Comment assurer la conformité à la Loi sur la protection des renseignements personnels et les documents électroniques de votre entreprise

Le dernier numéro d’AU POINT présentait les grandes lignes de la nouvelle loi fédérale, Loi sur la protection des renseignements personnels et les documents électroniques, entrée en vigueur le 1er janvier 2001 (voir « La Loi sur la protection des renseignements personnels et les documents électroniques : effet sur les entreprises sous réglementation fédérale et leurs employés » sous la rubrique « Publications »). A partir de cette date, les entreprises sous réglementation fédérale doivent se conformer aux dispositions de la Loi, tant a l’égard de leurs employés que de leurs clients.

Comme nous l’avons vu dans le dernier numéro, la nouvelle loi impose des regles pour la collecte, l’utilisation, la rétention et la communication des renseignements personnels relatifs aux employés. En outre, la Loi accorde au Commissaire fédéral a la protection de la vie privée de nouveaux pouvoirs d’enquete et de surveillance et donne aux employés de nouveaux droits, notamment le droit d’insister que les renseignements personnels les concernant ne soient recueillis, utilisés et communiqués qu’a leur connaissance et avec leur consentement, et le droit d’y avoir acces. En outre, les employés peuvent faire respecter leurs droits en portant plainte au Commissaire a la protection de la vie privée et, dans certains cas, en intentant une action devant la Cour fédérale.

Pour assurer la conformité a la loi, il est préférable d’établir pour l’entreprise une politique en matiere de protection de la vie privée. Le présent article considere les diverses questions dont l’employeur doit tenir compte pour établir cette politique, surtout par rapport aux employés.

La politique devrait couvrir les points clés suivants :

  • un énoncé général du but et des principes de la politique;
  • la désignation d’une personne a titre de coordonnateur de la protection de la vie privée, et une description de son rôle;
  • un énoncé général sur les fins auxquelles serviront les renseignements recueillis;
  • les mécanismes prévus pour obtenir le consentement;
  • les limites quant a l’utilisation, la communication et la rétention des renseignements personnels, y compris une limite de temps pour la rétention;
  • des mécanismes pour assurer la sécurité des renseignements;
  • des modalités pour permettre aux employés d’exercer leur droit d’acces aux renseignements;
  • des modalités pour mettre en cause le respect par l’employeur de ses obligations en matiere de protection de la vie privée.

ÉNONCÉ GÉNÉRAL

Pour renseigner les employés sur le but de la politique, il peut etre utile de produire un énoncé sur ses motifs et principes sous-jacents. Cet énoncé pourrait comprendre une description de la Loi, l’engagement de l’employeur de respecter ses obligations de protection de la vie privée et une explication de la façon dont la politique assure la conformité a la nouvelle loi.

Cet énoncé sommaire pourrait indiquer que les renseignements personnels ne peuvent etre recueillis que s’ils sont directement liés et raisonnablement nécessaires aux activités de l’entreprise et que la personne intéressée a donné son consentement.

COORDONNATEUR DE LA PROTECTION DE LA VIE PRIVÉE

Le premier principe du code modele de l’ACNOR des regles de protection de la vie privée, repris par la Loi, est l’imputabilité, c’est-a-dire la nécessité de désigner clairement une ou plusieurs personnes responsables de la mise en application du régime. Vu l’importance de son rôle, le directeur ou coordonnateur de la protection de la vie privée devrait etre un cadre supérieur de l’organisation.

Puisque sa responsabilité est d’assurer le respect des regles, cette personne sera chargée de superviser la collecte, la rétention, l’utilisation et la communication des renseignements pour l’entreprise. Il lui incombera également de décider comment l’organisation doit composer avec les plaintes et les demandes d’acces aux renseignements.

FINS DE LA COLLECTE DES RENSEIGNEMENTS

La politique devrait préciser qu’il faut dire aux employés a quelles fins les renseignements sont recueillis, avant ou pendant la collecte. Ces fins doivent etre raisonnables, autrement dit, ce a quoi s’attendrait une personne raisonnable dans les circonstances. Quelques exemples de fins raisonnables : renseignements relatifs a la paie et aux avantages sociaux, détermination de la qualité d’un candidat pour un poste, évaluation du rendement ou questions disciplinaires, exigences de la loi. En regle générale, il vaut mieux trouver un juste équilibre entre des fins trop vagues, qui pourraient etre jugées déraisonnables, et des fins trop spécifiques, qui pourraient nécessiter un nouveau consentement pour toute fin additionnelle. Les employés chargés de la collecte des renseignements devraient etre en mesure d’en expliquer les fins.

CONSENTEMENT

Le consentement est nécessaire pour la collecte, l’utilisation ou la communication des renseignements personnels. La politique devrait prévoir des déclarations de consentement a inclure dans certains documents, tels que les formulaires de demande d’emploi et les évaluations de rendement. La déclaration de consentement devrait etre formulée en fonction des fins auxquelles serviront les renseignements. Si ceux-ci sont utilisés a d’autres fins que celles prévues initialement, la politique devrait prévoir qu’il est nécessaire d’obtenir a nouveau le consentement de l’intéressé.

La politique devrait indiquer dans quelles circonstances le consentement n’est pas nécessaire, par exemple en cas d’enquete sur un bris de contrat ou de contravention de la loi. Dans certains cas, le consentement implicite suffit, comme en cas d’urgence ou lorsque la collecte de renseignements est clairement dans l’intéret de l’intéressé et qu’il n’est pas possible d’obtenir le consentement en temps opportun. Toutefois, dans d’autres cas, lorsqu’il s’agit par exemple de renseignements de nature délicate, le consentement doit etre explicite.

