La gestion des ressources de l’entreprise: Inhouse vs. Outsourcing

Les nouvelles entreprises externalisent leurs tâches administratives pour privilégier la création de valeur sur leur marché de niche. Des services d’outsourcing sont accessibles à tous les types d’entreprises, de la conception et du développement d’un produit à l’organisation des technologies de l’information, le développement de logiciels, la gestion des ressources humaines, la comptabilité, l’administration des stocks et la logistique, et toutes les formes de services juridiques. Pour plus de détails sur le droit de l’outsourcing, veuillez demander notre brochure “Introduction to Outsourcing and Offshoring” ou consulter notre site internet.

Vie privée et protection des fichiers

La façon dont sont protégés les fichiers informatiques et données privées aux Etats Unis révèle l’incohérence et la complexité des règles de compétences découlant de l’organisation fédérale. En effet, celles-ci provoquent une superposition et une confusion des règles applicables et expliquent la mise en place d’une régulation spécifique, ad hoc, par l’Etat fédéral et les Etats fédérés. Les Etats ont crée des devoirs de notification de violation de la loi, lorsque plus de 5 000 personnes sont victimes d’une telle violation, et d’autres règles plus spécifiques. En principe, le droit fédéral ne protège pas la vie privée, mais des principes de common law ou de civil law, ainsi que des règles de “unfair and deceptive practices”, peuvent s’appliquer. Ainsi, les enfants de moins de 13 ans doivent être protégés contre la pornographie en ligne. Les lois protégeant la vie privée sont régulièrement modifiées même si un manque de cohésion entre elles persiste.

Le droit à la vie privée n’implique pas la garantie systématique de la protection des données à caractère personnel, comme c’est le cas en application de la directive européenne sur la protection des données ou de la loi canadienne PIPEDA. Cependant, les transferts internationaux de fichiers personnels peuvent tomber dans le champ de ces réglementations étrangères en application des « binding corporate rules » (clauses des statuts) ou d’un accord de «safe harbor ».

Principes clés :

  • Si vous adoptez une politique de protection des données, suivez la. Ne pas s’y tenir sera considéré comme une pratique commerciale déloyale.
  • Des régimes légaux spéciaux s’appliquent, entre autres, aux :
    • informations sur le dossier médical, l’assurance maladie, et les opérations financières  liées à la santé;
    • comptes tenus par les banques, les courtiers ou les compagnies d’assurances;
    • informations sur le parcours professionnel;
    • informations fiscales; et
    • fichiers techniques pouvant être utilisés pour des raisons militaires ou de sécurité nationale.
  • Si vous êtes victime d’une violation des règles de protection, vous devrez informer l’état fédéré et les autorités fédérales de la violation et rechercher des mesures correctives.
  • Vous devriez limiter le nombre de fichiers à caractère personnel que vous établissez.
  • Vous devriez adopter une approche cyclique de vos fichiers.
  • Mettez des clauses de securité, confidentialité et « privacy » dans vos contrats.
  • Préparer pour tout désastre portant sur les données personnelles (aussi bien que des données commerciaux).

Les contrats commerciaux et les politiques de gouvernance devraient s’intéresser à la question des fichiers et de la protection des données privés.

La cybersécurité: les infrastructures essentielles, le cloud computing, BYOD (PAP), etc.

Le Homeland Security Act accorde au gouvernement le droit d’enquêter et d’agir en cas de menace à une “infrastructure essentielle”, comme les agence gouvernementales, les sociétés privées agissant pour ou avec le gouvernement fédéral, les lignes électriques, les services de transport ou le système bancaire. Depuis 2013, plusieurs projets de loi prévoient de règlementer ces infrastructures essentielles ou cherchent à améliorer le système d’alerte d’une cyber menace. Ces réglementations risquent de s’appliquer aux entreprises dans un certain nombre de secteurs.

La cybersécurité devient un sujet d’inquiétude majeure pour toutes les entreprises. Le gouvernement a adopté une méthode pour auditer et contrôler les services de cloud computing fournis par ses contractants et sous contractants.  Les règles applicables aux “Bring your own device” (“apportez vos appareils personnels”) demandent aux entreprises d’identifier et d’adopter des politiques (techniques, physiques, légales et administratives) pour gérer et minimiser les risques de cybersécurité.

La rétention et la destruction de document; la preuve électronique

Les règles de procédures fédérales et étatiques disposent que les parties doivent révéler, avant le procès, les informations dont elles disposent afin que la cour puisse se prononcer sur les faits contestés, mais pas sur les faits qui ne font pas l’objet d’une controverse. L’augmentation du nombre de fichiers a demandé la mise en place d’une politique de rétention des informations et d’une politique de destruction, à moins qu’un litige ne soit pendant ou attendu. Ainsi, les nouvelles entreprises doivent mettre en place un cycle de vie pour leurs fichiers, des procédures de mise sous scellés (pour se protéger de toute critique d’altération de preuves ou de destruction par imprudence, dans le cadre d’un litige) et des politiques de confidentialité.