Sélection de la langue

Recherche

Conférence sur la vie privée au travail

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Lancaster House

Le 29 mai 2003
Vancouver, Colombie-Britannique

George Radwanski
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


J'aimerais vous entretenir aujourd'hui du sens et de l'importance de la vie privée, ainsi que du défi que pose la protection de la vie privée au travail. J'expliquerai comment la Loi sur la protection des renseignements personnels et les documents électroniques (la LPRPDE) du gouvernement fédéral protège la vie privée et je comparerai cette loi avec le projet de loi 38 (Loi sur la protection des renseignements personnels) du gouvernement de la C.-B.

Le droit humain fondamental à la vie privée revêt une importance cruciale du point de vue des libertés qui définissent notre société. On dit souvent que le droit à la vie privée est le « droit dont découlent toutes les libertés ». Le droit à une sphère privée de pensée et d'action constitue le fondement de la liberté de parole, de la liberté de conscience, de la liberté d'association et d'à peu près n'importe quelle autre liberté à laquelle vous pourriez songer.

J'ai souvent dit que la vie privée sera l'enjeu déterminant de la présente décennie. Cette conviction, je l'ai acquise il y a longtemps, bien avant ma nomination au poste de commissaire à la protection de la vie privée. Cependant, elle m'apparaît maintenant plus profonde que jamais.

L'élément qui m'a convaincu initialement, c'est la technologie. Notre vie privée était protégée plus ou moins par défaut. Lorsque les renseignements qui nous concernaient étaient contenus dans des documents imprimés, disséminés à divers endroits, il fallait beaucoup de travail pour recueillir des renseignements au sujet d'une personne, avec le résultat que personne n'était vraisemblablement en mesure de rassembler des renseignements détaillés à votre sujet, à moins que vous ne fussiez célèbre ou que vous n'eussiez commis un crime notoire.

La technologie de l'information a transformé tout cela en éliminant la protection par défaut qui existait. Désormais, un étranger assis devant son ordinateur peut constituer un dossier détaillé à votre sujet en l'espace de quelques minutes.

Telle était la situation, lorsque j'ai accédé au poste de commissaire à la protection de la vie privée du Canada, en 2000. Peu de temps après, les attaques du 11 septembre 2001 aux États-Unis ont ajouté un nouvel élément à la dynamique, faisant de la vie privée, plus que jamais, l'enjeu déterminant de la décennie.

Le double choc que constituaient la frappe directe en sol américain et le nombre ahurissant de victimes a fait naître au sein de la population et des gouvernements un sentiment d'extrême vulnérabilité, ainsi que la détermination d'empêcher que cela se reproduise.

Il en a résulté un mélange explosif - et pour la vie privée, un mélange potentiellement dangereux : une population apeurée, des gouvernements en proie à l'anxiété et des organismes zélés chargés de l'application de la loi et de la sécurité en quête de moyens de prévenir de nouvelles attaques terroristes.

Ils ont à leur disposition un arsenal technologique susceptible de détruire la vie privée telle que nous la connaissons - surveillance vidéo, biométrie, surveillance des communications Internet et autres communications, bases de données informatiques sur toutes sortes de sujets allant de nos habitudes d'achat à nos habitudes de lecture en passant par nos destinations de voyage et les personnes avec qui nous voyageons.

Voilà notre situation actuelle. Voilà la situation à laquelle notre vie privée est confrontée : tant l'État que les sociétés privées disposent de ressources technologiques qui rendent possibles des intrusions inimaginables dans la vie privée des gens.

Le milieu de travail a été lui aussi en proie à ces changements.

Des technologies comme celles qui permettent de surveiller tout ce que nous tapons à notre ordinateur, le dépistage antidrogue et les alcootests, ainsi que la surveillance des communications téléphoniques et électroniques et des communications sur le Web, ébranlent les fondements de la vie privée au travail depuis des années.

