Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Enquête sur la mise en œuvre par le Secrétariat du Conseil du Trésor du Canada de l’Orientation concernant la présence prescrite au lieu de travail

Plainte en vertu de la Loi sur la protection des renseignements personnels (la Loi)

Le 18 mars 2026

Vue d’ensemble

En décembre 2022, le Secrétariat du Conseil du Trésor du Canada (SCT) a annoncé la mise en œuvre d’un modèle de travail hybride commun dans l’ensemble de l’administration publique centrale, alors que les directives en matière de santé au travail assouplissaient les restrictions liées à la pandémie de COVID-19 et que les ministères et organismes revenaient à une occupation complète des immeubles. L’Orientation concernant la présence prescrite au lieu de travail (l’Orientation) exigeait initialement que les employés travaillent sur place au moins deux ou trois jours par semaine à partir du 31 mars 2023, au plus tard. Par la suite, elle a été mise à jour pour exiger que les employés travaillent sur place au moins trois jours par semaine à compter du 9 septembre 2024.

Selon l’Orientation actuelle, les administrateurs généraux des institutions fédérales sont responsables de mettre en œuvre l’exigence minimale de présence sur place et d’établir des régimes de vérification pour rendre compte de la conformité de leur institution à l’Orientation. Pour remplir ce mandat, les institutions peuvent, selon l’Orientation, mesurer la présence sur place à l’aide des données des tourniquets, des rapports de présence existants et des données de connexion au protocole Internet (IP) et ainsi recueillir des données ministérielles agrégéesNote de bas de page 1.

En ce qui concerne la conformité individuelle, l’Orientation n’a pas modifié le pouvoir préexistant des gestionnaires de veiller à ce que les employés respectent leurs conditions d’emploi. L’employeur a le droit exclusif de désigner le lieu de travail et d’exiger que les employés se rendent à leur lieu de travail désigné, et les gestionnaires sont responsables de veiller à ce que leurs employés respectent les obligations de présence sur place.

En novembre 2024, après avoir reçu une plainte, le Commissariat à la protection de la vie privée du Canada (le Commissariat) a lancé une enquête sur le SCT pour examiner ses pratiques en matière de renseignements personnels liées à l’administration de l’Orientation. À la lumière des préoccupations soulevées par la partie plaignante, l’enquête du Commissariat visait à évaluer la conformité du SCT aux éléments suivants : 1) à l’exigence de l’article 4 de la Loi sur la protection des renseignements personnels (la Loi) voulant que la collecte des renseignements personnels des employés ait un lien direct avec les programmes ou les activités d’une institution; 2) aux exigences de l’article 6 quant à la conservation et au retrait des renseignements personnels; et 3) aux exigences des articles 7 et 8 quant à l’obtention du consentement de l’individu concerné pour utiliser et communiquer ses renseignements personnels, sauf lorsque certaines conditions s’appliquent.

Dans le cadre de son enquête, le Commissariat a également pris en compte les éléments suivants : 4) la transparence et l’ouverture du SCT liées à son approche hybride de surveillance de la conformité, notamment aux fichiers de renseignements personnels (FRP) ordinairesNote de bas de page 2 qui reflètent la collecte et l’utilisation des renseignements personnels de ses employés aux fins de l’administration d’un modèle de travail hybride; 5) la conformité du SCT aux principes largement reconnus de nécessité et de proportionnalité des données; et 6) l’exigence stratégique de réaliser une évaluation des facteurs relatifs à la vie privée (EFVP)Note de bas de page 3.

Pour évaluer la conformité du SCT à la Loi, le Commissariat a tenu compte des renseignements personnels utilisés par le SCT pour mettre en œuvre un régime de vérification visant à rendre compte de la conformité organisationnelle à l’Orientation, ainsi que des pratiques de la direction liées à la surveillance de la conformité individuelle au modèle de travail hybride. Le Commissariat a tiré les conclusions clés suivantes :

Conformité organisationnelle

  1. Pour produire un tableau de bord général agrégé destiné à la haute direction et utilisé pour évaluer la conformité organisationnelle à l’exigence de présence sur place, le SCT utilise i) les données des tourniquets, ii) les ententes de travail, iii) les données dans MesRHGC et iv) les données dans l’outil de prévision des salairesNote de bas de page 4. Le SCT recueille déjà ces données et est autorisé à le faire par les dispositions législatives existantes, notamment les articles 7 et 11 de la Loi sur la gestion des finances publiques, qui autorisent la collecte des données des tourniquets et des renseignements personnels des employés. La collecte est directement liée aux activités ou aux programmes du SCT, notamment ceux qui concernent la sécurité ou la gestion des ressources humaines (RH), comme l’exige l’article 4 de la Loi.
  2. Le SCT recueille ces données uniquement à des fins statistiques (pour la production de rapports agrégés), et les renseignements ne sont pas utilisés pour prendre des décisions qui touchent les employés individuellement. Par conséquent, ces renseignements sont utilisés à des fins non administratives qui n’entraînent pas l’application des obligations de conservation prévues au paragraphe 6(1) de la LoiNote de bas de page 5. Le SCT retire ces renseignements personnels lorsqu’ils ne sont plus nécessaires aux fins de production de rapports sur la conformité (dans les trois mois suivant leur utilisation), conformément à son calendrier établi de conservation et de retrait et à ses obligations énoncées au paragraphe 6(3).
  3. L’utilisation de ces données par le SCT pour vérifier la conformité organisationnelle à l’Orientation et rendre compte de cette conformité constitue un usage compatibleNote de bas de page 6 avec les fins initiales pour lesquelles les renseignements ont été recueillis et est donc autorisée au titre de l’alinéa 7a) de la Loi, ce qui signifie que les renseignements peuvent être utilisés sans le consentement des individus concernés.
  4. En ce qui concerne la communication du tableau de bord à la haute direction, la mise en œuvre par le SCT de mesures de protection de la vie privée, y compris l’agrégation des données, réduit suffisamment le risque de réidentification. Nous estimons qu’il n’existe aucune possibilité sérieuse que les renseignements du tableau de bord puissent servir à identifier des employés. Par conséquent, nous considérons que ces renseignements sont des renseignements à caractère non personnel auxquels la Loi ne s’applique pas.

Surveillance de la conformité individuelle

  1. Dans l’ensemble, nous avons déterminé que les gestionnaires s’acquittent de leurs responsabilités en connaissant les obligations en matière de protection de la vie privée. Pour vérifier la conformité individuelle, les gestionnaires effectuent des analyses et tiennent compte des déclarations des employés (par exemple, des ententes de travail autodéclarées). En cas de non-respect présumé de l’exigence de présence sur place, les gestionnaires examinent d’abord comment aborder la question avec l’employé et communiquent avec l’équipe des Relations de travail pour obtenir des conseils, au besoin. Pour les questions qui nécessitent un examen détaillé des renseignements personnels des employés (par exemple, dans le cadre d’une enquête officielle), les gestionnaires suivent les processus établis par les Relations de travail pour assurer le respect de la vie privée. Nous avons constaté que le SCT atténue les risques d’atteinte à la vie privée en fournissant une souplesse et un pouvoir discrétionnaire aux gestionnaires dans le cadre du mandat de l’Orientation grâce à des ressources ministérielles (foire aux questions) et à des directives qui décrivent la collecte et l’utilisation acceptables et responsables des renseignements personnels pour surveiller la conformité à l’exigence de présence sur place. Dans le cadre de l’enquête, nous n’avons trouvé aucun élément de preuve suggérant que des renseignements personnels ont été recueillis, utilisés ou communiqués par des gestionnaires en violation de la Loi.

Principes clés de protection de la vie privée et exigences liées aux politiques

  1. En ce qui concerne l’ouverture et la transparence, le SCT a utilisé diverses méthodes de communication pendant la transition vers le modèle de travail hybride mis à jour (par exemple, courriels de la part de la haute direction) pour annoncer la mise en œuvre des exigences de l’Orientation, ainsi que les modifications qui ont été apportées aux FRP ordinaires qu’il utilise pour administrer l’OrientationNote de bas de page 7. Cependant, notre examen a révélé que la description du FRP POU 907 (Contrôles d’accès physique) ne précise pas explicitement que les registres d’accès peuvent être utilisés dans le cadre d’enquêtes officielles liées à la conformité à l’Orientation. De plus, le SCT n’a pas clairement indiqué aux employés que cette utilisation était possible. Nous encourageons le SCT à mettre à jour la description en conséquence.
  2. Du point de vue de la nécessité et de la proportionnalité, l’approche d’évaluation de la conformité organisationnelle qu’utilise le SCT permet d’atteindre les objectifs du mandat de l’Orientation sans poser un risque inutile pour la vie privée des employés. Dans l’ensemble, nous avons déterminé que la prise en compte de plusieurs mesures favorables à la protection de la vie privéeNote de bas de page 8 a aidé le SCT à maintenir un équilibre raisonnable entre la nécessité opérationnelle d’assurer la conformité à l’Orientation et le respect du droit à la vie privée des employés. Nous avons également constaté que les gestionnaires du SCT ont mis en œuvre une approche proportionnelle axée sur la protection de la vie privée pour veiller à ce que l’Orientation soit appliquée de façon efficace et responsable, tout en respectant le droit à la vie privée.
  3. Le SCT n’a pas réalisé d’EFVP pour son régime de vérification, car son approche cadre avec l’Orientation et les directives connexes sur la protection la vie privée et ne nécessite pas de recueillir ni d’utiliser des renseignements personnels autres que ceux dont la collecte et l’utilisation sont autorisées par le cadre stratégique actuel. Le SCT s’appuie sur les sources de données existantes pour générer des tableaux de bord agrégés destinés à la haute direction et n’utilise qu’un minimum de renseignements personnels pour vérifier la conformité et en rendre compte.

