L'un des défis les plus préoccupants auxquels sont confrontés les professionnels des ressources humaines aujourd'hui consiste à trouver un équilibre entre les données confidentielles relatives aux employés et les exigences sans cesse croissantes soumises à l'application de l'Office of Federal Contract Compliance Programs (OFCCP). Cette lutte s'est compliquée avec l'entrée en vigueur des obligations supplémentaires pour les entreprises de demander des informations sur le handicap aux personnes qui postulent à un emploi, des données supplémentaires requises par la lettre de programmation révisée et de la détermination de l'OFCCP à obtenir des informations détaillées sur les salaires. Alors que les professionnels des ressources humaines passent à des systèmes dans lesquels ils demandent des informations très personnelles à un nombre inconfortable d'employés potentiels et actuels, il est important de comprendre quelles sont les obligations non seulement en matière de sollicitation de ces informations, mais aussi en matière de protection de celles-ci. Il est important de se familiariser avec les règles afin qu'en tant que professionnel des ressources humaines, vous compreniez les nuances de la conformité et quand cela semble entrer en conflit avec le maintien de la confidentialité des données.
En tant que praticien dans un domaine où les données confidentielles changent fréquemment de mains, il est important de comprendre quelles sont les obligations en matière de protection des données de l'entreprise et où s'arrête la responsabilité. Lorsque les données se trouvent dans votre bureau, la ligne est plus claire, mais lorsqu'il s'agit de communiquer les données ou d'obtenir de l'aide pour préparer les documents, les eaux deviennent beaucoup plus troubles. Il n'y a pas grand-chose à faire lorsque l'on communique des données à l'OFCCP. En raison d'une erreur humaine, il y a eu des violations de protocoles au sein du gouvernement fédéral et des données personnelles ont été compromises. Toutefois, compte tenu de la quantité de données auxquelles le gouvernement a accès, les violations ne sont pas fréquentes. Cela s'explique par le fait que le gouvernement a mis en place des protocoles, des méthodes de cryptage et une formation fréquente de son personnel. Ces mesures sont importantes et doivent être mises en place dans toutes les entreprises susceptibles d'avoir accès aux données sensibles de votre entreprise.
Pour ceux d'entre vous qui se sentent mal à l'aise à l'idée de solliciter et de divulguer des informations d'auto-identification, en particulier des informations médicales, qu'il s'agisse d'informations sur le handicap, les besoins d'adaptation ou le statut d'ancien combattant handicapé, comme l'exige l'OFCCP, en particulier de la part des candidats, il y a de bonnes raisons. La loi de 1990 sur les Américains handicapés (Americans with Disabilities Act - ADA) stipule que la sollicitation de ces informations n'est généralement pas autorisée. La loi de 1996 sur la portabilité et la responsabilité de l'assurance maladie (HIPAA) stipule généralement que les informations médicales ne peuvent être partagées. Il s'agit là de généralisations tirées de lois longues et complexes, mais ensemble, elles ont appris aux professionnels des ressources humaines à ne pas demander d'informations médicales et autres informations confidentielles et, lorsque c'est le cas, à conserver ces informations confidentielles avec la plus grande attention. À l'inverse, la réglementation de l'OFCCP exige que les professionnels des ressources humaines interrogent plusieurs fois les employés potentiels sur leur statut de handicapé avant de décider de leur donner ou non un emploi, puis qu'ils transforment ces informations en un rapport annuel (AAP) qu'ils transmettent au gouvernement. Cela semble aller à l'encontre de tout ce que l'on vous a appris sur la sollicitation d'informations médicales et la confidentialité.
