Auditer la protection de la vie privée et des données personnelles

Le respect de la vie privée en milieu professionnel

Big Brother is watching you ! Dans son œuvre restée la plus célèbre, 1984, Georges Orwell anticipait une société où tout espace privé serait anéanti après que le totalitarisme ait atteint l’intimité de chacun. Bien heureusement, cette dystopie imaginée par Orwell n’est pas devenue réalité au milieu des années 80. Cependant, l’écrivain anglais prophétisa dans son livre des traits sociaux et technologiques qui de nos jours sont effectifs, ceci laissant planer bien souvent quelques fantasmes en référence à 1984 dès lors qu’une innovation technique s’impose au quotidien. Le développement croissant de l’interconnectivité ces dernières années a bouleversé les rapports sociaux, tant professionnels que personnels. Les nouvelles technologies de communication ont également aboli aussi bien les distances que le temps. Quelques nanosecondes suffisent désormais pour envoyer une information aux quatre coins de la planète. Que ces évolutions techniques soient perçues comme un progrès ou une menace, dans tous les cas la vie privée est un espace à préserver, au domicile et dans le milieu professionnel. Les organisations ont ainsi des obligations légales afin que soit respectée l’intimité de chaque collaborateur. Et qui dit obligation, dit conformité ! L’audit interne est donc amené à évaluer les dispositifs mis en œuvre au sein de son entité pour se conformer aux impératifs en matière de respect de vie privée.

 

Ce qui caractérise la vie privée en milieu professionnel

 

Avant d’identifier des axes d’audit, encore faut-il définir ce qu’est la vie privée en milieu professionnel pour ensuite s’assurer que les dispositifs à l’œuvre concourent à son respect. Ainsi, nous identifions quatre points cardinaux permettant de circonscrire l’intimité des salariés :

  • absence de surveillances des déplacements du collaborateur, sauf cas particulier pour la prévention en matière de sécurité ;
  • protection des données personnelles incluses dans les fichiers détenus par l’organisation, notamment pour les informations gérées par les ressources humaines ;
  • confidentialité des communications des salariés, que celles-ci soient écrites, téléphoniques, numériques, chaque collaborateur s’étant préalablement engagé à faire usage des outils à titre professionnel ;
  • limitation de l’accès aux informations relatives aux évaluations et appréciations des salariés par le management, ainsi qu’à propos des éléments de rémunération.

La transposition des directives de l'OCDE en points d'audit pour l'évaluation du respect de la vie privée

 

Le respect de la vie privée en entreprise n’est pas encadré juridiquement de la même façon d’un pays à un autre, compte tenu de représentations culturelles différentes. Néanmoins, l’OCDE a émis des directives dépassant les cadres nationaux sur le traitement des données personnelles par les organisations et leur échange transfrontalier. L’auditeur interne trouvera dans ces instructions des axes d’investigation pour s’assurer du respect de la vie privée au sein de son entité. Les directives de l’OCDE sont au nombre de huit :

  • limitation en matière de collecte : l’organisation doit définir clairement les raisons pour lesquelles elles disposent de données personnelles sur ses salariés et limiter au maximum la collecte de ce type d’informations ;
  • spécification des finalités : la collecte de données personnelles doit être formellement motivée par l’organisation avant qu’elle ne soit effective ;
  • qualité des données : les informations à caractère personnel doivent être pertinentes par rapport aux motifs spécifiés ;
  • limitation de l’exploitation : les données sur les collaborateurs ne sont pas divulguées sans leur consentement ;
  • protection des données personnelles : il s’agit de restreindre l’accès aux informations, mais aussi d’éviter que celles-ci ne soient perdues ou détruites accidentellement ;
  • transparence : il convient pour l’organisation d’être transparente sur les progrès, les pratiques et les politiques traitant des données personnelles ;
  • participation individuelle : tout collaborateur doit être en mesure d’accéder aisément à ses données personnelles, tout comme il doit avoir la faculté de contester les informations le concernant. Dans le cas où cette contestation est fondée, il lui est alors possible d’exiger de son organisation que les données soient effacées, rectifiées, complétées ou alors corrigées ;
  • principe de responsabilité : tout collaborateur responsable de fichiers de données personnelles doit s’assurer que les directives énoncées ci-dessus sont respectées sur son périmètre d’intervention.



Écrire commentaire

Commentaires: 0