Les nouvelles technologies et la protection des renseignements personnels

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires à l’occasion de la conférence annuelle de l’Association of Labour Relations Agencies

Le 26 juillet 2010
Ottawa (Ontario)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Je suis ravie d’être ici aujourd’hui en compagnie d’éminents spécialistes.

J’aimerais tout d’abord rendre hommage à l’Association of Labour Relations Agencies pour avoir choisi un thème, soit les nouvelles technologies et la protection des renseignements personnels, qui est d’une importance capitale pour tant de Canadiennes et de Canadiens.

J’aimerais traiter le sujet de différents points de vue.

Le premier est celui des poursuites devant les tribunaux administratifs, qui portent souvent sur des questions de relations de travail, et l’opération délicate qui consiste à maintenir un équilibre entre transparence et protection des renseignements personnels à l’ère d’Internet.

J’aborderai ensuite brièvement certains autres travaux réalisés par le Commissariat dans le secteur de la protection des renseignements personnels au travail.

La protection des renseignements personnels et les tribunaux administratifs

Notre système juridique repose sur le principe fondamental de l’administration équitable de la justice. La transparence est essentielle à un traitement équitable. Morris Fish, juge à la Cour suprême du Canada, a fait remarquer que « dans tout environnement constitutionnel, l’administration de la justice s’épanouit au grand jour — et s’étiole sous le voile du secret ».

Je suis d’accord.

Je dirais cependant que la principale source de tension se trouve entre la transparence et le secret, et non entre la transparence et la vie privée.

En effet, la vie privée peut et doit être préservée, même dans la poursuite d’autres impératifs, notamment le renforcement de la confiance qu’accorde la population à la légitimité du processus juridictionnel et à la responsabilité de ses participants.

Le Commissariat a étudié la question du point de vue des tribunaux administratifs fédéraux et des organismes quasi judiciaires. Nous pouvions en effet difficilement passer à côté, compte tenu des nombreuses plaintes que nous avons reçues après que certains de ces organismes eurent publié en ligne leurs décisions, qui contenaient souvent des renseignements personnels de nature hautement délicate.

Répercussions technologiques

Pour vous présenter le point de vue du Commissariat, permettez‑moi de remonter dans le temps quelques instants.

Jusqu’à tout récemment, la transparence du système judiciaire était limitée par ce qu’on appelle parfois « l’obscurité pratique du papier ».

Machines à écrire, papier carbone, classeurs et téléphones à cadran servaient de filtres naturels pour contenir la circulation des renseignements.

Cependant, maintenant que tout peut se retrouver en ligne, les conséquences sur la protection de la vie privée sont colossales, et pas toujours positives.

L’accès en ligne illimité et non filtré satisfait notamment la curiosité malsaine.

En outre, l’exposition de l’information est tout sauf fugace : quel que soit l’endroit où l’information circule de nos jours, un enregistrement qui est, à tous égards, permanent, est créé, indépendamment de la volonté de l’auteur.

En définitive, nous devons nous demander s’il est juste de passer au crible des personnes, lorsque l’objectif principal de la transparence est précisément de demander des comptes à l’État.

Transparence des tribunaux administratifs

Pour étudier la transparence dans le contexte des tribunaux administratifs et autres organismes quasi judiciaires, il importe de garder à l’esprit que ces organismes diffèrent grandement des cours.

Les questions qui sont soumises à ces tribunaux sont de nature administrative, et non criminelle. Elles peuvent porter sur des affaires sans grande importance pour la société, comme un différend en milieu de travail ou une demande de prestations gouvernementales.

Par conséquent, la plupart des renseignements présentés à ces organismes sont de nature personnelle et délicate, notamment les salaires, les problèmes de santé physique et mentale, les descriptions détaillées de conflits avec un supérieur hiérarchique ou des allégations de méfait au travail.

On trouve également d’autres renseignements d’une pertinence douteuse, comme le nom des enfants des participants, les adresses domiciliaires ainsi que les dates et lieux de naissance.

Ces dernières années, le Commissariat s’est penché sur plusieurs dizaines de plaintes à propos de la publication en ligne de renseignements personnels par des tribunaux.

Par exemple, une Torontoise a été grandement consternée de trouver en ligne son nom, son adresse et les détails de son handicap, fournis dans le cadre d’un appel lié à sa pension d’invalidité.

Sans toutefois parler de transgression majeure, la publication de tels renseignements confidentiels peut s’avérer embarrassante, voire excessivement dommageable.

