Enquête sur les exigences d’attestation à la vaccination contre la COVID-19 établies par certains employeurs distincts de la fonction publique fédérale

Plaintes en vertu de la Loi sur la protection des renseignements personnels

Le 29 mai 2023

---

Description

Nous avons cherché à savoir si les exigences d’attestation à la vaccination en réponse à la pandémie de COVID-19 établies pour leurs employés par certaines institutions du gouvernement fédéral (« employeurs distincts ») qui ne font pas partie de l’administration publique centrale étaient conformes aux dispositions relatives à la collecte, à l’utilisation et à la divulgation des renseignements personnels de la Loi sur la protection des renseignements personnels (la Loi). De plus, nous avons examiné la nécessité et la proportionnalité des mesures en fonction des circonstances dans lesquelles elles ont été établies.

Points à retenir

• Les employeurs distincts examinés avaient le pouvoir de collecter des renseignements sur le statut vaccinal de leurs employés en vertu de leur loi habilitante et de la partie II du Code canadien du travail. Les utilisations et les divulgations de ces renseignements respectaient généralement le motif pour lequel ils avaient été recueillis.
• Bien que le principe de nécessité et de proportionnalité ne soit pas une exigence de la Loi à l’heure actuelle, la Directive sur les pratiques relatives à la protection de la vie privée du Secrétariat du Conseil du Trésor (SCT) exige de limiter la collecte des renseignements personnels à ceux dont la nécessité est démontrable. Dans ce cas, nous avons déterminé que la collecte de renseignements personnels prévue par les mesures mises en œuvre par ces institutions était nécessaire, efficace et proportionnelle dans les circonstances.
• Les institutions devraient évaluer et décrire de façon structurée la nécessité et la proportionnalité lorsqu’elles introduisent ou modifient des programmes qui portent atteinte à la vie privée, afin de donner l’assurance que les intérêts des Canadiens en matière de protection de la vie privée sont respectés.
• Lorsqu’elles définissent les autorisations d’accès aux renseignements personnels des employés, les institutions devraient tenir compte des types de renseignements qui entraînent l’exigence « besoin de savoir » pour tout employé de soutien ayant accès aux renseignements.

---

Rapport de conclusions

Aperçu

Suivant l’introduction en octobre 2021 de la vaccination obligatoire contre la COVID-19 et des exigences relatives à l’attestation du statut vaccinal pour le personnel des employeurs distincts^{Note de bas de page 1} de la fonction publique fédérale, le Commissariat a reçu de nombreuses plaintes d’employés touchés contre la Banque de développement du Canada (BDC), la Société canadienne des postes (SCP), l’Agence du revenu du Canada (ARC), l’Agence canadienne d’inspection des aliments (ACIA), le Conseil national de recherches du Canada (CNRC) et Parcs Canada (PC), collectivement appelés « les défendeurs » ou « les employeurs » dans le présent rapport.

Le Commissariat a également reçu des plaintes contre le Secrétariat du Conseil du Trésor du Canada (SCT) et contre des institutions de l’administration publique centrale par des employés assujettis à la Politique sur la vaccination contre la COVID-19 applicable à l’administration publique centrale, y compris à la Gendarmerie royale du Canada du SCT (la Politique du SCT), ainsi que des plaintes contre le ministère de la Défense Nationale par des membres des Forces armées canadiennes (FAC) qui ne sont pas assujetties à la Politique du SCT, mais qui sont assujettis à une directive similaire, la Directive du CEMD sur la vaccination contre la COVID-19 des FAC. Ces plaintes sont abordées dans d’autres rapports.

Plusieurs plaignants ont fait valoir que la collecte du statut vaccinal d’employés, et dans certains cas de renseignements religieux ou médicaux à l’appui d’une demande de mesures d’adaptation afin d’être exempté des exigences relatives aux politiques de leurs employeurs, était déraisonnable. Après enquête et analyse, nous avons conclu que la collecte de renseignements personnels par les défendeurs au titre de leurs politiques respectives était conforme à l’exigence de l’article 4 de la Loi sur la protection des renseignements personnels (la Loi), étant donné qu’elle a un lien direct avec un programme opérationnel ou une activité des défendeurs, à savoir leurs responsabilités en matière de santé et de sécurité durant une situation d’urgence nationale en raison de la pandémie de COVID-19. Notre enquête n’a pas examiné la question de savoir si les exigences de vaccination constituaient une atteinte injustifiée contre le droit des personnes à la protection contre les fouilles et perquisitions abusives, garanti par la Charte canadienne des droits et libertés.

Certains plaignants ont également déclaré que les défendeurs ont communiqué de façon inappropriée des renseignements personnels liés à leur statut vaccinal. Nous avons conclu que la communication de ces renseignements par les défendeurs respectait le motif pour lequel ils avaient été collectés et que, par conséquent, la communication des renseignements était conforme à l’article 8 de la Loi.

Sur la base de ce qui précède, nous avons conclu que les politiques des défendeurs relatives à la COVID-19 étaient appliquées conformément aux exigences juridiques de la Loi.

Par ailleurs, même s’il ne s’agit pas d’une exigence au titre de la Loi, nous avons également examiné les principes de nécessité et de proportionnalité en ce qui a trait aux collectes établies dans le cadre des politiques des défendeurs. Nous avons conclu que, dans le contexte de la pandémie de COVID-19, ces politiques étaient, dans l’ensemble, nécessaires et proportionnelles, étant donné la situation d’urgence alors en vigueur. Les employeurs fédéraux ont des obligations claires en vertu du Code canadien du travail de protéger la santé et la sécurité de leurs employés au milieu de travail et nous sommes convaincus, selon les conditions et les directives de la santé publique à l’époque, que la vaccination et les exigences connexes en matière d’attestation constituaient le moyen le plus efficace de prévenir les infections et les maladies graves découlant de la COVID-19 afin d’assurer la santé et la sécurité des employés et des personnes qu’ils servent.

Par conséquent, nous sommes convaincus que les politiques des défendeurs respectaient les principes de nécessité et de proportionnalité dans le contexte de la pandémie de COVID-19. Nous avons toutefois recommandé à toutes les institutions d’effectuer une analyse structurée de la nécessité et de la proportionnalité au moment de mettre en oeuvre ou de modifier des programmes pouvant porter atteinte à la vie privée. Tous les défendeurs ont manifesté leur accord avec cette recommandation.

Contexte

1. Le 6 octobre 2021, le gouvernement du Canada a annoncé que tous les fonctionnaires de l’administration publique centrale allaient devoir fournir une attestation selon laquelle ils étaient entièrement vaccinés contre la COVID-19 ou mis en congé sans solde, à moins d’être exemptés pour des raisons médicales ou pour des motifs de distinction illicite. Ces exigences ont été rendues officielles pour les employés de l’administration publique centrale au titre de la Politique du SCT.
2. Il a été demandé aux employeurs distincts au sein de la fonction publique fédérale de mettre en œuvre des politiques sensiblement similaires à l’égard de leurs employés. Par conséquent, ces employeurs distincts ont établi leur propre orientation stratégique pour leurs employés qui comportait des objectifs similaires et qui a établi des exigences vaccinales équivalentes à celles de l’administration publique centrale, y compris des exigences en matière d’attestations par les employés de leur statut vaccinal contre la COVID-19.
3. Les défendeurs ont établi les instruments de politique suivants afin d’officialiser les exigences de vaccination contre la COVID-19 pour leurs employés :
   1. BDC : Directive de la BDC sur la vaccination
   2. SCP : Pratique de vaccination obligatoire de la SCP
   3. ARC : Politique sur la vaccination contre la COVID-19 applicable à l’Agence du revenu du Canada
   4. ACIA : Politique de l’Agence canadienne d’inspection des aliments sur la vaccination contre la COVID-19
   5. CNRC : Politique sur la vaccination contre la COVID-19 applicable au Conseil national de recherches du Canada
   6. PC : Politique sur la vaccination contre la COVID-19 applicable à l’Agence Parcs Canada
4. Suivant l’annonce des exigences liées à la vaccination contre la COVID-19 pour le personnel des employeurs distincts, nous avons reçu des plaintes d’employés concernés déposées contre les défendeurs. Notre examen de ces plaintes et des allégations connexes établit le fondement du présent rapport de conclusions.

