pertinentes
Utiliser des mesures de sécurité techniques et organisationnelles appropriées
Identifier et documenter la base juridique du traitement
Évaluer les intérêts légitimes ou les traitements à risque plus élevé, le cas échéant
Permettre aux personnes d’exercer les droits applicables en matière de confidentialité, tels que l’accès, la suppression, l’opposition ou la limitation
Sources officielles :
Règlement (UE) 2016/679 - Règlement général sur la protection des données Texte officiel du RGPD publié sur EUR-Lex.
Lignes directrices 3/2018 de l’EDPB sur le champ d’application territorial du RGPD Explique quand le RGPD peut s’appliquer aux organisations situées dans l’UE et en dehors de l’UE.
Lignes directrices 05/2020 de l’EDPB sur le consentement au titre du règlement 2016/679 Fournit des orientations sur le consentement valable au titre du RGPD.
Commission européenne - Quand une analyse d’impact relative à la protection des données est-elle requise ? Explique quand une DPIA peut être requise pour un traitement de données personnelles à risque plus élevé.
EDPS - Utilisation privée des communications électroniques sur le lieu de travail Fournit des orientations liées aux communications sur le lieu de travail, aux attentes en matière de confidentialité et à la surveillance proportionnée.
Lignes directrices de l’OCDE sur la protection de la vie privée (Organisation de coopération et de développement économiques)
Les Lignes directrices de l’OCDE sur la protection de la vie privée fournissent des principes internationalement reconnus pour la confidentialité et la protection des données personnelles. Elles ne sont pas juridiquement contraignantes de la même manière que les lois nationales ou régionales, mais elles ont influencé les cadres de confidentialité et les politiques de protection des données dans de nombreux pays.
Les lignes directrices mettent l’accent sur les principes fondamentaux de confidentialité tels que la limitation de la collecte, la qualité des données, la spécification des finalités, la limitation de l’utilisation, les garanties de sécurité, l’ouverture, la participation individuelle et la responsabilité. Ces principes soutiennent une gestion responsable des données et encouragent les organisations à collecter et utiliser des données personnelles uniquement pour des finalités claires, définies et appropriées.
Pour la surveillance en ligne et la surveillance des employés, les Lignes directrices de l’OCDE sur la protection de la vie privée ne fournissent pas de règles détaillées propres à la surveillance. Elles offrent toutefois un cadre utile en matière de confidentialité pour évaluer si les pratiques de surveillance sont transparentes, limitées à une finalité légitime, protégées par des garanties appropriées et responsables.
Bien que les Lignes directrices de l’OCDE sur la protection de la vie privée ne soient pas exécutoires comme le RGPD, elles demeurent un point de référence international important pour un traitement des données responsable et respectueux de la vie privée.
En pratique, ces principes peuvent aider les organisations à déterminer si elles doivent :
Communiquer clairement les pratiques de surveillance
Limiter la collecte de données à ce qui est nécessaire pour une finalité définie
Protéger les données surveillées contre tout accès non autorisé
Fournir aux personnes des informations appropriées sur la manière dont leurs données sont utilisées
Réexaminer régulièrement les pratiques de surveillance au regard de l’équité, de la nécessité et de la proportionnalité
Sources officielles :
Lignes directrices de l’OCDE sur la protection de la vie privée et les flux transfrontières de données personnelles Publication officielle de l’OCDE contenant les principes de confidentialité et le cadre associé.
OCDE - Confidentialité et protection des données Page de présentation de l’OCDE expliquant le rôle des Lignes directrices sur la protection de la vie privée dans les cadres mondiaux de confidentialité et de protection des données.
États-Unis
Aux États-Unis, la surveillance au travail et en ligne est régie par une combinaison de lois fédérales, de lois étatiques sur la confidentialité, de règles relatives aux communications électroniques, d’exigences en matière de salaires et d’heures de travail, et de réglementations propres à certains secteurs. Il n’existe pas de loi nationale unique sur la surveillance des employés couvrant toutes les situations. Les exigences peuvent varier selon l’État, le type de données collectées, le fait que les communications soient interceptées ou consultées, que l’appareil appartienne à l’entreprise ou soit personnel, et la manière dont les données de surveillance sont utilisées.