Dans l’ensemble, le Commissariat a conclu que les pratiques de traitement des renseignements personnels du SCT liées à l’administration du mandat de l’Orientation respectent les exigences de la Loi. Par conséquent, le Commissariat conclut que la plainte n’est pas fondée.

Le SCT a démontré qu’il est possible d’adopter une approche équilibrée pour protéger la vie privée des employés, tout en assurant la conformité. Nous encourageons les autres ministères et organismes fédéraux à adopter l’approche du SCT et à suivre son leadership à cet égard.

Contexte

  1. Avant la pandémie de COVID-19, les fonctionnaires fédéraux travaillaient presque exclusivement sur leur lieu de travail désigné (c’est-à-dire sur place, dans les bureaux du gouvernement)Note de bas de page 9. Des ententes de travail flexibles pouvaient être conclues, mais la plupart étaient exceptionnelles et temporaires. En mars 2020, la pandémie a obligé le gouvernement à faire rapidement passer les employés de la fonction publique au travail à distance pour respecter les mesures de santé publique. Le gouvernement du Canada a adopté par nécessité un modèle opérationnel de travail à distance dans le cadre duquel la majorité des employés travaillaient de leur domicile à temps plein.
  2. Conformément aux directives en matière de santé au travail et aux mises à jour du Programme de santé au travail de la fonction publique de Santé CanadaNote de bas de page 10, le gouvernement du Canada est passé à la mise en œuvre d’une approche de travail hybride. En novembre 2021, le SCT a élaboré des Lignes directrices sur l’optimisation d’un effectif hybride pour aider les organisations à mettre en œuvre une approche de travail hybride. En mai 2022, les ministères et organismes pouvaient revenir à une occupation complète des immeubles en adoptant des pratiques en milieu de travail préventives appropriées, et on a encouragé les administrateurs généraux à commencer à mettre à l’essai des modèles de travail hybrides.
  3. En décembre 2022, le SCT a annoncé la mise en œuvre d’un modèle de travail hybride commun dans l’ensemble de l’administration publique centraleNote de bas de page 11, qui exigeait que plus de 262 000 employés admissibles à une entente de travail hybride travaillent sur place au moins deux ou trois jours par semaine, ce qui représente de 40 à 60 % de leur horaire régulier. Il s’agissait d’un nouveau modèle de travail de base pour la plupart des fonctionnaires fédéraux par rapport à celui d’avant la pandémie (lorsque le modèle de base était le travail sur place à temps plein). La mise en œuvre progressive du modèle de travail hybride a été entamée en janvier 2023, et l’adoption complète devait être terminée au plus tard le 31 mars 2023.
  4. Le SCT a par la suite mis à jour l’Orientation en mai 2024 pour établir une approche uniforme concernant le travail hybride et garantir l’équité dans l’ensemble de la fonction publique. Selon le mandat mis à jour, qui est toujours en vigueur, les employés de l’administration publique centrale qui sont visés par une entente de travail hybride doivent travailler sur place au moins trois jours par semaineNote de bas de page 12. Le mandat à jour a également engendré la transition vers le travail sur place pour les employés du groupe IT (Technologies de l’information), auparavant exemptés de l’OrientationNote de bas de page 13.
  5. L’Orientation exige que les administrateurs généraux mettent en œuvre des régimes de vérification et précise que la présence sur place peut être mesurée à l’aide des données des tourniquets, des rapports de présence existants et/ou des données de connexion au IP pour recueillir des données ministérielles agrégées. Elle indique également que des comités ministériels chargés de la conformité et de la cohérence au niveau des sous-ministres adjoints (SMA) devraient être mis en place pour suivre les tendances en matière de données et garantir la cohérence dans le traitement des exceptions (c’est-à-dire la levée officielle de l’exigence de travail hybride)Note de bas de page 14.
  6. Comme l’employeur a le droit exclusif de désigner le lieu de travail et d’exiger que les employés se présentent au lieu de travail désigné, les gestionnaires ont la responsabilité de surveiller la conformité de leurs employés à l’exigence de présence sur place dans le cadre du modèle de travail hybride. Les gestionnaires sont censés discuter de manière proactive avec leurs employés des obstacles susceptibles d’être rencontrés, notamment ceux liés à l’accessibilité, au harcèlement et à la discrimination, et déterminer des solutions pour éliminer ces obstacles dans un milieu de travail hybride. Ils doivent également veiller à ce que les situations individuelles soient examinées au cas par cas, y compris les obligations en matière de droits de la personne (par exemple, l’obligation de prendre des mesures d’adaptationNote de bas de page 15), et vérifier si un employé a une explication raisonnable pour justifier ses absences du lieu de travail désigné (par exemple, en raison d’une maladie)Note de bas de page 16.
  7. La mise en œuvre de l’Orientation a suscité une attention publique importante, notamment une opposition de la part des groupes syndicaux qui préconisent l’adoption d’une approche de travail hybride plus flexible tenant compte des situations individuelles et du principe de présence justifiée plutôt que la mise en œuvre d’une politique stricte de retour au bureau trois jours par semaineNote de bas de page 17. L’Orientation a également fait en sorte que le Commissariat a reçu des demandes de conseils sur la façon dont les institutions peuvent surveiller la présence sur place et la conformité au modèle de travail hybride et en rendre compte, notamment sur les données individuelles des employés qui peuvent être recueillies et utilisées à cette finNote de bas de page 18.

Plainte

  1. En novembre 2024, le Commissariat a lancé une enquête sur le SCT après avoir reçu une plainte liée à la mise en œuvre de l’Orientation par le SCT. La partie plaignante a affirmé que la collecte de données sur la présence sur place des employés (par exemple, la connectivité réseau [les données du IPNote de bas de page 19] ou les données de balayage de carte d’identité) et la transmission de ces données aux divers échelons de la haute direction pour mesurer et valider la présence sur place constituent une utilisation invasive des renseignements personnels.
  2. Plus précisément, la partie plaignante a soulevé des préoccupations concernant i) la portée et les objectifs de la collecte de renseignements personnels par le SCT pour administrer et appliquer l’Orientation, ii) l’agrégation ou l’anonymisation des renseignements personnels pour éviter qu’on puisse identifier les individus qu’ils concernent, iii) les pratiques de conservation et d’élimination des renseignements personnels du SCT et iv) la façon dont le SCT utilise et communique les renseignements personnels pour administrer le mandat de l’Orientation.

Portée et méthodologie

  1. En tant qu’organisme central et organe administratif du Conseil du Trésor (CT), le SCT exerce une fonction de surveillance et de leadership pour aider les ministères et organismes fédéraux à réaliser les priorités du gouvernement et à obtenir des résultats pour les Canadiennes et les Canadiens. L’une des principales responsabilités du SCT est d’élaborer des politiques et d’établir l’orientation stratégique pour la gestion des personnes et le milieu de travail dans la fonction publique, ce qui comprend l’élaboration, la mise à jour et la supervision de la mise en œuvre de l’OrientationNote de bas de page 20. Le SCT emploie également environ 2 500 personnes et est assujetti aux obligations énoncées dans ses instruments de politique, y compris l’Orientation.
  2. Le présent rapport sert à examiner la conformité du SCT aux principes de protection de la vie privée dans le contexte de sa mise en œuvre des exigences de l’Orientation. Dans le cadre de son enquête, le Commissariat a évalué la conformité des pratiques de traitement des renseignements personnels du SCT, tant au niveau de l’organisation qu’au niveau de la direction, aux articles 4 (collecte), 6 (conservation et retrait), et 7 et 8 de la Loi (usage et communication).
  3. Le Commissariat a également examiné l’ouverture et la transparence du SCT en ce qui concerne son approche hybride de surveillance de la conformité, y compris l’utilisation des FRP ordinaires qui ont été mis à jour aux fins de l’administration d’un modèle de travail hybride. De plus, il a tenu compte du principe largement reconnu de la nécessité et de la proportionnalité des données et de l’exigence prévue par une politique visant à réaliser une EFVP lorsqu’un changement est apporté à des programmes ou activités existants et que celui-ci pourrait avoir une incidence sur les renseignements personnels des individus dans le contexte de l’administration de l’Orientation (par exemple, surveiller de manière proactive la conformité des employés à l’Orientation).
  4. L’enquête du Commissariat portait sur l’utilisation de renseignements personnels au niveau de l’organisation (les rapports agrégés) et des individus (les renseignements permettant d’identifier les employés) pour vérifier la conformité à l’obligation de présence sur place et rendre compte de cette conformité. Bien que les renseignements personnels des employés puissent également être utilisés dans le contexte d’enquêtes officielles liées à la conformité à l’Orientation, ce processus est géré selon les cadres préexistants établis par les RH et les Relations de travail. Étant donné que le processus d’enquête officielle est conforme aux pratiques administratives existantes du gouvernement et que l’Orientation n’exige pas que de nouveaux renseignements personnels soient recueillis dans ce contexte, le Commissariat n’a pas examiné le processus d’enquêteNote de bas de page 21.
  5. Notre enquête a été orientée par des observations écrites du SCT et des réunions avec les principales parties prenantes du SCT, notamment avec des personnes provenant de divers échelons de la direction du SCTNote de bas de page 22. Notre examen couvrait la période du 9 septembre 2024, date à laquelle le SCT était tenu de mettre en œuvre une exigence de présence minimale de trois jours par semaine pour ses employés, à la date de rédaction du présent rapport.