Compétence

5. Plusieurs plaignants affirmaient que le fait d’exiger une attestation de statut vaccinal constituait une violation de leurs droits garantis par la Charte canadienne des droits et libertés (la Charte), et que les exigences étaient donc illégales. Toutefois, tirer des conclusions concernant la conformité à la Charte ne fait pas partie du champ de compétence du Commissariat et, par conséquent, ces conclusions sont en dehors de la portée de l’analyse du présent rapport.

Méthodologie

6. Le Commissariat a enquêté sur les allégations contre chacune des institutions et a obtenu des observations de la part de chacune d’elles. Selon ces enquêtes ponctuelles, le Commissariat estime que les plaintes portées contre les employeurs distincts comportent des questions communes et sont plus efficacement traitées dans un seul rapport plutôt que dans des rapports distincts pour chaque défendeur.
7. Étant donné qu’il a été demandé aux employeurs distincts de se conformer aux exigences de la Politique du SCT et que, par conséquent, cette politique a orienté en grande partie les exigences générales des politiques connexes, nous nous sommes également penchés sur les observations du SCT en ce qui concerne la Politique du SCT. Nous invitons les lecteurs à consulter le rapport de conclusions portant sur notre Enquête sur les exigences d’attestation à la vaccination contre la COVID-19 établies par le Conseil du Trésor du Canada pour les employés de l’administration publique centrale pour obtenir des renseignements généraux supplémentaires.

Analyse

Première question en litige : Les renseignements collectés par les défendeurs avaient-ils un lien direct avec les programmes ou les activités de l’établissement, conformément aux exigences de la Loi?

8. De nombreux plaignants déclarent que leurs employeurs les ont obligés à fournir des renseignements personnels liés à leur statut vaccinal contre la COVID-19 et, dans certains cas, afin d’obtenir une exemption de ces exigences, des renseignements sur leurs croyances religieuses ou leurs antécédents médicaux. Selon ces plaignants, cette collecte se fait sans autorisation appropriée et représente une atteinte déraisonnable à leur droit à la vie privée.
9. Une liste de renseignements en matière d’attestations de vaccination contre la COVID19 collectés par les défendeurs figure à l’Annexe 1 du présent rapport.
10. Conformément à l’article 4 de la Loi, les seuls renseignements personnels relatifs aux employés que peuvent recueillir les institutions fédérales sont ceux qui ont un lien direct avec leurs programmes ou leurs activités. Ces programmes ou activités sont normalement établis par une législation qui autorise le programme ou l’activité en question. L’article 4 n’exige pas que la collecte soit « nécessaire », mais seulement qu’il y ait « un lien direct, immédiat, sans intermédiaire entre les renseignements personnels des personnes et les activités ou programmes du gouvernement^{Note de bas de page 2} ».
11. Même si certains plaignants affirment que leur statut vaccinal a été collecté sans leur consentement, il convient de souligner que la Loi ne comporte pas d’exigence générale selon laquelle les institutions doivent obtenir le consentement des personnes pour la collecte de leurs renseignements personnels.
12. Tous les défendeurs ont mentionné, dans leurs réponses écrites au Commissariat ou dans leurs politiques, la Partie II du Code canadien du travail (le Code) qui établit les exigences en matière de santé et sécurité au travail que doivent respecter les employeurs dans les milieux de travail sous réglementation fédérale afin de prévenir ou limiter les accidents et les blessures dans le milieu de travail, y compris les maladies professionnelles comme l’exposition à la COVID-19. Les employeurs établissent les programmes de santé et de sécurité au travail afin de surveiller et d’appliquer leurs obligations au titre de la Partie II du Code.
13. Dans le contexte de la pandémie de COVID-19, nous reconnaissons que la collecte de renseignements liés au statut vaccinal des employés contre la COVID-19 est raisonnablement liée aux programmes de santé et de sécurité au travail des employeurs, car cela permet aux employeurs de savoir quels employés sont protégés contre les conséquences graves découlant de l’exposition potentielle au virus. En outre, ces renseignements permettent à l’employeur de savoir quels employés sont en mesure de travailler au lieu de travail, si nécessaire.
14. Les employeurs sont également tenus de prendre des mesures d’adaptation pour les employés qui ne peuvent pas être vaccinés en raison d’une contre-indication médicale, pour des motifs religieux ou pour tout autre motif de distinction illicite au sens de la Loi canadienne sur les droits de la personne (LCDP). Pour ce faire, les employeurs demandent à leurs employés de fournir des renseignements sur la nature des motifs pour lesquels ils demandent la prise de mesures d’adaptation, afin de décider d’accorder ou non de telles mesures et de déterminer les mesures d’adaptation.
15. La collecte de renseignements personnels pour évaluer une demande de mesures d’adaptation est directement liée aux responsabilités d’une institution du gouvernement au titre de la LCDP d’éviter de discriminer les employés en raison de motifs de distinction illicite^{Note de bas de page 3}. Il existe un lien immédiat et direct entre cette responsabilité et la collecte de renseignements sur les employés pour justifier leur demande de mesures d’adaptation pour l’un ou l’autre de ces motifs. Dans ce contexte, il est difficile de savoir comment l’on pourrait s’attendre à ce qu’un employeur prenne des décisions au sujet d’une demande de mesures d’adaptation sans obtenir de renseignements supplémentaires concernant la nature de la situation de l’employé.
16. En plus des pouvoirs et responsabilités susmentionnés, de nombreux défendeurs jouissent de certains pouvoirs propres à l’établissement des conditions de travail, ce qui peut comprendre la collecte de renseignements personnels liés au statut vaccinal contre la COVID-19 des personnes.
17. La BDC est régie par la Loi sur la Banque de développement du Canada. L’article 10 de cette loi autorise la BDC à employer les personnes et retenir les services de mandataires, et à « fixer leurs conditions d’emploi ou d’exécution de services ».
18. La SCP a mentionné dans ses observations au Commissariat qu’elle établit les conditions de travail des employés en vertu de l’article 12 de la Loi sur la Société canadienne des postes, selon lequel la SCP peut « fixer les conditions d’emploi ou de prestation de services correspondantes ».
19. L’ARC a mentionné qu’elle a compétence dans le domaine de « la détermination de ses conditions d’emploi » en vertu de l’alinéa 30(1)d) de la Loi sur l’Agence du revenu du Canada et qu’elle peut « déterminer et réglementer les traitements auxquels ont droit ses employés, leurs horaires et leurs congés, ainsi que les questions connexes » en vertu de l’alinéa 51(1)d) de cette loi.
20. Les paragraphes 13(1) et 13(2) de la Loi sur l’Agence canadienne d’inspection des aliments prévoient respectivement que le président de l’ACIA « nomme les employés de l’Agence » et « fixe les conditions d’emploi des employés de l’Agence et leur assigne leurs fonctions ».
21. Le CNRC a le pouvoir d’employer des personnes en vertu des alinéas 5(1)b), 5(1)g) et 5(1)h) de la Loi sur le Conseil national de recherches. Le CNRC a également invoqué l’article 8 de cette loi, selon lequel « [l]e président est le premier dirigeant du Conseil; à ce titre, il en assure la direction et contrôle la gestion de son personnel. » Le CNRC a précisé davantage dans ses observations que le président du Conseil national de recherches Canada [traduction] « assume la responsabilité globale du travail du CNRC à titre d’organisme distinct. Les conditions d’emploi s’appliquent aux membres. Étant donné que le CNRC est un employeur distinct, le président est tenu de bien gérer les conditions d’emploi ».
22. En vertu de l’alinéa 13(3)b) de la Loi sur l’Agence Parcs Canada, le directeur général de PC peut « fixer les conditions d’emploi – y compris en ce qui concerne le licenciement motivé – des employés ainsi que leur assigner des tâches ».
23. Compte tenu de ce qui précède, nous sommes convaincus que les renseignements recueillis par les défendeurs ont un lien direct avec les programmes ou les activités de l’établissement, conformément à l’article 4 de la Loi. Plus précisément, nous reconnaissons que les renseignements ont été recueillis à l’appui des programmes de santé et de sécurité au travail des défendeurs. Nous sommes également convaincus que les défendeurs disposaient du pouvoir nécessaire pour effectuer ces collectes à titre de condition d’emploi. Par conséquent, nous estimons que les allégations concernant la collecte inappropriée de renseignements liés au statut vaccinal des employés, y compris les renseignements à l’appui des demandes de mesures d’adaptation, ne sont pas fondées.