Cadre | Où elle s’applique | Champ d’application de la surveillance | Considérations courantes de conformité | Pourquoi cela peut être important pour un logiciel de surveillance |
|---|---|---|---|---|
CCPA / CPRA | Californie ; entreprises couvertes | Collecte et utilisation d’informations personnelles, y compris certaines informations personnelles relatives aux employés, candidats, contractants, appareils, activités en ligne et informations personnelles sensibles | Avis au moment de la collecte, divulgations dans la politique de confidentialité, droits d’accès/de suppression/de correction, droits d’opposition le cas échéant, limites à certaines utilisations des informations personnelles sensibles | Pertinent lorsque la surveillance collecte des identifiants, des données d’appareil, l’activité Internet ou applicative, la géolocalisation, des données comportementales ou d’autres informations personnelles de résidents californiens |
ECPA et règles fédérales connexes relatives aux communications électroniques | Droit fédéral américain ; les lois des États sur l’écoute électronique et les communications peuvent également s’appliquer | Interception ou accès aux communications électroniques, telles que les e-mails, chats, appels, messages ou certaines communications en ligne | Éviter l’interception ou l’accès non autorisés ; évaluer si le consentement, l’autorisation, les exceptions applicables aux fournisseurs ou les exceptions liées à une finalité commerciale peuvent s’appliquer ; examiner les règles propres à chaque État en matière de consentement et d’écoute électronique | Très pertinent pour la surveillance des communications, l’examen des e-mails/chats, la capture du contenu d’écran, l’enregistrement des frappes au clavier et les outils susceptibles de capturer le contenu des messages |
Règles relatives aux salaires et aux heures de travail liées à la FLSA | Droit fédéral américain ; les lois salariales des États peuvent également s’appliquer | Utilisation des données de surveillance, de présence, d’activité ou de suivi du temps pour les heures de travail, la paie, les heures supplémentaires ou les décisions de productivité | Les registres de temps et d’activité doivent permettre des calculs de salaire exacts ; les employés non exemptés doivent être payés pour toutes les heures travaillées ; les employeurs doivent éviter de décourager la déclaration exacte du temps de travail | Pertinent lorsque les données de surveillance sont utilisées pour calculer le temps de travail, vérifier la présence, examiner les heures supplémentaires ou soutenir les décisions liées à la paie et aux salaires |
Lois propres aux États sur la surveillance électronique et la confidentialité | Varie selon l’État ; les exemples incluent New York, le Connecticut et le Delaware pour les règles d’avis relatives à la surveillance des employés | Surveillance électronique des communications des employés, de l’utilisation d’Internet, des systèmes informatiques, des appareils du lieu de travail ou d’autres données personnelles | Certains États exigent un avis écrit ou électronique, une reconnaissance par l’employé, un affichage sur le lieu de travail ou un libellé spécifique dans la politique ; d’autres lois étatiques sur la confidentialité peuvent ajouter des obligations pour les données sensibles, les données biométriques ou les droits des consommateurs | Les employeurs présents dans plusieurs États ne doivent pas se fier uniquement à une politique américaine générique ; ils peuvent avoir besoin d’avis propres à chaque État, de formulations de consentement, de règles de conservation et de contrôles d’accès internes |
Sources officielles :
California Department of Justice - California Consumer Privacy Act (CCPA) Présentation officielle du DOJ de Californie sur les droits prévus par la CCPA, les avis requis, les droits d’opposition, les droits de correction, les droits de suppression et les droits relatifs aux informations personnelles sensibles.
California Privacy Protection Agency - Law & Regulations Page officielle de la California Privacy Protection Agency consacrée aux règlements CCPA/CPRA et à l’élaboration des règles.
U.S. Code - 18 U.S.C. Section 2511 : interdiction de l’interception et de la divulgation de communications filaires, orales ou électroniques Texte officiel du U.S. Code relatif à l’interception des communications électroniques.
