Le CPVP raffermit sa position sur la vie privée en milieu de travail : ce que les employeurs doivent retenir

Le CPVP raffermit sa position sur la vie privée en milieu de travail : ce que les employeurs doivent retenir

Pour la première fois en 19 ans, le Commissariat à la protection de la vie privée du Canada (le « CPVP ») a mis à jour son guide intitulé La protection des renseignements personnels au travail (le « guide »), une modernisation nécessaire vu les attentes des employés dans l’ère du numérique[1]. Il y adopte une position plus ferme quant à la protection des droits des employés, donne des lignes directrices sur la surveillance et présente huit conseils aux employeurs pour une gestion des renseignements personnels conforme à la législation fédérale.

Le guide présente l’interprétation que fait le CPVP des lois régissant la protection des renseignements personnels des employés et des obligations connexes, comme la Loi sur la protection des renseignements personnels pour les institutions fédérales et la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») pour les entreprises fédérales (comme les banques, les sociétés de télécommunication et les sociétés de transport). Il s’applique aux relations des employeurs avec leurs employés actuels, éventuels et anciens. Le présent bulletin s’attarde aux orientations du guide qui touchent les employeurs du secteur privé sous réglementation fédérale (donc assujettis à la LPRPDE) et sur les leçons que peuvent retenir d’autres employeurs de la sphère privée.

Un champ d’application limité

L’application des lois du Canada sur la protection des renseignements personnels aux employés du secteur privé est quelque peu chaotique vu la répartition des compétences constitutionnelles entre le provincial et le fédéral. Les employés sous réglementation fédérale sont assujettis à la LPRPDE, et les employés de la Colombie-Britannique, du Québec et de l’Alberta sont assujettis à des lois provinciales de nature similaire[2]. Les autres provinces n’ont à l’heure actuelle pas de loi générale sur la protection des renseignements personnels des employés; les employeurs sont plutôt tenus à des exigences prévues par la common law, par des contrats (comme des conventions collectives) ou par des lois bien circonscrites (comme les exigences applicables aux politiques de surveillance électronique en Ontario).

Même s’il ne s’applique qu’au sous-groupe d’employeurs visés par la réglementation fédérale, le guide est une ressource utile pour tous ceux qui cherchent à améliorer leurs politiques et procédures en matière de protection de la vie privée au travail.

Le principe de l’« équilibre » fait place à des obligations précises

L’ancienne version du guide parlait de la nécessité de trouver le juste « équilibre » entre le besoin d’information de l’employeur et le droit à la vie privée de l’employé. La plus récente n’utilise plus ce terme et se concentre plutôt sur les exigences de la LPRPDE. Plus particulièrement, le guide fait état des deux principales exceptions à la règle d’obtention du consentement applicables à la relation d’emploi :

1. Le consentement n’est pas requis lorsque la collecte, l’utilisation ou la communication des renseignements personnels de l’employé est nécessaire pour établir ou gérer une relation d’emploi, ou pour y mettre fin (mais l’avis à l’employé demeure obligatoire)[3].
2. Il n’est pas nécessaire d’informer l’intéressé ni d’obtenir son consentement si le renseignement personnel a été produit par lui dans le cadre de son emploi, de son entreprise ou de sa profession et si la collecte, l’utilisation ou la communication est compatible avec les fins auxquelles il a été produit[4].

Malheureusement, le guide ne propose pas de cas de figure pour illustrer ces exceptions. On se demande par exemple si la surveillance des employés aux fins de la sécurité des données est une mesure nécessaire à la gestion de la relation d’emploi.

Les lois de la Colombie-Britannique et de l’Alberta (qui s’appliquent aux employeurs sous réglementation provinciale) prévoient une exception semblable à celle du point (1) ci-dessus. Elle s’applique toutefois au traitement « raisonnable » de renseignements personnels pour établir ou gérer la relation d’emploi ou y mettre fin, plutôt que « nécessaire »[5]. Dans ces provinces, la portée de l’exception est donc plus large.