Cependant, les événements du 11 septembre ont accéléré ces tendances tout en fournissant de nouvelles justifications au recours à la technologie. Aux yeux de certaines personnes, il semblait impératif que les employeurs et à la limite les organismes chargés de l'application de la loi et de la sécurité obtiennent le plus de renseignements possible au sujet de leurs employés, notamment d'où ils viennent et de ce qu'ils font au travail et après le travail. La surveillance était non seulement quelque chose à la mode, mais aussi quelque chose de patriotique. D'énormes pressions étaient exercées en vue de vérifications des antécédents et d'attestations sécuritaires - dont la portée était auparavant limitée et qui n'étaient jusque-là exigées que pour des postes sensibles - de façon à ce qu'on puisse creuser davantage et ratisser plus large qu'auparavant.

Dans notre milieu de travail comme ailleurs dans notre société, notre réponse à cette menace sans précédent à la vie privée déterminera non pas seulement le genre de société dans lequel nous vivrons, mais aussi le genre de société que nous laisserons en héritage à nos enfants et à nos petits-enfants.

Heureusement, nous disposons déjà, au niveau fédéral, d'un excellent régime de protection des renseignements personnels, dont les origines remontent à une vingtaine d'années, avec l'adoption de la Loi sur la protection des renseignements personnels, qui régit les pratiques des institutions gouvernementales concernant les renseignements personnels. Toutefois, notre régime est vraiment devenu ce qu'il est aujourd'hui grâce à la Loi sur la protection des renseignements personnels et les documents électroniques, que le parlement a adoptée en 2000 et qui est entrée en vigueur le 1er janvier 2001.

Notre régime de protection de la vie privée était bien en place lorsque les attaques du 11 septembre ont bouleversé le paysage de la protection de la vie privée. Depuis lors, il a servi de rempart contre les intrusions indues et injustifiées dans la vie privée au nom de la sécurité.

La LPRPDE, comme nous appelons, établit un équilibre entre les droits individuels à la vie privée et le besoin des organisations de recueillir, d'utiliser et de communiquer des renseignements personnels. Voici à quoi ressemblent les grandes lignes de la Loi du point de vue de l'emploi :

Si une organisation visée par la Loi veut recueillir, utiliser ou communiquer des renseignements personnels concernant des employés, elle doit obtenir leur consentement, sauf dans quelques circonstances bien précises et limitées.

Une organisation peut communiquer des renseignements personnels qui concernent des employés à la seule fin pour laquelle ceux-ci ont donné leur consentement au moment de la collecte.

Même avec le consentement des intéressés, l'organisation doit limiter la collecte, l'utilisation et la communication des renseignements personnels aux fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

Les employés ont le droit de voir les renseignements personnels que l'employeur détient à leur sujet, et d'en corriger les inexactitudes.

Il existe un droit de regard, que j'exerce avec le Commissariat, pour veiller au respect de la Loi et demander réparation en cas de violation des droits des employés.

À l'heure actuelle, la Loi s'applique à tous les renseignements personnels, y compris les renseignements personnels sur la santé, qui sont recueillis, utilisés ou communiqués dans le cadre d'activités commerciales par les installations, ouvrages, entreprises et secteurs d'activité fédéraux. Il s'agit essentiellement des banques, des compagnies aériennes, des sociétés de télécommunications, des radiodiffuseurs et des sociétés de transport. La Loi s'applique également aux renseignements personnels détenus par les organisations sous réglementation provinciale lorsqu'ils sont vendus, loués ou échangés à l'extérieur de la province ou du pays.

À compter du 1er janvier 2004, la Loi s'appliquera aux activités commerciales qui sont normalement de compétence provinciale, sauf dans les provinces qui se seront dotées d'une législation essentiellement similaire. Toutefois, l'emploi ne sera pas visé par ce changement. Le seul endroit où la Loi s'appliquera à l'emploi sera les installations, ouvrages, entreprises ou secteurs d'activité fédéraux, et cette situation ne changera pas en 2004, peu importe ce que les provinces font ou ne font pas.

