Enquête sur la collecte et la communication par le Service correctionnel du Canada de renseignements personnels d’une personne sur Facebook en lien avec le congé 699
Plainte déposée en vertu de la Loi sur la protection des renseignements personnels
Le 13 avril 2023
Description
La personne conjointe d’un individu employé par le Service correctionnel du Canada (SCC) s’est plainte que le gestionnaire de ce dernier avait recueilli de façon inappropriée des renseignements à son sujet sur sa page Facebook publique lorsque des questions ont été soulevées concernant l’utilisation du congé 699 (autres congés payés) par l’individu. Nous avons déterminé que bon nombre des renseignements personnels recueillis n’avaient aucune incidence sur l’évaluation de l’utilisation du congé 699 par l’individu et que la collecte de ces renseignements n’avait donc pas un lien direct avec les programmes et les activités du SCC comme l’exige l’article 4 de la Loi sur la protection des renseignements personnels (la Loi). La personne plaignante s’est également dite préoccupée par le fait qu’elle ait eu de la difficulté à signaler ce problème lié à la protection des renseignements personnels au SCC.
Points à retenir
- Comme l’exige l’article 4 de la Loi, les institutions fédérales doivent veiller à ce que les renseignements personnels qu’elles recueillent aient un lien direct avec leurs programmes ou leurs activités, même si ces renseignements proviennent de sources auxquelles le public a accès (les exclusions prévues dans le paragraphe 69(2) de la Loi s’appliquent à l’utilisation et à la communication des renseignements personnels auxquels le public a accès, mais pas à la collecte).
- Il est recommandé que les institutions fédérales fournissent à leurs employés des directives concernant les étapes à suivre avant de recueillir des renseignements personnels dans un contexte de relations de travail afin de réduire le risque de collecte accidentelle de renseignements personnels sans rapport avec celles-ci.
- En plus de veiller à ce que les particuliers sachent qu’ils ont le droit de se plaindre au Commissariat à la protection de la vie privée du Canada (le Commissariat), les institutions sont invitées à établir des processus internes pour accepter et traiter les plaintes des Canadiens et des Canadiennes liées à la protection des renseignements personnels de manière à répondre efficacement aux préoccupations du public sur le sujet et à démontrer leur engagement à cet égard.
Résumé de la plainte
Contexte
La personne plaignante est en situation conjugale avec un individu anciennement employé du SCC (l’employé). En juillet 2020, dans le contexte de la pandémie, l’individu employé par le SCC avait pris un congé 699, puisque la personne avec qui il est en situation conjugale, la personne plaignante, présentait un risque élevé de maladie grave attribuable à la COVID-19 et qu’il n’était pas en mesure de télétravailler.
À l’époque, un directeur adjoint, qui était le chef de division de l’individu, a été informé par un gestionnaire que cet individu avait été vu sur des photos avec d’autres personnes, sans masque, alors qu’il était en voyage. Le gestionnaire a montré les photos au directeur adjoint sur son téléphone cellulaire.
Le directeur adjoint a ensuite utilisé son compte Facebook pour consulter les profils de l’individu et de la personne avec qui il est en situation conjugale et a pris 9 captures d’écran du profil de cette dernière. Par la suite, le directeur adjoint a transmis les captures d’écran recueillies à 3 autres cadres supérieurs.
Enquête
En vertu de l’article 4 de la Loi, une institution fédérale ne peut recueillir que les renseignements personnels qui ont un lien direct avec ses programmes ou ses activités.
Dans ses observations présentées au Commissariat, le SCC a expliqué que les renseignements personnels de la personne plaignante avaient été recueillis pour donner suite à une allégation selon laquelle l’individu employé par le SCC contrevenait possiblement à la politique sur le congé 699 dans le contexte de la COVID-19. Plus précisément, les renseignements personnels ont été recueillis pour examiner les allégations selon lesquelles l’individu ne s’isolait pas pour protéger la santé d’une ou d’un membre de sa famille à risque élevé, ce qui était à l’origine du congé 699 qui lui avait été accordé. En fin de compte, le SCC n’a pas annulé le congé de l’individu.
