Innovation, Sciences et Développement économique Canada omet de s’assurer de l’exactitude de l’information qu’elle a utilisée pour doter un poste

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels (la Loi)

Le 20 août 2018

Résumé

1. Le plaignant allègue qu’Innovation, Sciences et Développement économique Canada (ISDE) a enfreint les dispositions sur l’exactitude des renseignements stipulées dans la Loi sur la protection des renseignements personnels (la Loi) lorsqu’il a utilisé des renseignements inexacts à son sujet lors de la dotation d’un poste.
2. ISDE confirme avoir omis de s’assurer de l’exactitude de l’information qu’il a utilisée pour doter un poste. L’information en question était liée au profil du plaignant dans le système de ressources humaines MesRHGC (MesRHGC).
3. Après avoir examiné les éléments d’information disponibles, nous avons déterminé que la plainte est fondée. Les raisons qui justifient cette conclusion sont énoncées ci-dessous.

Questions et faits pertinents

MesRHGC

4. MesRHGC est un système de ressources humaines fondé sur le logiciel PeopleSoft 9.1^{Note de bas de page 1} et qui vise à automatiser les fonctions liées aux ressources humaines, notamment la dotation, la classification, les horaires et les congés. Services publics et Approvisionnement Canada (SPAC) est chargé de la mise en œuvre, de l’hébergement et de la maintenance de MesRHGC. SPAC offre également de la formation aux ministères qui utilisent MesRHGC.
5. Au moment de l’incident présumé, environ 44 ministères (incluant ISDE) utilisaient MesRHGC.
6. Lorsqu’un ministère qui utilise MesRHGC embauche une personne, il vérifie si celle-ci a un profil dans le système. Si tel est le cas, la personne est sélectionnée et son profil est associé au poste au ministère d’embauche.

La plainte

7. Le plaignant allègue qu’en janvier 2017, ISDE l’a « embauché » plutôt qu’une autre personne ayant le même nom. C’est-à-dire que, selon MesRHGC, le plaignant était associé à un poste qu’ISDE envisageait de pourvoir. En raison de cette erreur, selon MesRHGC, le plaignant a cessé d’occuper son poste à SPAC et n’a donc pas été rémunéré pour certaines périodes de paye.

Déclarations d’ISDE

8. ISDE reconnaît que des responsables ont utilisé de l’information inexacte pour pourvoir un poste. Selon ISDE, en janvier 2017, des responsables des ressources humaines (RH) ont tenté d’embaucher une personne ayant le même nom que le plaignant^{Note de bas de page 2}. Toutefois, le profil du plaignant a été sélectionné dans MesRHGC plutôt que celui du candidat visé. ISDE a confirmé que selon MesRHGC, le plaignant a été « embauché » par ISDE et a cessé d’occuper ses fonctions à SPAC.
9. Au moment de l’incident, les responsables des RH d’ISDE avaient reçu comme instructions de faire une recherche dans MesRHGC à l’aide du prénom et du nom d’une personne. On ne leur avait pas demandé d’utiliser systématiquement un troisième champ de données, comme un code d’identification de dossier personnel (CIDP) ou une date de naissance. Dans le présent cas, seuls les champs de données correspondant au prénom et au nom ont été utilisés pour la recherche du profil.
10. Afin de corriger l’erreur, ISDE a créé un document pour rappeler aux employés qu’ils doivent valider l’identité des personnes au moyen de plusieurs champs de données, comme le CIDP ou la date de naissance. Toutefois, MesRHGC permet toujours de sélectionner des personnes en utilisant uniquement le prénom et le nom (aucun autre champ de données n’est requis).

Articles applicables de la Loi

11. Pour rendre notre décision, nous avons examiné les articles 3 et 6 de la Loi.
12. Selon l’article 3 de la Loi, les renseignements personnels s’entendent des renseignements, quels que soient leur forme et leur support, concernant un individu identifiable, notamment : les renseignements relatifs à sa race, à son origine nationale ou ethnique, à sa couleur, à sa religion, à son âge ou à sa situation de famille, à son éducation, à son dossier médical, à son casier judiciaire, à ses antécédents professionnels ou à des opérations financières auxquelles il a participé, à tout numéro qui lui est propre, à ses empreintes digitales ou à son groupe sanguin et à ses opinions personnelles, etc.
13. Le paragraphe 6(2) de la Loi stipule qu’une institution fédérale est tenue de veiller, dans la mesure du possible, à ce que les renseignements personnels qu’elle utilise à des fins administratives soient à jour, exacts et complets.

Analyse

Les renseignements personnels du plaignant étaient-ils en cause?

15. Les renseignements en cause comprennent le nom du plaignant, son CIDP et ses données financières. Ces données sont considérées comme des renseignements personnels aux termes de la Loi.

ISDE a-t-il pris toutes les mesures raisonnables pour s’assurer que les renseignements personnels qu’il a utilisés pour pourvoir le poste étaient aussi exacts que possible?

15. Notre enquête a permis de déterminer qu’ISDE a utilisé des renseignements inexacts au sujet du plaignant dans le cadre d’un processus de dotation.
16. À notre avis, l’erreur aurait pu être évitée si les responsables des RH avaient pris des mesures supplémentaires, notamment vérifier le CIDP ou la date de naissance du candidat, pour valider son identité. Par conséquent, ISDE n’a pas pris toutes les mesures raisonnables afin de s’assurer que les renseignements personnels utilisés pour doter le poste étaient aussi exacts que possible.

Conclusion

17. À la lumière de ce qui précède, la plainte est fondée.

Autre

18. ISDE a indiqué qu’il a depuis créé un document pour rappeler aux employés qu’ils doivent valider l’identité des employés au moyen de plusieurs champs de données, notamment le CIDP ou la date de naissance. Comme ISDE n’est pas responsable d’apporter des changements à MesRHGC, nous estimons qu’il a pris des mesures raisonnables pour veiller à ce que les renseignements qu’il utilise pour sélectionner des profils dans MesRHGC soient aussi exacts que possible. Par conséquent, nous n’avons aucune autre recommandation à formuler.