Un des éléments très importants de la Loi est le critère de la personne raisonnable, c'est-à-dire l'exigence voulant qu'une organisation limite la collecte, l'utilisation et la communication des renseignements personnels aux fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

En raison de cette exigence, la Loi constitue une nette amélioration par rapport à bien d'autres lois et codes de pratiques visant la protection de la vie privée, y compris le Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation, lequel est incorporé à la Loi.

Le Code type constituait un pas géant sur le plan de la protection de la vie privée au Canada. Il constitue un bon fondement de la LPRPDE. Toutefois, le Code comporte un élément de circularité. Les organisations doivent définir les fins auxquelles elles recueillent, utilisent et communiquent les renseignements personnels et traiter ceux-ci conformément aux fins qui ont été définies. Le hic, c'est qu'il n'y a pas de restrictions quant à la nature de ces fins.

Un des réels progrès qui découle de la Loi réside dans l'exclusion de la protection de la vie privée de ce modèle circulaire. Il ne suffit pas que les organisations définissent et indiquent les fins qu'elles poursuivent, ou qu'elles s'en tiennent aux fins déclarées. Les fins proprement dites doivent être raisonnables.

Cet aspect est particulièrement important du point de vue de la protection de la vie privée dans le milieu de travail, où le consentement est problématique. En règle générale, le consentement est au cour de la protection de la vie privée. C'est grâce au droit de consentement que l'individu exerce un contrôle sur les renseignements personnels qui le concernent.

Dans un milieu de travail, la question du consentement est délicate parce que les parties ne sont pas sur un pied d'égalité. Les relations que les employés ont avec leur employeur ne se comparent pas à celles qu'ils ont avec leurs banquiers ou leurs revues favorites. L'employeur peut faire du consentement à la collecte, à l'utilisation ou à la communication de renseignements personnels une condition d'embauche ou de maintien en poste, tant et si bien que le consentement peut devenir une simple formalité.

C'est la raison pour laquelle le critère de la personne raisonnable sur lequel est fondée l'application de la LPRPDE devient si important. On peut légitimement faire du consentement à la collecte, à l'utilisation ou à la communication raisonnable des renseignements personnels qui vous concernent une condition d'emploi. Un employeur a besoin de certains renseignements, sans lesquels la relation d'emploi ne peut fonctionner. Ainsi, une personne raisonnable jugera acceptable que l'employeur connaisse le numéro d'assurance sociale d'un employé, son âge aux fins de la pension, et ainsi de suite. Une personne raisonnable ne considérera pas acceptable, dans la plupart des cas, que l'employeur s'intéresse à sa religion ou à son orientation sexuelle, par exemple.

Permettez-moi de puiser à même les cas dont j'ai été saisi quelques exemples qui illustrent les limites du consentement et la valeur du critère de la personne raisonnable dans le contexte de l'application de la Loi.

Les employés d'une installation de produits nucléaires se sont plaints à moi du fait que la société exigeait qu'ils consentent à la collecte de renseignements personnels, plus particulièrement à un contrôle sécuritaire. On leur a dit que s'ils ne donnaient pas leur consentement, ils perdraient leur emploi ou seraient mutés.

Autrement dit, le consentement était obligatoire. Comme je l'ai dit, l'employeur peut légitimement faire du consentement une condition d'emploi, mais ce, uniquement s'il s'agit d'un consentement à quelque chose de raisonnable et d'approprié.

Par conséquent, la question était de savoir si une personne raisonnable jugerait nécessaire dans les circonstances que la société recueille auprès de ses employés des renseignements personnels aux fins d'un contrôle sécuritaire ?

La société détient un permis délivré par la Commission canadienne de sûreté nucléaire (CCSN). Sans ce permis, elle ne peut produire de combustibles nucléaires.

En novembre 2001, la CCSN a exigé que ses titulaires de permis ne permettent à quiconque ne détenant pas d'attestation de sécurité d'entrer ou de rester dans une installation autorisée.