Le congé 699 est un type de congé pouvant être accordé aux employés qui ne sont pas en mesure de travailler pour des raisons indépendantes de leur volonté à la discrétion de leur gestionnaire. À cette époque, la politique du Conseil du Trésor pour l’utilisation du congé 699 dans les cas où les employés n’étaient pas en mesure de télétravailler indiquait que le congé 699 pouvait être accordé dans les cas où une ou un employé, ou une personne sous le même toit, présentait un risque élevé de maladie grave attribuable à la COVID-19. La politique précisait aussi que les congés devaient être accordés au cas par cas.
Nous avons examiné les 9 captures d’écran que le directeur adjoint a recueillies et transmis. Nous avons constaté qu’en plus des photos et des commentaires qui pouvaient être liés à l’évaluation de l’utilisation du congé 699, il y avait des photos, des fils de commentaires et des renseignements sur la personne plaignante qui n’avaient aucun lien avec la préoccupation portée à l’attention du directeur adjoint. Nous avons donc déterminé que le SCC n’a pas respecté les dispositions de la Loi sur la collecte de renseignements personnels, puisque les renseignements recueillis dans ce cas n’avaient pas de lien direct avec les programmes ou les activités du SCC.
Le SCC a indiqué que les renseignements recueillis provenaient de la page Facebook publique de la personne plaignante. À cet égard, nous avons rappelé au SCC que bien qu’il soit vrai que le paragraphe 69(2) de la Loi exclut les renseignements auxquels le public a accès, cette exclusion prévoit que seules les dispositions relatives à l’utilisation et à la communication (articles 7 et 8) de la Loi ne s’appliquent pas aux renseignements auxquels le public a accès. Les autres dispositions de la Loi s’appliquent toujours, y compris celles sur la collecte. En d’autres termes, que les renseignements soient accessibles ou non au public, les institutions fédérales doivent veiller à ce que tous les renseignements personnels recueillis aient un lien direct avec leurs programmes ou leurs activités comme l’exige l’article 4.
Puisque le Commissariat a conclu que le SCC n’aurait pas dû recueillir les renseignements personnels de la personne plaignante qui n’avaient aucune incidence sur l’évaluation de la demande de congé 699 de l’individu, ces renseignements n’auraient donc pas dû être divulgués par la suite à plusieurs membres de son équipe de gestion.
En ce qui concerne les mesures correctives, le SCC a confirmé, au cours de l’enquête, qu’il avait supprimé toutes les copies des captures d’écran recueillies. Pour réduire les risques que de telles situations se reproduisent, nous avons recommandé au SCC d’élaborer des directives sur les processus à suivre avant de recueillir des renseignements dans un contexte de relations de travail et de les diffuser aux gestionnaires afin de réduire le risque de collecte accidentelle des renseignements personnels d’un tiers sans rapport avec l’individu employé par le SCC. Le SCC a accepté et s’est engagé à diffuser des directives aux gestionnaires sur les limites et les processus en place pour réduire au minimum le risque d’atteinte à la vie privée, y compris les personnes à contacter avant de lancer une enquête ou de recueillir les renseignements d’un tiers dans un contexte de relations de travail.
Autre
La personne plaignante s’est également dite préoccupée par le fait que lorsqu’elle a communiqué, en tant que membre du public, avec le Bureau de l’accès à l’information et de la protection des renseignements personnels (AIPRP) du SCC pour savoir comment déposer une plainte concernant la protection des renseignements personnels contre une ou un membre du personnel du SCC, elle a été informée que le rôle du Bureau de l’AIPRP n’était pas de recevoir de telles plaintes. Elle a plutôt été redirigée vers des ressources internes qui ne conviennent qu’aux employés du SCC (c’est-à-dire, pour discuter de préoccupations avec les Ressources humaines du SCC ou un représentant syndical).
Le SCC a précisé au Commissariat que l’agent de l’AIPRP qui a répondu à la personne plaignante a commis une erreur et que celle-ci aurait dû recevoir la directive de déposer une plainte auprès du Commissariat, conformément au protocole du SCC, lorsqu’une ou un membre du public signale un risque de communication de renseignements personnels. Nous avons souligné que, bien qu’il soit important que les particuliers soient informés de leur droit de porter plainte au Commissariat, cela n’empêche en rien les institutions de mettre en place des processus internes pour accepter les plaintes des Canadiennes et des Canadiens concernant la protection des renseignements personnels et tenter de les régler de façon informelle. En fait, nous encourageons les institutions à le faire, car il s’agit souvent d’un moyen efficace de répondre aux préoccupations des particuliers liées à la protection de la vie privée et de démontrer leur engagement à cet égard.
- Date de modification :