Deuxième question en litige : L’utilisation et la communication de renseignements liés au statut vaccinal des employés et aux demandes de mesures d’adaptation étaient-elles autorisées au titre des articles 7 et 8 de la Loi?

24. L’article 7 de la Loi prévoit ceci : « À défaut du consentement de l’individu concerné, les renseignements personnels relevant d’une institution fédérale ne peuvent servir à celle-ci qu’aux fins auxquelles ils ont été recueillis ou préparés par l’institution de même que pour les usages qui sont compatibles avec ces fins; qu’aux fins auxquelles ils peuvent lui être communiqués en vertu du paragraphe 8(2) ».
25. Le paragraphe 8(1) de la Loi prévoit que les renseignements personnels sous le contrôle d’une institution fédérale ne doivent pas être communiqués par cette institution, sauf avec le consentement de la personne concernée et dans les cas prévus au paragraphe 8(2). L’alinéa 8(2)a) permet la communication des renseignements « aux fins auxquelles ils ont été recueillis ou préparés par l’institution ou pour les usages qui sont compatibles avec ces fins ».
26. Certains plaignants ont déclaré que les renseignements recueillis dans le cadre des politiques des institutions avaient été utilisés ou communiqués de façon inappropriée en raison de l’utilisation de systèmes pour recueillir, traiter et surveiller les attestations de vaccination des employés. Nous avons examiné la question de savoir si les institutions avaient pris des mesures appropriées pour limiter l’utilisation et la communication des renseignements contenus dans ces systèmes aux fins autorisées en vertu des articles 7 et 8. Pour les institutions qui utilisent le Système de suivi pour l’attestation à la vaccination du gouvernement du Canada (SSAV-GC), nous avons aussi examiné en particulier la question de savoir si l’utilisation du SSAV-GC aurait pu entraîner la communication inappropriée de renseignements au sein de l’institution de l’employé concerné ou au sein du personnel du SCT, en tant qu’exploitant du SSAV-GC. Nous n’avons relevé aucune infraction en matière d’utilisation ou de communication associée au traitement général des renseignements d’attestation à la vaccination, aux demandes de mesures d’adaptation ou à l’utilisation du SSAV-GC par des employeurs distincts.
27. Nous avons enquêté séparément sur des plaintes concernant une atteinte à la sécurité des renseignements sur le statut vaccinal contre la COVID-19 des employés relativement à la SCP, où ces renseignements ont été communiqués à d’autres employés de la SCP par erreur, pour aucune fin autorisée en vertu de l’article 8 de la Loi. 
28. Nous avons recueilli de tous les défendeurs des observations expliquant la manière dont ils procèdent à la collecte de renseignements liés au statut vaccinal de leurs employés, en portant une attention particulière aux mesures de sécurité (y compris les restrictions d’accès et des mesures connexes) mises en œuvre pour protéger les renseignements recueillis.

SSAV-GC (utilisé par l’ACIA et PC)

29. L’ACIA et PC ont utilisé le SSAV-GC du SCT pour recueillir les attestations de vaccination de la part de leurs employés. L’accès aux données individuelles des employés dans le SSAV-GC est limité aux personnes autorisées au sein de l’institution de l’employé. Plus précisément, les superviseurs immédiats d’un employé ont pleinement accès à l’attestation de vaccination de ce dernier, notamment : (i) le statut vaccinal dont a attesté l’employé; (ii) le résultat d’une vérification tel qu’enregistré par le superviseur immédiat de l’employé; (iii) le motif de la mesure d’adaptation si/comme demandé par l’employé. Les gestionnaires d’échelons supérieurs (c.-à-d. les supérieurs hiérarchiques du superviseur immédiat de l’employé, y compris tous les hauts fonctionnaires au sein de la structure organisationnelle dans laquelle l’employé travaille) ont un accès complet aux renseignements suivants : (i) le statut vaccinal selon l’attestation fournie par l’employé et (ii) le résultat d’une vérification enregistrée par le superviseur immédiat de l’employé.
30. D’autres personnes en particulier au sein de l’institution d’un employé qui jouent un rôle dans l’exécution des responsabilités dans le cadre de la politique (c.-à-d. responsables de la santé et de la sécurité ou personnel des ressources humaines) et ayant été préalablement identifiés comme ayant « besoin de savoir », ont également accès aux données relatives aux attestations de vaccination de chaque employé, au moyen des rapports ministériels.
31. Dans le contexte de notre enquête sur les exigences d’attestation à la vaccination au sein de l’administration publique centrale, le SCT nous a avisés que certaines personnes du SCT ont accès aux données anonymes sur l’attestation à la vaccination cumulées au niveau ministériel par l’intermédiaire du SSAV-GC aux fins d’analyse statistique et de production de rapports. Selon le SCT, ces personnes n’ont pas accès aux renseignements personnels d’individus au moyen de ce mécanisme de rapport. Nous soulignons tout de même que les données cumulatives et dépersonnalisées peuvent parfois être considérées comme des renseignements permettant d’identifier une personne. Nous n’avons pas examiné la question de savoir si c’était le cas ici, car les utilisations ont ultimement été jugées conformes à la collecte.
32. Le SCT a également mentionné que certaines personnes en particulier au sein de l’équipe technique qui est responsable de la solution SSAV-GC peuvent se voir accorder l’accès aux données sous-jacentes du SSAV-GC afin de diagnostiquer les défauts techniques signalés pour appuyer le bon fonctionnement du système.
33. Nous estimons que les utilisations et les communications susmentionnées, liées à l’utilisation du SSAV-GC, sont conformes au motif pour lequel les renseignements ont été recueillis, notamment pour mettre en œuvre les mandats de vaccination obligatoire contre la COVID-19 et obtenir les attestations de vaccination des employés à l’appui de la santé et la sécurité au travail, et qu’elles sont donc autorisées en vertu de l’article 7 et de l’alinéa 8(2)a) de la Loi.