Les employés ne peuvent pas renoncer à leur droit à la vie privée

Le guide reconnaît que certains employeurs pourraient être tentés de dire à leurs employés que la perte du droit à la vie privée est une condition d’emploi, qu’en acceptant un poste, ils consentent à toutes les pratiques de leur employeur en matière de traitement des renseignements. L’ancienne version du guide exprimait un doute quant à la conformité de cette approche aux principes de la LPRPDE sur le consentement. Il indique maintenant très clairement que l’approche n’est pas conforme aux exigences de la LPRPDE ni au principe général selon lequel les renseignements personnels ne doivent être recueillis qu’à des fins appropriées.

Lorsqu’il est requis, le consentement doit être obtenu d’une façon claire, éclairée et volontaire. Au lieu de s’attendre à une renonciation complète, les employeurs devraient demander aux employés de donner leur consentement à des collectes, des utilisations et des communications de renseignements personnels explicites, limitées et justifiées. De plus, les employeurs doivent informer leurs employés des conséquences que peut entraîner le refus de communiquer les renseignements demandés et leur proposer des solutions de rechange. Même si leurs employés donnent leur consentement, les organisations demeurent assujetties aux lois sur la protection des renseignements personnels. Le consentement ne saurait justifier un traitement de renseignements personnels contraire aux exigences de la loi.

La surveillance des employés sous le régime de la LPRPDE

La nouvelle version du guide comporte une section sur la surveillance des employés, soit les pratiques comme la vérification ou l’évaluation de la présence au travail, le suivi de la productivité, la vérification de l’utilisation adéquate des réseaux et la localisation des véhicules de l’entreprise.

Le guide indique que la surveillance des employés doit être précise, ciblée et appropriée selon la situation. Elle ne peut avoir lieu qu’après la réalisation d’une évaluation des risques d’atteinte à la vie privée et des mesures d’atténuation. Cette évaluation doit établir la nécessité de la pratique et étudier la possibilité d’adopter des méthodes moins attentatoires permettant de réaliser les mêmes fins. Les employeurs doivent par ailleurs mettre en place des mesures de reddition de compte et des lignes directrices sur la conservation. Comme les droits d’accès des employés s’étendent aux renseignements personnels recueillis dans un objectif de surveillance, les employeurs devraient aussi prévoir des mécanismes pour répondre aux demandes d’accès.

Les employeurs de l’Ontario doivent aussi être au fait de leur obligation d’avoir une politique sur la surveillance électronique, comme nous en avons discuté lors de précédents bulletins : voir .

Les huit conseils du CPVP aux employeurs

Le guide donne aussi huit conseils pratiques aux employeurs qui s’apprêtent à mettre en place des politiques et des procédures sur la protection des renseignements personnels dans leur milieu de travail. Nous les avons résumés et brièvement commentés.

