California Consumer Privacy Act : les exemptions pour les employés et B2B expirent le 1er janvier 2023 – Publications

Les exemptions du California Consumer Privacy Act (CCPA) pour les informations personnelles des employés et des entreprises (B2B) n’ont pas été étendues, ce qui complique davantage le paysage réglementaire de la confidentialité pour les entreprises en Californie. Les employeurs californiens doivent se préparer à fournir un éventail de nouveaux droits à la vie privée aux employés à compter du 1er janvier 2023, date d’entrée en vigueur de la California Privacy Rights Act (CPRA) modifiant la CCPA.

La Californie est actuellement sur la bonne voie pour être le premier État à accorder des droits de confidentialité étendus aux employés. De plus, de nouveaux droits à la vie privée s’appliqueront aux renseignements personnels recueillis dans le contexte d’une entreprise « fournissant ou recevant un produit ou un service à ou de » une autre entreprise.

Deux projets de loi avaient été présentés à l’Assemblée législative de Californie qui auraient prolongé ou rendu permanentes les exemptions pour les employés et B2B, mais aucun des deux projets de loi n’avait été promulgué à l’expiration de la session de l’Assemblée législative le 31 août 2022. Étant donné que l’Assemblée législative ne se réunira pas avant le 1er janvier, 2023, il est désormais peu probable que les exemptions pour les employés et B2B soient prolongées avant la date de mise en conformité du 1er janvier.

Le CCPA impose actuellement des obligations limitées aux employeurs en ce qui concerne les données des employés s’ils sont qualifiés d’« entreprises » soumises à la loi. Le CCPA s’applique aux informations personnelles des «consommateurs», mais définit ce terme de manière si large qu’il inclurait les employés, les candidats à un emploi, les dirigeants, les administrateurs et les entrepreneurs indépendants. Les employeurs californiens sont actuellement tenus de fournir à ces catégories de consommateurs un avis de confidentialité expliquant le type de données sur les employés qui sont collectées et les objectifs de cette collecte.

Droits à la vie privée des nouveaux employés

Les employeurs doivent mettre à jour l’avis de confidentialité du CCPA fourni aux employés californiens pour décrire et expliquer comment les employés peuvent soumettre des demandes en vertu des nouveaux droits de confidentialité suivants, à compter du 1er janvier.

Le droit de savoir

En vertu de la CPRA, les employés auront le droit de connaître les renseignements personnels que l’entreprise recueille à leur sujet. La plupart des employeurs californiens devraient mettre en place certains processus compatibles avec le droit de savoir, mais l’interaction entre la CPRA et les lois californiennes existantes devra être évaluée. Par exemple, en vertu du California Labour Code, les employés ont déjà le droit de connaître certaines informations qu’un employeur a recueillies, telles que les registres de paie (Cal. Labor Code § 226), les documents signés (Labor Code § 432) et les dossiers personnels (Labor Code § 1198.5).

L’ACPL semble donner aux employés le droit de connaître d’autres catégories de renseignements personnels qui ne sont pas assujettis à ces dispositions du Code du travail, comme la géolocalisation, la biométrie et l’activité sur Internet. L’ACPL exigera également des délais de réponse qui diffèrent des dispositions du Code du travail (10 jours ouvrables pour confirmer la réception de la demande et 45 jours civils pour répondre).

Droit de suppression

L’ACPL accorde aux employés le droit de supprimer les renseignements personnels recueillis auprès d’eux, sous réserve d’exceptions. Par exemple, le CPRA prévoit une exception au droit de suppression « pour se conformer à une obligation légale ». Les employeurs devront évaluer les exigences de rétention fédérales, étatiques et locales lorsqu’ils répondent à une demande de suppression de l’ACPL, y compris, mais sans s’y limiter, l’Americans with Disabilities Act, la Family Medical Leave Act, la Age Discrimination in Employment Act et la Fair Labor Standards Act. .

Droit de refuser la vente ou le partage

L’ACPL accorde aux employés le droit de refuser la vente ou le partage de leurs renseignements personnels par un employeur. Alors que la plupart des employeurs ne « vendent » pas les données des employés au sens où ce terme est généralement compris, la définition de « vente » de l’ACPL est très large et inclurait la divulgation des informations personnelles des employés à un fournisseur, comme une société de paie, sans entrer dans un service de l’ACPL. contrat de prestation avec le vendeur. Le « partage » est défini comme signifiant le partage avec un tiers pour la publicité comportementale inter-contexte.

Droit de se retirer de la technologie de prise de décision automatisée

L’ACPL offre aux consommateurs, y compris les employés, le droit de refuser l’utilisation par une entreprise de la « technologie de prise de décision automatisée », qui comprend le profilage des employés en fonction de leur « performance au travail, de leur situation économique, de leur santé, de leurs préférences personnelles, de leurs intérêts, de leur fiabilité , le comportement, l’emplacement ou les mouvements.

