Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Une employée s'oppose à ce que son employeur inscrive son numéro de compte bancaire sur sa fiche de paie

Résumé de conclusions d'enquêtes en vertu de la LPRPDE no 2001-23

[principes énoncés aux articles 4.3 et 4.7 de l'annexe 1]

Plainte

Une employée d'une entreprise de télécommunications s'est plainte que son employeur :

  1. ait utilisé des renseignements personnels la concernant à une fin à laquelle elle n'avait pas consenti en imprimant ses numéros de compte bancaire de domiciliation de la banque sur sa fiche de paie; et
  2. n'ait pas protégé convenablement les fiches de paie du personnel, compte tenu du degré de sensibilité des renseignements qu'elles contiennent.

Résumé de l'enquête

Les employés de l'entreprise de télécommunications en question reçoivent leur paie par virement automatique, et leurs fiches de paie leur sont remises sous pli cacheté dans leur milieu de travail. En raison d'une fusion et de la conversion subséquente des systèmes de rémunération, les numéros de compte bancaire et de domiciliation de la banque sont inscrits sur les fiches de paie de tous les employés depuis le 1er janvier 2001. L'impression de ces numéros sur les fiches de paie est devenue pratique courante dans les secteurs privé et public. Sur les fiches produites par cette entreprise, rien n'indique ce que désignent les numéros, et seules les personnes qui connaissent bien les codes d'information de la banque sauraient ce qu'ils représentent. Les enveloppes cachetées contenant les fiches de rémunération du personnel, lorsqu'elles sont livrées au milieu de travail de la plaignante, sont réunies dans une plus grande enveloppe qui est déposée sur le bureau du gestionnaire, où il arrive souvent, au cours de périodes comptant jusqu'à 24 heures, qu'elle soit laissée à découvert et sans surveillance.

À l'origine, la plaignante avait consenti à ce que sa paie soit déposée directement dans son compte bancaire, mais elle n'a jamais donné son consentement explicite pour que ces numéros figurent sur sa fiche. C'est pourquoi elle a affirmé que son employeur utilisait des renseignements personnels concernant son compte bancaire sans son consentement et à une fin qui n'était pas compatible avec celle à laquelle elle avait fourni les renseignements au départ. De plus, elle a affirmé que son employeur ne protégeait pas convenablement les fiches de paie du personnel dans son milieu de travail.

L'entreprise a soutenu que les renseignements étaient bel et bien utilisés à la seule fin à laquelle ils avaient été recueillis, à savoir le virement automatique des paies; qu'il était désormais impératif, pour les besoins de la vérification de l'affectation des fonds salariaux et la résolution des écarts, d'imprimer les numéros de compte et de succursale sur les fiches de paie; et que bon nombre d'employés en étaient déjà venus à s'attendre à ce que ces numéros soient inscrits sur leur fiche, et à s'y fier. De plus, l'entreprise a soutenu avoir protégé convenablement les renseignements relatifs aux comptes bancaires de ses employés, car elle distribuait les fiches sous pli confidentiel et cacheté.

Conclusions du commissaire

Rendues le 5 novembre 2001

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique aux entreprises fédérales. Cette plainte était du ressort du commissaire parce que les entreprises de télécommunications sont des entreprises fédérales au sens de la Loi.

Application : Le principe énoncé à l'article 4.3 de l'annexe 1 précise que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Ce principe stipule en outre (à l'article 4.3.5) que les attentes raisonnables de la personne sont pertinentes. Le principe énoncé à l'article 4.7 précise que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Au sujet du premier élément de la plainte (consentement), le commissaire a établi qu'il était raisonnable que les employés qui divulguent leurs numéros de compte bancaire et de domiciliation de la banque aux fins du virement automatique s'attendent à ce que ces numéros figurent sur les fiches de transaction aux fins de la vérification de l'affectation des fonds, lesquelles correspondent tout à fait aux fins convenues. Il était donc d'avis que la plaignante avait donné son consentement implicite. Par conséquent, il a jugé que l'entreprise avait satisfait à ses obligations en vertu du principe énoncé à l'article 4.3 de l'annexe 1.

Le commissaire a conclu qu'à cet égard, la plainte n'était pas fondée.

Au sujet du deuxième élément de la plainte (mesures de sécurité), le commissaire a établi que les mesures de contrôle opérationnel appliquées par l'entreprise dans le milieu de travail de la plaignante ne correspondaient pas au degré de sensibilité des renseignements personnels contenus dans les fiches de paie. Il a jugé que l'entreprise avait manqué à ses obligations en vertu du principe énoncé à l'article 4.7 de l'annexe 1.

Il a toutefois observé que l'entreprise, après qu'elle eut été informée de ses obligations, avait pris immédiatement des mesures appropriées pour corriger ses pratiques de gestion de l'information relativement aux fiches de paie du personnel.

Le commissaire a conclu qu'à cet égard, la plainte était fondée et résolue.

Autres considérations

L'entreprise a convenu de mettre en oeuvre, comme solution à court terme, des mesures de contrôle opérationnel plus rigoureuses dans le milieu de travail de la plaignante et d'offrir à la plaignante la possibilité de recevoir sa fiche de paie par la poste, à domicile.

Date de modification :