Analyse

  1. La mise en œuvre d’un modèle de travail hybride fait en sorte que les employés doivent se présenter régulièrement sur place. La vérification de la conformité au mandat de présence sur place et la production de rapports sur la conformité nécessitent d’utiliser des renseignements personnels au niveau de l’organisation (les rapports agrégés) et des individus (les renseignements permettant d’identifier les employés). Il s’agit d’une nouvelle activité de gestion et d’un changement important par rapport à la structure opérationnelle d’avant la pandémie, où les fonctionnaires fédéraux travaillaient presque exclusivement sur place et où la plupart des ententes de travail flexibles étaient exceptionnelles et temporaires.
  2. La collecte et l’utilisation de renseignements personnels pour rendre compte de la conformité des employés au mandat de l’Orientation, ainsi que les outils utilisés pour vérifier la présence sur place, peuvent poser de nouveaux risques d’atteinte à la vie privée (par exemple, suivi intrusif, utilisation inappropriée involontaire des données). Pour atténuer ces risques, les institutions doivent veiller à utiliser les moyens qui portent le moins atteinte à la vie privée dont elles disposent pour vérifier la conformité. Ainsi, elles adoptent diverses pratiques opérationnelles exemplaires clés, notamment la priorisation des méthodes qui utilisent les renseignements personnels les moins sensibles en quantité minimale (par exemple, l’utilisation des renseignements doit être manifestement nécessaire à l’activité, et le besoin opérationnel doit peser plus lourd que l’atteinte à la vie privée), pour veiller au respect des principes de nécessité et de proportionnalité.
  3. Bien que la vérification de la conformité à l’Orientation et la production de rapports à ce sujet soient une nouvelle activité opérationnelle, les institutions peuvent utiliser les renseignements personnels qu’elles recueillent déjà pour rendre compte de la conformité organisationnelle (c’est-à-dire le nombre ou le pourcentage d’employés qui se rendent au bureau)Note de bas de page 23. Selon le cadre stratégique actuel de l’Orientation, les rapports de conformité ne doivent être utilisés qu’à des fins statistiques; ils ne peuvent pas servir à prendre des décisions administratives qui touchent un employé en particulierNote de bas de page 24.
  4. En ce qui concerne la conformité individuelle à l’exigence de présence sur place, l’Orientation n’a pas modifié le pouvoir préexistant des gestionnaires de veiller à ce que les employés respectent leurs conditions d’emploi. Néanmoins, pour surveiller la présence sur place, les gestionnaires doivent passer d’une approche de supervision directe quotidienne à une approche plus nuancée qui tient compte de la conformité opérationnelle et du droit à la vie privée des employés.
  5. Comme il est indiqué ci-dessous, pour évaluer la conformité du SCT à la Loi, le Commissariat a tenu compte de la façon dont le SCT utilise les renseignements personnels des employés pour 1) mettre en œuvre un régime de vérification (visant à rendre compte de la conformité organisationnelle à l’Orientation) et 2) surveiller la conformité individuelle au modèle de travail hybride.

Enjeu 1 : Régime de vérification du SCT

i) La collecte de renseignements personnels par le SCT pour satisfaire aux exigences de l’Orientation est conforme à l’article 4 de la Loi

  1. Pour respecter l’article 4 de la Loi, les renseignements personnels recueillis doivent avoir « un lien direct avec le programme ou l’activité de l’institution ».Note de bas de page 25 C’est le cas des renseignements personnels recueillis à des fins administratives (c’est-à-dire des renseignements utilisés pour prendre une décision qui touche directement une personne) et à des fins non administratives (par exemple, utilisés à des fins statistiques). Au titre de l’article 4, le consentement n’est pas nécessaire pour qu’une institution fédérale recueille des renseignements personnels.
  2. Comme il est indiqué ci-dessous, l’enquête du Commissariat a confirmé que la collecte de renseignements personnels par le SCT pour satisfaire aux exigences du mandat de l’Orientation à l’échelle organisationnelle (c’est-à-dire vérifier la conformité à l’exigence de présence sur place et en rendre compte) est faite à des fins non administratives. Par conséquent, la collecte n’entraîne pas l’application des obligations de collecte directe prévues à l’article 5 de la LoiNote de bas de page 26.
  3. Pour satisfaire aux exigences de l’Orientation, le SCT a créé un tableau de bord mensuel général destiné à la haute directionNote de bas de page 27. Le tableau de bord mensuel sert de point de données pour cerner les tendances générales qui peuvent indiquer un cas de non-conformité dans l’organisation. Il est conçu strictement pour fournir à la haute direction des renseignements agrégés généraux sur les tendances en matière de présence sur place.
  4. L’équipe d’analyse des RH du SCT, qui tire parti des sources de données existantes pour appuyer la production de rapports sur la conformité au modèle de travail hybride, est responsable du tableau de bord. Les données qu’utilise le SCT pour évaluer la conformité organisationnelle à l’Orientation comprennent i) les données des tourniquets, ii) les renseignements des ententes de travail, iii) les données figurant dans MesRHGC et iv) les données figurant dans l’outil de prévision des salairesNote de bas de page 28.
  5. La mise en œuvre d’un régime de vérification par le SCT n’exigeait pas la collecte ni la création d’autres renseignements personnels. Le SCT recueille déjà les données mentionnées précédemment et est autorisé à le faire par les dispositions législatives existantes. Plus précisément, les articles 7 et 11 de la Loi sur la gestion des finances publiques autorisent la collecte des données des tourniquets et des renseignements personnels des employés (entente de travail, présence et congés) aux fins d’exécution des activités de sécurité et de gestion des RH.
  6. Le Commissariat est convaincu que ces collectes aux fins de vérification de la conformité à l’Orientation et de production de rapports à ce sujet sont directement liées aux activités ou aux programmes du SCT, comme l’exige l’article 4 de la Loi. Nous estimons donc que la plainte concernant la collecte est non fondée.

ii) Les renseignements personnels recueillis par le SCT aux fins de production de rapports sur la conformité n’entraînent pas l’application des obligations de conservation prévues à l’article 6 de la Loi