La société a informé ses employés de cette exigence et leur a distribué un formulaire de consentement. L'agent de négociation a négocié une convention en vertu de laquelle tout employé qui n'obtiendrait pas l'attestation de sécurité voulue pourrait être muté à une autre division, et ce, pas nécessairement au même niveau de travail.

Les plaignants ont fait valoir que leur consentement à la collecte des renseignements qui les concernaient n'était pas vraiment volontaire, étant donné qu'ils risquaient de perdre leur emploi s'ils ne donnaient pas leur consentement.

Ma conclusion dans ce cas-là a été qu'une personne raisonnable jugerait acceptable dans les circonstances que la société recueille ces renseignements personnels auprès de ses employés.

Devant la crainte que des actes de terrorisme soient commis dans des installations nucléaires, il était raisonnable que la CCSN impose à ses titulaires de permis des exigences accrues en matière de sécurité.

Et il était raisonnable que la société se conforme à l'exigence de la CCSN, à défaut de quoi elle aurait perdu son permis de produire des combustibles nucléaires, ce qui, bien sûr, aurait pu entraîner la mise à pied des plaignants.

L'employeur avait fait du consentement une condition d'emploi, mais il s'agissait de consentir à quelque chose de raisonnable, à quelque chose qui, dans ce cas particulier, était une condition absolue de la relation d'emploi, au même titre que le nom ou le numéro d'assurance sociale.

Dans le cas d'une autre plainte, le contexte était semblable mais l'issue a été différente.

Un pilote d'un avion de ligne commerciale était tenu de suivre une formation sur simulateur de vol aux États-Unis. Il m'a adressé une plainte au sujet du formulaire d'autorisation que son employeur lui avait demandé de signer à ce sujet.

L'employeur du plaignant avait signé un contrat avec une école de formation sur simulateur de vol aux États-Unis.

À la suite des attaques du 11 septembre, le gouvernement américain a exigé que toutes les sociétés américaines de simulateurs de vol fassent signer par les étudiants non américains un formulaire autorisant le Département de la justice à recueillir des renseignements au sujet de leur demande d'entraînement au vol. Ces renseignements pourraient émaner de toute source pertinente et comprendre des informations biographiques ou financières, liées à l'application de la loi ou au renseignement. Ils pourraient être communiqués à tout individu ou entité susceptible de disposer de renseignements au sujet de la demande.

Le formulaire en question avait nettement de quoi inquiéter. Il ne fournissait pas suffisamment de renseignements sur les fins de la collecte et de la communication des renseignements personnels. Il n'imposait pas non plus de restrictions en ce qui touche la collecte et la communication des renseignements personnels. À vrai dire, il ne respectait pas les principes équitables en matière d'information.

Était-il raisonnable et acceptable qu'une société de transport aérien exige que ses pilotes signent un tel formulaire, à défaut de quoi ils risquaient de perdre leur emploi ?

La société aurait pu faire d'autres arrangements en ce qui touche la formation, mais elle a décidé de ne pas le faire en raison de problèmes de coût et de logistique. Dans les faits, il ne s'agissait pas de problèmes excessifs ou insurmontables. Toutefois, afin de réduire au minimum ses coûts et les inconvénients sur le plan de la formation, la société exigeait que ses pilotes consentent à des pratiques de collecte et de communication qui contrevenaient nettement à la législation canadienne. Par conséquent, le plaignant était confronté au dilemme suivant : ou il consentait à faire quelque chose qui constituait manifestement une atteinte à ses droits à la vie privée, ou il perdait sa certification professionnelle.

Cette pratique était d'autant plus inacceptable que la fin pour laquelle le formulaire devrait être rempli, à savoir améliorer la sécurité aux États-Unis, aurait pu être atteinte sans contrevenir à la législation canadienne.