U.S. Department of Justice - Electronic Communications Privacy Act of 1986 Présentation du DOJ sur l’ECPA et sa relation avec les communications électroniques et numériques.
U.S. Department of Labor - Field Assistance Bulletin No. 2020-5 Orientations officielles du DOL relatives au suivi et à la rémunération des heures travaillées, y compris dans les situations de travail à distance.
New York Civil Rights Law Section 52-c - Employeurs pratiquant la surveillance électronique ; avis préalable requis Loi officielle de New York exigeant un avis préalable pour certaines formes de surveillance électronique des employés.
Connecticut General Statutes Section 31-48d - Avis de surveillance électronique Loi officielle du Connecticut traitant des exigences d’avis pour les employeurs pratiquant la surveillance électronique.
Delaware Code Title 19 Section 705 - Avis de surveillance des transmissions téléphoniques, du courrier électronique et de l’utilisation d’Internet Loi officielle du Delaware traitant des exigences d’avis relatives à la surveillance du téléphone, de l’e-mail et de l’utilisation d’Internet.
Canada
PIPEDA (Loi sur la protection des renseignements personnels et les documents électroniques)
La PIPEDA s’applique à de nombreuses organisations du secteur privé au Canada qui collectent, utilisent ou divulguent des informations personnelles dans le cadre d’activités commerciales. Pour les informations personnelles des employés, la PIPEDA s’applique généralement aux lieux de travail sous réglementation fédérale, tandis que certaines provinces disposent de leurs propres lois sur la confidentialité du secteur privé.
La PIPEDA peut couvrir les informations personnelles collectées par la surveillance en ligne ou la surveillance des employés, notamment les identifiants, les données d’appareil, l’activité en ligne, l’utilisation des applications, les données liées aux communications et les registres de productivité.
Les organisations doivent définir une finalité claire pour la surveillance, limiter la collecte à ce qui est nécessaire et traiter les informations personnelles de manière transparente.
Lorsque le consentement est requis, il doit être valable et fondé sur des informations claires concernant les données collectées, la raison de leur collecte, la manière dont elles seront utilisées et les personnes pouvant y accéder.
Les employés doivent généralement être informés de ce qui est surveillé, de la raison pour laquelle la surveillance est utilisée, de la manière dont les informations seront utilisées et de la durée pendant laquelle elles peuvent être conservées.
Les informations personnelles collectées par la surveillance doivent être protégées par des garanties de sécurité appropriées.
Lois provinciales sur la confidentialité (Alberta PIPA, British Columbia PIPA, Quebec Law 25)
L’Alberta, la Colombie-Britannique et le Québec disposent de lois sur la confidentialité du secteur privé qui peuvent s’appliquer dans leurs provinces respectives.
Ces lois suivent généralement des principes similaires de confidentialité, tels qu’une finalité raisonnable, une collecte limitée, la transparence, les droits d’accès, les limites de conservation et les garanties appropriées.
Pour la surveillance des employés, les exigences peuvent dépendre de la province, du type de lieu de travail, de la finalité de la surveillance, de la sensibilité des données et du caractère raisonnable de la surveillance pour gérer la relation d’emploi.
Les employeurs doivent informer les employés avant de collecter des informations personnelles au moyen d’outils de surveillance lorsque cela est requis.
Certaines provinces peuvent exiger des politiques ou des avis expliquant quelles informations personnelles sont collectées, pourquoi elles sont collectées, combien de temps elles sont conservées et qui peut y accéder.
Les organisations opérant dans plusieurs provinces canadiennes doivent examiner les exigences fédérales et provinciales avant de mettre en œuvre un logiciel de surveillance.
Sources officielles :
Office of the Privacy Commissioner of Canada - PIPEDA Présentation officielle de la loi fédérale canadienne sur la confidentialité dans le secteur privé.
Office of the Privacy Commissioner of Canada - Privacy in the Workplace Orientations sur la confidentialité au travail, les informations personnelles des employés et les responsabilités des employeurs.
Office of the Privacy Commissioner of Canada - Guidelines for Obtaining Meaningful Consent Orientations sur le consentement valable en vertu de la loi canadienne sur la confidentialité dans le secteur privé.