De plus, si les employés ont le droit de refuser de donner leur consentement, l’employeur peut avoir le droit, dans certaines circonstances, de refuser de maintenir l’employé dans son poste s’il ne fournit pas les renseignements demandés. Il faut réfléchir aux circonstances ou le consentement sera indispensable, et mettre les employés au courant des conséquences d’un refus dans un tel cas.

Les obligations d’informer et d’obtenir le consentement prévues par la Loi s’appliquent probablement a diverses formes de surveillance des employés. Par conséquent, lorsque l’employeur envisage des mesures de surveillance, la politique devrait prévoir les modalités du consentement a cet effet.

LIMITES DE RÉTENTION

L’élimination des renseignements est une composante importante de toute politique de protection de la vie privée. Il faut considérer quelle doit etre la durée de rétention, compte tenu de la nature des renseignements personnels. De façon générale, les renseignements ne devraient etre gardés que le temps qu’il faut pour servir aux fins prévues. On devrait établir des horaires pour détruire, effacer ou rendre anonymes les renseignements personnels qui ne sont plus nécessaires a l’entreprise.

PROTECTION DES RENSEIGNEMENTS

La politique devrait prévoir des mécanismes et procédures pour assurer la sécurité et la confidentialité des renseignements personnels. Voici quelques mesures a envisager a ce titre :

  • garder les renseignements dans des classeurs verrouillés;
  • restreindre l’acces aux renseignements personnels sous forme électronique;
  • exiger de tous les employés qu’ils signent des ententes de confidentialité au sujet des renseignements personnels;
  • prévoir des mesures de sécurité pour la destruction des renseignements personnels;
  • prévoir des procédures de transmission de façon a assurer un niveau de sécurité qui correspond au degré de confidentialité des renseignements;
  • sensibiliser les employés a l’importance de la confidentialité des renseignements personnels (par exemple : conseiller aux employés d’éviter de laisser les renseignements personnels sans surveillance lorsqu’ils apparaissent a l’écran ou qu’ils se trouvent sur support papier).

DROIT D’ACCES

Chacun doit avoir le droit d’avoir acces a ses renseignements personnels et de les faire modifier si nécessaire. La politique devrait préciser les modalités d’acces. Elle pourrait, par exemple, prévoir que l’acces sera donné a intervalles raisonnables dans une période donnée et qu’une personne sera présente pendant que l’employé regarde son dossier.

Pour ce qui est de modifier le dossier, la politique devrait indiquer que cela est possible si l’employé constate que les renseignements sont inexacts ou incomplets. Si l’entreprise n’est pas d’accord avec la modification, la politique devrait prévoir que l’employé a le droit de joindre une note au dossier.

La politique devrait également préciser les cas ou l’acces ne sera pas accordé, notamment ou les renseignements sont du type suivant :

  • ils concernent une tierce partie;
  • ils pourraient léser une autre personne;
  • ils font l’objet d’un litige;
  • ils pourraient léser l’entreprise dans sa position concurrentielle.

Toutefois, lorsque cela est possible, l’entreprise est tenue de diviser les renseignements de façon a donner acces aux renseignements tout en évitant l’une des situations décrites ci-dessus.

MÉCANISME DE PLAINTE

La Loi oblige l’organisation a permettre a ses employés et clients de contester ses pratiques de protection de la vie privée, et a répondre a toute plainte ou demande de renseignements. La politique devrait préciser les modalités pour porter plainte, notamment les éléments suivants :

  • la personne a qui porter plainte;
  • le délai pour obtenir une réponse de l’organisation;
  • les procédures d’appel, y compris le droit de s’adresser directement au Commissaire fédéral a la protection de la vie privée;
  • la personne chargée de faire enquete sur les plaintes ou de répondre aux demandes de renseignements.

Notre point de vue

Les employeurs soumis a la Loi doivent etre sensibles aux exigences quant a l’information, le consentement et l’acces aux renseignements des employés. Ils doivent également etre prudents dans la surveillance des renseignements personnels sous leur garde. Une politique qui suit les grandes lignes décrites dans le présent article aidera certainement l’organisation a respecter ses nouvelles obligations. Nos avocats sont prets a vous aider a rédiger des politiques et protocoles qui conviennent aux besoins de votre organisation. (Pour de plus amples renseignements sur la législation en matiere de protection de la vie privée, voir « L’Ontario publie l’ébauche de la loi sur la vie privée » sous la rubrique « Publications ».)

Pour de plus amples renseignements, veuillez communiquer avec Carole Piette au (613) 563-7660, poste 227 ou avec André Champagne au (613) 563-7660, poste 229.

Related Articles

La CSPAAT impose désormais un délai de 3 jours ouvrables pour la déclaration initiale d’un accident par les employeurs

Le 29 septembre 2023, la Commission de la sécurité professionnelle et de l’assurance contre les accidents du travail (« CSPAAT ») a…

Le gouvernement de l’Ontario propose d’importantes modifications à diverses lois dans le secteur de l’éducation

En avril, le gouvernement de l’Ontario a déposé le projet de loi 98, Loi de 2023 sur l’amélioration des écoles et…

La Cour supérieure de justice de l’Ontario déclare la Loi 124 nulle et sans effet

Le 29 novembre 2022, la Cour supérieure de justice de l’Ontario a publié une décision très attendue sur dix demandes…