Un homme s'oppose à ce que des travailleurs assignés temporairement traitent les renseignements liés à la paye

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-242

[Principes 4.7, 4.7.2, 4.7.3b) et 4.7.4 de l'annexe 1]

Plainte

Le plaignant, qui travaille pour une compagnie de transport, s'est objecté à ce que des collègues de travail blessés, qui travaillent temporairement dans le bureau de la compagnie, manipulent des renseignements confidentiels liés à la paye. Il soutient que seul le personnel autorisé devrait avoir accès à des renseignements sensibles comme ceux-ci.

Résumé de l'enquête

Dans sa présentation au Commissariat, la compagnie a expliqué qu'elle a un programme de retour au travail pour ses travailleurs de l'unité de négociation, conformément aux exigences de la Loi canadienne sur les droits de la personne et de la Loi de 1997 sur la sécurité professionnelle et l'assurance contre les accidents du travail. Le programme facilite la réhabilitation des travailleurs blessés et leur retour au travail en leur permettant de travailler temporairement au bureau de la compagnie avant de reprendre leurs tâches ordinaires. Ces travailleurs y assument différentes tâches selon les besoins, y compris notamment de mettre les talons de paie dans des enveloppes avant distribution. Les travailleurs n'ont toutefois pas accès aux dossiers informatisés ni aux formulaires de renseignements personnels.

Au moment du dépôt de la plainte, aucune formation n'était offerte aux travailleurs en ce qui avait trait à la sensibilité et la confidentialité des renseignements qu'ils pouvaient traiter. En outre, ils n'étaient pas tenus de signer un accord de confidentialité.

À la suite de la plainte, la compagnie a préparé un accord de confidentialité que doit signer tout employé opérationnel appelé à avoir accès à des renseignements personnels. Les gestionnaires qui ont accès aux renseignements personnels des employés reçoivent une copie de la politique de la compagnie et reconnaissent leurs responsabilités et obligations aux termes de cette politique.

Conclusions

Rendues le 4 décembre 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique à toutes les installations, tous les ouvrages, toutes les entreprises et tous les secteurs d'activité fédéraux. La commissaire adjointe à la protection de la vie privée a compétence dans ce cas, parce qu'une compagnie de transport constitue une entreprise fédérale, selon la définition de la Loi.

Application : Le principe 4.7 énonce que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.2 énonce que la nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. Les renseignements plus sensibles devraient être mieux protégés. Le principe 4.7.3b) indique que les méthodes de protection devraient comprendre des mesures administratives, par exemple, un accès sélectif. Le principe 4.7.4 énonce que les organisations doivent sensibiliser leur personnel à l'importance de protéger le caractère confidentiel des renseignements personnels.

La commissaire adjointe a délibéré comme suit :

  • Bien que le programme de retour au travail de la compagnie profite de manière évidente aux travailleurs blessés, il n'en demeure pas moins que, dans le cadre de leurs tâches, ces travailleurs manipulaient des renseignements très sensibles, en l'occurrence les renseignements liés à la paye de leurs confrères employés, sans signer d'accord ni recevoir de formation concernant la confidentialité.
  • Cette pratique posait un risque sérieux que les travailleurs aient accès à des renseignements personnels sensibles qu'ils n'auraient pas dû connaître.
  • En pareille situation, une personne raisonnable s'attendrait à ce que des mesures de sécurité appropriées soient en place pour protéger ces renseignements de tous, sauf d'un petit nombre de personnes autorisées.
  • Au moment du dépôt de la plainte, la compagnie n'avait pas de mesure de sécurité en place, et notamment pas d'accord de confidentialité.

Pour ces raisons, la commissaire adjointe a trouvé que la compagnie ne respectait pas les principes 4.7, 4.7.2, 4.7.3b) et 4.7.4 de la Loi.

Par conséquent, elle a conclu que la plainte était fondée.

Autres considérations

La commissaire adjointe a été heureuse qu'à la suite de la plainte, la compagnie a établi une procédure pour assurer la sécurité des renseignements personnels de ses employés en élaborant et en instaurant un accord de confidentialité. Dorénavant, les employés tenus de signer cet accord seront ainsi davantage sensibilisés à l'importance du maintien de la confidentialité. Le plaignant a indiqué qu'il était satisfait de la mesure prise par la compagnie.

L'instauration par la compagnie d'un accord de confidentialité constitue un pas important vers sa pleine conformité aux dispositions de sécurité prévues dans la Loi. Par ailleurs, bien que la commissaire adjointe ne soit pas en position de dicter à la compagnie à quels renseignements personnels celle-ci devrait permettre ses travailleurs blessés d'avoir accès, elle a suggéré à la compagnie de suivre les recommandations suivantes :

  1. En vue de pleinement se conformer aux attentes formulées dans le principe 4.7.3b), en matière de mesures administratives d'accès sélectif, la compagnie devrait s'abstenir de donner accès à des renseignements personnels aussi sensibles que les talons de paye à ses travailleurs blessés travaillant temporairement dans le bureau. Un contrôle plus rigoureux, comme inclure de manière permanente la manipulation des talons de paye au nombre des tâches réservées à un petit nombre de personnes autorisées, devrait être mis en place pour assurer une sécurité adéquate de tels renseignements.
  2. En ce qui concerne le respect du principe 4.7.4, qui énonce que les organisations doivent sensibiliser leur personnel à l'importance de protéger le caractère confidentiel des renseignements personnels, les employés devant signer l'accord de confidentialité devraient recevoir une formation pour s'assurer qu'ils comprennent pleinement la signification et la portée de cet accord.
Date de modification :