Government of Alberta - Personal Information Protection Act Page officielle du gouvernement de l’Alberta consacrée à la loi albertaine sur la confidentialité dans le secteur privé.
Government of Alberta - Personal Employee Information Orientations sur la manière dont l’Alberta PIPA s’applique aux informations personnelles des employés.
BC Laws - Personal Information Protection Act Texte officiel du Personal Information Protection Act de la Colombie-Britannique.
Legis Quebec - Loi sur la protection des renseignements personnels dans le secteur privé Texte officiel de la loi québécoise sur la confidentialité dans le secteur privé.
Royaume-Uni
UK GDPR
S’applique au traitement des données personnelles au Royaume-Uni, y compris la surveillance des employés et de l’activité en ligne.
Exige une base juridique claire pour la surveillance, telle que les intérêts légitimes, l’obligation légale, la nécessité contractuelle ou le consentement lorsque cela est approprié.
La surveillance doit être nécessaire, proportionnée, transparente et non excessivement intrusive.
Les employeurs doivent réaliser une évaluation des risques et peuvent devoir effectuer une analyse d’impact relative à la protection des données (DPIA) lorsque la surveillance est susceptible de créer un risque élevé pour les personnes, comme le suivi continu, l’enregistrement des frappes au clavier ou toute autre surveillance intrusive.
Le personnel doit généralement savoir ce qui est surveillé, pourquoi cela est surveillé, quelles données sont collectées, comment elles seront utilisées, qui peut y accéder et combien de temps elles seront conservées.
Data Protection Act 2018
Complète le UK GDPR et fournit des règles, conditions et exemptions supplémentaires pour le traitement des données personnelles.
Comprend des dispositions pertinentes pour les données de catégories particulières, les données relatives aux infractions pénales, le traitement lié à l’emploi et le traitement par les autorités chargées de l’application de la loi.
Renforce des principes tels que la minimisation des données, la limitation des finalités, la sécurité, la responsabilité et les droits individuels.
Les personnes ont généralement le droit d’accéder à leurs données personnelles et, dans certains cas, de s’opposer à certains types de traitement.
RIPA et règles connexes relatives à l’interception
Le Regulation of Investigatory Powers Act 2000 et les règles britanniques connexes relatives à l’interception réglementent certains types d’interception et d’accès aux communications.
L’interception des communications peut être limitée sauf s’il existe une autorité légale, un consentement ou une autre base juridique ou exception applicable.
Pour la surveillance au travail, la surveillance des communications doit être évaluée avec soin, en particulier lorsqu’elle peut impliquer des e-mails, des chats, des appels, des messages ou tout autre contenu de communication.
La surveillance secrète ou non divulguée est très sensible, peut être illégale dans de nombreux cas et ne doit être envisagée que dans des circonstances exceptionnelles avec une justification claire et un examen juridique approprié.
Orientations de l’ICO sur les pratiques d’emploi
L’Information Commissioner's Office du Royaume-Uni fournit des orientations sur la surveillance des travailleurs et le traitement des données personnelles des employés.
L’ICO souligne que la surveillance doit être ciblée, proportionnée, justifiée par une finalité claire et non excessive.
Les employeurs doivent tenir compte de l’impact sur les travailleurs avant d’introduire des outils de surveillance, en particulier lorsque la surveillance est intrusive ou continue.
Les employeurs doivent créer des politiques écrites claires expliquant ce qui est surveillé, pourquoi cela est surveillé, comment les données sont utilisées, qui peut y accéder et combien de temps elles sont conservées.
Les orientations insistent sur la transparence, la responsabilité, la consultation lorsque cela est approprié et le respect des attentes raisonnables des travailleurs en matière de vie privée.
Sources officielles :
ICO - Pratiques d’emploi et protection des données : surveillance des travailleurs Centre officiel d’orientations de l’ICO sur les pratiques d’emploi, y compris la surveillance des travailleurs et les obligations connexes en matière de protection des données.
ICO - Guide de la base juridique Orientations de l’ICO sur les bases juridiques du traitement des données personnelles en vertu du UK GDPR.