Les pilotes canadiens sont assujettis aux exigences qui existent au Canada en matière de contrôle sécuritaire. S'ils détiennent une attestation de sécurité, il n'y a pas de raison qu'ils doivent consentir à des pratiques inacceptables de collecte et de communication de renseignements, à la demande d'un gouvernement étranger. Une personne raisonnable ne jugerait pas cela approprié. J'ai recommandé à la société aérienne en question de prendre les dispositions voulues pour que le plaignant reçoive sa formation sans qu'on porte atteinte à sa vie privée.

Permettez-moi maintenant de comparer, du point de vue de l'application aux renseignements personnels concernant des employés, la LPRPDE et le projet de loi 38 (Loi sur les renseignements personnels) que le gouvernement de la C.-B. propose pour le secteur privé.

Je suis heureux de constater que le gouvernement de la C.-B. ne prend pas à la légère la protection de la vie privée. Toutefois, s'il veut que cette loi puisse être considérée comme essentiellement similaire à la LPRPDE, il faudra qu'il y apporte certaines modifications importantes.

Sous sa forme actuelle, le projet de loi est nettement inférieur à la LPRPDE. Cela est particulièrement évident lorsqu'on examine les dispositions concernant la protection des renseignements personnels dans le contexte de l'emploi.

Le projet de loi 38 autorise expressément la collecte, l'utilisation et la communication de renseignements personnels sans le consentement des intéressés, ce qui revient à priver complètement un employé actuel ou éventuel de tout contrôle sur les renseignements qui le concernent.

Comme je l'ai dit, le consentement est problématique dans un contexte d'emploi. Cependant, « problématique » ne signifie pas pour autant « superflu ». Bien que le critère de la personne raisonnable énoncé dans la LPRPDE constitue une solution pratique aux problèmes du consentement en milieu de travail, vous devriez vous méfier grandement des prétentions des imitateurs.

Le projet de loi 38 exige que la collecte, l'utilisation ou la communication de renseignements personnels qui concernent des employés soient raisonnables aux fins de l'établissement, de la gestion ou de la cessation d'une relation d'emploi. À première vue, cela semble ressembler beaucoup au critère de la personne raisonnable. On serait peut-être tenté de dire : « Bien! des renseignements personnels concernant des employés peuvent être recueillis, utilisés ou communiqués sans leur consentement, mais il faut que ce soit pour une fin raisonnable. Par conséquent, où est le problème ? »

Le problème, c'est qu'il s'agit là d'un régime nettement inférieur à celui que nous avons mis en place à l'échelon fédéral.

Il est toujours possible de soutenir que toute intrusion dans la vie privée des employés est « raisonnable » aux fins d'établir, de gérer ou de mettre fin à une relation d'emploi. Aucun employeur ne prétendra le contraire et, en fait, aucun employeur sensé ne se donnera la peine de recueillir des renseignements qu'il ne juge pas vraiment raisonnables. Toutefois, ce qui est raisonnable pour quelqu'un ne l'est pas nécessairement aux yeux de quelqu'un d'autre.

Un employeur pourrait estimer raisonnable de recueillir et de communiquer des renseignements sur la santé, la religion ou l'orientation sexuelle d'un employé. Le projet de loi 38 permettrait de faire cela sans consentement. Bien sûr, l'employé pourrait se plaindre a posteriori que cette pratique n'était pas raisonnable, mais il reste que des renseignements extrêmement délicats auraient déjà été recueillis et communiqués. Et une fois qu'il y a eu atteinte à la vie privée, il est impossible de réparer les pots cassés.

Par contraste, la LPRPDE exigerait que l'employeur obtienne le consentement de l'employé pour recueillir et communiquer ce genre de renseignements.

Supposons que l'employé refuse de donner son consentement. L'employeur pourrait être prêt à faire du consentement une condition de son maintien en poste. L'employé pourrait s'y opposer. Il pourrait, par exemple, recourir à la procédure de règlement des griefs ou présenter une plainte au Commissariat.