BDC

34. La BDC a recueilli les attestations de vaccination à l’aide de son système de gestion du capital humain de Workday (Workday). La BDC nous a informés que Workday constitue son système d’enregistrement des données en ce qui a trait à tous les renseignements liés à ses ressources humaines et qu’elle avait créé un « module de vaccination contre la COVID-19 » précis au sein de Workday pour recueillir et stocker les renseignements recueillis dans le cadre de son processus d’attestation du statut vaccinal. L’accès aux renseignements d’attestation à la vaccination dans Workday est restreint à l’aide de contrôle d’accès en fonction des rôles et seuls les employés de groupes ayant « besoin de savoir » ont accès aux renseignements contenus dans le module de vaccination contre la COVID-19.
35. La BDC a mentionné que l’accès aux renseignements fournis par les employés en matière d’attestation au statut vaccinal est limité aux employés membres des groupes suivants :
    1. Relations avec les employés des RH;
    2. Partenaires d’affaires des RH;
    3. Contrôle de l’accès au système Workday (c.-à-d. ceux qui accordent les droits d’accès dans Workday).
36. La BDC n’a pas expliqué précisément pourquoi les groupes susmentionnés doivent avoir accès à ces renseignements. Toutefois, nous reconnaissons que la BDC dispose de la latitude nécessaire pour déterminer quelles sont les personnes au sein de l’institution qui ont besoin d’accéder à ces renseignements pour soutenir la mise en œuvre de sa directive sur la vaccination, et que les rôles susmentionnés sont intrinsèquement liés à cette fonction de soutien.
37. Nous estimons que les utilisations et les communications susmentionnées, liées au statut vaccinal des personnes au sein de la BDC, sont conformes au motif pour lequel les renseignements ont été recueillis, notamment pour appliquer la directive de la BDC sur la vaccination et obtenir les attestations de vaccination des employés à l’appui de la santé et de la sécurité au travail, et qu’elles sont donc autorisées en vertu de l’article 7 et de l’alinéa 8(2)a) de la Loi.

SCP

38. La SCP a combiné différentes méthodes pour recueillir les attestations de vaccination des employés. Un système téléphonique (« 1-800-attestation ») a été utilisé pour la majorité des employés, et un portail d’attestation a été mis à la disposition d’employés sourds ou malentendants. La SCP a fourni des observations selon lesquelles plusieurs groupes au sein de l’organisation ont accès aux renseignements liés au statut vaccinal d’employés. Cet accès est fondé sur la détermination par la SCP des secteurs de programme internes qui doivent accéder aux renseignements afin d’administrer correctement la Pratique de vaccination obligatoire (PVO) de la SCP.
    1. Les chefs d’équipe ont seulement accès au statut « conforme » ou « non conforme » des personnes au sein de l’organisation du chef d’équipe afin de vérifier la conformité à la PVO de la SCP. Ces personnes n’ont pas accès aux détails expliquant en quoi les employés sont conformes ou non conformes.
    2. Certains membres de l’équipe des ressources humaines ont accès au statut « conforme » ou « non conforme » à l’échelle nationale afin d’établir les processus relatifs aux nouvelles embauches et à la dotation en ce qui a trait à la conformité des personnes à la PVO de la SCP. Ces personnes n’ont pas accès aux détails expliquant en quoi les employés sont conformes ou non conformes.
    3. Certains membres de l’équipe de contrôle de la production et des rapports de la SCP ont accès au statut « conforme » ou « non conforme » à l’échelle nationale afin de préparer les rapports sur les opérations d’analyse des répercussions. Ces personnes n’ont pas accès aux détails expliquant en quoi les employés sont conformes ou non conformes.
    4. Certains membres de l’équipe de sécurité et des services d’enquête ont accès aux données sur les employés non conformes afin de gérer l’accès aux installations de la SCP.
    5. Certains membres de l’équipe d’analytique opérationnelle ont un accès complet à tous les renseignements recueillis afin de gérer et soutenir les données sur les rapports relatifs aux attestations contenant des renseignements sur les employés. La SCP n’a pas précisé la raison pour laquelle ces personnes avaient besoin d’un accès complet plutôt qu’un accès limité ou un accès aux données cumulatives.
    6. Certains membres de l’équipe nationale de conformité et de politique de santé et de sécurité ont un accès complet à tous les renseignements recueillis afin de surveiller la conformité à la PVO de la SCP à l’échelle organisationnelle.
    7. Certains membres de l’équipe nationale de gestion de l’incapacité ont accès à tous les renseignements recueillis afin de traiter les demandes de mesures d’adaptation pour des raisons de santé de la part d’employés qui ne peuvent pas être vaccinés et pour préparer les rapports pertinents. La SCP n’a pas précisé la raison pour laquelle l’accès à « tous les renseignements recueillis » était nécessaire ou si cet accès était limité aux renseignements provenant d’employés qui avaient demandé la prise de mesures d’adaptation pour des motifs médicaux.
    8. Certains membres de l’équipe des droits de la personne ont accès à tous les renseignements recueillis afin de traiter les demandes de mesures d’adaptation pour des motifs religieux ou d’autres motifs liés aux droits de la personne de la part d’employés qui ne peuvent pas être vaccinés et pour préparer les rapports pertinents. La SCP n’a pas précisé la raison pour laquelle l’accès à « tous les renseignements recueillis » était nécessaire ou si cet accès était limité aux renseignements provenant d’employés qui avaient demandé la prise de mesures d’adaptation pour des motifs religieux ou d’autres motifs liés aux droits de la personne.
    9. Certains membres de l’équipe de vérification de la sécurité et de la conformité ont accès aux renseignements sur des employés sélectionnés au hasard aux fins de vérification seulement, ce qui peut comprendre des dossiers de preuve de vaccination.
39. Nous estimons que les utilisations et les communications susmentionnées, liées au statut vaccinal des personnes au sein de la SCP, sont conformes au motif pour lequel les renseignements ont été recueillis, notamment pour appliquer la PVO de la SCP et obtenir les attestations de vaccination des employés à l’appui de la santé et de la sécurité au travail, et qu’elles sont donc autorisées en vertu de l’article 7 et de l’alinéa 8(2)a) de la Loi.
40. Exception faite des points mentionnés ci-dessus, étant donné le nombre important d’unités de soutien auxquelles l’accès a été fourni, nous sommes préoccupés par la question de savoir pourquoi l’accès complèt (c.-à-d. « tous les renseignements recueillis ») a été accordé à chacun des membres au sein des unités. Dans de telles circonstances, nous recommandons un examen attentif des types de renseignements qui entraînent l’exigence « besoin de savoir » pour tout employé de soutien ayant accès aux renseignements. La SCP a accepté cette recommandation.