ICO - Quand devons-nous réaliser une DPIA ? Orientations de l’ICO expliquant quand une analyse d’impact relative à la protection des données peut être requise.
legislation.gov.uk - Data Protection Act 2018 Texte officiel du Data Protection Act 2018.
legislation.gov.uk - Regulation of Investigatory Powers Act 2000 Texte officiel du Regulation of Investigatory Powers Act 2000.
GOV.UK - Interception des communications : code de pratique Code de pratique du gouvernement britannique relatif à l’interception des communications.
Australie et Nouvelle-Zélande
Privacy Act 1988 (Australie)
Le Privacy Act 1988 établit le cadre général de la manière dont les organisations australiennes traitent les informations personnelles, y compris certaines données pouvant être collectées par la surveillance en ligne ou des systèmes liés au lieu de travail.
Il exige des organisations couvertes qu’elles ne collectent que les informations raisonnablement nécessaires, qu’elles soient transparentes quant à la manière dont les informations personnelles sont utilisées et qu’elles les protègent.
La loi ne contient pas de règles détaillées sur la surveillance au travail, et les dossiers des employés traités par des employeurs du secteur privé peuvent être exemptés des Principes australiens de confidentialité dans certaines circonstances. Toutefois, la surveillance impliquant des informations personnelles peut encore être soumise au Privacy Act dans certains contextes, par exemple lorsque l’exemption relative aux dossiers des employés ne s’applique pas, lorsque des prestataires de services traitent les données des employés ou lorsque d’autres obligations en matière de confidentialité sont déclenchées.
En pratique, les employeurs et les prestataires de services utilisant des outils de surveillance doivent définir des finalités commerciales claires, éviter le suivi excessif, expliquer leurs pratiques dans les politiques de confidentialité et la documentation interne, et tenir compte des lois pertinentes des États ou territoires relatives à la surveillance au travail.
Lois sur la surveillance au travail (niveau des États, Australie)
Certains États et territoires australiens réglementent plus directement la surveillance au travail au moyen de lois sur la surveillance au travail, telles que le Workplace Surveillance Act 2005 (NSW) et le Workplace Privacy Act 2011 (ACT).
Ces lois peuvent encadrer quand et comment les employeurs peuvent utiliser la surveillance par caméra, ordinateur et suivi, exigeant souvent un avis écrit préalable, des politiques claires et des conditions spécifiques avant le début de la surveillance.
La surveillance cachée ou secrète est fortement limitée et peut nécessiter une autorisation spécifique ou une approbation juridique. Elle ne doit pas être traitée comme une méthode routinière de suivi des performances.
Pour les outils de surveillance en ligne, cela signifie que les employeurs des États et territoires concernés doivent fournir un avis clair et en temps utile lorsque cela est requis et s’assurer que toute surveillance de l’ordinateur, d’Internet, des e-mails ou par suivi respecte les conditions légales applicables.
Privacy Act 2020 (Nouvelle-Zélande)
Le Privacy Act 2020 de la Nouvelle-Zélande fournit le cadre national en matière de confidentialité et s’applique aux informations personnelles traitées par les agences, y compris les informations collectées par la surveillance au travail ou en ligne.
La loi exige des organisations qu’elles collectent des informations uniquement à des fins licites et nécessaires, qu’elles soient ouvertes sur leurs pratiques et qu’elles donnent aux personnes l’accès à leurs informations personnelles lorsque cela est applicable.
Les orientations des régulateurs soulignent que la surveillance, l’enregistrement ou le filmage des employés doivent être effectués conformément au Privacy Act et aux principes de confidentialité. Les employeurs doivent également tenir compte de la manière dont la surveillance peut affecter la confiance des employés, le moral et les relations sur le lieu de travail.
Les employeurs sont encouragés à consulter le personnel, à expliquer pourquoi la surveillance est nécessaire, à utiliser des politiques claires sur le lieu de travail et à tenir compte de l’impact du suivi continu ou détaillé.
Sources officielles :
OAIC - The Privacy Act Présentation officielle du Privacy Act 1988 australien et des Principes australiens de confidentialité.
