Résumé de conclusions d'enquête en vertu de la LPRPDE n^o 2003-226

L'entreprise recueille sans raison valable des renseignements médicaux; les mesures de sécurité sont insuffisantes

[Principes 4.4, 4.7, 4.7.2 et paragraphe 5(3)]

Plainte

Une ancienne employée d'une entreprise de télécommunications s'est plainte de ce que :

1. L'entreprise a recueilli sans raison des renseignements médicaux personnels d'employés aux fins de l'administration de son régime d'assurance-invalidité à long terme;
2. L'entreprise ne disposait pas des mesures de sécurité voulues pour la protection des renseignements médicaux délicats contre un accès non autorisé.

Résumé de l'enquête

Concernant la plainte relative à la collecte de renseignements : En ce qui concerne la demande de prestations d'invalidité à long terme présentée par la plaignante, l'entreprise avait avisé celle-ci par écrit de renvoyer les formulaires requis et les autres renseignements nécessaires, y compris un certificat de naissance, à l'entreprise elle-même plutôt que directement à la compagnie d'assurance qui assure la gestion du régime.

La lettre reçue par la plaignante est la lettre d'avis type qui est envoyée à tout employé qui a touché des prestations d'invalidité à court terme. Elle a pour objet de veiller à ce que l'employé sache la date à laquelle prendront fin ses prestations d'assurance-invalidité à court terme, qu'il lui faut demander des prestations à long terme, la façon de procéder et les documents à fournir à cet égard. L'entreprise a reconnu que seule la compagnie d'assurance a besoin de l'information en question. Cependant, en faisant office d'intermédiaire, l'entreprise cherche à faciliter le processus de demande en veillant à ce que le demandeur a inclus toute l'information voulue et que celle-ci est envoyée sans délai à la compagnie d'assurance. L'entreprise a également indiqué que le guide de la compagnie d'assurance sur la façon de présenter une demande qui est remis aux employés précise que les demandeurs peuvent envoyer l'information relative à la demande à l'employeur ou à la compagnie d'assurance. Quoi qu'il en soit, la lettre type envoyée aux employés qui touchent des prestations d'invalidité à court terme ne faisait pas état d'un tel choix, utilisant en fait le terme anglais « must  » (doivent) afin de susciter un sentiment d'urgence.

Concernant la plainte relative aux mesures de sécurité : La plaignante avait des réserves quant aux mesures de sécurité instaurées par l'entreprise. D'abord, elle s'opposait au fait que l'employeur donne instruction à ses employés d'envoyer les rapports médicaux par télécopieur à son bureau des ressources humaines — un mode de transmission qui ne protège pas suffisamment les renseignements médicaux personnels, particulièrement les rapports contenant des diagnostics. De plus, elle craignait que des employés n'ayant pas un besoin légitime de traiter l'information, comme des agents des ressources humaines, aient accès à celle-ci.

Par ailleurs, elle s'est inquiétée d'une rumeur voulant que les gestionnaires soient systématiquement autorisés à recevoir des renseignements précis sur l'état de santé d'employés en congé de maladie.

Pour ce qui est de la transmission par télécopieur, l'entreprise dit estimer que la communication de renseignements médicaux par télécopieur au bureau des ressources humaines représente un moyen sûr puisque la machine ne sert qu'aux agents des ressources humaines. Les locaux de l'équipe des ressources humaines dont relevait la plaignante sont situés à l'extrémité d'un étage essentiellement inoccupé et accessibles uniquement par carte (bien que tous les employés qui y travaillent aient une telle carte). Les dossiers médicaux sont tenus séparément des dossiers personnels. Le télécopieur est dans une pièce dont on ne verrouille la porte que lorsque tous les employés sont partis. Il ne serait donc pas impossible pour des employés d'autres services d'accéder à la salle de dossiers et au télécopieur lorsque la porte de la pièce en question n'est pas verrouillée, mais pas facile de le faire sans se faire remarquer par des employés des ressources humaines.