...l'exception à l'obligation de poser des questions sur son état de santé n'est autorisée qu'à des fins d'action positive et d'égalité d'accès à l'emploi. Il est extrêmement important de comprendre que l'exigence réglementaire de l'OFCCP est une exception à la manière dont les informations médicales sont généralement traitées dans notre système d'emploi et qu'il s'agit d'une exception très étroite. Pour que l'OFCCP puisse déterminer si les personnes handicapées et les anciens combattants handicapés sont traités équitablement en tant que candidats et sur le lieu de travail, elle a besoin de données sur lesquelles fonder ses analyses. Par conséquent, l'exigence de l'OFCCP de solliciter des informations d'auto-identification a été étendue à la phase de candidature, et l'exception consistant à poser des questions sur l'état de santé d'une personne n'est autorisée qu'à des fins d'action positive et d'égalité en matière d'emploi. Il n'y a pas vraiment d'autre moyen de déterminer s'il y a un impact disparate (c'est-à-dire une discrimination involontaire) sur les personnes handicapées et les anciens combattants handicapés sans collecter les données d'auto-identification. Il s'agit d'une exception très limitée et il est extrêmement important de respecter cette exigence avec précision. La loi elle-même contient une disposition indiquant que le devoir des professionnels des ressources humaines de préserver la confidentialité de ces informations très personnelles n'a pas été modifié. En d'autres termes, le professionnel des ressources humaines a toujours l'obligation de préserver la confidentialité de toute donnée médicale.
Les dispositions de l'article 60-741 réitèrent l'importance de la confidentialité des dossiers médicaux dans au moins trois sections distinctes.
§ 60-741.42 Invitation à l'auto-identification. (e) Le contractant doit préserver la confidentialité de toutes les informations relatives à l'auto-identification et les conserver dans un fichier d'analyse des données (plutôt que dans les dossiers médicaux des employés). Voir 60-741.23(d). Le contractant doit fournir les informations d'auto-identification à l'OFCCP sur demande. Les informations d'auto-identification ne peuvent être utilisées que conformément à la présente partie.
Annexe B
12. Confidentialité. Les procédures d'aménagement raisonnable du contractant doivent indiquer que toutes les demandes d'aménagement raisonnable, les documents connexes (tels que les reçus de confirmation des demandes, les demandes d'informations supplémentaires et les décisions concernant les demandes d'aménagement) et toutes les informations médicales ou liées au handicap fournies au contractant seront traitées comme des dossiers médicaux confidentiels....
De même que l'utilisation d'un service d'emploi ne dispense pas votre entreprise de ses obligations en matière d'archivage, l'utilisation d'un service tiers ne protège pas automatiquement votre entreprise contre les violations de la vie privée. Il est donc prudent de contrôler correctement tout service, contractant ou aide temporaire auquel votre entreprise a recours et qui accède à ses données confidentielles. Comme vous le feriez pour l'embauche d'un employé, il est conseillé d'interroger toute personne ou entreprise à laquelle vous pourriez faire appel afin de vous assurer que ses pratiques sont conformes à celles de votre entreprise. En posant quelques questions simples, il est facile de déterminer comment les employés sont formés aux obligations de confidentialité des ressources humaines et de mieux vous protéger, vous et votre entreprise, d'une responsabilité potentielle en cas de divulgation d'informations confidentielles.
Voici quelques facteurs importants : quel type de formation le personnel a-t-il reçu en matière de confidentialité ou de gestion des ressources humaines ? Les ordinateurs sont-ils fournis par l'entreprise ou utilise-t-on des ordinateurs personnels ? L'entreprise vérifie-t-elle les antécédents de ses employés, de ses sous-traitants ou des personnes ayant accès aux données ? Toute personne pouvant accéder aux données a-t-elle été condamnée pour un délit grave ? Les condamnations pour fraude ou crimes violents peuvent certainement être prises en compte lorsqu'il s'agit de déterminer à qui il convient de communiquer les données sensibles des employés. Les données de l'entreprise sont-elles transmises par courrier électronique personnel (et par conséquent non sécurisé) ? Qui exactement, au sein de l'entreprise, aura accès à vos données ? Si des protocoles sont en place, il est beaucoup moins probable qu'il y ait une violation de vos données et ces informations très sensibles et personnelles ne seront pas compromises.
Il est important de noter qu'il existe une différence juridique entre le "privilège", tel que le secret professionnel de l'avocat, et la "confidentialité". Le privilège est détenu par le client. Un avocat pourrait faire l'objet d'accusations déontologiques et perdre sa licence d'avocat s'il divulguait des données fournies par un client, que ces données soient de nature confidentielle ou non. Le privilège existe pour encourager les clients à parler librement avec leurs avocats. Il n'a rien à voir avec la nature des données ou des informations. Sauf dans des circonstances très limitées, un avocat ne peut être contraint de divulguer des informations privilégiées, même par un tribunal.
