La protection des renseignements personnels au travail
Révisé : Le 29 mai 2023
Les individus ont droit au respect de leur vie privée au travail, même s’ils se trouvent dans les locaux de leur employeur et qu’ils utilisent le matériel de celui-ci. Les employeurs ont néanmoins besoin de certains renseignements au sujet de leurs employés pour des activités comme la paye et la dotation en personnel, et ils doivent être en mesure d’assurer la gestion du rendement des employés et la sécurité en milieu de travail.
Les employeurs devraient être au courant de la façon dont les lois et les obligations en matière de protection des renseignements personnels s’appliquent aux renseignements personnels des employés. La Loi sur la protection des renseignements personnels, par exemple, s’applique aux renseignements que détiennent les institutions fédérales sur leurs employés. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s’applique aux renseignements concernant les employés détenus par toute installation, tout ouvrage, toute entreprise ou tout secteur d’activité fédéral (comme les banques, les entreprises de télécommunications et les sociétés de transport).
Les employeurs et les syndicats peuvent également convenir de dispositions dans la convention collective qui peuvent s’appliquer aux politiques et aux pratiques de protection des renseignements personnels en milieu de travail.
Que la vie privée soit protégée ou non par des dispositions législatives, le fait de favoriser, en milieu de travail, une culture où la protection de la vie privée est jugée importante et respectée contribue au maintien du moral et de la confiance mutuelle, et il s’agit d’une avenue sensée sur le plan opérationnel.
Bien que le présent document porte sur les obligations prévues par les lois fédérales sur la protection des renseignements personnels, plusieurs provinces disposent de lois en la matière qui s’appliquent aux renseignements sur les employés ou disposent de lois particulières concernant les droits des employés et les obligations en milieu de travail.Note de bas de page 1
La protection des renseignements personnels des employés
Les renseignements personnels des employés peuvent comprendre, entre autres, les dossiers de paye et d’avantages sociaux, les rapports de présence, les dossiers du personnel officiels et non officiels, des vidéos ou des enregistrements audio, l’historique de navigation Web, des courriels et les frappes au clavier.
Les obligations en matière de protection des renseignements personnels concernant les employés s’appliquent généralement non seulement aux employés actuels, mais aussi aux employés éventuels et aux anciens employés.
Outre le fait qu’elles autorisent la collecte, l’utilisation et la communication de renseignements personnels, les lois fédérales sur la protection des renseignements personnels prévoient aussi des exigences précises, comme des règles concernant le consentement, les mesures de sécurité, la conservation et les droits d’accès.
Voici les principaux facteurs relatifs à la protection des renseignements personnels à prendre en compte dans la gestion des renseignements personnels concernant les employés en milieu de travail :
- Les employeurs ne peuvent recueillir que les renseignements personnels de leurs employés nécessaires aux fins déterminées par l’organisation.
- Les employeurs sont généralement tenus d’obtenir un consentement valable pour pouvoir recueillir, utiliser et communiquer des renseignements personnels, à moins qu’une exception au consentement ne s’applique. À cet égard, en ce qui concerne la loi canadienne sur la protection des renseignements personnels dans le secteur privé, le Commissariat a établi sept principes directeurs pour l’obtention d’un consentement valable, qui devraient orienter les pratiques en matière de consentement.Note de bas de page 2
- Même dans les cas où le consentement pour la collecte, l’utilisation ou la communication de renseignements sur les employés n’est pas exigé par la loi, l’employeur peut tout de même être tenu de faire preuve de transparence, d’aviser les employés en temps opportun et de décrire ses pratiques dans les politiques de l’organisation.
- L’employeur ne doit généralement utiliser ou communiquer les renseignements personnels qu’aux fins pour lesquelles ils ont été recueillis initialement et ne les conserver qu’aussi longtemps que nécessaire à ces fins, sauf s’il a le consentement de l’employé pour les utiliser à d’autres fins ou s’il est autorisé par la loi à les utiliser ou à les communiquer à d’autres fins.
- Les employés ont le droit de savoir comment leurs renseignements sont recueillis et utilisés. Ils ont aussi le droit d’accéder à leurs renseignements personnels et d’en contester l’exactitude et l’intégrité.
