Lois sur la surveillance en ligne
L'équipe de Spyrix rassemble les principaux textes de loi et documents juridiques décrivant comment les employeurs peuvent légalement surveiller les activités en ligne de leurs employés. Elle fournit également des recommandations sur l'utilisation des outils de surveillance à des fins personnelles.
Actes internationaux mondiaux
RGPD (Règlement général sur la protection des données - Union européenne)
Le RGPD est le principal règlement européen sur la protection des données et s'applique à toute organisation traitant des données personnelles de personnes résidant dans l'UE, quel que soit son lieu d'établissement. La surveillance de l'activité en ligne, la surveillance des employés et toute forme de suivi numérique relèvent de son champ d'application dès lors qu'elles impliquent des données personnelles.
En vertu du RGPD, la surveillance n'est généralement licite que lorsqu'elle repose sur une base légale valable, telle qu'un intérêt légitime, l'exécution d'un contrat ou l'obtention d'un consentement explicite. Avant de mettre en œuvre des outils de surveillance, les organisations doivent s'assurer que cette surveillance est nécessaire, proportionnée et ne porte pas atteinte de manière excessive à la vie privée des personnes.
Le RGPD impose aux entreprises de réaliser une analyse d'impact relative à l'intérêt légitime (AIL) ou, lorsque la surveillance est susceptible d'engendrer des risques plus élevés, une analyse d'impact relative à la protection des données (AIPD). Ces évaluations permettent de déterminer la justification de la surveillance et d'identifier les moyens de réduire les risques liés à la collecte de données.
La transparence est essentielle. Les personnes doivent être clairement informées au préalable du type de surveillance, de sa finalité, des données collectées, de sa base juridique, des personnes y ayant accès et de la durée de conservation des données. La surveillance non divulguée ou clandestine est généralement restreinte et n'est autorisée que dans des circonstances très limitées, définies par les législations nationales.
Le RGPD insiste également sur la minimisation des données, exigeant des organisations qu'elles ne collectent que les données nécessaires à une finalité définie. Une surveillance continue ou excessivement intrusive sans justification claire peut enfreindre les principes du RGPD.
Pour les outils de surveillance en ligne, les obligations les plus pertinentes du RGPD sont les suivantes :
Fournir un avis clair concernant la surveillance
Collecte des seules données nécessaires
Utiliser des mesures de sécurité techniques et organisationnelles appropriées
Identifier et documenter la base légale du traitement
Permettre aux individus d'exercer leurs droits (accès, suppression, opposition, etc.)
Lignes directrices de l'OCDE sur la protection de la vie privée (Organisation de coopération et de développement économiques)
Les Principes directeurs de l'OCDE relatifs à la protection des données personnelles énoncent des principes internationalement reconnus en matière de protection des données et de respect de la vie privée. Bien qu'ils ne soient pas juridiquement contraignants, ils influencent les législations nationales sur la protection de la vie privée dans le monde entier et servent de cadre à une gestion responsable des données.
Ces lignes directrices mettent l'accent sur l'équité, la transparence, la limitation des finalités, la qualité des données, les mesures de sécurité, l'ouverture et la responsabilité. Elles incitent les organisations à ne collecter des données personnelles qu'à des fins claires et légitimes et à veiller à ce que les personnes concernées comprennent comment leurs données sont utilisées.
En matière de surveillance en ligne et de surveillance des employés, les Principes directeurs de l'OCDE préconisent des pratiques transparentes, proportionnées et respectueuses de la vie privée. Bien qu'ils ne contiennent pas de règles détaillées spécifiques à la surveillance, ils promeuvent une gouvernance responsable des données et éclairent les législations nationales qui réglementent directement ce type de surveillance.
En pratique, ces lignes directrices encouragent les organisations à :
Communiquer clairement les pratiques de surveillance
Limiter la collecte de données à ce qui est nécessaire
Protéger les données surveillées contre tout accès non autorisé
Examiner régulièrement les pratiques de surveillance afin d'en vérifier l'équité et la nécessité
Bien que non contraignantes comme le RGPD, les lignes directrices de l'OCDE sur la protection des données contribuent à façonner les normes et les meilleures pratiques mondiales en matière de surveillance licite et éthique.