Le personnel des ressources humaines examine les renseignements médicaux qui sont envoyés et administrent le régime d'assurance-invalidité à court terme de l'entreprise. Le coordonnateur recueille les rapports médicaux, inscrit la date à laquelle ils ont été reçus, informe les gestionnaires de la date de retour au travail prévue des employés qui relèvent d'eux et assure le suivi de l'ensemble des dates et des diagnostics afin de déterminer la date à laquelle prendront fin les prestations d'invalidité à court terme et à laquelle l'employé(e) sera admissible à des prestations à long terme. En cas de problème avec un rapport, l'agent local des ressources humaines transmet celui-ci à l'administration centrale des ressources humaines, qui l'envoie aux services de santé intégrés de la compagnie mère. Bien qu'à une page de la politique de l'entreprise sur l'assurance-invalidité à court terme, on peut lire que les employés peuvent décider d'envoyer leurs rapports médicaux directement aux services de santé intégrés de l'entreprise, dans d'autres cas, la politique mentionne seulement que les rapports en questions doivent être présentés aux ressources humaines.

Si l'employé envoie directement le rapport aux services de santé intégrés, le bureau local des ressources humaines reçoit un sommaire indiquant la date du début du congé de maladie, la date prévue de retour au travail, s'il s'agit d'une invalidité nouvelle ou récurrente, tout changement ou toute adaptation nécessaire et un avis à l'effet que l'absence est documentée ou non documentée. Aucune information relative au diagnostic n'est fournie. S'il incombe toujours au bureau local des ressources humaines de suivre les absences de l'employé aux fins du régime d'assurance-invalidité, l'administration centrale des ressources humaines reçoit bien un sommaire pouvant inclure un diagnostic précis. On a souligné que ce service ne compte que des agents des ressources humaines et aucun spécialiste médical accrédité.

Quant à la préoccupation de la plaignante voulant que les gestionnaires aient accès aux renseignements médicaux d'employés, l'entreprise a nié que cela se produise, indiquant que ce serait contraire à ses politiques et (ou) pratiques. Tout ce que les gestionnaires savent, c'est que tel employé est en congé de maladie, la durée du congé et les adaptations, s'il y a lieu, à prendre au lieu de travail au retour de l'employé en question. L'entreprise reconnaît que des employés remettent à l'occasion leurs rapports médicaux directement à leurs gestionnaires, mais que ceux-ci ont reçu instruction de transmettre les documents directement aux ressources humaines et de protéger le caractère confidentiel de l'information. Les deux gestionnaires de la plaignante ont nié avoir reçu de l'information sur l'employée absente, à l'exception de celle qu'ils étaient en droit de recevoir.

Conclusions

Rendues le 31 octobre 2003

Compétence : Depuis le 1^er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique aux installations, ouvrages, entreprises ou secteurs d'activités fédéraux. La commissaire adjointe avait compétence dans cette affaire parce que l'entreprise de télécommunication est une installation, un ouvrage, une entreprise ou un secteur d'activité fédéral au sens de la Loi.

Application : Selon le Principe 4.4, l'organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées. Le Principe 4.7 prévoit que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité, et le Principe 4.7.2 précise que la nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. Les renseignements plus sensibles, précise-t-on, devraient être mieux protégés. D'après le paragraphe 5(3), l'organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

Au sujet de la première plainte, la commissaire adjointe à la protection de la vie privée a fait l'analyse suivante des faits :

• Étant donné que l'entreprise n'est pas dans l'obligation de réunir les renseignements médicaux de l'employée aux fins de l'administration du régime d'assurance-invalidité à long terme, mais le faisait plutôt pour faciliter le processus, il s'agissait ici de savoir si une telle fin figurerait parmi celles que trouverait acceptables une personne raisonnable dans les circonstances.
• Dans ce cas, les circonstances comprennent l'avis que l'entreprise a communiqué à ses employés, voulant que ceux-ci « doivent » remettre leurs documents à l'entreprise plutôt qu'envoyer ceux-ci directement à la compagnie d'assurance, et l'absence d'explications quant aux raisons pour lesquelles les employés « doivent » procéder de la sorte.
• Si une personne raisonnable pourrait ne rien trouver de répréhensible dans le fait que l'entreprise facilite le processus de demande, elle pourrait s'objecter à ce que l'entreprise présente cette façon de procéder comme une obligation, sans justifications.
• La commissaire adjointe à la protection de la vie privée a estimé que l'entreprise contrevenait au Principe 4.4 et au paragraphe 5(3).