  1. L’article 6 de la Loi oblige les institutions à conserver ou à retirer les renseignements personnels, selon les circonstancesNote de bas de page 29. Plus précisément, le paragraphe 6(1) de la Loi et le Règlement sur la protection des renseignements personnels connexe exigent que les institutions conservent les renseignements personnels utilisés à des fins administratives pendant au moins deux ans suivant leur dernière utilisation. Le paragraphe 6(3) de la Loi exige que les institutions procèdent au retrait de tous les renseignements personnels qui relèvent d’elles (y compris les renseignements utilisés à des fins non administratives) conformément aux règlements et aux instructions ou directives applicables du ministre désigné.
  2. Bien que la Loi n’impose pas de période minimale de conservation des renseignements personnels utilisés à des fins non administratives, les institutions sont responsables de gérer et de retirer ces renseignements conformément à la Loi. À titre de pratique exemplaire, les données non administratives doivent être retirées dès qu’elles ne sont plus nécessaires dans le cadre du programme ou de l’activité pour atténuer les risques d’atteinte à la vie privéeNote de bas de page 30.
  3. L’enquête du Commissariat a permis de confirmer que les renseignements personnels recueillis par le SCT pour vérifier la conformité organisationnelle à l’Orientation [et ainsi générer le tableau de bord général] et produire des rapports à ce sujet sont utilisés uniquement à des fins statistiques et non pour prendre des décisions administratives touchant une personne ou un groupe de personnes.
  4. Le SCT a établi une période de conservation de trois mois pour ces renseignements personnels, en fonction de ses besoins opérationnels précis liés à la production de rapports sur la conformité organisationnelle et à l’analyse des tendances. Par la suite, le SCT supprime de façon sécuritaire les rapports présentés sous forme de feuilles de calcul, conformément à ses obligations prévues par la loi et les politiquesNote de bas de page 31.
  5. Les institutions doivent définir une période de conservation raisonnable pour les renseignements personnels utilisés à des fins non administratives. La norme consiste à les retirer dès qu’ils ne sont plus nécessaires aux fins pour lesquelles ils ont été recueillis, qui dépendent du contexte de la collecte, des besoins opérationnels de l’institution et de toute autre obligation légale. Dans le présent cas, nous estimons que la période de conservation de trois mois du SCT pour les renseignements personnels est raisonnable. La période permet d’obtenir un échantillon de données suffisant pour réaliser une analyse précise des tendances et, du point de vue de la réduction au minimum des données collectées, une période de conservation de trois mois réduit le volume de renseignements sur les employés qui pourraient être ciblés ou compromis (par exemple, lors d’un accès non autorisé). Nous notons que le calendrier de conservation et de retrait des renseignements personnels établi par le SCT est décrit dans son protocole de protection des renseignements personnelsNote de bas de page 32.
  6. Les renseignements personnels que le SCT utilise pour évaluer la conformité organisationnelle à l’Orientation ne sont utilisés qu’à des fins non administratives (la production des rapports agrégés). Par conséquent, le Commissariat conclut que les circonstances n’entraînent pas l’application des obligations de conservation du SCT prévues au paragraphe 6(1) de la Loi. Nous avons conclu que les obligations du SCT prévues au paragraphe 6(3) de retirer les renseignements personnels conformément à son calendrier de conservation et de retrait établi s’appliquaient, mais avons confirmé que le SCT respectait ces obligations. Par conséquent, nous considérons que la question n’est pas fondée.

iii) L’utilisation des renseignements personnels par le SCT pour produire des rapports sur la conformité est conforme à l’article 7 de la Loi

  1. Au titre de l’article 7 de la Loi, les institutions fédérales peuvent utiliser les renseignements personnels d’un individu sans son consentement dans certaines circonstancesNote de bas de page 33. Par exemple, les institutions n’ont pas besoin du consentement d’un individu pour utiliser ses renseignements personnels à une fin secondaire qui a un lien raisonnable et direct avec les fins initiales pour lesquelles les renseignements ont été recueillis (un usage compatible).
  2. Néanmoins, il est fondamental de faire preuve de transparence quant aux utilisations secondaires des renseignements personnels. Sous réserve de certaines exceptions, les employés doivent être informés des fins pour lesquelles leurs renseignements peuvent être utilisés au moment de la collecte desdits renseignements. À cet égard, nous notons que le SCT a mis à jour les FRP ordinaires afin qu’ils mentionnent le nouvel usage compatible des renseignements personnels des employés pour vérifier la conformité à l’exigence de présence sur place et en rendre compte, y compris les ententes de travail, les renseignements sur la présence et les congés, les données des cartes d’accès (les données des tourniquets) et les journaux de contrôle des réseaux électroniques (les données de connexion au IP)Note de bas de page 34.
  3. Comme il est expliqué ci-dessus, selon le cadre stratégique actuel, les institutions pourraient devoir utiliser les sources de données existantes pour respecter le mandat de l’Orientation. Dans le présent cas, nous avons confirmé que le SCT utilise les données des tourniquets, les renseignements figurant dans les ententes de travail, ainsi que les données figurant dans MesRHGC et l’outil de prévision des salaires pour générer le tableau de bord ministériel agrégé général. Les fins initiales pour lesquelles ces données sont recueillies par le SCT comprennent l’exécution des activités générales de gestion des RH (par exemple, la gestion des ententes de travail, la paye) et la mise en œuvre des mesures de sécurité matérielle (par exemple, la gestion de la sécurité des installations et des employés du gouvernement [comme dans le cadre de la gestion de l’accès aux immeubles]).
  4. Le Commissariat a examiné les fins précises pour lesquelles le SCT utilise chaque élément de données afin d’évaluer la conformité organisationnelle. Nous avons confirmé que i) les données des tourniquets servent à vérifier le nombre de jours où les employés sont sur place; ii) les renseignements figurant dans les ententes de travail servent à valider le nombre total d’employés en télétravail à temps plein (exemptions) et le nombre total d’employés travaillant selon le modèle hybride; iii) les données figurant dans MesRHGC servent à calculer et à vérifier le nombre d’employés en congé pour exclure cette donnée du tableau de bord et à déterminer les secteurs des employés; iv) les données figurant dans l’outil de prévision des salaires servent à valider le nombre d’employés actifs du SCT et les renseignements sur les congés saisis dans MesRHGC. Nous avons conclu que l’utilisation par le SCT de ces données pour vérifier la conformité organisationnelle à l’Orientation et en rendre compte, comme il est expliqué dans le présent document, est raisonnable.
  5. En ce qui concerne l’utilisation des données de connectivité réseau des employés (adresses IP) pour évaluer la conformité d’une organisation à l’Orientation, nous avons confirmé que l’équipe d’analyse des RH du SCT utilise ces données agrégées uniquement pour valider les données des tourniquets (par exemple, assurer leur exactitude et corriger les divergences présentes dans les données des tourniquets)Note de bas de page 35. Ces renseignements, bien qu’agrégés, ne sont pas utilisés pour générer les tableaux de bord mensuels. Le Commissariat a également confirmé que le SCT n’utilise pas les journaux de contrôle des réseaux électroniques pour produire ses rapports de présence sur placeNote de bas de page 36.
  6. Afin que l’utilisation de ces données par le SCT pour vérifier la conformité au mandat de l’Orientation et en rendre compte constitue un usage compatible, il doit exister un lien raisonnable et direct entre ces nouvelles fins et les fins initiales pour lesquelles les renseignements personnels ont été recueillis. Un test clé pour savoir si un usage est compatible consiste à déterminer si une personne pourrait raisonnablement s’attendre à ce que ses renseignements soient utilisés de cette façon.
  7. Notamment, les renseignements figurant dans les ententes de travail (par exemple, les ententes de travail hybride) sont recueillis pour gérer la relation d’emploi et définir le lieu de travail. L’utilisation de ces mêmes données pour vérifier que les employés respectent l’exigence de présence sur place (par exemple, trois jours par semaine) est considérée comme une extension logique de la gestion de la relation d’emploi et des exigences opérationnelles. Comme les employés sont informés que les administrateurs généraux ont le droit exclusif de désigner les lieux de travail, il est raisonnable qu’ils s’attendent à ce que les données sur leur horaire de travail qu’ils fournissent puissent servir à vérifier s’ils respectent l’horaire.
  8. De même, il est raisonnable pour un employé de s’attendre à ce que les données des tourniquets, qui sont initialement recueillies pour renforcer la sécurité des institutions gouvernementales, puissent être utilisées pour appuyer le droit de l’employeur de désigner le lieu de travail et veiller au respect des conditions d’emploi, y compris toutes les exigences des politiques liées à la présence sur le lieu de travail désigné.
  9. Après examen, le Commissariat est convaincu que l’utilisation par le SCT des données décrites au paragraphe 34 ci-dessus pour administrer le mandat de l’Orientation constitue un usage compatible des renseignements personnels des employés qui ne nécessite pas leur consentement et qui est donc autorisée en vertu de l’alinéa 7a) de la Loi. Le Commissariat estime donc que cet aspect de la plainte n’est pas fondé.
  10. Comme les renseignements personnels utilisés pour générer le tableau de bord permettent d’identifier les individus qu’ils concernent avant l’étape de l’agrégation, nous avons également demandé au SCT des précisions concernant les contrôles administratifs et organisationnels mis en œuvre pour protéger ces renseignements, notamment les mesures visant à restreindre l’accès aux données et à limiter les fins pour lesquelles les renseignements peuvent être utilisés (par exemple, pour atténuer les risques comme l’accès non autorisé).
  11. L’enquête du Commissariat a permis de confirmer que le SCT a mis en œuvre les mesures suivantes :
    • Limiter l’accès aux données aux membres autorisés de l’équipe d’analyse des RH qui ont besoin des données pour s’acquitter de leurs responsabilités en matière de production de rapports;
    • Mettre en œuvre des contrôles stricts pour sécuriser les données (par exemple, un dossier SharePoint auquel seule l’équipe d’analyse des RH a accès);
    • Interdire la communication ou la réaffectation des données aux fins de vérification de la conformité, de traitement de demandes de renseignements ou de réalisation d’enquêtes;
    • Retirer définitivement les renseignements personnels bruts (utilisés pour générer les tableaux de bord) dans les trois mois suivant leur utilisation pour atténuer les risques liés à l’accès, à l’utilisation ou à la communication non autorisés.
  12. En outre, après avoir examiné le processus entrepris par l’équipe d’analyse des RH pour agréger les renseignements personnels, le Commissariat a confirmé que le SCT remplace les identifiants directs par des chiffres et prépare un document source entièrement pseudonymisé qui sert à produire les statistiques du tableau de bordNote de bas de page 37.
  13. Le SCT a élaboré un document d’orientation interne qui vise à assurer le traitement responsable des renseignements personnels des employés qui sont tirés des diverses sources de données pour créer les tableaux de bord mensuelsNote de bas de page 38. Le protocole de protection des renseignements personnels du SCT décrit les éléments relatifs aux renseignements personnels, la provenance des renseignements et la façon dont le SCT les utilise pour vérifier la conformité à l’Orientation et en rendre compte. Il présente également les mesures de sécurité mises en œuvre pour protéger ces renseignements (par exemple, les contrôles d’accès, le stockage), les utilisations approuvées des renseignements (par exemple, à des fins non administratives uniquement pour générer les données ministérielles agrégées), le calendrier de conservation et de retrait établi pour les renseignements personnels et le protocole organisationnel en cas d’atteinte à la vie privée. De plus, le SCT a indiqué que l’équipe d’analyse des RH a suivi une formation pour assurer le traitement responsable des renseignements personnels des employés et a notamment reçu des directives sur la façon de traiter, d’agréger et d’anonymiser les données brutes pour réduire au minimum les risques d’atteinte à la vie privée.