États-Unis
Acte | Là où cela s'applique | Étendue du suivi | exigences clés | Remarques à l'attention des utilisateurs de Spyrix |
|---|---|---|---|---|
CCPA | Californie | Surveillance qui collecte des informations personnelles | Avis de confidentialité, droit d'accès/de suppression, refus du partage des données | S'applique si la surveillance collecte des identifiants, des journaux d'activité ou des données d'utilisation |
CPRA | Californie | Monitoring involving "sensitive" data or detailed profiling | Limitation des finalités, minimisation des données, règles plus strictes pour les données sensibles | Important lorsque les outils enregistrent la géolocalisation, les habitudes de comportement ou une activité numérique détaillée |
ECPA | Fédéral (États-Unis) | Interception ou accès aux communications électroniques (courriels, messagerie instantanée, frappes au clavier) | Restrictions relatives à l'interception de contenu ; les exceptions accordées par l'employeur nécessitent souvent un préavis. | Très pertinent pour l'enregistrement des frappes au clavier, la surveillance des courriels et la capture du contenu d'écran. |
Directives relatives à la loi FLSA | Fédéral (États-Unis) | Le système de surveillance permet de suivre les heures de travail ou la productivité. | Le suivi du temps de travail doit permettre de calculer les salaires avec précision ; aucune activité non rémunérée en dehors des heures de travail ne doit être tolérée. | Il ne s'agit pas d'une loi sur la protection de la vie privée, mais elle influe sur la manière dont les données de surveillance sont utilisées pour les décisions relatives à la paie. |
Lois de surveillance propres à chaque État | Varie selon l'état (NY, CT, DE, CO, VA, UT, etc.) | Systèmes de surveillance électronique des employés et du lieu de travail | Exige souvent un avis écrit ou une reconnaissance explicite. | Les employeurs présents dans plusieurs États bénéficient d'une politique de surveillance unifiée, complétée par des ajouts d'États. |
Canada
LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques)
S’applique aux organisations du secteur privé partout au Canada (sauf là où les lois provinciales le remplacent).
Couvre toute collecte, utilisation ou divulgation de renseignements personnels, y compris la surveillance en ligne et celle des employés.
Exige des organisations qu'elles définissent un objectif clair pour la surveillance et qu'elles obtiennent un consentement éclairé le cas échéant.
Le contrôle doit être raisonnable, limité à ce qui est nécessaire et mené de manière transparente.
Les employés doivent être informés de ce qui est surveillé, pourquoi cela est surveillé et comment les informations seront utilisées.
Les renseignements personnels doivent être protégés par des mesures de sécurité appropriées.
Lois provinciales sur la protection de la vie privée (Alberta PIPA, British Columbia PIPA, Loi 25 du Québec)
Postulez auprès des organisations du secteur privé dans leurs provinces respectives.
Elles reflètent généralement les principes de la LPRPDE, mais peuvent comporter des règles plus strictes en matière de consentement, de conservation des données et de confidentialité des employés.
Le contrôle doit être raisonnable au regard des objectifs de l'entreprise et conforme à des politiques claires et communiquées.
Les employeurs doivent informer leurs employés avant de collecter des informations personnelles au moyen d'outils de surveillance.
Certaines provinces exigent des politiques qui expliquent le type de données collectées, leur durée de conservation et les personnes qui y ont accès.
Les organisations doivent donner aux employés accès à leurs renseignements personnels sur demande.
Royaume-Uni
RGPD du Royaume-Uni
S'applique au traitement des données personnelles au Royaume-Uni, y compris la surveillance des activités des employés et en ligne.
Requires a clear lawful basis for monitoring (often "legitimate interests" or contract).
La surveillance doit être nécessaire, proportionnée et non excessivement intrusive.
Les employeurs doivent effectuer une évaluation des risques ou une analyse d'impact relative à la protection des données (AIPD) pour la surveillance à haut risque (par exemple, le suivi continu, l'enregistrement des frappes au clavier).
L'accent est mis sur la transparence : le personnel doit savoir ce qui est surveillé, pourquoi et comment les données seront utilisées et stockées.
Loi sur la protection des données de 2018
Complémente le RGPD britannique et prévoit des règles et exemptions supplémentaires.
Énonce des dispositions spécifiques relatives au contexte de l'emploi et à l'accès des forces de l'ordre.
Renforce les principes de minimisation des données, de limitation des finalités et de sécurité des données de surveillance.
Donne aux individus le droit d'accéder à leurs données personnelles et, dans certains cas, de s'opposer à certains types de surveillance.
RIPA (Regulation of Investigatory Powers Act)
Réglemente l'interception des communications et le recours à la surveillance et à l'écoute clandestine.
D'une manière générale, elle restreint l'interception des communications sans consentement ni autorisation appropriée.