La question de savoir si la demande de l'employeur est raisonnable ou non serait tranchée d'une façon ou d'une autre, mais l'idée est que les renseignements ne seraient recueillis ni communiqués que dans le cas où l'employé aurait donné son consentement. L'employé continuerait d'exercer un contrôle sur les renseignements personnels qui le concernent. Dans l'éventualité où l'employé serait prêt à risquer son emploi pour préserver des renseignements personnels au sujet de son état de santé, de ses convictions religieuses ou de son orientation sexuelle, ce choix serait respecté - et les renseignements qui le concernent demeureraient confidentiels.

En résumé, la protection dont jouiraient les employés en vertu du projet de loi 38 serait de beaucoup inférieure à celle dont bénéficient les employés assujettis à la LPRPDE.

Il convient de noter que la LPRPDE s'applique depuis maintenant plus de deux ans aux employeurs dans quelque 15 000 installations, ouvrages, entreprises ou secteurs d'activité fédéraux et que cette situation n'a pas empêché ces entreprises de gérer efficacement leur main-d'ouvre.

Par ailleurs, les dispositions du projet de loi 38 pourraient se révéler un cauchemar du point de vue de la gestion, car elles élimineraient le dialogue employeur-employé qui est inhérent au modèle fondé sur le consentement. Les désaccords entre la direction et les employés au sujet des renseignements personnels mèneraient inévitablement à l'affrontement et donneraient lieu à des griefs ou à des plaintes a posteriori. Lorsque la première étape pour la direction consiste à demander le consentement de l'employé, il existe ipso facto un cadre de consultation.

Le projet de loi pose d'autres problèmes. Je n'ai pas le temps d'exposer tous ces problèmes. Aussi je m'en tiendrai à ceux qui sont les plus manifestes.

Les garanties inhérentes au projet de loi ne s'appliqueraient pas aux renseignements personnels qui auraient été recueillis avant son adoption. Autrement dit, il ne serait pas nécessaire d'obtenir le consentement des employés pour utiliser ou communiquer des renseignements qui ont déjà été recueillis.

C'est là une très grave lacune. Par contraste, la LPRPDE n'établit pas de distinction entre les renseignements personnels recueillis avant et après son entrée en vigueur. Pour utiliser ou communiquer des renseignements recueillis avant l'entrée en vigueur de la Loi, les organisations doivent obtenir le consentement de l'employé. C'est aussi simple que cela.

Par conséquent, le projet de loi est une excellente initiative, mais celle-ci ne va pas assez loin. Les renseignements personnels des employés et ceux qui sont fournis dans le cadre d'activités commerciales méritent d'être mieux protégés. Le « droit dont découlent toutes les libertés » doit être considéré comme hautement prioritaire et être extrêmement bien protégé, ce qui n'est pas le cas avec ce projet de loi.

Néanmoins, légiférer n'est pas la seule façon d'assurer la protection de la vie privée. Quelle que soit la loi à laquelle ils sont soumis dans le milieu de travail, les employeurs, les employés et les agents de négociation devraient voir la vie privée dans une optique générale et fonctionnelle. Le milieu de travail peut être respectueux de la vie privée. Il est possible de tenir compte, dans la gestion des dossiers des employés, des principes qui régissent les pratiques équitables en matière d'information. Les politiques concernant la surveillance des employés peuvent être soigneusement conçues et balisées. Les relations d'emploi et de travail peuvent être fondées sur le respect de la liberté et de l'autonomie de l'individu.

S'ils abordent la question dans cette optique, ils constateront que le respect du le droit humain fondamental qu'est le droit à la vie privée et la solution permettant de créer une organisation forte, vigoureuse et compétitive.

Signaler un problème ou une erreur sur cette page
Erreur 1: Aucune sélection n’a été faite. Vous devez choisir au moins une réponse.
Veuillez cocher toutes les réponses pertinentes (obligatoire) :

Remarque

Date de modification :