ARC

41. L’ARC a fait la collecte des attestations au statut vaccinal d’employés à l’aide d’une solution d’attestation hébergée dans son système administratif d’entreprise (SAE). Le SAE est utilisé pour recueillir et stocker des renseignements administratifs sur les employés, comme des renseignements relatifs à la dotation, aux congés, aux évaluations du rendement, etc. L’ARC a souligné que la solution d’attestation a obtenu une autorisation d’exploitation au niveau Protégé B, la solution ayant subi un processus d’évaluation de sécurité et d’autorisation conformément aux politiques sur la sécurité de l’ARC et du SCT.
42. L’ARC a expliqué dans ses observations écrites que la solution d’attestation dans le SAE utilise des renseignements sur la structure organisationnelle pour limiter l’accès à l’attestation de l’employé seulement à l’employé concerné, à son superviseur direct et au gestionnaire direct de ce dernier.
43. L’ARC a également fait valoir que la solution d’attestation permet à certaines personnes qui ont des rôles définis de consulter ces renseignements aux fins de production de rapports ou d’administration du système. Seuls quelques employés responsables de fournir des données sur la gestion des personnes au sein de l’ARC exercent ces rôles. L’ARC a établi un processus d’approbation dans lequel une justification pour cet accès doit être fournie avant d’assigner ces rôles à d’autres personnes.
44. L’ARC a également expliqué que la production centralisée de rapports à l’échelle de l’Agence aux fins de surveillance des politiques et des programmes est limitée aux données statistiques dépersonnalisées, et que des techniques de suppression de données sont appliquées aux données nécessaires à la surveillance de base.
45. L’ARC a exigé que les employés qui n’étaient pas en mesure d’enregistrer leur attestation dans le SAE remplissent manuellement un formulaire d’attestation (en format PDF) puis l’envoient par courriel chiffré à une boîte générique gérée par un nombre restreint d’employés du programme des relations de travail (RT). Sur réception de l’attestation, ces employés des RT enregistraient les données dans le SAE à la place de l’employé et sauvegardaient le formulaire en format PDF dans un dossier de la boîte générique afin d’en restreindre l’accès.
46. Nous estimons que les utilisations et les communications susmentionnées, liées au statut vaccinal des personnes au sein de l’ARC, sont conformes au motif pour lequel les renseignements ont été recueillis, notamment pour appliquer la Politique sur la vaccination contre la COVID-19 applicable à l’Agence du revenu du Canada et obtenir les attestations de vaccination des employés à l’appui de la santé et de la sécurité au travail, et qu’elles sont donc autorisées en vertu de l’article 7 et de l’alinéa 8(2)a) de la Loi.

ACIA

47. En plus des observations susmentionnées portant sur l’utilisation du SSAV-GC par l’ACIA, celle-ci a également expliqué que, pour les employés n’ayant pas accès au SSAV-GC, l’attestation était consignée en format papier puis envoyée par le gestionnaire de l’employé à un compte courriel à accès restreint. Les renseignements étaient ensuite enregistrés dans un fichier Excel qui était téléchargé dans le Système de gestion des dossiers, des documents et de l’information (SGDDI) de l’ACIA, auquel l’accès était limité à ceux qui participaient aux suivis et aux rapports sur la conformité à la Politique de l’Agence canadienne d’inspection des aliments sur la vaccination contre la COVID-19.
48. L’accès aux données stockées dans le SGDDI (qui permet de stocker des renseignements de niveau Protégé B) de l’ACIA est limité à un petit nombre de représentants des RH de l’ACIA qui participent directement à la surveillance de la conformité à la politique de l’ACIA, de même à ceux qui doivent prendre des mesures en fonction du statut de l’attestation des employés. L’ACIA a fait valoir que l’accès à la liste complète d’attestations d’employés est limité à la petite équipe des RH qui est responsable de surveiller la conformité à la politique de l’ACIA dans son ensemble, et que certaines données précises sont fournies selon le principe du « besoin de savoir » à des utilisateurs particuliers (c.-à-d. professionnels des RH participant directement à l’application de la Politique de l’Agence canadienne d’inspection des aliments sur la vaccination contre la COVID-19).
49. L’ACIA a cerné trois listes particulières qui ont été rassemblées en fonction des attestations d’employés puis transmises à l’appui de la mise en application de sa politique :
    1. Une liste d’employés partiellement vaccinés et d’employés demandant des mesures d’adaptation a été transmise aux professionnels des RH responsables de la distribution de trousses de test rapide.
    2. Une liste d’employés non conformes à la politique a été transmise à certains spécialistes de paye et de relations de travail aux ressources humaines pour faciliter la mise en congé administratif sans solde de ces employés.
    3. Une liste d’employés sélectionnés au hasard afin que leur attestation soit vérifiée a été fournie à une équipe de RH composée de trois personnes participant à la mise en œuvre du processus de vérification des attestations.
50. Nous estimons que les utilisations et les communications susmentionnées, liées au statut vaccinal des personnes au sein de l’ACIA, sont conformes au motif pour lequel les renseignements ont été recueillis, notamment pour appliquer la Politique de l’Agence canadienne d’inspection des aliments sur la vaccination contre la COVID-19 et obtenir les attestations de vaccination des employés à l’appui de la santé et de la sécurité au travail, et qu’elles sont donc autorisées en vertu des alinéas 7a) et 8(2)a) de la Loi.

CNRC

51. Le CNRC a recueilli les attestations de vaccination de ses employés au moyen de son SSAV, qui est fondé sur le SSAV-GC du SCT, mais qui constitue une mise en œuvre distincte de l’application par le CNRC.
52. Le CNRC a fait valoir que l’accès aux données personnelles contenues dans son SSAV est limité aux employés qui doivent accéder aux renseignements nécessaires pour satisfaire à des exigences administratives liées à la mise en application de la Politique sur la vaccination contre la COVID-19 applicable au Conseil national de recherches du Canada. Le CNRC a cerné les rôles et droits d’accès suivants dans son SSAV :
    1. Un « employé » peut accéder à son attestation ainsi qu’à son examen de l’attestation et des mesures d’adaptation de l’employé. Les employés peuvent saisir et consulter leurs propres renseignements afin d’en vérifier l’exactitude et de s’assurer qu’ils affichent correctement leur statut vaccinal. L’employé peut réviser ses propres renseignements s’ils ne sont pas exacts (c.-à-d. à jour).
    2. Un « directeur chargé de l’approbation » détient un accès à l’échelle de l’équipe. Les directeurs chargés de l’approbation peuvent seulement consulter les détails d’attestation des membres de leur équipe. Ils peuvent consigner les mesures d’adaptation pour des membres individuels du personnel.
    3. Un « administrateur des RH » peut accéder aux renseignements de tous les membres du personnel. Les administrateurs des RH peuvent consulter les attestations et mesures d’adaptation de tous les employés du CNRC selon le type. L’accès complet leur est accordé à des fins statistiques et pour la production de rapports liés aux politiques afin de résoudre les questions et les enjeux.
    4. Un « administrateur de système » peut accéder aux renseignements sur le plan du système. Les administrateurs de système ont accès à la base de données en ouvrant une session dans le serveur. L’accès complet est nécessaire pour maintenir les opérations du système et faire le dépannage au besoin afin d’aider à régler tout problème technique.
53. Le CNRC a également souligné que des renseignements statistiques dépersonnalisés de son SSAV ont été transmis à l’extérieur du CNRC, soit au SCT et à Innovation, Sciences et Développement économique Canada (ISDE) à des fins de production de rapports liés aux politiques. Le CNRC n’a pas précisé comment ces renseignements ont été jugés « dépersonnalisés » ou comment ils ont été rendus ainsi.
54. Le CNRC a d’ailleurs expliqué qu’un formulaire papier a été fourni aux employés du CNRC qui refusaient de fournir leur attestation dans le SSAV du CNRC comme solution de rechange pour recueillir leurs attestations au statut vaccinal. Une fois que les formulaires ont été remplis afin de recueillir les renseignements requis selon la politique du CNRC, ils sont conservés par l’équipe des ressources humaines du CNRC conformément aux protocoles de gestion de l’information et de sécurité de l’organisation.
55. Nous estimons que les utilisations et les communications susmentionnées, liées au statut vaccinal d’employés au sein du CNRC ainsi qu’à la transmission au SCT et à ISDE de renseignements sur les taux de vaccination pour les employés du CNRC, sont conformes au motif pour lequel les renseignements ont été recueillis. Les renseignements ont été communiqués pour mettre la Politique sur la vaccination contre la COVID-19 applicable au Conseil national de recherches du Canada en application et pour obtenir les attestations de vaccination des employés à l’appui de la santé et de la sécurité au travail, et qu’elles sont donc autorisées en vertu de l’article 7 et de l’alinéa 8(2)a) de la Loi.