La surveillance secrète des employés (à leur insu) n'est autorisée que dans des circonstances très limitées, telles que les enquêtes pour faute grave et lorsqu'elle est proportionnée.
Code de conduite en matière d'emploi de l'ICO (et directives connexes)
Recommandations non contraignantes du Bureau du commissaire à l'information du Royaume-Uni concernant la surveillance au travail.
Souligne que la surveillance doit être ciblée, non excessive, et justifiée par un besoin commercial clair.
Il est recommandé de réaliser des études d'impact avant d'introduire de nouveaux outils de suivi.
Il est conseillé aux employeurs d'élaborer des politiques écrites claires expliquant ce qui est surveillé, comment et dans quel but.
Elle met l'accent sur la consultation, la transparence et le respect des attentes raisonnables des travailleurs en matière de vie privée.
Australie et Nouvelle-Zélande
Loi de 1988 sur la protection de la vie privée (Australie)
La loi de 1988 sur la protection de la vie privée (Privacy Act 1988) établit le cadre général régissant la gestion des données personnelles par les organisations australiennes, y compris les données collectées par le biais de la surveillance en ligne et de la surveillance des employés. Elle impose aux organisations de ne collecter que les informations raisonnablement nécessaires, de faire preuve de transparence quant à leur utilisation et d'en assurer la sécurité. Bien que la loi ne contienne pas de règles détaillées concernant la surveillance sur le lieu de travail, toute surveillance permettant d'identifier une personne est généralement soumise aux principes australiens de protection de la vie privée (Australian Privacy Principles), notamment en ce qui concerne l'information, la limitation des finalités et les droits d'accès. Concrètement, cela signifie que les employeurs et les prestataires de services utilisant des outils de surveillance doivent définir clairement les finalités de l'activité, éviter le suivi excessif et expliquer leurs pratiques dans leurs politiques de confidentialité et leur documentation interne.
Lois sur la surveillance du lieu de travail (niveau des États, Australie)
Plusieurs États et territoires australiens réglementent plus directement la surveillance au travail par le biais de lois telles que la loi de 2005 sur la surveillance au travail (Nouvelle-Galles du Sud) et la loi de 2011 sur la protection de la vie privée au travail (Territoire de la capitale australienne). Ces lois encadrent généralement le recours des employeurs à la surveillance par caméra, ordinateur et système de géolocalisation, et exigent souvent un préavis écrit, une signalétique visible et des règles claires avant le début de la surveillance. La surveillance cachée est strictement encadrée et n'est généralement autorisée qu'avec une autorisation spécifique et dans le cadre d'enquêtes pour faute grave ou activité illégale, et non pour le suivi régulier des performances. Concernant les outils de surveillance en ligne, cela signifie que les employeurs des États concernés doivent informer clairement et en temps utile leurs employés que leur utilisation de l'ordinateur, d'Internet ou de la messagerie électronique peut être surveillée, et s'assurer que toute surveillance est conforme aux dispositions légales.
Loi sur la protection de la vie privée de 2020 (Nouvelle-Zélande)
La loi néo-zélandaise de 2020 sur la protection de la vie privée modernise le cadre juridique du pays et s'applique aux données des clients et des employés, y compris les informations collectées par le biais de la surveillance en milieu de travail ou en ligne. Cette loi exige des organisations qu'elles ne collectent des informations qu'à des fins légitimes et nécessaires, qu'elles fassent preuve de transparence quant à leurs pratiques et qu'elles donnent aux individus accès à leurs données personnelles. Les recommandations des autorités de réglementation soulignent que la surveillance, l'enregistrement ou le tournage des employés doivent être proportionnés et s'appuyer sur des politiques d'entreprise claires, élaborées conformément à la loi sur la protection de la vie privée et au droit du travail. Les employeurs sont encouragés à consulter leur personnel, à expliquer la nécessité de la surveillance et à prendre en compte son impact sur la confiance et le moral, notamment lorsqu'ils utilisent des outils permettant un suivi continu ou détaillé.
Zone Asie-Pacifique
PDPA (Loi sur la protection des données personnelles) – Singapour
Couvre les données personnelles traitées par les organisations, y compris les données relatives aux employés et à la surveillance.
Nécessite un objectif clair et légitime pour la surveillance.
Un consentement ou un autre fondement valable est généralement nécessaire.
Forte priorité accordée à la transparence, à la notification appropriée et aux mesures de protection des données.
La rétention des actifs doit se limiter à ce qui est nécessaire.
PDPA – Malaisie
S'applique aux données personnelles traitées dans un contexte commercial et professionnel.