iv) La communication de renseignements agrégés par le SCT est exclue du champ d’application de la Loi

  1. Lorsqu’elles rendent compte de la conformité à l’Orientation, les institutions doivent communiquer les renseignements de manière à ce qu’il ne soit pas possible d’identifier les individus qu’ils concernent. L’Orientation indique que les institutions peuvent mesurer la présence sur place à l’aide de renseignements personnels pour recueillir des données ministérielles agrégées. La communication de données agrégées lorsqu’il n’y a pas de possibilité raisonnable de réidentification ne constitue pas une communication de renseignements personnels et n’est donc pas assujettie aux limites de communication prévues par l’article 8 de la LoiNote de bas de page 39.
  2. Dans la présente affaire, le SCT utilise les renseignements personnels pour préparer un tableau de bord ministériel qui ne contient que des données agrégées (c’est-à-dire des chiffres et des pourcentages)Note de bas de page 40. Selon le SCT, il est impossible d’identifier les personnes concernées au moyen des données du tableau de bord, et ce dernier sert uniquement de point de données permettant à la haute direction de déterminer les tendances au sein de l’organisation. Dans le cadre de notre enquête, nous avons donc examiné dans quelle mesure les données présentées dans le tableau de bord agrégé peuvent permettre d’identifier des personnes, directement ou indirectement.
  3. L’agrégation des données est une technique qui est utile pour protéger la vie privée, car elle permet d’analyser les tendances sans exposer les renseignements personnels des individusNote de bas de page 41. Toutefois, il se peut que l’agrégation seule n’élimine pas tous les risques d’atteinte à la vie privée si elle ne réduit pas sous un seuil acceptable le risque de réidentification des individus. Ce risque est la probabilité d’associer correctement l’identité d’une personne avec son dossierNote de bas de page 42.
  4. Les institutions doivent déterminer le niveau acceptable de risque résiduel en fonction de la nature des renseignements personnels (les données elles-mêmes, le contexte de leur utilisation ou leur communication et les répercussions d’une réidentification sur les individus concernés) et mettre en œuvre des mesures de protection de la vie privée convenables pour réduire le risque de réidentificationNote de bas de page 43. Par exemple, lors de la communication de données agrégées concernant un petit nombre de personnes (par exemple, un petit secteur), il est important d’atténuer le risque de réidentification (par exemple, de ciblage de personnes) qui pourrait se produire si on utilise seulement les renseignements dans l’ensemble de données ou si on les combine avec d’autres sources d’informationNote de bas de page 44. S’il existe une possibilité sérieuse qu’au moins un individu puisse être identifié grâce aux renseignements, ceux-ci peuvent constituer des renseignements personnels au sens de l’article 3 de la Loi.
  5. Le processus d’agrégation et la gestion de la taille minimale des cellulesNote de bas de page 45 sont des mesures clés lorsqu’il est question de générer des données agrégées permettant de garder l’anonymat des employés. Bien que les politiques du SCT n’imposent pas de taille minimale d’échantillon pour les ensembles de données, elles recommandent des pratiques exemplaires standard fondées sur la sensibilité des données. Par exemple, on considère souvent qu’une taille minimale de cellule de 10 est la pratique exemplaire pour les données peu sensiblesNote de bas de page 46.
  6. Nous avons confirmé que les tableaux de bord du SCT ne sont créés que pour les secteurs comptant au moins 10 employés pour réduire le risque de réidentification dans l’ensemble de données. Le SCT a transmis la liste des secteurs, qui comprend le nombre d’employés de chacun, ainsi que la liste des secteurs faisant partie du tableau de bord agrégé. Nous avons confirmé que les secteurs comptant moins de 10 employés ne font pas partie du tableau de bord.
  7. L’utilisation d’une taille de cellule minimale de 10 suggère que le SCT a évalué les renseignements personnels des employés utilisés pour générer le tableau de bord agrégé comme étant « peu sensibles » et a déterminé que le risque de réidentification est acceptableNote de bas de page 47. Compte tenu des renseignements personnels des employés utilisés pour produire le tableau de bord agrégé, nous avons conclu que l’évaluation du SCT était raisonnable. Cependant, nous nous attendons à ce que la taille minimale des cellules soit plus élevée (par exemple, 20 ou plus) pour les données plus sensibles (par exemple, les renseignements sur la santé ou les finances).
  8. Après examen, le Commissariat est convaincu que le tableau de bord sert uniquement de point de données pour cerner les tendances générales pouvant indiquer un cas de non-conformité dans l’organisation et qu’il ne contient pas de renseignements personnels permettant d’identifier un individu. La mise en œuvre par le SCT de mesures de protection de la vie privée (l’agrégation des données), de pratiques exemplaires reconnues (concernant la taille minimale des cellules) et de contrôles administratifs (la restriction de l’accès aux données brutes) réduit suffisamment le risque de réidentification des employés, de sorte qu’il n’y a aucune possibilité sérieuse que les renseignements puissent être utilisés pour identifier un employé. Nous considérons donc que les renseignements contenus dans le tableau de bord sont à caractère non personnel.
  9. À la lumière de ce qui précède, nous concluons que la communication du tableau de bord par le SCT est exclue du champ d’application de la Loi et que cet aspect est non fondé.
  10. Malgré ce qui précède, le Commissariat profite de l’occasion pour souligner qu’il n’existe pas de taille de cellule standard et minimale qui élimine le risque de réidentification lié à la génération de données agrégées au moyen de renseignements personnels. Bien que l’utilisation d’une taille de cellule minimale de 10 soit une bonne pratique pour les données peu sensibles, cette taille ne doit être qu’un point de départ pour réaliser une analyse au cas par casNote de bas de page 48. Dans leur analyse des risques de probabilité de réidentification, les institutions doivent notamment tenir compte de facteurs comme la sensibilité des données et le préjudice qui pourrait découler d’une réidentificationNote de bas de page 49. Il est question de ces facteurs importants dans les lignes directrices sur la dépersonnalisationNote de bas de page 50 publiées par le SCT.