OAIC - Exemption relative aux dossiers des employés Explique quand le traitement des dossiers des employés par des employeurs du secteur privé peut être exempté des Principes australiens de confidentialité.
OAIC - Surveillance et contrôle sur le lieu de travail Orientations expliquant que la surveillance au travail peut impliquer les lois des États, des territoires et d’autres lois australiennes pertinentes.
ACT Legislation - Workplace Privacy Act 2011 Page officielle de la législation de l’ACT consacrée au Workplace Privacy Act 2011.
New Zealand Legislation - Privacy Act 2020 Texte officiel du Privacy Act 2020 de la Nouvelle-Zélande.
New Zealand Privacy Commissioner - Privacy Act 2020 Présentation officielle des principes de confidentialité de la Nouvelle-Zélande.
Employment New Zealand - Confidentialité des employés Orientations sur la confidentialité des employés, la surveillance au travail, l’enregistrement et le filmage des employés.
Région Asie-Pacifique
PDPA (Personal Data Protection Act) - Singapour
Couvre les données personnelles collectées, utilisées ou divulguées par les organisations, y compris les données pouvant être collectées par la surveillance des employés ou la surveillance en ligne.
Exige des organisations qu’elles collectent, utilisent ou divulguent des données personnelles à des fins appropriées et avec consentement, consentement réputé ou une autre exception applicable lorsque cela est autorisé.
Fort accent sur la transparence, la notification appropriée, la limitation des finalités et les garanties de protection des données.
Les organisations doivent informer les personnes des finalités pour lesquelles leurs données personnelles sont collectées, utilisées ou divulguées.
La conservation doit être limitée à ce qui est nécessaire à des fins juridiques ou commerciales.
PDPA - Malaisie
S’applique aux données personnelles traitées dans le cadre de transactions commerciales, y compris les contextes liés à l’emploi où des données personnelles sont collectées ou utilisées.
Exige des organisations qu’elles respectent les principaux principes de protection des données personnelles, notamment les principes généraux, d’avis et de choix, de divulgation, de sécurité, de conservation, d’intégrité des données et d’accès.
Les organisations doivent fournir un avis clair sur la finalité de la collecte des données personnelles et la manière dont les données seront utilisées.
Les données doivent être traitées pour une finalité spécifique et déclarée, protégées par des mesures de sécurité appropriées et ne pas être conservées plus longtemps que nécessaire.
Comprend des règles relatives à la conservation, à la sécurité des données, aux droits d’accès, aux droits de correction et au traitement par des tiers.
APPI (Act on the Protection of Personal Information) - Japon
Régit le traitement des informations personnelles par les entreprises et autres entités couvertes, y compris les données personnelles des clients et des employés.
Exige des organisations qu’elles précisent la finalité d’utilisation et traitent les informations personnelles dans le cadre de cette finalité déclarée.
Met l’accent sur la sécurité des données, l’exactitude, le contrôle de la conservation et la supervision appropriée des employés et prestataires de services traitant des données personnelles.
Les pratiques de surveillance impliquant des informations personnelles doivent être alignées sur les politiques internes et la finalité d’utilisation déclarée.
Les personnes peuvent avoir des droits à la divulgation, à la correction, à la suspension de l’utilisation ou à la suppression selon le contexte.
PIPL (Personal Information Protection Law) - Chine
Loi complète sur la protection des informations personnelles couvrant le traitement des informations personnelles en Chine et certaines activités de traitement en dehors de la Chine impliquant des personnes en Chine.
Exige une finalité claire et raisonnable, la minimisation des données, la transparence et des mesures de sécurité appropriées.
Le consentement peut être requis dans de nombreux cas, tandis que d’autres bases légales de traitement peuvent s’appliquer selon le contexte.
Un consentement distinct peut être requis pour les informations personnelles sensibles, certaines divulgations, les transferts transfrontaliers ou d’autres activités de traitement à risque plus élevé.
Accorde aux personnes des droits tels que l’accès, la correction, la suppression, le retrait du consentement et l’explication des règles de traitement.