PC

56. En plus des observations susmentionnées portant sur l’utilisation du SSAV-GC par PC, le ministère a également expliqué que des formulaires électroniques ou papier ont été utilisés pour obtenir les attestations de vaccination des employés qui n’ont pas accès au SSAV-GC. Ceux-ci pouvaient être soumis par courrier électronique ou par la poste.
57. Les formulaires remplis par voie électronique ou numérisés une fois remplis devaient être envoyés à un compte courriel générique auquel l’accès était limité à certains membres de l’équipe des relations de travail ministérielles de PC. Une fois traités, les formulaires numériques étaient déposés dans le répertoire GCdocs de PC (c.-à-d. dossiers numériques), auquel seulement trois membres de l’équipe des relations de travail avaient accès.
58. Les formulaires papier envoyés par la poste à PC ont été ouverts et traités par un seul employé et placés dans des boîtes confidentielles fournies par le fournisseur de service d’installation d’entreposage sûr de PC, dans une salle verrouillée à laquelle aucune autre personne ne peut accéder. De façon similaire, en ce qui a trait aux formulaires papier qui ont été soumis par voie électronique, les copies imprimées ont été classées dans le même endroit centralisé puis expédiées à l’installation d’entreposage sûr de PC.
59. Nous estimons que les utilisations et utilisation et la communication susmentionnées, liées au statut vaccinal des personnes au sein de PC, sont conformes au motif pour lequel les renseignements ont été recueillis, notamment pour appliquer la Politique sur la vaccination contre la COVID-19 applicable à l’Agence Parcs Canada et obtenir les attestations de vaccination des employés à l’appui de la santé et de la sécurité au travail, et qu’elles sont donc autorisées en vertu de l’article 7 et de l’alinéa 8(2)a) de la Loi.

Demandes de mesures d’adaptation

60. Plusieurs plaignants ont soulevé des préoccupations générales selon lesquelles leurs renseignements personnels auraient pu être communiqués de façon déraisonnable durant le processus d’examen des demandes de mesures d’adaptation. Par conséquent, nous avons obtenu des observations de tous les défendeurs expliquant les mesures qui ont été prises, le cas échéant, pour limiter l’accès aux renseignements liés aux demandes de mesures d’adaptation et la communication de ceux-ci uniquement à ceux qui en ont besoin afin de gérer les processus de mesures d’adaptation. Nous n’avons constaté aucune indication de problèmes relatifs aux processus et aux systèmes visant à prévenir les communications inappropriées associées au traitement général des demandes de mesures d’adaptation.
61. Plusieurs plaignants s’inquiètent également du fait que leurs collègues ou d’autres employés, comme ceux qui gèrent la paye, auraient pu tirer des conclusions à leur égard, comme leur statut vaccinal, en raison du fait qu’ils ont été mis en congé. Toutefois, comme indiqué plus haut, la Loi sur la protection des renseignements personnels autorise la communication de renseignements personnels « aux fins auxquelles ils ont été recueillis ou préparés par l’institution ou pour les usages qui sont compatibles avec ces fins ». Nous sommes d’avis que le fait qu’un employé soit en congé, ce qui peut se produire pour différentes raisons, constitue de l’information recueillie ou préparée dans le but d’encadrer l’employé et son travail. Par conséquent, la communication proactive aux employés concernés (comme ceux qui traitent la paye ou les collègues dont la charge de travail peut être affectée), les informant qu’une personne est en congé, constitue un usage compatible avec ces fins et autorisé en vertu de l’alinéa 8(2)a) de la Loi.
62. Étant donné que les utilisations et les communications susmentionnées ont eu lieu pour les fins pour lesquelles les renseignements ont été obtenus, c.-à-d. pour mettre en œuvre les mandats de vaccination obligatoire contre la COVID-19 et obtenir les attestations de vaccination des employés à l’appui de la santé et de la sécurité au travail, ou pour des usages conformes à ces fins, nous n’avons relevé aucune indication de manquement à l’article 7 ou à l’article 8 de la Loi. Par conséquent, nous estimons que les allégations concernant l’utilisation et la communication non autorisées de renseignements liés au statut vaccinal des employés, y compris les renseignements à l’appui des demandes de mesures d’adaptation aux exigences, ne sont pas fondées.

Autres

Les renseignements recueillis étaient-ils nécessaires et proportionnels?