Enjeu 2 : Surveillance de la conformité individuelle au mandat de l’Orientation

  1. L’Orientation n’a pas modifié le pouvoir préexistant des gestionnaires de veiller à ce que les employés respectent leurs conditions d’emploi. Comme l’employeur a le droit exclusif de désigner le lieu de travail et d’exiger que les employés se rendent à leur lieu de travail désigné, les gestionnaires sont responsables de veiller à ce que leurs employés respectent les exigences établies liées au milieu de travail, y compris les ententes de travail hybride.
  2. L’Orientation stipule que les gestionnaires doivent discuter de manière proactive avec les employés des obstacles liés à l’exigence de présence sur place et déterminer des solutions pour éliminer ces obstacles. Elle indique également que les gestionnaires doivent veiller à ce que les situations individuelles des employés soient prises en compte au cas par cas. Comme l’Orientation ne comprend pas d’autres renseignements normatifs ou détaillés concernant les obligations en matière de protection de la vie privée, le SCT a élaboré des documents d’orientation et des ressources internes pour contextualiser les obligations dans son propre environnement opérationnel et pour soutenir les gestionnaires dans leur rôle. De plus, dans le cadre de son rôle lié aux politiques, le SCT a élaboré des directives pour aider les institutions gouvernementales pendant la mise en œuvre du modèle de travail hybride mis à jourNote de bas de page 51.
  3. Conformément à ces directives, les gestionnaires de tous les échelons doivent principalement avoir recours à l’observation ou utiliser les déclarations des employés pour vérifier la conformité individuelle avec l’Orientation. Si les rapports agrégés organisationnels permettent de cerner un cas potentiel de non-conformité ou si un gestionnaire a des préoccupations concernant la non-conformité présumée d’un employé, les gestionnaires devraient examiner la façon d’aborder directement la question avec l’employé avant de prendre d’autres mesures pour enquêter. Ce n’est que dans le cadre d’un processus d’enquête officielle que les renseignements personnels des employés (y compris les données d’accès aux immeubles, les données des tourniquets ou les journaux des réseaux électroniques) peuvent être utilisés pour confirmer le respect de l’OrientationNote de bas de page 52.
  4. Le Commissariat a rencontré des gestionnaires de plusieurs secteurs du SCT afin de mieux comprendre les pratiques de traitement des renseignements personnels liées à la surveillance de la présence sur place, ainsi que les mesures prises par le SCT visant à appuyer les gestionnaires dans leur rôle et à communiquer les attentes en matière de protection de la vie privée.
  5. Dans l’ensemble, nous avons conclu que les gestionnaires s’acquittent de leurs responsabilités en connaissant les obligations en matière de protection de la vie privée et les exigences prévues par la Loi. Les gestionnaires que nous avons rencontrés ont confirmé qu’ils n’utilisent aucun moyen portant atteinte à la vie privée pour surveiller les employés et qu’ils ont principalement recours à l’observation et aux déclarations des employés pour vérifier la conformité individuelle (par exemple, les horaires autodéclarés saisis dans les calendriers des équipes, les ententes de travail des employés), conformément aux directives du SCT.
  6. En cas de non-respect présumé de l’exigence de présence sur place, les gestionnaires ont indiqué qu’ils examinent comment aborder la question avec l’employé et communiquent avec l’équipe des Relations de travail pour obtenir des conseils, au besoin (par exemple, pour discuter des difficultés ou tenir compte des situations individuelles). Dans les cas où un examen détaillé des renseignements personnels des employés peut être nécessaire, les gestionnaires ont affirmé qu’ils suivent les processus établis par les Relations de travail pour assurer le respect de la vie privée (par exemple, les cas qui entraînent une enquête officielle liée à une non-conformité).
  7. De plus, les gestionnaires ont mentionné les directives ministérielles qui les aident à mettre en œuvre le mandat de l’Orientation grâce à des procédures et à des pratiques exemplaires en matière de travail hybride. Par exemple, la trousse d’outils pour les gestionnaires décrit les attentes relatives à la collecte et à l’utilisation responsables des renseignements personnels aux fins de surveillance de la présence sur place, fournit des lignes directrices pour la gestion des cas de non-conformitéNote de bas de page 53 et traite d’autres sujets comme l’obligation de prendre des mesures d’adaptation, le traitement des demandes d’exemption et les pratiques exemplaires en matière de travail hybride (par exemple, les calendriers partagés).
  8. Le SCT a également élaboré des ressources ministérielles, comme des foires aux questions, et un mécanisme de recours pour recevoir les questions et les commentaires liés à la mise en œuvre de l’OrientationNote de bas de page 54. Le SCT affirme ne pas avoir imposé ni prescrit aux gestionnaires un modèle ou une approche officielle de surveillance de la conformité au mandat de l’Orientation. Il a adopté une approche qui appuie le pouvoir discrétionnaire et la flexibilité de la direction (c’est-à-dire que les gestionnaires peuvent déterminer l’approche qui correspond le mieux à leurs besoins opérationnels).
  9. En ce qui concerne la formation, le SCT a indiqué qu’il utilise les cours internes actuels et qu’aucun nouveau cours lié à la mise en œuvre de l’Orientation n’a été ajouté à sa liste de formations obligatoires. Les gestionnaires doivent suivre la formation appropriée sur la protection des renseignements personnels pour veiller à comprendre les exigences lorsqu’ils traitent les renseignements personnels des employés et à appliquer les pratiques exemplaires en matière de protection de la vie privée lorsqu’ils s’acquittent de leurs responsabilités quotidiennes.
  10. Dans ce cas, le SCT a mis en œuvre plusieurs mesures pour atténuer les risques d’atteinte à la vie privée liés à la flexibilité que le mandat de l’Orientation accorde aux gestionnaires. Le SCT a notamment aidé les gestionnaires en élaborant des lignes directrices ministérielles qui décrivent explicitement les circonstances où il est acceptable et responsable de recueillir et d’utiliser des renseignements personnels pour surveiller la conformité à l’exigence de présence sur place. Nous avons constaté que ces mesures ont contribué à créer une philosophie générale de gestion au sein du SCT qui met l’accent sur la communication, les situations individuelles et la protection de la vie privée dans l’environnement de travail hybrideNote de bas de page 55.
  11. Notre enquête n’a révélé aucun élément de preuve suggérant que des renseignements personnels des employés ont été recueillis, utilisés ou communiqués par des gestionnaires en violation de la Loi.

Autres

Ouverture et transparence

  1. L’ouverture et la transparence quant aux pratiques de gestion des renseignements personnels d’une institution liées à la mise en œuvre de l’Orientation sont essentielles à la réussite de l’application du modèle de travail hybride commun. Il est important de communiquer clairement l’exigence de présence sur place que les employés doivent respecter et les attentes en matière de conformité, notamment les renseignements personnels qui seront recueillis, utilisés et communiqués, pour gérer les attentes, instaurer la confiance, assurer l’équité et l’uniformité et favoriser la responsabilisation.
  2. Les FRP constituent le mécanisme minimal pour assurer la conformité juridique et la transparence, et ils permettent aux institutions gouvernementales d’informer les individus des renseignements personnels qu’elles recueillentNote de bas de page 56. Des FRP doivent être établis pour tout programme ou toute activité qui utilise des renseignements personnels à des fins administratives ou qui utilise des renseignements personnels organisés par nom, numéro d’identification, symbole ou une autre caractéristique attribuée à une personne, et accessibles en recherchant l’un ou l’autre de ces critèresNote de bas de page 57. Les institutions doivent également veiller à ce qu’une catégorie de renseignements personnels soit établie pour tous les renseignements personnels sous leur contrôle qui ne sont pas destinés à être utilisés à des fins administrativesNote de bas de page 58. Les obligations des institutions en matière de transparence sont énoncées aux articles 10 et 11 de la LoiNote de bas de page 59.
  3. Bien que les FRP fournissent la norme nécessaire pour assurer la conformité aux lois, ils ne sont qu’un outil en matière de transparence. Les institutions devraient s’efforcer d’utiliser de façon proactive diverses stratégies de communication pour rendre l’information accessible et pour expliquer comment les renseignements personnels sont traités afin que les individus soient informés et pleinement conscients de leurs pratiques.
  4. L’examen du Commissariat a donc porté sur les FRP pertinents qui reflètent la collecte et l’utilisation des renseignements personnels des employés aux fins d’administration d’un modèle de travail hybride commun, ainsi que sur l’ouverture et la transparence dont fait preuve le SCT en transmettant aux employés ses communications et ses directives concernant ses pratiques en matière de protection de la vie privée liées à la mise en œuvre de l’Orientation.

