Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Surveillance indue des comptes de courrier électronique d'employés

J'ai fait enquête sur plusieurs plaintes déposées par des individus qui s'interrogeaient sur les pouvoirs des gestionnaires de faire des recherches dans les comptes de courrier électronique gouvernementaux dans le cadre d'enquêtes administratives.

Dans un cas particulier, deux employés de la Commission de l'immigration et du statut de réfugié (CISR) ont allégué que la gestion locale avait indûment extrait des copies de messages électroniques confidentiels qu'ils s'étaient envoyés relativement à une plainte en vertu de la Loi sur la protection des renseignements personnels que l'une des employées de la CISR avait déposée auprès du Commissariat.

Pour donner quelques faits dans cette affaire, mentionnons que l'une des employés avait relevé les évaluations du rendement de plusieurs de ses collègues sur un réseau local et avait immédiatement avisé son représentant syndical, autre employé de la CISR. Le représentant a obtenu des exemplaires des évaluations afin d'appuyer sa plainte relative à la communication inappropriée de renseignements personnels qu'il a déposée auprès du Commissariat.

Mon enquête sur cette affaire a permis d'établir que la CISR n'avait pas pris de mesures convenables afin de limiter l'accès aux renseignements, et j'ai conclu que la plainte était fondée.

La gestion de la CISR a corrigé le pépin informatique qui était à l'origine du problème, dès qu'elle a été informée de la teneur de la plainte. La gestion a également amorcé une enquête dans cette affaire afin de déterminer s'il fallait prendre des mesures disciplinaires à l'endroit de l'employée qui avait communiqué les évaluations au représentant syndical. Après avoir reçu des directives à cet égard, le gestionnaire local de la technologie de l'information a cherché puis extrait quelques messages électroniques relatifs à l'incident qu'avaient échangés l'employée et le représentant syndical.

La CISR n'avait pas adopté de politique officielle de l'utilisation des réseaux électroniques lorsque cet incident s'est produit. En l'absence d'une telle politique, la CISR doit se conformer aux politiques du Conseil du Trésor relatives aux attentes en matière de respect de la vie privée des employés et aux utilisations autorisées. La CISR a indiqué qu'elle souscrit au principe selon lequel l'accès au compte de courrier électronique d'un employé à son insu est seulement justifié dans des situations extrêmes, par exemple, en l'occurrence d'une infraction criminelle ou d'une entorse à la sécurité, et seulement sur autorisation des cadres supérieurs.

Toutefois, dans l'affaire en question, avant de faire une recherche sur le réseau électronique, la CISR était déjà au courant des mesures prises par l'employée et de sa communication avec le représentant syndical. La décision de la CISR d'extraire leurs messages électroniques ne s'appuyait pas sur leur usage indu du système. L'objet principal était plutôt pour mener une enquête disciplinaire interne.

Je suis convaincu qu'il n'était pas nécessaire que la CISR extraie les messages électroniques échangés afin de déterminer si des mesures disciplinaires devaient être prises à l'endroit de l'employée. C'est pourquoi les gestes qu'elle a posés ne sont pas justifiés aux termes de la Loi sur la protection des renseignements personnels. J'ai recommandé à la CISR de terminer rapidement son enquête disciplinaire et de diffuser une politique, semblable à celle du Conseil du Trésor, régissant l'utilisation de ses réseaux électroniques.

Dans une autre affaire, une employée de Développement des ressources humaines Canada (DRHC) s'est plainte que son supérieur avait extrait des messages électroniques personnels qu'elle avait transmis de la maison à une collègue, et que DRHC en avait fait un usage inapproprié dans le cadre d'une enquête interne qui portait sur des allégations que son syndicat local avait faites à l'endroit de la plaignante.

J'ai déterminé que la gestion locale de DRHC menait une enquête sur des allégations, selon lesquelles l'employée avait fait obstacle au processus de grief. Durant l'enquête, DRHC a fait une recherche dans sa base de données sur le réseau Internet afin de relever tout message électronique qu'elle aurait transmis à une collègue particulière concernant le grief. DRHC n'a pas tâché d'obtenir le consentement de l'un ou l'autre individu avant de faire la recherche dans le compte de courrier électronique au bureau du collègue. Un message personnel de la plaignante à la collègue faisait référence à l'auteur du grief en le mentionnant de nom, mais aucun autre renseignement n'a été relevé concernant le grief. Le message était surtout de nature personnelle. Pourtant, le Ministère s'en est servi par la suite durant le processus d'enquête.

J'accepte qu'il soit justifié à l'occasion pour un employeur d'examiner le compte Internet d'un employé, et qu'il se serve des renseignements recueillis lors du processus disciplinaire. Toutefois, il ne s'agit pas d'une telle occasion. Rien ne semblait indiquer que la collègue était impliquée de quelque façon que ce soit dans l'enquête interne, ce qui aurait porté DRHC à faire une recherche dans son compte. En extrayant à leur insu les messages électroniques personnels que s'étaient échangées la plaignante et la collègue et en utilisant par la suite ces renseignements dans son enquête, DRHC a violé les droits de la plaignante relatifs à la Loi sur la protection des renseignements personnels.

Date de modification :