Une femme raconte par exemple que plusieurs années après la publication en ligne de la décision d’un tribunal concernant son dossier, elle a toujours de la difficulté à se trouver un emploi.

Et ce, malgré le fait que l’instance en question avait appliqué une technologie faisant en sorte qu’en cherchant dans Google, on ne trouve qu’un résumé grandement dépersonnalisé de la décision publiée. Le problème, c’est qu’en un clic de souris, la décision au complet s’affiche, révélant les noms et les renseignements personnels que le résumé cherchait à dissimuler. Qui plus est, une version mise en antémémoire de la décision au complet continue à circuler dans le cyberespace.

Enfin, voici ma dernière préoccupation : le risque de voir les renseignements personnels les concernant rendus publics pourrait dissuader les gens de faire valoir leurs droits dans le cadre d’une poursuite administrative. Il s’agit d’un obstacle majeur, bien que passif, à la justice.

Points à considérer relativement à la Loi sur la protection des renseignements personnels

Contrairement aux cours, les tribunaux sont soumis à la Loi sur la protection des renseignements personnels.

Cela ne signifie pas que la Loi doive être utilisée pour dissimuler des méfaits. La Loi confère aux tribunaux un pouvoir discrétionnaire quant à la publication de renseignements personnels s’il y a un intérêt d’ordre public réel et impératif de communiquer ces renseignements.

J’aimerais souligner que cette disposition a un seuil élevé. Elle n’est pas invoquée à juste titre s’il existe des options moins dommageables, comme le remplacement des noms par des initiales attribuées au hasard.

Lorsque les décisions sont dépersonnalisées de cette façon, tout le monde peut lire les décisions en ligne et en tirer des leçons, même si les renseignements personnels ne sont pas communiqués.

La Loi sur la protection des renseignements personnels autorise également la communication de renseignements personnels en vertu de toute autre loi ou de tout autre règlement, notamment la loi habilitante du tribunal même. Cependant, le Commissariat est d’avis que la communication doit être expressément autorisée; il ne suffit pas que la communication ne soit simplement pas interdite, ou que la loi ou le règlement reste muet sur ce point.

Nous voulons évidemment que le système quasi judiciaire soit responsable. Mais si, pour y arriver, les décisions doivent être publiées sur Internet, l’intégrité de la décision est assurément préservée, même en l’absence des noms et des renseignements personnels des parties.

L’absence de renseignements personnels superflus ne devrait pas gêner la tenue d’un débat public éclairé à propos de l’intégrité des poursuites administratives.

Directives du CPVP

À la suite de l’enquête du Commissariat, certains tribunaux ont consenti à dépersonnaliser les décisions qu’ils publient, laissant seulement l’information relative à ces décisions. Toutefois, d’autres continuent de publier les décisions au complet, dont certaines renferment beaucoup de renseignements personnels.

La Loi sur la protection des renseignements personnels ne nous autorise pas à présenter cette affaire devant les tribunaux pour obtenir des conseils supplémentaires.

Le Commissariat s’engage toutefois à établir des mesures de protection plus puissantes et plus uniformes pour les renseignements personnels de la population canadienne.

Nous avons donc travaillé avec des partenaires fédéraux et provinciaux pour élaborer des directives sur ce que les tribunaux administratifs devraient prendre en considération lorsqu’ils songent à publier leurs décisions sur Internet.

Ces directives, rendues publiques plus tôt cette année, invitent les tribunaux à faire preuve de transparence à propos des lois précises et autres règles qui régissent la gestion des renseignements personnels, avant et après les poursuites, et en ce qui concerne les décisions qu’ils finiront par publier.

Les tribunaux devraient informer les parties des mesures à prendre pour repérer et protéger les renseignements personnels avant l’audience publique. Par exemple, il n’y a, en règle générale, aucune raison de mentionner des données d’identification personnelle comme le numéro d’assurance sociale dans des présentations.

Les directives demandent aux tribunaux d’envisager, à titre de pratique exemplaire, si des versions dépersonnalisées et anonymes des décisions pourraient être une solution viable à la communication de l’ensemble des renseignements.

De plus, si les noms doivent figurer en ligne, nous recommandons aux tribunaux d’utiliser des protocoles d’exclusion des robots informatiques, de sorte que la décision n’apparaisse pas dans les résultats d’une simple recherche par nom dans Google.