Fichiers de renseignements personnels

  1. Une institution fédérale ne peut utiliser les renseignements personnels qu’aux fins pour lesquelles ils ont été recueillis ou préparés ou pour un usage compatible aux fins initiales. Ces usages sont décrits dans les FRP pertinents. Afin de respecter l’article 10 de la Loi, une institution doit enregistrer un FRP précis pour tout nouvel usage des renseignements personnels (c’est-à-dire les utilisations ou les usages compatibles dont les FRP ne traitent pas)Note de bas de page 60.
  2. L’enquête du Commissariat a permis de confirmer que le SCT a mis à jour plusieurs FRP ordinaires afin de mentionner le nouvel usage compatible des renseignements personnels des employés pour vérifier la conformité à l’Orientation et en rendre compte, notamment les FRP suivants : i) Présences et congés (POE 903), ii) Journaux de contrôle des réseaux électroniques (POU 905), iii) Dossier personnel d’un employé (POE 901), et iv) Contrôles d’accès physique (FRP POU 907)Note de bas de page 61.
  3. Dans le présent cas, le SCT s’appuie sur les FRP ordinaires mentionnés précédemment pour recueillir les données des tourniquets, les renseignements figurant dans les ententes de travail, ainsi que les données figurant dans MesRHGC et l’outil de prévision des salaires, afin de vérifier la conformité avec l’Orientation et d’en rendre compte. L’utilisation de ces données à cette fin est considérée comme un usage compatible des renseignements contenus dans les FRP.
  4. Nous notons que ces renseignements personnels peuvent également être utilisés aux fins de vérification de la conformité ou de réalisation d’enquêtes pour déterminer si un employé a eu un comportement inapproprié lié à l’Orientation ou n’a pas respecté celle-ci. L’utilisation de renseignements personnels dans le cadre d’enquêtes liées au non-respect des ententes de télétravail devrait être conforme aux processus établis par les Relations de travail, et les FRP pertinents devraient indiquer qu’en cas de non-respect présumé, les renseignements peuvent être communiqués aux fins de réalisation d’une enquête plus approfondie ou de prise de mesures disciplinairesNote de bas de page 62.
  5. Après avoir examiné les FRP, le Commissariat a demandé des précisions sur la description du FRP FRP POU 907 (Contrôles d’accès physique), qui, selon lui, n’indique pas clairement que les données d’accès peuvent être utilisées et communiquées dans le cadre des enquêtes officielles liées à la conformité à l’Orientation.
  6. Selon la description du FRP POU 907, les renseignements personnels sont recueillis principalement aux fins de sécurité (c’est-à-dire « accroître la sécurité des installations des institutions fédérales, des personnes et des biens présents à l’intérieur de ces installations »). Bien que le FRP précise que les renseignements « peuvent être utilisés pour appuyer la conformité à d’autres instruments de politique et orientations pertinents du Conseil du Trésor », il n’indique pas explicitement que les données concernant les entrées (figurant dans les registres de contrôle d’accès des immeubles) peuvent être utilisées ou communiquées pour mener une enquête sur la conformité d’un employé à l’exigence prévue par une politique ou aux fins de prise de mesures disciplinairesNote de bas de page 63.
  7. Selon le SCT, les registres de contrôle d’accès à l’immeuble sont principalement utilisés aux fins de sécurité (comme l’indique le FRP POU 907). Selon l’interprétation du SCT, la mention d’appui de la « conformité à d’autres instruments et orientations de politiques pertinents du Conseil du Trésor » dans le FRP englobe l’utilisation de journaux pour mener des enquêtes officielles liées à la conformité à l’Orientation, lorsqu’il est nécessaire et approprié de le faire. Dans ce contexte, le SCT a affirmé que, si les observations d’un gestionnaire soulèvent des préoccupations suffisantes concernant le respect par un employé de son entente de télétravail ou de l’exigence de présence sur place, l’équipe des Relations de travail pourrait demander à obtenir les données d’accès à l’immeuble de l’employé (ou toute autre donnée nécessaire) pour vérifier les allégations dans le cadre d’une enquête.
  8. La description des usages compatibles informe les individus de la façon dont leurs renseignements personnels peuvent être utilisés ou communiqués pour qu’ils puissent prendre des décisions éclairées et exercer leurs droits prévus par la Loi. Par conséquent, les descriptions des FRP doivent être suffisamment explicites et doivent indiquer clairement les renseignements recueillis, leur but et la façon dont ils sont utilisés et communiqués. Nous encourageons le SCT à examiner ses descriptions en conséquence.

Communications du SCT

  1. L’enquête du Commissariat a permis de confirmer que le SCT a annoncé sa mise en œuvre des exigences de l’Orientation à l’aide de diverses méthodes de communication pour soutenir les employés et les gestionnaires lors de la transition vers le modèle de travail hybride mis à jour. L’envoi de courriels de la part de la haute direction, la création d’une foire aux questions et la mise en place d’un réseau d’ambassadeurs du changement reflètent l’engagement du SCT à l’égard de l’ouverture, de la transparence et du respect de la vie privéeNote de bas de page 64.
  2. Comme il est indiqué au paragraphe 61, le SCT a également préparé une trousse d’outils visant à fournir aux gestionnaires des conseils sur l’application de l’Orientation. La trousse a été créée pour aider les gestionnaires à passer au modèle hybride de présence sur place trois jours par semaine et décrit les attentes en matière de protection de la vie privée liées à la production de rapports sur la conformitéNote de bas de page 65.
  3. Au cours de l’enquête, le SCT a affirmé avoir seulement indiqué à ses employés que les registres de contrôle d’accès à l’immeuble pouvaient être utilisés dans le contexte de production de rapports agrégés liés à l’administration de l’Orientation. Du point de vue de la transparence, le SCT a l’obligation de veiller à ce que les employés soient informés des nouvelles utilisations ou communications compatibles des renseignements personnels (par exemple, en publiant des avis de confidentialité clairs)Note de bas de page 66. À cet effet, il doit veiller à communiquer clairement aux employés que les registres de contrôle d’accès à l’immeuble peuvent être utilisés dans le cadre d’enquêtes officielles liées à la conformité à l’Orientation.

Nécessité et proportionnalité

  1. L’introduction de l’approche de travail hybride met en évidence la nécessité de soigneusement tenir compte d’intérêts importants. D’une part, l’employeur a le droit exclusif de désigner le lieu de travail et de vérifier que les employés se rendent à leur lieu de travail désigné. D’autre part, la surveillance de la conformité au modèle de travail hybride et à l’exigence de présence sur place doit se faire de manière à protéger la vie privée et se limiter à des fins précises, ciblées et acceptables dans les circonstances. L’absence de mesures de protection adéquates pour gérer la manière dont les renseignements personnels des employés sont utilisés aux fins d’administration de l’Orientation pourrait poser des risques d’atteinte à la vie privée (par exemple, un suivi intrusif).
  2. L’approche de surveillance de la conformité à l’Orientation qu’adopte une institution devrait cadrer avec les principes de nécessité et de proportionnalité, et l’institution devrait utiliser les moyens qui portent le moins atteinte à la vie privée dont elle dispose pour vérifier la conformité au mandat de l’Orientation.
  3. Pour aider les institutions à examiner la nécessité et la proportionnalité, le Commissariat encourage l’utilisation d’un test en quatre volets qui invite les institutions à se poser des questions précises lorsqu’elles mettent en place des programmes et des services pouvant porter atteinte à la vie privéeNote de bas de page 67. L’enquête du Commissariat a révélé que le SCT a tenu compte de ces principes importants lorsqu’il a adopté son approche de surveillance de la conformité à l’exigence de présence sur place.
  4. Afin de répondre à l’exigence de l’Orientation d’établir un régime de vérification, le SCT a adopté une approche favorable à la protection de la vie privée pour évaluer la conformité organisationnelle. Lorsqu’il a élaboré le tableau de bord général, le SCT a évalué les renseignements personnels sous son contrôle pour déterminer ceux qui sont nécessaires et directement liés aux objectifs de vérification de la conformité organisationnelle au modèle de travail hybride et de production de rapports sur la conformité.
  5. Lors de son évaluation, le SCT a i) examiné les fins auxquelles les données sont recueillies et leur pertinence par rapport à l’élaboration du tableau de bord, ii) cherché à déterminer si la collecte des renseignements personnels est directement liée et nécessaire aux objectifs de surveillance des régimes de travail hybride et de production de rapports à ce sujet, et iii) pris en compte la sensibilité des données et les mesures mises en place pour protéger la vie privée des employés.
  6. De plus, le SCT a mis en œuvre des mesures de protection de la vie privée (l’agrégation de données), des pratiques exemplaires reconnues (une taille minimale de cellules) et des contrôles stricts pour protéger et limiter l’accès aux renseignements personnels des employés et pour atténuer les risques d’atteinte à la vie privée des employés. Le SCT a indiqué qu’il demeure déterminé à veiller au respect de la vie privée des employés, tout en aidant la haute direction à surveiller les régimes de travail hybride d’une manière proportionnée, transparente et conforme aux obligations applicables en matière de protection de la vie privée.
  7. Dans l’ensemble, le Commissariat a conclu que le fait de tenir compte des principes clés de protection de la vie privée a aidé le SCT à utiliser un outil portant moins atteinte à la vie privée pour évaluer la conformité organisationnelle (le tableau de bord général) et atteindre les objectifs du mandat de l’Orientation. Du point de vue de la nécessité et de la proportionnalité, nous concluons que le SCT a tenu compte de façon raisonnable des besoins opérationnels et du respect du droit à la vie privée des personnes à l’échelle organisationnelle.
  8. Au niveau de la direction, le Commissariat a déterminé que, principalement, les gestionnaires avaient recours à l’observation directe et utilisaient les renseignements déclarés par les employés pour assurer la conformité au mandat de l’Orientation. À son avis, il s’agit des méthodes portant le moins atteinte à la vie privée. Conformément aux directives du SCT, un examen détaillé des renseignements personnels des employés est entamé seulement lorsqu’un problème précis est cerné et une fois que l’équipe des Relations de travail a été avisée. Le Commissariat est convaincu que les gestionnaires du SCT ont mis en œuvre une approche proportionnelle axée sur la protection de la vie privée pour veiller à ce que l’Orientation soit appliquée de façon efficace et responsable, tout en respectant le droit à la vie privée des employés.