Sources officielles :
Singapore PDPC - Personal Data Protection Act Présentation officielle du Personal Data Protection Act de Singapour.
Singapore PDPC - Obligations en matière de protection des données Page officielle de la PDPC expliquant les obligations clés telles que le consentement, la notification, la limitation des finalités, la protection et la conservation.
Singapore PDPC - Lignes directrices consultatives sur les concepts clés de la PDPA Orientations officielles expliquant les concepts clés de la PDPA, y compris le consentement et les exceptions.
Malaysia Department of Personal Data Protection - Personal Data Protection Act 2010 Page officielle du gouvernement malaisien consacrée au Personal Data Protection Act 2010.
Malaysia Department of Personal Data Protection - Principes de protection des données personnelles Présentation officielle des sept principes malaisiens de protection des données personnelles.
Malaysia Department of Personal Data Protection - Orientations sur les avis de protection des données personnelles Orientations officielles sur la préparation des avis de protection des données personnelles.
Japan Personal Information Protection Commission - Act on the Protection of Personal Information Traduction officielle en anglais de l’Act on the Protection of Personal Information du Japon.
Japan Personal Information Protection Commission Site officiel de l’autorité japonaise de protection de la vie privée.
China National Laws and Regulations Database - Personal Information Protection Law Texte chinois officiel de la Personal Information Protection Law de la Chine.
Cyberspace Administration of China - Personal Information Protection Law Publication officielle de la CAC de la Personal Information Protection Law de la Chine.
Amérique latine
LGPD (Lei Geral de Protecao de Dados) - Brésil
La LGPD du Brésil réglemente le traitement des données personnelles, y compris les données traitées par des moyens numériques. Elle peut s’appliquer aux informations recueillies par la surveillance en ligne ou au travail lorsque les données se rapportent à une personne identifiée ou identifiable.
Les organisations doivent identifier une base juridique appropriée pour la surveillance et expliquer la finalité de la collecte des données. La surveillance doit être limitée à ce qui est nécessaire, menée de manière transparente et soutenue par des mesures de sécurité appropriées.
Les personnes disposent de droits pouvant inclure l’accès, la correction, la suppression, la portabilité, les informations sur le partage des données et le retrait du consentement lorsque cela est applicable.
Lois nationales sur la confidentialité en Argentine, au Mexique et au Chili
L’Argentine, le Mexique et le Chili disposent de cadres nationaux de protection des données qui peuvent s’appliquer aux données personnelles collectées au moyen d’outils de surveillance, selon le contexte et le type de données concernées.
Les attentes communes en matière de confidentialité dans la région incluent l’existence d’une finalité claire et appropriée, l’information des personnes concernant la collecte de données, la limitation de l’utilisation des données à ce qui est nécessaire et la protection des données personnelles par des garanties appropriées.
Les personnes peuvent avoir des droits d’accès, de correction, de mise à jour, de suppression ou d’opposition à certaines utilisations de leurs données personnelles, selon la loi applicable.
Étant donné que les exigences spécifiques diffèrent selon les pays et peuvent évoluer avec le temps, les organisations doivent examiner les règles locales actuelles avant de mettre en œuvre une surveillance en ligne ou au travail sur ces marchés.
Sources officielles :
Brésil - Loi n° 13.709/2018, Loi générale sur la protection des données personnelles (LGPD) Texte officiel consolidé de la LGPD du Brésil.
Argentine - Agencia de Acceso a la Informacion Publica : protection des données personnelles Page officielle de l’autorité argentine sur la protection des données personnelles.
Chili - Loi n° 19.628 sur la protection de la vie privée Texte officiel de la loi chilienne sur la protection des données personnelles.
Chili - Loi n° 21.719, protection et traitement des données personnelles Texte officiel du cadre modernisé de protection des données du Chili.
Région du Moyen-Orient
UAE Data Protection Law (décret-loi fédéral n° 45 de 2021)
La loi fédérale des EAU sur la protection des données personnelles fournit un cadre général pour le traitement des données personnelles. Elle peut s’appliquer aux organisations qui traitent des données personnelles aux EAU ou qui traitent des données personnelles de personnes situées aux EAU, selon le champ d’application de la loi et toute règle applicable propre à un secteur ou à une zone franche.
