Politique et pratiques d'un employeur concernant la collecte de renseignements personnels médicaux jugées appropriées
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-120
[Principes 4.4 et 4.4.1 de l'annexe 1; paragraphe 5(3)]
Plainte
Une employée d'une entreprise de télécommunications s'est plainte que son employeur recueillait plus de renseignements personnels sur ses employés que cela était nécessaire.
Résumé de l'enquête
Conformément à la politique sur les congés pour maladie prolongée de l'entreprise, un employé doit signer un formulaire de consentement autorisant son médecin à communiquer des renseignements médicaux liés à la maladie de l'employé aux professionnels en santé au travail de l'entreprise et discuter de ce sujet directement avec eux. Le formulaire précise les motifs de l'entreprise pour recueillir de tels renseignements, à savoir un examen pour déterminer l'admissibilité aux prestations et la détermination de l'aptitude à l'emploi. Le formulaire comporte des questions sur les troubles, les soins et le pronostic médicaux de l'employé. Si l'absence de l'employé se prolonge au-delà de la date prévue indiquée sur le formulaire, le superviseur demande à l'employé de remplir un deuxième formulaire.
Le personnel en santé au travail, les médecins et les infirmières de l'entreprise, qui sont liés pour leur code de déontologie respectif, examinent le formulaire et fournissent aux gestionnaires seulement l'information concernant l'aptitude à travailler et les limites de l'employé. Des renseignements détaillés concernant la politique de l'entreprise sont disponibles pour tous les employés sur le site Web de l'entreprise et dans leur brochure.
L'entreprise a mis en place des politiques et des procédures qui permettent de protéger les renseignements médicaux personnels d'un employé. Plus particulièrement, les renseignements médicaux sont classés dans un fichier distinct, puis stockés dans des zones d'archivage sécuritaires. Les renseignements médicaux informatisés sont également protégés.
Au moment de formuler la plainte, la plaignante n'était pas en congé pour maladie prolongée et personne au sein de l'entreprise ne lui avait demandé que son médecin remplisse un formulaire. Néanmoins, elle s'est opposée à la quantité de renseignements que les médecins devaient fournir lorsqu'un employé quitte pour un congé prolongé.
Conclusions du commissaire
Rendues le 17 février 2003
Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique aux ouvrages, aux entreprises ou aux secteurs d'activité fédéraux. De plus, depuis le 1er janvier 2002, la Loi s'applique aux renseignements personnels sur la santé. Le commissaire avait compétence dans cette cause, parce que les sociétés de télécommunications constituent des ouvrages, des entreprises ou des secteurs d'activité fédéraux selon la définition de la Loi et parce que la plainte se rapporte en grande partie à la gestion qu'a fait l'entreprise des renseignements personnels sur la santé au cours de l'année 2002.
Application : Le principe 4.4 énonce que l'organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées par l'organisation. Le principe 4.4.1 énonce que les organisations ne doivent pas recueillir des renseignements de façon arbitraire. On doit restreindre tant la quantité que la nature des renseignements recueillis à ce qui est nécessaire pour réaliser les fins déterminées. Les organisations doivent préciser la nature des renseignements recueillis comme partie intégrante de leurs politiques et de leurs pratiques concernant le traitement des renseignements. Le paragraphe 5(3) stipule que l'organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.
Le commissaire a déterminé que les motifs de l'entreprise pour recueillir des renseignements personnels sur les employés étaient légitimes, appropriés et conformes au paragraphe 5(3) de la Loi. Le commissaire était également convaincu que l'entreprise avait restreint sa collecte aux renseignements personnels sur les employés aux éléments nécessaires pour répondre à leurs besoins, au sens des exigences du principe 4.4. Il a également déterminé que l'entreprise avait déjà des politiques et des procédures en place qui décrivaient ces motifs, comment les renseignements personnels étaient traités et par qui, les rôles respectifs des parties concernées et que ces renseignements étaient à la disposition de tous les employés, satisfaisant ainsi aux obligations de l'entreprise en vertu du principe 4.4.1.
En conséquence, le commissaire a conclu que la plainte était non fondée.
- Date de modification :