Le terme "confidentiel" ne bénéficie pas de la même protection juridique. Il peut y avoir une obligation de garder les dossiers confidentiels en raison de la nature du poste, comme les dossiers privés des employés qui sont accessibles par un professionnel des ressources humaines. Cette obligation peut en outre être protégée par les politiques internes de l'entreprise. Dans d'autres situations, le mot "confidentiel" n'a aucune signification juridique et n'est qu'une simple déclaration inapplicable. Prenons l'exemple d'un professionnel des ressources humaines qui fait appel à une source extérieure pour l'aider à déterminer les augmentations de salaire sans avoir procédé à un examen approfondi. Cette personne affirme qu'elle est un expert et qu'elle gardera les données confidentielles ou qu'elle renverra un rapport confidentiel comme elle le fait "pour chaque client". Ces promesses de confidentialité ne sont probablement pas juridiquement applicables et le professionnel peut avoir divulgué des informations sensibles en violation des lois sur la protection de la vie privée et des exigences de confidentialité. Il est très probable qu'il ne se passe rien, mais il est arrivé que de telles divulgations conduisent à des usurpations d'identité et à d'autres problèmes de ce type pour les employés.
Le détenteur, c'est-à-dire le professionnel des ressources humaines, a l'obligation de garder la confiance. Les données confidentielles, c'est-à-dire non protégées par le secret professionnel, peuvent être divulguées de force, par exemple dans le cadre d'un audit de l'OFCCP, par simple demande de données ou sur place. L'obligation de garder les données confidentielles ne va pas de pair avec l'information lorsqu'elle n'est pas protégée par un privilège. C'est le détenteur, c'est-à-dire le professionnel des ressources humaines, qui a l'obligation de préserver la confidentialité. Si les informations sont communiquées à un tiers, le fonctionnaire a perdu le contrôle des dossiers, à moins qu'il n'existe également une obligation à l'égard du détenteur du dossier, tel qu'un agent de conformité de l'OFCCP. Par exemple, dans le cadre de l'amendement du décret n° 11246 relatif à la transparence des rémunérations, un professionnel des ressources humaines pourrait être en infraction avec la réglementation et la politique de l'entreprise s'il divulgue des informations sur les rémunérations, que ce soit intentionnellement, accidentellement ou involontairement, mais il ne peut pas faire grand-chose pour empêcher la personne ou le tiers à qui ces informations ont été communiquées d'en discuter ouvertement avec qui que ce soit, y compris d'autres employés, des concurrents, des membres de la famille ou toute autre personne qui en a envie. Des mesures supplémentaires doivent être prises pour garantir que les documents confidentiels le restent s'ils sont communiqués à l'extérieur de l'entreprise.
Dans un monde parfait, nous aurions le temps de nous acquitter des obligations de conformité, de veiller à ce que les obligations de confidentialité soient respectées et de nous occuper de toutes les autres responsabilités. Cependant, comme nous le savons tous, la lettre d'audit arrive au pire moment possible et il y a généralement d'autres choses à faire, et peut-être que l'on n'a pas assez de temps pour se préparer comme on l'aurait espéré. Toutefois, il est relativement facile d'éviter de se retrouver sur la défensive dans le cadre d'une plainte de cette nature, à condition de comprendre les règles à l'avance. Il est probable que votre instinct vous pousse à protéger les données sensibles que vous êtes tenu de collecter, mais veillez à ne pas les divulguer par inadvertance dans le but de vous conformer à la réglementation de l'OFCCP. Ne déverrouillez cette boîte que lorsque vous êtes sûr que les données sont protégées de manière adéquate.
Cet article a été rédigé à titre d'information uniquement. Il ne constitue pas un avis juridique et ne doit pas être considéré comme tel. Pour plus d'informations, veuillez contacter Lisa Kaiser à l'adresse suivante : [email protected]
Note de l'éditeur : Cet article a été publié à l'origine sur Circaworks.com. En avril 2023, Mitratech a acquis Circa, un fournisseur de premier plan de logiciels de recrutement inclusif et de conformité OFCCP. Le contenu a depuis été mis à jour pour refléter l'élargissement de nos offres de produits, l'évolution des réglementations de conformité en matière d'acquisition de talents et les meilleures pratiques en matière de gestion des ressources humaines.