1. Examiner toutes les obligations et tous les pouvoirs conférés par la loi. Ces obligations et pouvoirs peuvent être énoncés notamment dans les engagements pris dans le cadre de conventions collectives, les lois fédérales et provinciales sur la protection des renseignements personnels, ainsi que dans toute autre législation dans des domaines comme le délit civil, les droits de la personne et le droit du travail.
2. Répertorier les catégories de données. Les employeurs devraient faire l’inventaire des types de renseignements personnels qu’ils recueillent et traitent au sujet de leurs employés. Un tel exercice permet souvent de relever les lacunes des mesures de sécurité et des contrôles d’accès, et il s’avère fort utile lorsque vient le temps d’évaluer les effets d’une atteinte à la vie privée.
3. Effectuer des évaluations des facteurs relatifs à la vie privée (EFVP). L’EFVP est un processus formel de gestion du risque visant à déterminer les exigences de la loi et les incidences des programmes et à atténuer les risques pour la vie privée. Les organisations assujetties à la LPRPDE ne sont pas tenues d’en réaliser une, mais il s’agit d’un bon moyen de vérifier si leurs nouveaux programmes sont conçus dans le respect des principes de protection de la vie privée. Le Guide du Commissariat au sujet du processus d’évaluation des facteurs relatifs à la vie privée vise les organisations du secteur public, mais ses principes peuvent être transposés aux entreprises privées.
4. Évaluer les fins auxquelles les renseignements des employés sont traités. Les employeurs qui prévoient recueillir, utiliser ou communiquer des renseignements personnels devraient préciser toutes les fins le justifiant et évaluer soigneusement le caractère approprié de celles-ci. Conformément aux autres enquêtes et guides du CPVP, cette évaluation doit tenir compte (i) du degré de sensibilité des renseignements personnels; (ii) de la légitimité du besoin ou des intérêts commerciaux des fins visées par l’organisation; (iii) de l’efficacité de la collecte, de l’utilisation et de la communication comme moyen de répondre au besoin; (iv) de l’existence de moyens qui empiètent moins sur la vie privée et qui permettent d’atteindre les mêmes fins pour un coût et des avantages comparables; (v) de la proportionnalité de l’atteinte à la vie privée par rapport aux avantages.
5. Limiter la collecte. Les organisations devraient recueillir uniquement les renseignements personnels qui sont absolument nécessaires aux fins déterminées.
6. Faire preuve d’ouverture et de transparence. Les organisations devraient élaborer des politiques claires et transparentes relativement à la protection de la vie privée et les communiquer à leurs employés avant leur entrée en vigueur. Une telle politique devrait préciser : (i) les renseignements personnels qui sont recueillis auprès des employés; (ii) les fins auxquelles les renseignements personnels sont recueillis; (iii) la manière dont les renseignements personnels seront recueillis; (iv) la façon dont les renseignements seront utilisés, y compris les répercussions possibles pour les employés; (v) la durée de conservation des renseignements personnels.
7. Respecter les principes clés de la protection de la vie privée. Que le consentement soit strictement requis ou non, d’autres principes de protection de la vie privée continuent de s’appliquer aux employeurs. Ils concernent notamment (i) la responsabilité; (ii) l’exactitude des renseignements personnels; (iii) la limitation de la collecte, de l’utilisation, de la communication et de la conservation des renseignements; (iv) la mise en place de mesures de sécurité; (v) la transparence; (vi) le droit des employés d’accéder aux renseignements et de mettre en doute la conformité de leur organisation.
8. Connaître les pratiques inacceptables et les zones interdites. Enfin, le guide conseille aux employeurs d’éviter de demander des types de renseignements qui tombent dans une zone que le CPVP qualifie d’interdite. Par exemple, ils ne devraient pas demander l’accès aux zones des comptes de médias sociaux des employés qui sont protégées par mot de passe.

Ce que les entreprises doivent retenir

• Les règles et les lois encadrant la protection de la vie privée au Canada proviennent de multiples sources : conventions collectives, lois fédérales et provinciales en la matière et autres domaines de pratique comme les délits civils, les droits de la personne, les lois du travail, etc.
• Il vaut mieux solliciter un avis sur ce qui constitue des « renseignements personnels d’employés » et dresser la liste de ceux qui sont recueillis ainsi que des fins auxquelles ils sont utilisés.
• Il faut connaître les exigences relatives au consentement que prévoient les lois applicables sur la protection de la vie privée. Lorsqu’il est requis, le consentement doit être clair, éclairé et volontaire. Des exceptions existent, mais elles sont dans certains cas d’application restreinte.

Les membres de l’équipe Protection de la vie privée et des données de TRC-Sadovod peuvent réaliser des examens de la conformité et vous aider à effectuer les modifications nécessaires.

[1] La première version du guide La protection des renseignements personnels au travail a été publiée en avril 2004. Vous pouvez consulter la plus récente ici.
[2] La Personal Information Protection Act, SBC 2003, c. 63, en Colombie-Britannique, la Personal Information Protection Act, SA2003, c. P-6.5, en Alberta et la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1, au Québec.
[3] LPRPDE, art. 7.3.
[4] LPRPDE, art. 7(1)b.2).
[5] Colombie-Britannique : Personal Information Protection Act, SBC 2003, c. 63, art. 13; Alberta : Personal Information Protection Act, SA 2003, c. P-6.5, art. 15.

par Robbie Grant, Kristen Shaw et Nandini Pahari (étudiante d’été en droit)

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© TRC-Sadovod S.E.N.C.R.L., s.r.l. 2023