Protection des renseignements personnels : employeurs (principes généraux)

Dois-je respecter des règles particulières pour assurer la protection des renseignements personnels en milieu de travail dans le contexte de la pandémie?

Non. Les règles habituelles s’appliquent toujours : vous devez respecter les mêmes obligations qu’en temps normal, soit celles qui sont prévues par la Loi sur la protection des renseignements personnels dans le secteur privé ou la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.

Cependant, vous avez l’obligation d’assurer la santé et la sécurité de vos employés et de votre clientèle. Pour ce faire, vous devez mettre en place plusieurs mesures exceptionnelles, prévues notamment par la CNESST ou les décrets et les arrêtés ministériels adoptés par le gouvernement. Certaines de ces mesures peuvent impliquer la collecte, la communication ou la conservation de renseignements personnels.


Dans ce contexte, quelles sont les obligations que je dois respecter pour mes employés ou ma clientèle?

Voici les principes généraux qui devraient vous guider dans cette démarche :

  • Avoir un intérêt sérieux et légitime pour constituer un dossier au sujet d’une personne (employés, clientèle).
    Un dossier peut être constitué de très peu de renseignements et n’a pas à revêtir une forme particulière (ex. : registre de présence d’employés).
  • Mettre en place des mesures exceptionnelles qui répondent à des exigences spécifiques ou à des recommandations provenant d’une autorité de santé publique ou de la CNESST.
    La CNESSTdédié un espace de son site Web à ses recommandations encadrant le retour au travail. L’INSPQ met régulièrement à jour sa documentation concernant la santé au travail.
    Certaines exigences ne pourraient s’appliquer qu’à des secteurs d’activités spécifiques. Évitez de conclure qu’une exigence dans un milieu de travail impliquant la collecte de renseignements personnels justifie que vous les colligiez aussi si votre organisation ne relève pas du même secteur d’activité.
  • Limiter la collecte et la communication de renseignements personnels au minimum nécessaire pour l’atteinte des objectifs poursuivis.
    L’appréciation du caractère nécessaire de la collecte d’un renseignement personnel tient compte notamment de l’objectif poursuivi, de la sensibilité des renseignements et de l’existence de moyens moins intrusifs pour atteindre cet objectif.
  • Porter une attention particulière à la collecte de renseignements de santé et au recours à des moyens technologiques susceptibles d’entraîner une forme de surveillance, de profilage ou de porter atteinte à l’intégrité, à la vie privée ou à la dignité de la personne.
    La mise en place d’un processus de vérification systématique des symptômes ou l’utilisation d’une solution technologique devrait d’abord faire l’objet d’une évaluation des facteurs relatifs à la vie privée.
  • Collecter des renseignements personnels seulement pour le présent contexte.
    Ils ne devraient servir qu’aux fins de limiter la propagation de la COVID-19 et devraient être détruits dès qu’ils ne sont plus nécessaires à cette fin.
  • Mettre en place les mesures nécessaires pour assurer la confidentialité de ces renseignements, y compris en limitant au strict minimum leur circulation au sein de votre organisation et le nombre de personnes y ayant accès.
  • Mettre ces mesures en place de façon transparente pour les personnes concernées.
    Si vous devez recueillir des renseignements personnels spécifiques dans le contexte actuel, vous devriez le faire en toute transparence auprès de vos employés et de vos clients. Les personnes concernées devraient être informées des raisons pour lesquelles vous recueillez et conservez ces renseignements, des utilisations qui pourront en être faites, des mesures de sécurité que vous mettrez en place pour les protéger, des personnes qui y auront accès et du temps pour lequel vous les conserverez.

Quelles questions dois-je me poser avant de déployer un outil technologique en réponse à la COVID-19?

  • Évaluez d’abord la nécessité d’y recourir : est-ce que l’objectif poursuivi justifie de mettre en place une telle solution?
  • Évaluez la proportionnalité du projet : est-ce que l’atteinte à la vie privée qu’il implique est proportionnelle à l’objectif poursuivi?
  • Assurez-vous que les modalités de la solution envisagée respectent les principes, les règles et les meilleures pratiques de protection des renseignements personnels.

Afin de guider votre réflexion, vous gagneriez à réaliser une évaluation des facteurs à la vie privée. Cette évaluation permet d’identifier dès le début d’un projet les enjeux en matière de vie privée et de protection des renseignements personnels et d’ajuster la solution de manière à respecter la loi et à minimiser ses impacts sur la vie privée. La Commission a élaboré un guide pour vous accompagner dans cette démarche.

Le document de réflexion publié en mai 2020 par la Commission au sujet du recours à certaines technologies en temps de pandémie contient aussi des éléments d’analyse pertinents pour réaliser cette évaluation. Bien que les exemples ou questions particulières qui y sont énoncés visent plus spécifiquement certaines technologies, la démarche d’analyse et les principes s’appliquent à d’autres contextes.

 

Mise à jour : 29 octobre 2020