Protection des renseignements personnels : employeurs (principes généraux)

Dois-je respecter des règles particulières pour assurer la protection des renseignements personnels dans le contexte de réouverture des milieux de travail?

Afin de respecter votre obligation d’assurer la santé et la sécurité de vos employés et celle de votre clientèle, vous devez mettre en place plusieurs mesures exceptionnelles. Celles-ci sont prévues notamment par la CNESST ou les décrets et les arrêtés ministériels adoptés par le gouvernement en raison de l’état d’urgence sanitaire. Certaines d’entre elles peuvent impliquer la collecte, la communication ou la conservation de renseignements personnels.

Vous devez donc respecter les obligations prévues par la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, chapitre P-39.1) ou la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, chapitre A-2.1).

Il importe de bien comprendre vos obligations.

 


Quelles sont mes obligations en matière de protection des renseignements personnels dans le contexte de réouverture des milieux de travail?

Voici les principes généraux devant vous guider :

  • Vous devez avoir un intérêt sérieux et légitime pour constituer un dossier au sujet d’une personne (employés, clientèle).
    Un dossier peut être constitué de très peu de renseignements et n’a pas à revêtir une forme particulière (ex. : registre de présence d’employés ou de clients contenant nom et date – voir article 3 de la Loi concernant le cadre juridique des technologies de l’information [RLRQ, chapitre C-1.1]).
  • Les mesures exceptionnelles que vous mettez en place devraient répondre à des exigences spécifiques ou à des recommandations provenant d’une autorité de santé publique ou de la CNESST.
    La CNESST a dédié un espace de son site Web à ses recommandations encadrant le retour au travail. L’INSPQ met régulièrement à jour sa documentation concernant la santé au travail.
    Certaines exigences ne pourraient s’appliquer qu’à des secteurs d’activités spécifiques. Évitez de conclure qu’une exigence dans un milieu de travail impliquant la collecte de renseignements personnels justifie que vous les colligiez aussi si votre organisation ne relève pas du même secteur d’activités. Être travailleur de la santé dans une zone rouge ne comporte pas le même niveau de risque qu’effectuer un travail de bureau dans des zones cloisonnées.
  • Vous devez limiter la collecte et la communication de renseignements personnels au minimum nécessaire pour l’atteinte des objectifs poursuivis.
    L’appréciation du caractère nécessaire de la collecte d’un renseignement personnel tient compte notamment de l’objectif poursuivi, de la sensibilité des renseignements et de l’existence de moyens moins intrusifs pour atteindre cet objectif.
  • Vous devriez porter une attention particulière à la collecte de renseignements de santé et au recours à des moyens technologiques susceptibles d’entraîner une forme de surveillance, de profilage ou de porter atteinte à l’intégrité, à la vie privée ou à la dignité de la personne.
    La mise en place d’un processus de vérification systématique des symptômes ou l’utilisation d’une solution technologique devrait d’abord faire l’objet d’une évaluation des facteurs relatifs à la vie privée.
  • Les renseignements personnels dont la collecte est autorisée dans le présent contexte ne devraient servir qu’aux fins de limiter la propagation de la COVID-19 et être détruits dès qu’ils ne sont plus nécessaires à cette fin.
  • Vous devez mettre en place les mesures nécessaires pour assurer la confidentialité de ces renseignements, y compris en limitant au strict minimum leur circulation au sein de votre organisation et le nombre de personnes y ayant accès.
  • Vous devez mettre ces mesures en place de façon transparente pour les personnes concernées.
    Si vous devez recueillir des renseignements personnels spécifiques dans le contexte actuel, vous devriez le faire en toute transparence auprès de vos employés et de vos clients. Les personnes concernées devraient être informées des raisons pour lesquelles vous recueillez et conservez ces renseignements, des utilisations qui pourront en être faites, des mesures de sécurité que vous mettrez en place pour les protéger, des personnes qui y auront accès et du temps pour lequel vous les conserverez.

 


Mise à jour : 29 juillet 2020