Au sujet de la seconde plainte, la commissaire adjointe à la protection de la vie privée a fait l'analyse suivante des faits :

• Vu que les renseignements médicaux sont considérés comme des renseignements délicats, et les diagnostics comme figurant parmi les renseignements médicaux les plus sensibles, la commissaire adjointe à la protection de la vie privée a estimé insuffisantes les mesures de sécurité en vigueur.
• En premier lieu, elle a trouvé qu'il n'était pas indiqué de garder un télécopieur qui reçoit des renseignements médicaux sensibles dans une salle accessible et non verrouillée.
• De la même façon, elle a estimé inapproprié le fait que l'entreprise ait pour pratique de recevoir par télécopieur les rapports médicaux d'employés, que ce soit au bureau local des ressources humaines ou à celui de l'administration centrale. Elle a toutefois reconnu que des employés pourraient opter pour ce mode de transmission.
• La commissaire adjointe à la protection de la vie privée a également mis en doute la pratique de l'entreprise consistant à permettre aux agents des ressources humaines de recevoir et de traiter des rapports médicaux contenant des diagnostics.
• Le Commissariat à la protection de la vie privée reconnaît depuis longtemps le besoin légitime des employeurs de recueillir certains renseignements médicaux pour vérifier si un employé s'absente du travail pour des raisons médicales valables et pour respecter ses obligations d'employeur relatives aux adaptations prévues dans la Loi canadienne sur les droits de la personne. Le Commissariat a également reconnu que la collecte de diagnostics spécifiques peut être indiquée pour certaines fins et dans certaines circonstances.
• Cependant, la commissaire adjointe à la protection de la vie privée a souligné que le Commissariat croit que toute organisation qui réunit des diagnostics médicaux concernant des employés à quelque fin que ce soit doit avoir pour ce faire des mesures de sécurité strictes, c'est-à-dire prévoyant que l'information ne sera accessible qu'à des professionnels de la santé qualifiés.
• Dans le cas qui nous occupe, il a été établi que ce sont essentiellement des agents des ressources humaines ne possédant pas de compétences médicales, au bureau local et à l'administration centrale, qui reçoivent, annotent, interprètent et traitent, pour administrer le régime d'assurance-invalidité de l'entreprise, des diagnostics médicaux très sensibles. Si la fin peut être jugée indiquée, la commissaire adjointe à la protection de la vie privée a considéré que la situation dans son ensemble était inacceptable.
• Elle a donc conclu que l'entreprise contrevenait aux Principes 4.7 et 4.7.2.

La commissaire adjointe à la protection de la vie privée a donc conclu que les plaintes étaient fondées.

Autres considérations

La commissaire adjointe à la protection de la vie privée a fait les recommandations suivantes :

1. L'entreprise devrait revoir ses politiques et marches à suivre pour la collecte et le traitement des rapports médicaux des employés, en privilégiant les fins et les pratiques concernant les données de diagnostic.
2. Entre-temps, l'entreprise devrait :
   1. Prendre les mesures qui s'imposent pour veiller à ce que les employés qui doivent fournir un rapport médical n'ignorent pas qu'ils ont le droit de voir à ce que les renseignements liés au diagnostic soient tenus confidentiels, qu'ils ont le choix d'envoyer le formulaire sous pli confidentiel directement au personnel médical des services de santé et qu'avec le mode de transmission de rechange proposé, des agents des ressources humaines recevront l'information;
   2. Veiller à ce que les gestionnaires, s'ils devaient recevoir un rapport médical, refusent celui-ci et donnent instruction à l'employé d'envoyer celui-ci tel qu'il est recommandé en a);
   3. Veiller à ce que l'administration centrale des ressources humaines ne reçoive plus de diagnostics au sujet d'employés.
3. L'entreprise devrait réviser ses lettres d'avis aux employés recevant des prestations d'invalidité à court terme de manière à clarifier que les employés ont le choix d'envoyer l'information relative à l'assurance-invalidité à long terme directement à la compagnie d'assurance.