- Les employeurs doivent limiter l'accès aux renseignements concernant les employés selon le principe du « besoin de connaître ».
- Les renseignements personnels concernant les employés doivent être exacts, complets et à jour.
- Les employeurs devraient mettre en place des politiques et des procédures concernant la collecte, l'utilisation et la communication des renseignements personnels concernant les employés. Les politiques devraient porter sur des pratiques comme la surveillance des employés en milieu de travail (sur place ou en virtuel). Les politiques existantes devraient être mises à jour dès que de nouveaux programmes sont lancés ou que des programmes existants sont modifiés de façon importante.
- Il est recommandé aux employeurs qui établissent des politiques et des procédures d’aborder la question de la surveillance des employés d’une manière raisonnable, proportionnelle et qui empiète le moins possible sur la vie privée.
- Les politiques et les procédures devraient être facilement accessibles aux employés, notamment au moyen d’affiches et de courriels directs.
- Des mesures de protection physiques, organisationnelles et technologiques devraient être mises en place pour protéger les renseignements personnels des employés contre l’accès ou la communication inappropriés, et pour empêcher « le furetage par les employés », c’est-à-dire le fait que des employés accèdent de façon inappropriée aux renseignements personnels d’autres employés.
Le droit à la vie privée des employés entrave-t-il le droit de gestion de l’employeur?
Les employeurs ont des motifs valables pour recueillir, utiliser et communiquer des renseignements personnels concernant leurs employés. Ils doivent savoir qui ils embauchent. Ils doivent pouvoir régler les problèmes de rendement et assurer la sécurité matérielle du lieu de travail. Ils peuvent considérer que la surveillance électronique et d’autres formes de surveillance sont nécessaires pour assurer la productivité, empêcher les fuites de renseignements confidentiels et prévenir le harcèlement en milieu de travail.
En vertu de la LPRPDE, en plus d'établir, de gérer et de mettre fin à la relation d’emploi, les employeurs sous réglementation fédérale peuvent aussi recueillir, utiliser ou communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, s’il s’agit d’un renseignement produit par l’intéressé dans le cadre de son emploi, de son entreprise ou de sa profession, et dont la collecte, l’utilisation ou la communication est compatible avec les fins auxquelles il a été produit.
Il convient de souligner que, selon l’exemption au consentement, il pourrait y avoir des obligations d’informer les employés de ce qui est fait de leurs renseignements personnels. Par exemple, même si la LPRPDE prévoit des exemptions au consentement pour la gestion d’une relation d’emploi, d’autres exigences de la Loi continuent de s’appliquer, comme la limitation de la collecte, de l’utilisation, de la communication et de la conservation des renseignements personnels.
En vertu de la Loi sur la protection des renseignements personnels, les employeurs du gouvernement fédéral sont autorisés à recueillir des renseignements personnels, y compris des renseignements concernant les employés, uniquement si ces renseignements ont un lien direct avec leurs programmes ou leurs activités. Les employeurs ne peuvent alors utiliser ces renseignements qu’aux fins pour lesquelles ils ont été recueillis ou à des usages compatibles avec ces fins, à moins que l’employé ne consente à ce qu’ils soient utilisés à d’autres fins ou qu’une exemption précisée au paragraphe 8(2) de la Loi sur la protection des renseignements personnels ne s’applique. À titre d’exemple, un employeur du gouvernement fédéral qui recueille une vidéo de surveillance à des fins de sécurité ne peut, sans le consentement de l’employé, utiliser cette vidéo pour gérer le rendement ou pour surveiller la présence de l’employé, à moins qu’une exemption prévue au paragraphe 8(2) ne s’applique. Sous réserve de certaines exceptions, les employés doivent également être informés des fins pour lesquelles leurs renseignements peuvent être utilisés au moment de la collecte desdits renseignements.
Les employés peuvent-ils renoncer à leur droit à la vie privée?
Certains employeurs pourraient être tentés d’informer leurs employés actuels ou éventuels qu’ils n’ont pas de vie privée en milieu de travail; que le fait de renoncer au droit à la vie privée est une condition d’emploi.