63. Le Commissariat a également tenu compte de la nécessité et de la proportionnalité des mesures de vaccination obligatoire et d’attestation à la vaccination mises en place par les institutions fédérales durant la pandémie de COVID-19. Comme il a été demandé aux employeurs distincts de se conformer aux exigences de la Politique du SCT, notre analyse dans ce cas-ci est largement axée sur toute différence considérable entre la nécessité et la proportionnalité pour les employeurs et l’administration publique centrale.
64. Pour orienter les institutions dans l’évaluation de la nécessité et de la proportionnalité, le Commissariat préconise l’utilisation d’un critère en quatre volets^{Note de bas de page 4}, qui invite les institutions à se poser les questions suivantes lors de l’élaboration des programmes et des services portant particulièrement atteinte à la vie privée :
    • La mesure est-elle nécessaire pour répondre à un besoin démontrable?
    • La mesure est-elle susceptible d’être efficace pour répondre à ce besoin?
    • Existe-t-il un moyen d’arriver au même but tout en réduisant l’atteinte à la vie privée?
    • L’atteinte à la vie privée est-elle proportionnelle à l’avantage obtenu?
65. Les défendeurs n’ont fourni aucune preuve à l’appui du fait qu’ils avaient effectué une analyse structurée de la nécessité et de la proportionnalité de leurs mesures de vaccination obligatoire et d’attestation connexe au statut vaccinal avant de les mettre en œuvre. Toutefois, nous reconnaissons que le gouvernement du Canada a demandé aux employeurs distincts de se conformer aux exigences de la Politique du SCT et, par conséquent, qu’ils ont bénéficié de l’examen des directives et études de la santé publique qui ont orienté la mise en œuvre de cette politique par le SCT.
66. En ce qui a trait au premier volet du critère à quatre volets, la nécessité, nous avons tenu compte du fait que les exigences ont été établies durant la pandémie de COVID-19, ce qui représentait une série de circonstances exceptionnelles auxquelles le gouvernement du Canada, y compris les employeurs distincts, devait réagir. Tous les défendeurs ont souligné qu’ils étaient responsables au titre du Code canadien du travail de prévenir ou limiter les accidents et les blessures dans le milieu de travail, y compris celles pouvant résulter d’une infection par la COVID-19. Nous sommes convaincus que les mesures exigées dans le cadre des politiques des défendeurs étaient liées aux objectifs urgents et considérables d’assurer la santé et la sécurité des employés au travail, et, par conséquent, qu’elles étaient liées aux programmes de santé et de sécurité au travail des défendeurs. En outre, les défendeurs ont mentionné que tous les employés pouvaient potentiellement être tenus de se présenter sur les lieux de travail de façon ponctuelle en fonction des besoins opérationnels.
67. En ce qui concerne le deuxième volet du critère, tous les défendeurs ont affirmé qu’ils suivaient les mesures ou conseils de santé publique des agences de la santé publique. L’ARC, l’ACIA et le CNRC ont d’ailleurs précisé qu’ils ont également consulté les Directives^{Note de bas de page 5} du Programme de santé au travail de la fonction publique de Santé Canada. Dans notre analyse à ce sujet, étant donné le fait que les employeurs distincts étaient tenus de se conformer à la Politique du SCT, nous avons également examiné les éléments de preuve fournis par le SCT dans le contexte de notre enquête sur les exigences d’attestation à la vaccination au sein de l’administration publique centrale. Compte tenu de ces renseignements, qui démontraient l’efficacité des vaccins à prévenir les maladies graves, les hospitalisations et les décès dus à COVID-19, nous sommes convaincus que les éléments de preuve appuyaient l’efficacité des vaccins à assurer la santé et la sécurité des employés au milieu de travail à l’époque où la vaccination obligatoire et les exigences relatives à l’attestation à la vaccination ont été mises en place, soit à l’automne 2021. Pour ces motifs, nous reconnaissons que la vaccination obligatoire s’est avérée efficace pour atteindre les objectifs de promouvoir la santé et la sécurité au milieu de travail, et que la collecte de renseignements relatifs au statut vaccinal pour mettre en œuvre ce mandat était donc aussi efficace pour atteindre ces objectifs. De plus, la collecte de renseignements sur le statut vaccinal des employés serait un moyen efficace d’identifier les employés qui sont en mesure de se présenter sur les lieux de travail au besoin.
68. Pour ce qui est du troisième volet, le principe de nécessité et de proportionnalité amène à examiner si des mesures qui porteraient moins atteinte à la vie privée pourraient permettre de parvenir aux mêmes fins. Ce volet exige que les institutions démontrent que des mesures portant moins atteinte à la vie privée n’auraient pas permis d’atteindre leurs objectifs importants consistant à protéger la santé et la sécurité de leurs employés. Nous n’avons reçu aucun renseignement important selon lequel les défendeurs avaient considéré des solutions de rechange potentiellement plus respectueuses de la vie privée (comme les tests rapides). Cependant, nous sommes convaincus que la vaccination constituait le moyen le plus efficace pour s’assurer que les personnes présentes sur le lieu de travail étaient protégées contre la COVID-19.
69. Nous avons reçu les résultats d’une analyse effectuée par l’Agence de la santé publique du Canada, appuyée par des références à des éléments de preuves externes, qui démontrent qu’il existait, à l’époque où le gouvernement du Canada a annoncé ses plans pour mettre en place la vaccination obligatoire, un important volume de données probantes appuyant l’efficacité des vaccins à protéger les personnes qui entrent en contact avec les autres, comme dans un espace de travail commun, contre la maladie grave.
70. À l’inverse, il y avait relativement peu de données probantes appuyant l’efficacité de mesures de rechanges potentielles, notamment les tests rapides, à protéger les personnes contre la maladie grave résultant d’une infection à la COVID-19. Au moment d’examiner la jurisprudence au Canada sur les politiques de vaccination obligatoire, nous avons relevé un certain nombre de causes^{Note de bas de page 6} dans lesquelles les conseils de la santé publique ont été examinés en ce qui concerne les tests rapides comme solution de rechange à la vaccination obligatoire. Ces causes portaient sur des situations dans lesquelles les personnes visées se trouvaient en grande partie dans des espaces physiques communs. Les décideurs dans ces causes ont confirmé les politiques de vaccination obligatoire qui ne donnaient pas aux personnes le libre choix d’opter pour les tests rapides comme solution de rechange, invoquant les conseils pertinents de la santé publique. Ces décisions citaient les autorités médicales dans deux causes et des témoignages d’experts épidémiologiques dans deux autres causes. Ces sources ont noté ce qui suit : (i) contrairement au volume important de données probantes appuyant la protection fournie par les vaccins, il y a une absence de preuve concrète, comme des études observationnelles ou des essais contrôlés démontrant que les régimes de tests rapides réduisent la transmission, et (ii) les régimes de tests rapides ne préviennent pas la maladie grave résultant d’infections aux endroits où ces infections se produisent.
71. Bien que nous reconnaissons l’efficacité des vaccins dans ce contexte, nous avons également noté que les décisions de cours et de tribunaux qui ont examiné à ce jour les exigences relatives à la vaccination ont insisté sur l’importance d’évaluer le contexte opérationnel pertinent, y compris la question de savoir si les employés travaillent sur place ou à domicile^{Note de bas de page 7}.
72. Les défendeurs ont fait valoir des arguments selon lesquels tous les employés, y compris ceux qui travaillaient à temps plein à la maison, devaient être disponibles pour se rendre au bureau à court préavis, par exemple pour participer à des réunions ponctuelles sur place, pour accéder à du matériel de nature délicate ou pour des motifs en matière de soutien des TI.
73. Même si nous nous étions attendus à des réponses plus complètes et ouvertes à nos questions à cet égard de la part des défendeurs, nous sommes d’avis qu’il fait faire preuve d’une certaine déférence à l’égard des employeurs quant à leur évaluation de leurs besoins en matière de présence d’employés sur place durant cette urgence inédite de santé publique. Nous reconnaissons que, si la nécessité de la présence sur les lieux de travail se manifeste, le temps que doit mettre un employé non-vacciné à devenir entièrement vacciné pourrait poser un problème sur le plan opérationnel. Compte tenu de ce qui précède, nous reconnaissons également que les employeurs ont en effet besoin de savoir en tout temps quels employés peuvent se rendre sur le site, et que cela nécessiterait vraisemblablement la collecte de renseignements sur le statut vaccinal de tous les employés. Pour ces motifs, nous reconnaissons qu’il était raisonnable, dans les circonstances, d’obliger les employés à confirmer leur statut vaccinal.
74. Quant au quatrième et dernier volet, à savoir si l’atteinte à la vie privée est proportionnelle à l’avantage obtenu, nous nous étions attendus à ce que les défendeurs soient en mesure de démontrer qu’ils avaient étudié la question de savoir si les répercussions potentielles sur la vie privée des employés résultant de la collecte de renseignements relatifs au statut vaccinal contre la COVID-19 étaient proportionnelles aux avantages qui découleraient de la collecte. Cependant, nous avons reçu peu d’éléments de la part des défendeurs démontrant que ces derniers ont procédé à une évaluation structurée de la proportionnalité.
75. Il convient de souligner que les politiques des défendeurs exigeaient la communication de renseignements limités au sujet du statut vaccinal d’une personne, des renseignements qui, au moment où ces mesures ont d’abord été établies, devaient également être communiqués pour accéder à un grand nombre de services, y compris les restaurants. Il s’agit néanmoins de renseignements médicaux (de nature délicate), ce qui dans certains cas peut entraîner la communication d’autres renseignements personnels de nature délicate pour les employés qui demandent des mesures d’adaptation.
76. Cette atteinte à la vie privée doit être mesurée par rapport aux avantages découlant des mesures. Pour les motifs énoncés dans l’évaluation du troisième volet, nous sommes convaincus que les avantages découlant de ces mesures constituaient la protection de la santé et de la sécurité des employés des défendeurs, tout en assurant aux défendeurs la capacité et la flexibilité d’exiger la présence de leurs employés en télétravail sur place afin de répondre aux urgences ou pour d’autres raisons impérieuses.
77. Compte tenu de cet objectif, nous constatons que l’atteinte à la vie privée était proportionnelle aux avantages dans le contexte de cette situation d’urgence.
78. Selon les éléments de preuve et les observations dont nous disposons, nous sommes convaincus que les mesures d’attestation à la vaccination mises en œuvre par les défendeurs respectaient dans une mesure raisonnable les principes de nécessité et de proportionnalité.
79. Nous recommandons toutefois à toutes les institutions de considérer explicitement à l’avenir la nécessité et la proportionnalité de manière structurée^{Note de bas de page 8} au moment d’introduire ou de modifier les programmes portant atteinte à la vie privée afin de donner l’assurance que le droit à la vie privée des Canadiens, leurs employés dans ce cas-ci, est respectée. Nous sommes ravis que tous les défendeurs du présent rapport aient accepté cette recommandation.