Le consentement est une condition essentielle à la collecte de données de surveillance.
Les données doivent être traitées de manière loyale et pour une finalité spécifique et clairement définie.
Inclut des règles relatives aux limites de conservation, à la sécurité des données et aux sous-traitants.
APPI (Loi sur la protection des renseignements personnels) – Japon
Réglemente le traitement des données personnelles des clients et des employés.
Exige des organisations qu'elles définissent et communiquent l'objectif du suivi.
Met l'accent sur la sécurité des données et la supervision adéquate du personnel traitant des informations personnelles.
Le contrôle doit être proportionné et conforme aux politiques internes.
Les employés peuvent avoir des droits d'accès et de rectification selon le contexte.
PIPL (Loi sur la protection des renseignements personnels) – Chine
Loi exhaustive sur la protection des données couvrant les données relatives au lieu de travail et aux consommateurs.
Nécessite un objectif clair, une minimisation des données et une transparence du suivi.
Un consentement peut être nécessaire, notamment lorsque la surveillance porte sur des données sensibles ou détaillées.
Impose des exigences strictes en matière de conservation, de sécurité et de documentation des traitements.
Donne aux individus le droit d'accéder à leurs données surveillées, de les corriger et d'en demander la suppression.
l'Amérique latine
LGPD (Lei Geral de Proteção de Dados) – Brésil
La LGPD brésilienne encadre toute utilisation des données personnelles, y compris les informations recueillies par le biais de la surveillance en ligne ou sur le lieu de travail. Les organisations doivent disposer d'une base légale claire pour la surveillance et en expliquer la finalité. La surveillance doit se limiter à ce qui est nécessaire, être effectuée de manière transparente et s'appuyer sur des mesures de sécurité appropriées. Les personnes concernées ont le droit d'accéder à leurs données personnelles, de les rectifier et d'en demander l'effacement.
Lois nationales sur la protection de la vie privée en Argentine, au Mexique et au Chili
Ces pays disposent de lois nationales sur la protection des données qui s'appliquent aux données personnelles collectées par le biais d'outils de surveillance. Les exigences communes comprennent la justification d'une finalité légitime, l'information des personnes concernées sur la surveillance et la sécurisation des données. La surveillance doit être raisonnable et proportionnée, et les personnes ont généralement le droit d'accéder à leurs informations ou de les mettre à jour. Bien que les règles spécifiques diffèrent, la transparence et la nécessité sont des exigences constantes dans toute la région.
Moyen-Orient
Loi des Émirats arabes unis sur la protection des données (DPL / PDPL)
La loi fédérale des Émirats arabes unis sur la protection des données s'applique aux organisations traitant des données personnelles de personnes résidant aux Émirats arabes unis, y compris leurs employés. En matière de surveillance, elle exige un objectif clair et légitime, limite la collecte de données à ce qui est nécessaire et met l'accent sur la transparence et la sécurité. Les organisations doivent informer leur personnel de toute surveillance, en documenter les raisons et mettre en place des politiques et des mesures de protection internes pour le traitement des données surveillées.
Loi qatarie sur la protection des données personnelles
La loi qatarie sur la protection des données personnelles couvre les données personnelles traitées électroniquement ou destinées à un traitement électronique. Elle reconnaît le droit à la protection des données de chaque individu et exige généralement le consentement ou un autre fondement juridique légitime avant tout traitement de données personnelles, y compris celles collectées par des systèmes de surveillance. Les organisations doivent mettre en œuvre des mesures de sécurité appropriées, faire preuve de transparence quant à l'utilisation des données personnelles et respecter les droits des personnes concernées à accéder à leurs informations et à les rectifier.
Loi saoudienne sur la protection des données personnelles (PDPL)
La loi saoudienne sur la protection des données personnelles (PDPL) s'applique au traitement des données personnelles des personnes physiques résidant dans le Royaume, par des organisations situées au sein ou à l'étranger. En matière de surveillance, elle exige des organisations qu'elles définissent clairement les finalités du traitement, adoptent des politiques de confidentialité écrites et informent les personnes concernées de la manière dont leurs données seront collectées et utilisées. Le consentement constitue un fondement important du traitement dans de nombreux cas, bien que la loi autorise également le traitement pour certaines raisons commerciales, juridiques ou d'intérêt public. Les employeurs utilisant des outils de surveillance sont tenus de protéger les données surveillées, d'en limiter l'accès et de traiter les informations relatives aux employés conformément aux règles de transparence, de sécurité et de conservation prévues par la PDPL.