Lorsque le consentement est requis, une telle approche n’est pas conforme au principe selon lequel le consentement doit être clair, éclairé et volontaire. De plus, cette façon de faire n’est pas conforme au principe général selon lequel les renseignements personnels ne doivent être recueillis qu’à des fins appropriées.
Une meilleure approche consisterait à demander expressément aux employés de donner leur consentement à des collectes, des utilisations et des communications explicites, limitées et justifiées de leurs renseignements personnels, ainsi qu’à informer ouvertement et équitablement ceux-ci des conséquences auxquelles ils pourraient s’exposer s’ils refusaient de fournir ces renseignements. Dans la mesure du possible, il convient de proposer des solutions de rechange aux employés qui ne souhaitent pas donner leur consentement.
Il est important de préciser que le consentement ne dégage pas une organisation des autres obligations qui lui incombent au titre des lois sur la protection des renseignements personnels, comme l’obligation de s’assurer qu’elle est autorisée par la loi à recueillir des renseignements, ou de ses obligations relatives à la responsabilité, aux limites de la collecte et aux mesures de sécurité, selon la loi applicable. En d’autres termes, un individu ne peut pas consentir à ce que ses renseignements personnels soient traités contrairement aux dispositions de la loi.
La surveillance des employés
Le droit à la vie privée doit être pris en compte dans tous les cas où les employeurs envisagent de surveiller leurs employés. La surveillance des employés peut comprendre des mesures visant à vérifier ou à évaluer la présence au travail, à suivre la productivité, à assurer une utilisation adéquate des réseaux et à établir l’emplacement des véhicules de l’entreprise, entre autres choses.
Il est important que la surveillance des employés se limite à des fins précises, ciblées et appropriées selon les situations. Les mesures de surveillance devraient tenir compte d’une évaluation des risques d’atteinte à la vie privée et de toute mesure d’atténuation, notamment en limitant la collecte aux renseignements strictement nécessaires aux fins énoncées et en veillant à ce que la mesure qui empiète le moins sur la vie privée soit utilisée selon la situation.
Bien qu’il existe un certain nombre de mesures technologiques pour surveiller les employés, toutes les mesures ne sont pas nécessairement les plus efficaces pour atteindre les objectifs souhaités ou ne sont pas nécessairement les moyens qui empiètent le moins sur la vie privée pour atteindre les fins énoncées. À titre d’exemple, une mesure technologique permettant de surveiller l’accès à certaines zones n’est pas nécessairement adéquate ou efficace pour surveiller la présence au travail.
Pour assurer la responsabilité en ce qui concerne les pratiques de surveillance, les employeurs devraient définir les mesures technologiques, physiques et de gouvernance qu’ils prévoient d’utiliser et établir la manière dont la conformité à ces mesures sera surveillée et imposée. Des lignes directrices sur la conservation des renseignements personnels recueillis aux fins de surveillance des employés devraient être élaborées pour veiller à ce que les renseignements ne soient pas conservés plus longtemps que nécessaire aux fins déterminées.
La transparence en matière de surveillance des employés est essentielle. Les employeurs doivent informer les employés du but, de la nature, de l’étendue et des raisons de la surveillance, ainsi que des conséquences possibles pour les travailleurs, à moins qu’il ne s'agisse d’une situation exceptionnelle.
Les droits d’accès des employés s’étendent aux renseignements personnels recueillis aux fins de surveillance. Les employeurs doivent donc s’assurer qu’ils ont mis en place des pratiques pour répondre aux demandes d’accès des employés, aux problèmes de conformité liés à la protection de la vie privée que les employés pourraient soulever, ainsi qu’aux plaintes qui pourraient être déposées.
Huit conseils pratiques pour les employeurs
Même si chaque organisation peut avoir à tenir compte de différentes lois propres à ses activités et à ses conventions collectives, les 8 conseils pratiques suivants constituent un bon point de départ pour les employeurs qui souhaitent les intégrer dans leurs politiques et procédures :
1. Examiner toutes les obligations et tous les pouvoirs conférés par la loi
Ces obligations et pouvoirs peuvent être énoncés notamment dans les engagements pris dans le cadre de conventions collectives, les lois fédérales et provinciales sur la protection des renseignements personnels, ainsi que dans toute autre législation dans des domaines comme le délit civil, les droits de la personne et le droit du travail.