Conclusion

80. Nous concluons que les exigences des défendeurs en ce qui concerne l’attestation à la vaccination par leurs employés ont été appliquées conformément aux exigences juridiques de la Loi. Par conséquent, les plaintes faisant l’objet du présent rapport ne sont pas fondées.
81. Cependant, nous avons recommandé à la SCP qu’il faut tenir compte des types de renseignements qui entraînent l’exigence « besoin de savoir » pour tout employé de soutien ayant accès aux renseignements au moment d’accorder l’accès aux renseignements personnels sensibles à tous les membres d’une unité. La SCP a accepté cette recommandation.
82. Nous avons également recommandé à toutes les institutions de considérer explicitement la nécessité et la proportionnalité de manière structurée au moment d’introduire ou de modifier les programmes portant atteinte à la vie privée. Tous les défendeurs ont manifesté leur accord avec cette recommandation.

Annexe 1 – Liste des renseignements d’attestation à la vaccination recueillis par les défendeurs

SSAV-GC (utilisé par l’ACIA et PC)

Les renseignements suivants sur les personnes recueillis par l’employeur sont consignés automatiquement dans le SSAV-GC :

• Nom de famille
• Prénom
• Nom du gestionnaire
• Ministère
• Lieu de travail (pays)
• Lieu de travail (province ou territoire)
• Groupe
• Niveau
• Numéro du poste
• CIDP (attestations en version papier seulement)
• Adresse électronique
• Date de naissance (attestations en version papier seulement)
• CIDP du gestionnaire (attestations en version papier seulement)
• Date de naissance du gestionnaire (attestations en version papier seulement)

En outre, le SSAV-GC recueille les renseignements précis suivants auprès des employés dans le cadre du processus d’attestation :

• Acceptation de l’employé
• Attestation de statut vaccinal
• Résultat de la vérification
• Confirmation de la vérification par le gestionnaire

BDC

La BDC a collecté les renseignements suivants au moyen de son « module de vaccination contre la COVID-19 » dans Workday :

• Statut vaccinal (options : « Entièrement vacciné », « Partiellement vacciné » ou « Non vacciné »)
• Date de la dernière dose, si entièrement ou partiellement vacciné
• Intention d’obtenir une dose additionnelle si partiellement vacciné (options : « Oui » ou « Non »)
• Date de la dose additionnelle
• Motif des mesures d’adaptation

SCP

La SCP a recueilli les renseignements suivants par l’intermédiaire de sa ligne 1-800-attestation :

• Numéro d’identification et année de naissance de l’employé (pour l’authentification)
• Statut vaccinal, avec les options suivantes :
• Entièrement vacciné
• Partiellement vacciné
• N’est pas en mesure de se faire vacciner pour des motifs médicaux
• N’est pas en mesure de se faire vacciner pour des motifs religieux ou autres
• Refus de se faire vacciner

La SCP a recueilli les renseignements suivants par l’entremise du portail d’attestation numérique pour les employés sourds et malentendants :

• Statut vaccinal, avec les options suivantes :
  • Entièrement vacciné, avec dates attestées et marque(s) des vaccins
  • Partiellement vacciné, avec dates attestées et marque du vaccin
  • Non vacciné et si oui ou non l’employé avait l’intention de se faire vacciner (jusqu’au 3 février 2022)

À compter du 3 février 2022, les choix possibles dans le portail d’attestation numérique sont identiques à ceux de la ligne 1-800-attestation.

ACIA

Voir les renseignements recueillis dans la section SSAV-GC (utilisé par l’ACIA et PC) ci-dessus.

ARC

Les données de base connexes suivantes étaient déjà recueillies dans le SAE :

• Nom
• CIDP
• Nom du gestionnaire

Les employés devaient sélectionner leur statut vaccinal à partir des options suivantes et, selon leur statut, sélectionner des options supplémentaires :

• Entièrement vacciné
  • Saisir les dates de vaccination
• Partiellement vacciné
  • Saisir les dates de vaccination
• Non vacciné – demande de mesures d’adaptation
  • En raison d’une contre-indication médicale – doit fournir de la documentation écrite fournie par le médecin traitant ou l’infirmier praticien de la personne exposant les raisons pour lesquelles le vaccin contre la COVID-19 n’a pas été administré ou a été retardé.
  • Motifs de discrimination
  • Religion – doit fournir une attestation sous serment signée devant un commissaire aux déclarations sous serment contenant des renseignements détaillés sur la croyance religieuse sincère qui interdit la vaccination complète.
  • Autres (Loi canadienne sur les droits de la personne) – doit fournir des renseignements précis expliquant les motifs pour lesquels l’employé ne peut pas se faire vacciner.
• Non vacciné – Refuse

CNRC

Les renseignements suivants ont été recueillis dans le SSAV du CNRC :

• Statut d’emploi (continu ou travailleur non-salarié)
• Statut vaccinal contre la COVID-19
• Date du premier vaccin (COVID-19)
• Demande de mesures d’adaptation – motifs médicaux
• Demande de mesures d’adaptation – motifs religieux
• Demande de mesures d’adaptation – autres motifs de distinction illicite
• Décisions relatives à la demande de mesures d’adaptation (approuvée ou refusée) pour l’employé
• Mesures d’adaptation proposées (télétravail ou tests réguliers) pour l’employé
• Acceptation ou refus par l’employé des mesures d’adaptation
• Réponse de l’employé soumise au SSAV du CNRC
• Conformité ou non-conformité de l’employé à la règle 4.3.2 de la Politique
• Non-conformité de l’employé à la Politique, comme il est défini à la section 6.1

PC

Voir les renseignements recueillis dans la section SSAV-GC (utilisé par l’ACIA et PC) ci-dessus.