Pour la surveillance, les organisations doivent définir une finalité claire et licite, limiter la collecte de données à ce qui est nécessaire et mettre fortement l’accent sur la transparence et la sécurité.
Les organisations doivent informer le personnel de la surveillance lorsque cela est requis, documenter leurs raisons de collecter des données personnelles et mettre en place des politiques internes et des garanties pour le traitement des données surveillées.
Qatar Data Privacy Protection Law
La loi du Qatar sur la confidentialité des données personnelles couvre les données personnelles traitées électroniquement ou destinées à un traitement électronique.
Elle reconnaît le droit d’une personne à la confidentialité des données et exige que le traitement des données personnelles respecte des principes tels que la transparence, l’équité et le respect de la vie privée.
Pour les systèmes de surveillance, les organisations doivent avoir une finalité claire et licite, informer les personnes lorsque cela est requis et protéger les données personnelles au moyen de mesures de sécurité appropriées.
Les organisations doivent également respecter les droits applicables, y compris les droits d’accès et de correction lorsqu’ils sont disponibles.
Loi saoudienne sur la protection des données personnelles (PDPL)
La PDPL de l’Arabie saoudite réglemente le traitement des données personnelles dans le Royaume et peut également s’appliquer à certaines activités de traitement en dehors du Royaume lorsqu’elles impliquent des données personnelles de personnes situées en Arabie saoudite.
Pour la surveillance, les organisations doivent définir des finalités claires, adopter des politiques de confidentialité et informer les personnes de la manière dont leurs données personnelles seront collectées et utilisées.
Le consentement peut être requis dans de nombreux cas, tandis que d’autres bases licites peuvent s’appliquer selon le contexte.
Les employeurs utilisant des outils de surveillance doivent protéger les données surveillées, limiter l’accès interne, éviter les collectes inutiles et traiter les informations des employés conformément aux exigences de transparence, de sécurité et de conservation de la PDPL.
Sources officielles :
Législation des EAU - Décret-loi fédéral n° 45 de 2021 sur la protection des données personnelles Texte officiel de la loi fédérale des EAU sur la protection des données personnelles.
Qatar Al Meezan - Loi n° 13 de 2016 sur la protection de la confidentialité des données personnelles Texte PDF officiel en anglais de la loi du Qatar sur la confidentialité des données personnelles.
SDAIA - Loi sur la protection des données Page officielle de la Saudi Data & AI Authority sur la loi saoudienne sur la protection des données personnelles.
SDAIA - Loi sur la protection des données personnelles Version officielle en anglais de la loi saoudienne sur la protection des données personnelles.
Considérations finales pour une surveillance responsable
Les lois sur la surveillance en ligne et la surveillance des employés varient considérablement selon les pays, les États, les secteurs et les environnements de travail. Le même outil de surveillance peut être acceptable dans un contexte et inapproprié ou illégal dans un autre, selon la manière dont il est configuré, les données collectées, le fait que les utilisateurs soient informés ou non, et la manière dont les informations sont utilisées.
Un programme de surveillance responsable doit généralement inclure :
Une finalité claire et légitime pour la surveillance
Des politiques internes écrites expliquant ce qui est surveillé et pourquoi
Un avis à l’utilisateur ou à l’employé lorsque cela est requis
Une collecte de données limitée et proportionnée
Des contrôles d’accès solides et des garanties de sécurité
Des durées de conservation définies pour les données collectées
Un examen régulier des pratiques de surveillance
Un examen juridique pour les scénarios de surveillance à haut risque, sensibles, secrets ou transfrontaliers
Spyrix fournit un logiciel de surveillance pour une utilisation autorisée. Toutefois, chaque organisation est responsable de déterminer si son utilisation spécifique des outils de surveillance est conforme aux lois applicables, aux politiques internes et aux exigences d’information. En cas de doute, les organisations doivent consulter un conseiller juridique qualifié avant de déployer un logiciel de surveillance ou d’activer des fonctionnalités de surveillance plus intrusives.