Examens d’Évaluations des facteurs relatifs à la vie privée (EFVP)

  1. À l’heure actuelle, l’EFVP est le processus en place le plus exhaustif pour évaluer l’incidence d’une initiative précise sur la vie privée des individus. Elle représente un élément essentiel du cadre de conformité en matière de protection de la vie privée d’une institution. Lorsqu’elles sont effectuées adéquatement et approuvées avant le lancement d’une initiative, les EFVP peuvent aider les institutions à respecter les exigences prévues par la Loi ainsi qu’à gérer ou à atténuer les risques sur la vie privée. Les EFVP sont un moyen éprouvé d’atténuer les risques d’atteinte à la vie privéeNote de bas de page 68.
  2. Il est obligatoire de réaliser une EFVP pour les activités ou les programmes nouveaux ou considérablement modifiés qui concernent des renseignements personnels utilisés à des fins administratives ou ont recours à de nouvelles technologies, ou qui comportent des risques particuliers. Une EFVP peut servir de système d’alerte précoce permettant de cerner, d’évaluer et d’atténuer les risques d’atteinte à la vie privée liés à l’administration du mandat de l’Orientation et à la surveillance de la présence sur place pour veiller à ce que les pratiques de traitement des données soient conformes aux obligations prévues par la loi et relatives à la protection de la vie privée. Comme l’adoption de méthodes de surveillance de la présence sur place, surtout celles qui nécessitent d’effectuer un suivi systémique ou proactif des données individuelles ou d’utiliser des outils potentiellement intrusifs, constituerait un changement dans la façon dont les renseignements personnels sont traités, une EFVP devrait être réaliséeNote de bas de page 69.
  3. L’approche actuelle de surveillance de la présence sur place du SCT s’appuie sur les sources de données existantes pour générer des tableaux de bord agrégés destinés à la haute direction et n’utilise qu’un minimum de renseignements personnels pour vérifier la conformité et en rendre compte. Le SCT affirme ne pas avoir réalisé d’EFVP pour son régime de vérification, car son approche cadre avec l’Orientation et les directives connexes sur la protection de la vie privée et ne nécessite pas de recueillir ni d’utiliser des renseignements personnels autres que ceux dont la collecte et l’utilisation sont autorisées par le cadre stratégique actuel.
  4. L’examen effectué par le Commissariat a permis de constater que le cadre actuel du SCT est respectueux de la vie privée et permet de bien tenir compte des objectifs opérationnels du SCT et de la protection de la vie privée des employés. Par conséquent, il n’est pas nécessaire d’effectuer une EFVP.

Conclusions et constatations

  1. L’enquête du Commissariat visait à déterminer si le SCT respecte les exigences de la Loi relatives à la mise en œuvre du mandat de l’Orientation. Pour ce faire, le Commissariat a notamment évalué la conformité du SCT aux articles 4 (collecte), 6 (conservation et retrait), et 7 et 8 (usage et communication) de la Loi. Il a également tenu compte des principes clés de protection de la vie privée et de l’exigence prévue par les politiques de réaliser une EFVP. Le Commissariat a tiré les conclusions clés suivantes :

    Conformité organisationnelle

    1. Pour produire un tableau de bord général agrégé destiné à la haute direction et utilisé pour évaluer la conformité organisationnelle à l’exigence de présence sur place, le SCT utilise i) les données des tourniquets, ii) les renseignements figurant dans les ententes de travail, iii) les données figurant dans MesRHGC et iv) les données figurant dans l’outil de prévision des salaires. Le SCT recueille déjà ces données et est autorisé à le faire par les dispositions législatives existantes, notamment les articles 7 et 11 de la Loi sur la gestion des finances publiques. La collecte de ces données est directement liée aux activités ou aux programmes du SCT, notamment les activités concernant la sécurité et la gestion des RH, comme l’exige l’article 4 de la Loi.
    2. Le SCT recueille ces données uniquement à des fins statistiques (la production des rapports agrégés), et les renseignements ne sont pas utilisés pour prendre des décisions qui touchent les employés individuellement. Les renseignements personnels utilisés à des fins non administratives n’entraînent pas l’application des obligations de conservation énoncées au paragraphe 6(1) de la Loi. Le SCT retire ces renseignements personnels lorsqu’ils ne sont plus nécessaires aux fins de production de rapports sur la conformité (dans les trois mois suivant leur utilisation), conformément à son calendrier établi de conservation et de retrait et à ses obligations prévues au paragraphe 6(3).
    3. L’utilisation de ces données par le SCT pour vérifier la conformité organisationnelle à l’Orientation et en rendre compte cadre avec les fins initiales pour lesquelles les renseignements ont été recueillis et est donc autorisée au titre de l’alinéa 7a) de la Loi, ce qui signifie que les renseignements peuvent être utilisés sans le consentement des individus concernés.
    4. En ce qui concerne la communication du tableau de bord à la haute direction, la mise en œuvre par le SCT de mesures de protection de la vie privée, y compris l’agrégation des données, réduit suffisamment le risque de réidentification. Nous estimons qu’il n’existe aucune possibilité sérieuse que les renseignements du tableau de bord puissent servir à identifier des employés. Par conséquent, nous considérons que ces renseignements sont des renseignements à caractère non personnel auxquels la Loi ne s’applique pas.

    Surveillance de la conformité individuelle

    1. Dans l’ensemble, nous avons déterminé que les gestionnaires s’acquittent de leurs responsabilités en connaissant les obligations en matière de protection de la vie privée. Pour vérifier la conformité individuelle, les gestionnaires effectuent des analyses et tiennent compte des déclarations des employés (par exemple, des ententes de travail autodéclarées). En cas de non-respect présumé de l’exigence de présence sur place, les gestionnaires examinent d’abord comment aborder la question avec l’employé et communiquent avec l’équipe des Relations de travail pour obtenir des conseils, au besoin. Pour les questions qui nécessitent un examen détaillé des renseignements personnels des employés (par exemple, dans le cadre d’une enquête officielle), les gestionnaires suivent les processus établis par les Relations de travail pour assurer le respect de la vie privée. Le SCT atténue les risques d’atteinte à la vie privée en fournissant aux gestionnaires une souplesse et un pouvoir discrétionnaire dans le cadre du mandat de l’Orientation grâce à des ressources ministérielles (des foires aux questions) et à des directives qui décrivent la collecte et l’utilisation acceptables et responsables des renseignements personnels pour surveiller la conformité à l’exigence de présence sur place. Dans le cadre de l’enquête, nous n’avons trouvé aucun élément de preuve suggérant que des renseignements personnels ont été recueillis, utilisés ou communiqués par des gestionnaires en violation de la Loi.

    Principes clés de protection de la vie privée et exigences liées aux politiques

    1. En ce qui concerne l’ouverture et la transparence, le SCT a annoncé sa mise en œuvre des exigences de l’Orientation, ainsi que les modifications qui ont été apportées aux FRP ordinaires qu’il utilise pour administrer l’Orientation, grâce à diverses méthodes de communication pendant la transition vers le modèle de travail hybride mis à jour (par exemple, des courriels de la part de la haute direction). Cependant, notre examen a révélé que la description du FRP FRP POU 907 (Contrôles d’accès physique) ne précise pas explicitement que les registres d’accès peuvent être utilisés dans le cadre d’enquêtes officielles liées à la conformité à l’Orientation. De plus, le SCT n’a pas clairement indiqué aux employés que cette utilisation était possible. Nous encourageons le SCT à mettre à jour les descriptions en conséquence.
    2. Du point de vue de la nécessité et de la proportionnalité, l’approche d’évaluation de la conformité organisationnelle qu’utilise le SCT (c’est-à-dire tableau de bord agrégé) permet d’atteindre les objectifs du mandat de l’Orientation, sans poser un risque inutile pour la vie privée des employés. Dans l’ensemble, nous avons déterminé que la prise en compte de plusieurs mesures favorables à la protection de la vie privée a aidé le SCT à tenir compte de façon raisonnable des besoins opérationnels visant à assurer la conformité à l’Orientation et du respect du droit à la vie privée des employés. Le Commissariat est convaincu que les gestionnaires du SCT ont mis en œuvre une approche proportionnelle axée sur la protection de la vie privée pour veiller à ce que l’Orientation soit appliquée de façon efficace et responsable, tout en respectant le droit à la vie privée des employés.
    3. Le SCT n’a pas réalisé d’EFVP pour son régime de vérification, car son approche cadre avec l’Orientation et les directives connexes sur la protection des renseignements personnels et ne nécessite pas de recueillir ni d’utiliser des renseignements personnels autres que ceux dont la collecte et l’utilisation sont autorisées par le cadre stratégique actuel. Le SCT s’appuie sur les sources de données existantes pour générer des tableaux de bord agrégés destinés à la haute direction et n’utilise qu’un minimum de renseignements personnels pour vérifier la conformité et en rendre compte.
  1. À la lumière de ce qui précède, le Commissariat a conclu que les pratiques de collecte, de conservation, de retrait, d’utilisation et de communication des renseignements personnels du SCT liées à l’administration du mandat de l’Orientation respectent les exigences de la Loi. Par conséquent, le Commissariat conclut que la plainte n’est pas fondée.
Date de modification :