Les dix principaux enjeux pour les employeurs – Enjeu no 9 : Renseignements personnels des employés

Voici le neuvième article de notre série portant sur les dix principaux enjeux pour les employeurs. Cet article aborde les risques en matière de protection des renseignements personnels et les pratiques exemplaires à l’intention des employeurs en ce qui a trait à la gestion des renseignements personnels des employés.

APERÇU

Les progrès technologiques rapides ont permis aux employeurs de recueillir toutes sortes de renseignements pendant la relation d’emploi. Les renseignements recueillis sur un employé peuvent se limiter au contenu habituel de son dossier d’employé, mais peuvent également comprendre d’autres types de données, comme des renseignements se rapportant à une carte magnétique et des vidéos de surveillance. Il est donc de plus en plus important de comprendre la façon dont la cueillette, l’utilisation et la communication des renseignements personnels des employés sont réglementées par un ensemble de lois canadiennes sur la protection des renseignements personnels et par les tribunaux de common law.

PAYSAGE RÉGLEMENTAIRE

Les lois canadiennes sur la protection des renseignements personnels (en ce qui concerne les renseignements des employés) ne s’appliquent qu’à certains types d’employeurs et dans des territoires canadiens précis. La Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») ne s’applique qu’aux employeurs relevant de la réglementation fédérale et dans le cadre de la collecte, de l’utilisation et de la communication des renseignements personnels des employés aux fins de l’emploi. L’Alberta, la Colombie-Britannique et le Québec ont également adopté des lois exhaustives sur la protection des renseignements personnels qui s’appliquent à tous les employeurs réglementés à l’échelle provinciale dans ces provinces. Les lois de l’Alberta et de la Colombie-Britannique sont connues dans les deux provinces sous le nom de Personal Information Protection Act, tandis que les employeurs régis par les lois du Québec sont assujettis à la Loi sur la protection des renseignements personnels dans le secteur privé.

Certaines autres provinces ont adopté des lois sur la protection des renseignements personnels sur la santé, mais ne sont pas dotées de lois aussi complètes sur la protection des renseignements personnels. Par conséquent, dans ces provinces, la collecte, l’utilisation et la communication des renseignements personnels des employés relèvent principalement des tribunaux de common law. Par exemple, en 2012, la Cour suprême du Canada a statué que les employés avaient des « attentes raisonnables en matière de vie privée » en milieu de travail, et, la même année, la Cour d’appel de l’Ontario a reconnu que l’intrusion dans l’intimité ou l’atteinte à la vie privée constituait un délit en common law.

QU’ENTEND-ON PAR « PERSONNEL »?

Ce ne sont pas tous les renseignements qui sont des « renseignements personnels » en vertu des lois sur la protection des renseignements personnels, mais le terme a été défini au sens large pour s’entendre de « tout renseignement concernant une personne identifiable ». Les renseignements peuvent porter sur une personne identifiable lorsqu’il est fort possible qu’une personne puisse être identifiée dans le cadre de l’utilisation de ce renseignement, seul ou combiné à d’autres renseignements. Toutefois, les « coordonnées d’affaires » d’une personne ne sont pas des renseignements personnels s’ils sont recueillis, utilisés ou communiqués uniquement pour permettre les communications liées à l’emploi de cette personne.

OBTENTION DU CONSENTEMENT

En vertu des diverses lois sur la protection des renseignements personnels et sauf certaines exceptions limitées, les employeurs sont généralement tenus d’obtenir le consentement de l’employé, ou à tout le moins de donner un préavis, avant de procéder à la cueillette, à l’utilisation ou à la communication des renseignements personnels de l’employé. Les modifications récentes apportées à la LPRPDE permettent aux entreprises fédérales de recueillir, d’utiliser et de communiquer des renseignements personnels sans consentement dans le but d’établir ou de gérer une relation d’emploi ou d’y mettre fin, pourvu que la personne ait été informée que ses renseignements personnels pouvaient être recueillis, utilisés ou communiqués à cette fin. En outre, les renseignements produits par un employé dans le cadre de son emploi, de ses activités commerciales ou de sa profession peuvent être recueillis, utilisés ou communiqués sans consentement, dans la mesure où la collecte est compatible avec les fins auxquelles ils ont été produits.