2. Établir la liste des renseignements concernant les employés qui sont recueillis, utilisés et communiqués
Il s’agit notamment de déterminer si les renseignements, seuls ou combinés à d’autres, peuvent être considérés comme des « renseignements personnels ». Les employeurs devraient également chercher à comprendre le caractère sensible des renseignements qu’ils recueillent, utilisent et communiquent, car cela peut avoir des répercussions sur les risques d’atteinte à la vie privée auxquels leur organisation est exposée, ainsi que sur les exigences connexes en matière de protection de la vie privée.
- Les organisations assujetties à la LPRPDE peuvent consulter le bulletin d’interprétation sur les renseignements personnels du Commissariat pour obtenir de l’information supplémentaire sur les renseignements personnels dans le domaine de l’emploi.
- Les ministères et organismes assujettis à la Loi sur la protection des renseignements personnels peuvent consulter le résumé du Commissariat de l’affaire Dagg c. Canada (Ministre des Finances), [1997] 2 R.C.S. 403, qui décrit les considérations relatives aux renseignements personnels en milieu de travail pour les ministères et les institutions fédérales.
3. Effectuer des évaluations des facteurs relatifs à la vie privée (EFVP)
Les EFVP sont un moyen éprouvé d’atténuer les risques d’atteinte à la vie privée. Une EFVP est un processus de gestion des risques qui permet de déterminer les exigences de la loi et les incidences éventuelles des programmes et des activités sur la vie privée des individus. Ce processus devrait également tenir compte des contrôles d’accès et de la séparation logique des bases de données et des répertoires afin d’atténuer les risques de communication inappropriée.
Le Guide du Commissariat au sujet du processus d’évaluation des facteurs relatifs à la vie privée peut servir aux institutions fédérales tenues d’effectuer une EFVP à cerner et à atténuer les risques d’atteinte à la vie privée lorsqu’elles lancent un nouveau programme qui requiert la collecte de renseignements personnels.
Même si les organisations assujetties à la LPRPDE ne sont pas légalement tenues d’effectuer une EFVP, il s’agit d’un outil utile visant à leur permettre d’élaborer leurs programmes, politiques et programmes de formation respectifs en matière de gestion de la protection de la vie privée.
4. Mettre à l’essai les pratiques proposées en matière de gestion des renseignements concernant les employés
Préciser les fins auxquelles vous prévoyez de recueillir, d'utiliser ou de communiquer des renseignements personnels. Il faut établir si la collecte, l’utilisation et la communication prévues sont acceptables dans les circonstances, en tenant compte du caractère sensible des renseignements visés et d’autres facteurs pertinents. À titre d’exemple, les organisations assujetties à la LPRPDE doivent évaluer si leurs fins sont acceptables « dans les circonstances » et devraient tenir compte de ce qui suit :
- le degré de sensibilité des renseignements personnels visés;
- le besoin ou les intérêts commerciaux légitimes des fins visées par l’organisation;
- l’efficacité de la collecte, de l’utilisation et de la communication pour répondre au besoin de l’organisation;
- l’existence de moyens qui empiètent le moins possible sur la vie privée et qui permettent d’atteindre les mêmes fins pour un coût et des avantages comparables;
- la proportionnalité de l’atteinte à la vie privée par rapport aux avantages.
Conclusions en vertu de la LPRPDE no 2022-006
Dans cette enquête, l’employeur avait installé dans un véhicule une caméra-témoin de circulation aux fins d’enregistrement audio et vidéo en continu sans le consentement de l'employé. L’organisation a prétendu que cette mesure visait à accroître la sécurité de ses opérations.
Dans le présent cas, le dispositif d’enregistrement était actif lorsque le camion était en marche ou fonctionnait au ralenti; le système pouvait donc être actif même lorsque les camionneurs ne travaillaient pas.
Compte tenu des circonstances de l’affaire, le commissaire a conclu que la surveillance continue des employés avait entraîné une perte de la vie privée qui n’était pas proportionnelle aux avantages retirés et que l’entreprise aurait pu atteindre ses objectifs d’une manière qui aurait empiété le moins possible sur la vie privée, en n’enregistrant que le moment où le conducteur était en service ou conduisait.