La protection des renseignements personnels au travail

Délaissons les tribunaux administratifs pour nous pencher sur un autre domaine qui nous intéresse, à savoir la protection des renseignements personnels au travail. Je propose pour ce contexte d’aborder quelques‑unes des questions étudiées par le Commissariat ces dernières années :

  • le réseautage social en milieu de travail;
  • l’utilisation croissante d’appareils GPS pour surveiller les allées et venues des employés;
  • les technologies d’empreinte vocale pour vérifier l’identité des employés qui se connectent à distance aux ordinateurs de l’entreprise.

Réseautage social

Le réseautage social est sans contredit un outil puissant et omniprésent pour communiquer des idées et de l’information.

Si son acceptation au sein du secteur privé varie, au gouvernement, même le greffier du Conseil privé, qui voit là une façon pour les fonctionnaires d’établir des rapports entre eux et avec la population, l’adopte.

À l’instar de toute autre percée technologique, celle-ci est source de défis et d’occasions.

Au travail, par exemple, des problèmes de productivité se posent lorsque les employés utilisent les réseaux sociaux pour interagir avec leurs amis pendant les heures de travail. Le risque que des programmes malveillants et des virus infiltrent le réseau est encore plus élevé.

À cela s’ajoutent les questions liées à la protection de la vie privée : cette activité est‑elle surveillée? Dans l’affirmative, est‑ce fait ouvertement ou secrètement, et quelles sont les conséquences?

En outre, de nombreux problèmes se posent lorsque les employés utilisent les réseaux sociaux à l’extérieur du travail : les supérieurs hiérarchiques, par exemple, qui ont à l’œil ce que les employés disent à leur sujet, ou ce qu’ils font pendant leur temps libre.

Une recherche intéressante, financée par le Programme des contributions du Commissariat, réalisée par l’unité chargée de la protection de la vie privée et de la cybercriminalité de l’Université Ryerson, a confirmé l’existence d’un « fossé numérique » important, dont la faille réside entre les générations.

Les employés, qui sont souvent plus jeunes, croient en ce que la recherche a nommé la « confidentialité des réseaux »; les renseignements personnels sont considérés comme confidentiels pourvu qu’ils se limitent à leur réseau social.

En revanche, les patrons, qui sont souvent plus âgés, estiment que les renseignements publiés en ligne relèvent du domaine public et qu’ils n’ont droit à aucune protection.

Fiche d’information du CPVP

Un environnement électronique qui favorise la communication parce qu’il donne l’impression d’être intime, même lorsqu’il ne l’est manifestement pas, est source de malentendus.

C’est pourquoi le Commissariat a conçu une fiche d’information sur la protection des renseignements personnels et le réseautage social en milieu de travail.

La fiche d’information, qui se trouve sur notre site Web, rappelle aux employés que certaines organisations surveillent les sites de réseautage pour voir ce que les employés disent à leur sujet. En contexte de travail, les employés doivent également savoir que les renseignements les concernant peuvent être recueillis, utilisés et communiqués.

Les employeurs, quant à eux, doivent comprendre que surveiller leurs employés par l’intermédiaire de sites de réseautage personnels ou professionnels constitue une collecte de renseignements personnels qui pourrait être soumise à la loi sur la protection des renseignements personnels en vigueur dans leur pays.

Le Commissariat soutient que lorsque nous choisissons de communiquer des aspects de notre vie à d’autres personnes en ligne, nous ne renonçons pas à notre droit de contrôler nos renseignements personnels.

Les employés ont droit à leur vie privée. La plupart du temps, ce qu’ils font pendant leur temps libre ne regarde aucunement leur supérieur hiérarchique.

Cependant, il convient également de rappeler aux employés qu’ils devront accepter les conséquences de leurs activités personnelles qui ont des répercussions négatives sur une organisation. Nous invitons la direction à discuter franchement de ces questions avec son personnel et, s’il y a lieu, à mettre les règlements par écrit pour qu’ils soient clairs pour tout le monde.

Reconnaissance vocale

Les empreintes vocales sont une autre technologie qui a soulevé des questions en matière de protection des renseignements personnels au travail. Utilisées par certains employeurs pour vérifier l’identité des employés, les empreintes vocales sont une forme d’information biométrique considérée comme un renseignement personnel par la Loi sur la protection des renseignements personnels et les documents électroniques.

Il y a quelques années, plusieurs employés se sont plaints au Commissariat que leur employeur les avait forcés à consentir à la collecte de leur empreinte vocale. Les empreintes devaient servir de modèle pour que les personnes qui fournissent un mot de passe vocal puissent avoir accès à certaines applications de l’entreprise.