DEMANDES D’ACCÈS

En vertu des lois sur la protection des renseignements personnels, les employés ont le droit de s’enquérir au sujet de tout renseignement personnel recueilli par leur employeur et de demander d’y avoir accès. Les demandes d’accès ne peuvent être refusées que dans des circonstances limitées, par exemple lorsque les renseignements ont été produits dans le cadre d’un processus de règlement officiel d’un différend, lorsqu’ils révéleraient des renseignements commerciaux confidentiels ou encore lorsque les renseignements sont protégés par le secret professionnel de l’avocat.

CONSERVATION ET DESTRUCTION

Les renseignements personnels des employés devraient être conservés aussi longtemps que nécessaire pour l’atteinte des objectifs pour lesquels ils ont été recueillis. Néanmoins, lorsque les renseignements personnels ont servi à prendre une décision à l’égard d’une personne, ces renseignements devraient être conservés pendant la durée prévue par la loi (ou toute autre période de temps raisonnable en l’absence d’exigences législatives) afin de permettre à la personne d’avoir accès à ces renseignements pour comprendre et éventuellement contester le fondement de la décision. Par exemple, les employeurs peuvent conserver des renseignements sur leurs anciens employés pour une période au moins égale à celle du délai de prescription s’appliquant aux congédiements sans motif valable.

PRATIQUES EXEMPLAIRES

Les pratiques exemplaires suivantes aideront les employeurs à se conformer de façon constante aux lois sur la protection des renseignements personnels et à éviter les actions en responsabilité délictuelle :

  • Mettre en place ou mettre à jour votre politique en matière de protection des renseignements personnels des employés. Une politique bien rédigée permettra à l’employeur d’affirmer que les employés ont donné leur consentement implicite à la cueillette, à l’utilisation et à la communication de leurs renseignements personnels ou en ont été informés.
  • Mettre en place ou mettre à jour une politique de conservation des renseignements personnels. La plupart des lois provinciales sur les normes d’emploi prévoient des délais pour la conservation de certains renseignements relatifs à l’emploi.
  • Mettre à jour les ententes conclues avec les tiers fournisseurs. Les employeurs peuvent être tenus responsables de l’utilisation ou de la communication des renseignements personnels des employés qui sont envoyés aux tiers partenaires ou aux fournisseurs (par exemple les responsables du traitement de la paie et les fournisseurs de prestations). Il est important de s’assurer que les tiers sont tenus (par contrat ou autrement) de protéger les renseignements qu’ils reçoivent.
  • Mettre en place et mettre à jour régulièrement les mesures de sécurité physiques et technologiques visant à empêcher l’accès non autorisé aux renseignements relatifs à l’emploi.
  • Fournir régulièrement de la formation aux employés sur la protection des renseignements personnels pour les sensibiliser aux risques en matière de protection des renseignements personnels et promouvoir l’utilisation de mesures de sécurité.
  • Pour obtenir de plus amples renseignements sur les politiques en matière de renseignements personnels des employés, d’accès à ces renseignements ou de conservation de ces renseignements, veuillez communiquer avec un membre de notre groupe Travail et emploi.

Cliquez ici pour consulter tous les articles de la série Les dix principaux enjeux pour les employeurs.

Blakes offre périodiquement des documents sur les tendances et les faits nouveaux en matière juridique aux personnes qui le désirent. Pour obtenir de plus amples renseignements sur nos pratiques concernant la protection des renseignements personnels, veuillez communiquer avec nous par courriel à l’adresse privacyofficer@blakes.com. Ce bulletin électronique est publié à titre informatif uniquement et ne constitue pas un avis juridique ou une opinion sur un quelconque sujet. Nous serons heureux de vous fournir des détails supplémentaires ou des conseils sur des situations particulières si vous le souhaitez.

Pour obtenir l’autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et communications de Blakes au 514-982-4000 ou par courriel à l’adresse mathieu.rompre@blakes.com. © 2016 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.