Veuillez également consulter : Document d’orientation sur les pratiques inacceptables du traitement des données du CPVP : Interprétation et application du paragraphe 5(3)
5. Limiter la collecte
Ne recueillir que les renseignements personnels nécessaires aux fins déterminées et procéder de façon honnête et licite.
- Les dossiers des employés ne devraient contenir que les renseignements nécessaires, et les organisations devraient être entièrement transparentes quant à l’utilisation de ces renseignements.
- À titre d’exemple, pour les entrevues menées auprès de candidats à un emploi, pensez à écrire dans l’invitation à l’entrevue ou dans les instructions que les candidats peuvent flouter leur arrière-plan (afin d’éviter la collecte involontaire de renseignements personnels).
6. Faire preuve d’ouverture et de transparence
Il faut au minimum :
- Préciser aux employés quels renseignements personnels seront recueillis, utilisés et communiqués.
- Élaborer des politiques claires et communiquer celles-ci aux employés concernés avant de les mettre en pratique.
- Par exemple, les employeurs devraient élaborer et mettre en œuvre une politique claire sur la collecte, l’utilisation et la communication de renseignements personnels en ce qui concerne toute forme de surveillance de la présence et des activités (sur place ou virtuelles) des employés en milieu de travail, au cas où une telle surveillance aurait lieu. Une telle politique devrait préciser clairement ce qui suit :
- les renseignements personnels qui sont recueillis auprès des employés;
- les fins auxquelles les renseignements personnels sont recueillis;
- la manière dont les renseignements personnels seront recueillis;
- la façon dont les renseignements seront utilisés, y compris les répercussions possibles pour les employés;
- la durée de conservation des renseignements personnels.
- Par exemple, les employeurs devraient élaborer et mettre en œuvre une politique claire sur la collecte, l’utilisation et la communication de renseignements personnels en ce qui concerne toute forme de surveillance de la présence et des activités (sur place ou virtuelles) des employés en milieu de travail, au cas où une telle surveillance aurait lieu. Une telle politique devrait préciser clairement ce qui suit :
Enquête en vertu de la Loi sur la protection des renseignements personnels – 31 janvier 2020
Dans le présent cas, un ministère a utilisé des caméras de surveillance pour suivre la présence des employés au travail. À la suite d’une enquête, le Commissariat a constaté que la politique ne précisait pas cet objectif et a recommandé que le ministère utilise des mesures moins intrusives.
7. Respecter les principes clés de la protection de la vie privée
Que le consentement soit requis ou non pour la collecte, l’utilisation ou la communication de renseignements personnels, d’autres obligations de protection de la vie privée continuent de s’appliquer, notamment :
- Responsabilité;
- Exactitude des renseignements personnels;
- Limitation de la collecte, de l’utilisation, de la communication et de la conservation des renseignements;
- Mise en place de mesures de sécurité pour la protection des renseignements personnels;
- Transparence quant aux politiques et aux pratiques;
- Accès aux renseignements personnels;
- Possibilité pour les individus concernés de porter plainte à l’égard du non-respect des principes.
8. Connaître les pratiques inacceptables et les zones interdites
Étant donné le rapport de force inégal entre l’employeur et l’employé (ou le candidat à un poste), il existe un risque que les employeurs demandent plus de renseignements qu’ils ne sont autorisés à en recueillir et que les individus aient l’impression de subir une pression indue pour fournir ces renseignements. Par exemple, les employeurs pourraient aller trop loin et demander à leurs employés (ou à des candidats à un poste) de leur donner accès à des zones de leurs comptes de médias sociaux protégées au moyen d’un mot de passe.
Le Document d’orientation sur les pratiques inacceptables du traitement des données précise qu’une personne raisonnable estimerait généralement inacceptable que l’employeur exige le mot de passe des comptes de médias sociaux aux fins de la sélection des employés. Il précise aussi que le recours au profilage ou à la catégorisation donnant lieu à un traitement injuste, contraire à l’éthique ou discriminatoire est une autre pratique inacceptable.
- Date de modification :