Enquête sur la collecte et la communication par le Service correctionnel du Canada de renseignements personnels d’une personne sur Facebook en lien avec le congé 699

Contexte

La personne plaignante est en situation conjugale avec un individu anciennement employé du SCC (l’employé). En juillet 2020, dans le contexte de la pandémie, l’individu employé par le SCC avait pris un congé 699, puisque la personne avec qui il est en situation conjugale, la personne plaignante, présentait un risque élevé de maladie grave attribuable à la COVID-19 et qu’il n’était pas en mesure de télétravailler.

À l’époque, un directeur adjoint, qui était le chef de division de l’individu, a été informé par un gestionnaire que cet individu avait été vu sur des photos avec d’autres personnes, sans masque, alors qu’il était en voyage. Le gestionnaire a montré les photos au directeur adjoint sur son téléphone cellulaire.

Le directeur adjoint a ensuite utilisé son compte Facebook pour consulter les profils de l’individu et de la personne avec qui il est en situation conjugale et a pris 9 captures d’écran du profil de cette dernière. Par la suite, le directeur adjoint a transmis les captures d’écran recueillies à 3 autres cadres supérieurs.

Enquête

En vertu de l’article 4 de la Loi, une institution fédérale ne peut recueillir que les renseignements personnels qui ont un lien direct avec ses programmes ou ses activités.

Dans ses observations présentées au Commissariat, le SCC a expliqué que les renseignements personnels de la personne plaignante avaient été recueillis pour donner suite à une allégation selon laquelle l’individu employé par le SCC contrevenait possiblement à la politique sur le congé 699 dans le contexte de la COVID-19. Plus précisément, les renseignements personnels ont été recueillis pour examiner les allégations selon lesquelles l’individu ne s’isolait pas pour protéger la santé d’une ou d’un membre de sa famille à risque élevé, ce qui était à l’origine du congé 699 qui lui avait été accordé. En fin de compte, le SCC n’a pas annulé le congé de l’individu.

Le congé 699 est un type de congé pouvant être accordé aux employés qui ne sont pas en mesure de travailler pour des raisons indépendantes de leur volonté à la discrétion de leur gestionnaire. À cette époque, la politique du Conseil du Trésor pour l’utilisation du congé 699 dans les cas où les employés n’étaient pas en mesure de télétravailler indiquait que le congé 699 pouvait être accordé dans les cas où une ou un employé, ou une personne sous le même toit, présentait un risque élevé de maladie grave attribuable à la COVID-19. La politique précisait aussi que les congés devaient être accordés au cas par cas.

Nous avons examiné les 9 captures d’écran que le directeur adjoint a recueillies et transmis. Nous avons constaté qu’en plus des photos et des commentaires qui pouvaient être liés à l’évaluation de l’utilisation du congé 699, il y avait des photos, des fils de commentaires et des renseignements sur la personne plaignante qui n’avaient aucun lien avec la préoccupation portée à l’attention du directeur adjoint. Nous avons donc déterminé que le SCC n’a pas respecté les dispositions de la Loi sur la collecte de renseignements personnels, puisque les renseignements recueillis dans ce cas n’avaient pas de lien direct avec les programmes ou les activités du SCC.

Le SCC a indiqué que les renseignements recueillis provenaient de la page Facebook publique de la personne plaignante. À cet égard, nous avons rappelé au SCC que bien qu’il soit vrai que le paragraphe 69(2) de la Loi exclut les renseignements auxquels le public a accès, cette exclusion prévoit que seules les dispositions relatives à l’utilisation et à la communication (articles 7 et 8) de la Loi ne s’appliquent pas aux renseignements auxquels le public a accès. Les autres dispositions de la Loi s’appliquent toujours, y compris celles sur la collecte. En d’autres termes, que les renseignements soient accessibles ou non au public, les institutions fédérales doivent veiller à ce que tous les renseignements personnels recueillis aient un lien direct avec leurs programmes ou leurs activités comme l’exige l’article 4.

Puisque le Commissariat a conclu que le SCC n’aurait pas dû recueillir les renseignements personnels de la personne plaignante qui n’avaient aucune incidence sur l’évaluation de la demande de congé 699 de l’individu, ces renseignements n’auraient donc pas dû être divulgués par la suite à plusieurs membres de son équipe de gestion.

En ce qui concerne les mesures correctives, le SCC a confirmé, au cours de l’enquête, qu’il avait supprimé toutes les copies des captures d’écran recueillies. Pour réduire les risques que de telles situations se reproduisent, nous avons recommandé au SCC d’élaborer des directives sur les processus à suivre avant de recueillir des renseignements dans un contexte de relations de travail et de les diffuser aux gestionnaires afin de réduire le risque de collecte accidentelle des renseignements personnels d’un tiers sans rapport avec l’individu employé par le SCC. Le SCC a accepté et s’est engagé à diffuser des directives aux gestionnaires sur les limites et les processus en place pour réduire au minimum le risque d’atteinte à la vie privée, y compris les personnes à contacter avant de lancer une enquête ou de recueillir les renseignements d’un tiers dans un contexte de relations de travail.

Autre

La personne plaignante s’est également dite préoccupée par le fait que lorsqu’elle a communiqué, en tant que membre du public, avec le Bureau de l’accès à l’information et de la protection des renseignements personnels (AIPRP) du SCC pour savoir comment déposer une plainte concernant la protection des renseignements personnels contre une ou un membre du personnel du SCC, elle a été informée que le rôle du Bureau de l’AIPRP n’était pas de recevoir de telles plaintes. Elle a plutôt été redirigée vers des ressources internes qui ne conviennent qu’aux employés du SCC (c’est-à-dire, pour discuter de préoccupations avec les Ressources humaines du SCC ou un représentant syndical).

Le SCC a précisé au Commissariat que l’agent de l’AIPRP qui a répondu à la personne plaignante a commis une erreur et que celle-ci aurait dû recevoir la directive de déposer une plainte auprès du Commissariat, conformément au protocole du SCC, lorsqu’une ou un membre du public signale un risque de communication de renseignements personnels. Nous avons souligné que, bien qu’il soit important que les particuliers soient informés de leur droit de porter plainte au Commissariat, cela n’empêche en rien les institutions de mettre en place des processus internes pour accepter les plaintes des Canadiennes et des Canadiens concernant la protection des renseignements personnels et tenter de les régler de façon informelle. En fait, nous encourageons les institutions à le faire, car il s’agit souvent d’un moyen efficace de répondre aux préoccupations des particuliers liées à la protection de la vie privée et de démontrer leur engagement à cet égard.