Favoriser une culture de protection de la vie privée des employés en milieu de travail est une avenue sensée sur le plan opérationnel, car elle contribue au maintien du moral et de la confiance mutuelle.
Les obligations des employeurs en matière de protection des renseignements personnels au travail peuvent varier d’une province à l’autre, voire d’un milieu de travail à l’autre, en fonction de leurs activités et de l’existence d’une convention collective, par exemple.
Voici quelques conseils pratiques que tout employeur peut suivre pour créer une culture de protection de la vie privée au sein de son organisation :
- Connaître la loi – Soyez au courant de vos obligations énoncées dans les lois fédérales et provinciales sur la protection des renseignements personnels et dans la législation portant sur les droits de la personne et le droit du travail, ainsi que de tout autre engagement pris dans le cadre de conventions collectives.
- Établir la liste des renseignements recueillis auprès des employés – Déterminez si les renseignements, seuls ou combinés à d’autres, constituent des renseignements personnels au sujet de l’employé. Les risques d’atteinte à la vie privée auxquels votre organisation est exposée et les exigences connexes en matière de protection des renseignements personnels sont liés au caractère sensible des renseignements personnels que celle-ci recueille, utilise et communique. Pour de plus amples renseignements, consultez le Bulletin d’interprétation : Renseignements personnels du Commissariat.
- Effectuer une évaluation des facteurs relatifs à la vie privée (EFVP) – Une EFVP peut s’avérer un outil utile permettant de déterminer les exigences de la loi et les incidences éventuelles que vos programmes et vos activités auront sur la vie privée des employés.
- Mettre à l’essai les pratiques proposées en matière de gestion des renseignements – Précisez les fins auxquelles vous prévoyez de recueillir, d’utiliser ou de communiquer des renseignements personnels. Il faut ensuite établir si vous avez des motifs valables pour recueillir ces renseignements et s’il existe un moyen qui empiète le moins possible sur la vie privée afin d’atteindre les mêmes fins. Pour de plus amples renseignements, consultez le Document d’orientation sur les pratiques inacceptables du traitement des données : Interprétation et application du paragraphe 5(3) du Commissariat.
- Limiter la collecte – Ne recueillez que les renseignements nécessaires aux fins déterminées, faites preuve de transparence à l’égard des usages prévus, et procédez de façon honnête et licite. Souvenez-vous que les dossiers des employés ne devraient contenir que les renseignements nécessaires.
- Faire preuve d’ouverture et de transparence – Élaborez des politiques claires relatives aux pratiques comme la surveillance de la présence et des activités des employés en milieu de travail, et communiquez ces politiques à vos employés avant de les mettre en pratique. Ces politiques doivent expliquer à quelles fins et de quelle manière les renseignements sont recueillis, et la façon dont ils seront utilisés, y compris les répercussions possibles pour les employés. La politique devrait aussi préciser la durée pendant laquelle les renseignements personnels pourraient être conservés.
- Respecter les principes clés de la protection de la vie privée – Que le consentement des employés soit requis ou non pour recueillir certains renseignements personnels, d’autres obligations de protection de la vie privée continuent de s’appliquer, notamment la responsabilité, l’exactitude des renseignements personnels et l’accès à ceux-ci. Vous devriez mettre en place des mesures de sécurité adaptées au degré de sensibilité des renseignements.
- Connaître les pratiques inacceptables et les zones interdites – Étant donné le rapport de force inégal entre l’employeur et l’employé (ou le candidat à un poste), il existe un risque que les employeurs demandent plus de renseignements qu’ils ne sont autorisés à en recueillir et que les individus aient l’impression de subir une pression indue pour fournir ces renseignements. Par exemple, il ne faudrait pas aller trop loin en demandant aux employés (ou à des candidats à un poste) de vous donner accès à des zones de leurs comptes de médias sociaux protégées au moyen d’un mot de passe. Le Document d’orientation sur les pratiques inacceptables du traitement des données du Commissariat offre des précisions au sujet des renseignements que les employeurs (ou les employeurs potentiels) peuvent demander.
Pour de plus amples renseignements, consultez le document d’orientation La protection des renseignements personnels au travail.