Ce droit doit encore être défini par l’Agence californienne de protection de la vie privée (l’Agence), qui est chargée d’adopter les réglementations connexes.

Droit de corriger des informations personnelles inexactes

L’ACPL crée un nouveau droit de corriger les renseignements personnels inexacts, qui s’étendrait aux employés. Un employeur doit faire des « efforts commercialement raisonnables » pour corriger les renseignements personnels inexacts à la demande de l’employé, mais ce droit doit encore être clarifié dans les règlements qui seront publiés par l’Agence.

Droit de limiter l’utilisation et la divulgation d’informations personnelles sensibles

L’ACPL accorde également aux employés un nouveau droit de limiter l’utilisation et la divulgation des « renseignements personnels sensibles », qui sont définis comme comprenant (1) des données de géolocalisation précises, (2) l’origine raciale ou ethnique, (3) l’appartenance à un syndicat, (4) la le contenu de certains e-mails et SMS des employés, et (5) les informations biométriques.

Cependant, ce droit ne s’applique qu’à l’utilisation d’informations personnelles sensibles autres que celles auxquelles un consommateur/employé moyen pourrait s’attendre « raisonnablement ». La collecte de renseignements personnels sensibles par un employeur, comme l’origine raciale ou ethnique, à des fins de diversité et d’inclusion peut donc être autorisée en vertu d’une exception.

Comment les employeurs peuvent se préparer pour le 1er janvier

En plus de mettre à jour l’avis de confidentialité des employés de l’ACCP pour accorder les nouveaux droits énumérés ci-dessus, les employeurs doivent prendre les mesures suivantes pour se préparer à la date de conformité à l’ACRP du 1er janvier 2023.

Effectuer un inventaire de données mis à jour

Un employeur devrait examiner les renseignements personnels des employés et des candidats qu’il recueille afin de s’assurer que son avis de confidentialité décrit correctement les catégories de renseignements personnels recueillis, utilisés et divulgués par l’employeur et d’identifier les «renseignements personnels sensibles» soumis à la nouvelle CPRA. droit. Un inventaire est également un outil important pour s’assurer que l’employeur répond correctement au droit de savoir, au droit de suppression et aux autres demandes de droits de l’ACPL.

Conclure des accords de traitement de données avec des fournisseurs de services

Les employeurs qui partagent les informations personnelles des employés avec des fournisseurs de services doivent conclure des accords de traitement de données qui incluent certaines conditions requises. Non seulement de telles dispositions sont nécessaires, mais sans un accord de fournisseur de services signé, les divulgations de routine aux fournisseurs peuvent être considérées comme des « ventes » déclenchant des droits de retrait.

Comprendre les droits et les exceptions des nouveaux employés

Un employeur devrait, avant de recevoir sa première demande de confidentialité d’employé après le 1er janvier 2023, examiner son interprétation des diverses exceptions commerciales aux droits, dont certaines sont abordées ci-dessus, et déterminer comment il répondra aux demandes en fonction de ces interprétations. .

Examiner les pratiques existantes en matière de confidentialité des employés

Les employeurs devraient réexaminer les politiques et procédures existantes à l’intention des employés à la lumière de la CPRA. Par exemple, les programmes de surveillance des employés devraient être réexaminés pour déterminer s’ils satisfont à la norme de l’ACPL selon laquelle la collecte, l’utilisation, la conservation et le partage des renseignements personnels d’un consommateur « doivent être raisonnablement nécessaires et proportionnés pour atteindre les fins pour lesquelles les renseignements personnels ont été recueillis ou traité.”

N’oubliez pas les informations B2B

Bien que l’accent soit davantage mis sur l’expiration de l’exemption des employés, une exemption similaire pour les informations personnelles B2B expire également, à compter du 1er janvier 2023. De manière générale, les informations personnelles qu’une entreprise recueille sur les contacts commerciaux seront soumises aux mêmes Droits et obligations de l’ACPL en matière de confidentialité résumés ci-dessus en ce qui concerne les renseignements personnels des employés.

Les employeurs peuvent être rassurés par le fait que les nouvelles exigences de l’ACPL, telles que celles applicables aux renseignements personnels sensibles, ne seront pas appliquées avant le 1er juillet 2023. Néanmoins, les employeurs devraient se préparer dès maintenant à la conformité à l’ACPL et surveiller de près les progrès de les règlements de l’ACPL que l’Agence est en train d’élaborer.

Pour plus d’informations sur le CCPA, le CPRA et d’autres législations sur la confidentialité des données, visitez notre page de ressources US Consumer Privacy Acts.