Cet employeur est Telus, l’information étant du domaine public, puisque l’affaire a été portée devant les tribunaux. Telus soutenait qu’un tel système était plus efficace et rentable que les processus papier et la gestion de mots de passe. La société prétendait également que la technologie permettait de se protéger contre l’accès non autorisé aux grandes bases de données sur les clients de l’entreprise.

Dans le cadre de cette plainte en particulier, nous avons jugé qu’une empreinte vocale était plutôt inoffensive et qu’un équilibre suffisant était maintenu entre le droit à la vie privée des employés et le besoin de l’employeur de protéger les données des clients. Notre opinion a par la suite été entendue et accueillie par un tribunal.

Le projet de loi C‑29 et le consentement

Le consentement a joué un rôle crucial dans l’affaire Telus, et certains observateurs ont laissé entendre que les modifications à la LPRPDE qui ont été soumises au Parlement pourraient atténuer les dispositions relatives au consentement en milieu de travail.

En effet, si le projet de loi C‑29 est accepté, les employeurs n’auront plus à obtenir le consentement de l’employé pour les activités requises pour établir ou gérer la relation d’emploi entre eux et lui, ou y mettre fin.

En pratique, cependant, le changement proposé est moins radical qu’il n’y paraît.

Rappelons que le consentement est toujours un concept obscur en milieu de travail, simplement parce que la répartition des pouvoirs entre le supérieur hiérarchique et son personnel est fondamentalement inégale.

Conformément à la modification proposée, les organisations visées par la LPRPDE devront informer les employés à l’avance que les renseignements les concernant pourront être recueillis, utilisés ou communiqués aux fins de la gestion de la relation avec l’employé.

Parallèlement, la loi existante continue évidemment de s’appliquer, à savoir qu’une organisation peut seulement recueillir, utiliser ou communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

C’est pourquoi nous sommes certains que nous continuerons à traiter des plaintes à propos de différends en milieu de travail, même après l’entrée en vigueur des nouvelles dispositions.

Appareils GPS

La dernière technologie dont je voudrais vous parler est la technologie GPS. En 2006, le Commissariat a enquêté sur une affaire dans le cadre de laquelle plusieurs employés s’étaient plaints que leur employeur, une entreprise de télécommunications, utilisait la technologie GPS pour recueillir de façon inappropriée des renseignements sur leurs déplacements pendant les heures de travail.

Dans nos conclusions, nous avions mentionné que l’utilisation d’un appareil GPS pour repérer l’emplacement d’un véhicule n’était pas une pratique qui portait gravement atteinte à la vie privée, mais qu’en revanche l’évaluation systématique du rendement d’un employé, fondée sur des suppositions formulées à partir de données GPS, pouvait l’être.

Nous étions d’avis que les employeurs ne devraient pas utiliser la technologie GPS pour surveiller constamment leurs employés. Si la technologie est utilisée comme outil de surveillance, les employeurs doivent établir quand, comment et pourquoi, et en informer les employés au préalable.

Nous avons recommandé à l’entreprise d’élaborer une politique détaillée sur l’utilisation des GPS pour la gestion des employés. En outre, l’entreprise s’est engagée à donner à ses gestionnaires une formation sur l’utilisation appropriée des données de GPS.

Conclusion

Pour terminer, j’aimerais souligner que la plupart des éléments dont nous avons parlé aujourd’hui se résument à une question d’équilibre.

Dans le cas des tribunaux administratifs, la population a réellement intérêt à savoir si les organismes quasi judiciaires fonctionnent de façon équitable, responsable et juste.

Si ce principe est valide et irréfutable, il n’empêche qu’à l’ère où les technologies de l’information évoluent rapidement, les instances doivent également composer avec des intérêts divergents en matière de protection des renseignements personnels.

Heureusement, nous savons qu’il existe des moyens de respecter le principe de l’audience publique, tout en évitant ou en limitant les torts injustifiés infligés à des personnes.

La protection des renseignements personnels au travail consiste également à chercher un juste équilibre.

D’une part, les employeurs ont le droit de savoir ce que font les employés pendant les heures de travail. De l’autre, les employés ne devraient pas avoir à déposer leur droit à la vie privée à la porte de l’usine ou du bureau.

La protection des renseignements au travail est aussi une question de dignité et d’autonomie

des personnes. Les employeurs doivent être en mesure de faire face aux fauteurs de trouble, sans pour autant bafouer les droits d’une majorité d’employés honnêtes et dévoués.

Trouver un terrain d’entente raisonnable est non seulement possible et désirable, mais essentiel.

Merci.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :