La protection de la vie privée et les droits de la personne aux confluents de nos vies personnelle et professionnelle

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires dans le cadre de la Conférence nationale sur les droits de la personne

Le 14 juin 2011
Calgary, Alberta

Allocution prononcée par Chantal Bernier
commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Merci de m’avoir invitée à me joindre à vous aujourd’hui pour discuter d’un sujet de plus en plus pertinent: le droit à la vie privée en milieu de travail.

Avec la popularité croissante des médias sociaux et des activités en ligne, où la ligne séparant les sphères professionnelle et personnelle est de plus en plus floue, il nous faut repenser les frontières de la vie privée des employés.

Permettez-moi tout d’abord d’écarter une idée reçue. Même si certains PDG d’entreprise se plaisent à dire que vous n’avez aucune vie privée de toute façon, et qu’il faut en revenir, nos recherches et les activités du Commissariat à la protection de la vie privée (le Commissariat) s’adressant à la population canadienne en témoignent: la vie privée n’appartient pas au passé.

Au contraire, les recherches indiquent que les gens font grand cas de leur vie privée, qu’ils considèrent comme un droit fondamental, et même qu’ils sont de plus en plus préoccupés par le pouvoir d’ingérence des nouvelles technologies de l’information à l’égard de celle-ci.

Dans ce dossier, le milieu de travail suscite de vives inquiétudes.

  • Certaines entreprises de camionnage utilisent des GPS pour surveiller les déplacements de leurs employés, soi-disant pour suivre la manutention du matériel.
  • Certaines institutions sous réglementation fédérale exigent les renseignements médicaux des parents malades de leurs employés lorsque ces derniers demandent un congé spécial pour prendre soin de leurs proches.
  • Depuis le 11septembre, plusieurs organismes gouvernementaux, en particulier dans le domaine des infrastructures de transport, ont été exhortés à resserrer le contrôle des références de leurs candidats à l’emploi et demandent qu’on leur communique une quantité sans précédent de renseignements personnels.
  • Les reportages des médias parlent de compagnies d’assurance qui surveillent les pages Facebook des employés en congé de maladie des entreprises qu’elles assurent pour vérifier si ces employés sont réellement malades. Peut-être avez-vous lu, il y a un peu plus d’un an, l’histoire de cette femme qui s’est vu retirer ses prestations d’invalidité après que l’assureur, puis l’employeur, ont trouvé des photographies d’elle à la plage sur sa page Facebook. J’imagine que ça veut dire qu’on ne peut pas être malade et aller à la plage.
  • Récemment, la Cour d’appel de l’Ontario a statué que les personnes employées par une école avaient des attentes en matière de vie privée lorsqu’elles utilisaient à des fins personnelles un ordinateur portatif fourni pour le travail — cela a incité les employeurs à mettre en œuvre des politiques claires afin de définir les attentes des employés en matière de vie privée dans le cadre de l’utilisation d’appareils électroniques fournis par l’employeur.
  • Finalement, comme les employeurs du pays, les gouvernements et les entreprises se ruent sur les réseaux sociaux pour s’y tailler une place, le défi consiste à élaborer des politiques qui clarifieront les pratiques de protection de la vie privée de l’employeur et les intérêts des employés en la matière.

Le droit à la vie privée au travail est à la fois une question de droit relatif au respect de la vie privée et de droit du travail dans les milieux syndiqués.

Bien entendu, je parlerai davantage du premier, mais en tenant compte du fait que la relation employeur-employé se définit par des droits et des obligations, que ces droits et ces obligations ont des répercussions sur la vie privée des employés, en ligne ou non, sur les lieux de travail et en dehors du travail.

De manière générale, les gens s’attendent à ce qu’on respecte, dans une certaine mesure, leur vie privée au travail, même s’ils se trouvent dans les locaux de l’employeur et qu’ils utilisent son matériel. Ces principes n’ont pas changé; ce sont plutôt les modalités qu’il faut changer eu égard à ces principes.

Par exemple, en règle générale, un employeur régi par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) ou par la Loi sur la protection des renseignements personnels ne peut installer de caméras vidéo sur les lieux de travail simplement pour surveiller si ses employés font leur travail.

En règle générale, ce motif ne suffit pas. Au lieu de se tourner automatiquement vers les technologies de surveillance, les employeurs ont à leur disposition des moyens plus respectueux de la vie privée et probablement plus efficaces pour gérer leurs effectifs.

Cependant, le Commissariat reconnaît que, dans certains cas, il peut être justifié que l’employeur surveille, par exemple, si un employé utilise la messagerie électronique et Internet de façon inappropriée, s’il visite, par exemple, des sites de jeux en ligne ou pornographiques sur les ordinateurs du bureau, ou encore s’il diffuse du matériel choquant ou qui pourrait causer des dommages à ses réseaux en propageant des virus ou d’autres logiciels malveillants.

Il est normal qu’en travaillant pour une personne, on lui fournisse certains renseignements personnels. Les employeurs ont besoin d’information de base sur leurs employés, pour la paie et les avantages sociaux, par exemple, et ils doivent être en mesure de s’assurer que le travail est exécuté avec efficience et en toute sécurité.

Le nouveau défi dans la définition du droit à la vie privée en milieu de travail découle essentiellement de deux développements récents.

D’abord, l’accroissement des moyens technologiques qui permettent de s’ingérer dans la vie privée multiplie et facilite grandement les occasions d’atteinte à la vie privée en milieu de travail. Pensez aux tests psychométriques utilisés dans le cadre des processus de recrutement ou des promotions, aux suivis de la navigation sur Internet, à la surveillance vidéo, à la surveillance de la frappe, à la biométrie et au dépistage génétique.

Deuxièmement, l’emploi des médias sociaux en milieu de travail, par l’entremise desquels les employés communiquent abondamment, comporte à la fois des avantages considérables et des pièges redoutables. Les employeurs doivent gérer ces communications en fonction des objectifs de l’organisation, sans s’ingérer dans la vie privée de leurs employés. Ainsi, les moyens dont disposent les employeurs pour obtenir de l’information sur leurs employés sont plus nombreux que jamais, tout comme les moyens dont disposent les employés pour diffuser de l’information. Cette nouvelle réalité appelle une modernisation de la définition de la vie privée en milieu de travail.

Alors, à quoi ressemblerait cette définition? J’aimerais tenter de répondre à cette question en trois étapes.

  • D’abord, je vous présenterai brièvement les lois fédérales sur la protection des renseignements personnels dont le Commissariat surveille la conformité et la mesure dans laquelle elles s’appliquent à la relation employé-employeur.
  • Deuxièmement, je traiterai plus en détail des dispositions de ces lois fédérales dans la mesure où elles s’appliquent à la question qui nous intéresse.
  • Finalement, je parlerai des principes fondamentaux en matière de respect de la vie privée sur lesquels s’appuient les lignes directrices que nous donnons aux employeurs et aux employés soucieux de la protection de la vie privée en milieu de travail.

Rôle et mandat du Commissariat

Pour commencer, quelques mots sur le Commissariat et les deux lois dont nous sommes chargés de surveiller l’application.

En tant qu’organisme indépendant du Parlement, le Commissariat ne relève pas d’un ministre mais directement du Parlement.

Nous surveillons la conformité à deux lois fédérales. D’abord, la Loi sur la protection des renseignements personnels, qui régit la collecte, l’utilisation et la communication des renseignements personnels par 250ministères et organismes du gouvernement fédéral.

En plus de régir les renseignements personnels du public que le gouvernement fédéral a en sa possession, la Loi sur la protection des renseignements personnels vise également les renseignements personnels des employés de la fonction publique.

Nous surveillons également la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE, qui s’applique aux entreprises fédérales au Canada, comme les banques et les organisations du secteur privé qui mènent des activités commerciales dans les provinces ne disposant pas de leurs propres lois applicables au secteur privé. Cela signifie que nous avons compétence sur le secteur privé des provinces de l’Atlantique, de l’Ontario, du Manitoba et de la Saskatchewan ainsi que sur celui des territoires.

Toutefois, parce que la relation employeur-employé relève, selon la Constitution, des provinces, la LPRPDE ne s’applique qu’aux milieux de travail sous réglementation fédérale comme les banques et les sociétés de télécommunication.

Dans ce cas, comment les lois fédérales sur la protection de la vie privée s’appliquent-elles à la relation employeur-employé? Comme je l’ai mentionné, les fonctionnaires fédéraux sont visés par la Loi sur la protection des renseignements personnels.

La loi qui régit le secteur privé, la LPRPDE, s’applique à une proportion relativement faible d’employés en entreprise privée. En effet, seuls les employés des entreprises fédérales comme les transporteurs aériens, les sociétés de télécommunication, les banques, autrement dit, le secteur privé sous réglementation fédérale, sont visés par la LPRPDE.

Ce que prévoient les lois sur la protection des renseignements personnels

De manière très générale, les lois canadiennes en matière de protection des renseignements personnels sont fondées sur quelques grands principes.

  • Consentement: les employeurs doivent obtenir le consentement de leurs employés avant de recueillir, d’utiliser et de communiquer des renseignements personnels les concernant. Le consentement peut être explicite ou implicite.
  • Motif raisonnable: les employeurs ne doivent recueillir, utiliser ou communiquer les renseignements personnels de leurs employés que si cela est raisonnablement nécessaire à la gestion des relations de travail.
  • Proportionnalité: les renseignements personnels recueillis par les employeurs doivent être proportionnels à l’objet pour lequel ils sont demandés, que ce soit pour des raisons de santé et de sécurité au travail, pour l’administration de la paie, le contrôle des références, l’évaluation du rendement, etc.
  • Finalement, l’employeur doit démontrer qu’il n’existe aucun autre moyen portant moins atteinte à la vie privée d’atteindre son objectif.

Permettez-moi de vous donner un exemple concret tiré de notre travail.

  • Dans notre dernier rapport annuel au Parlement concernant la Loi sur la protection des renseignements personnels, nous avons exprimé des soucis à l’égard d’un programme que la Commission de la fonction publique envisageait de mettre en œuvre pour surveiller les activités politiques en ligne des fonctionnaires afin de veiller au respect de l’obligation d’impartialité, sans le consentement des employés. Pour nous, cette atteinte à la vie privée n’était pas justifiée par la nécessité ni par la proportionnalité. Rien n’indiquait qu’il existait un problème d’impartialité et d’activité politique inappropriée justifiant une telle mesure. Heureusement, la CFP a agi rapidement et a rejeté la proposition.

Toutefois, même lorsque la collecte, l’utilisation ou la communication de renseignements personnels d’un employé sont justifiées — par exemple, l’employeur peut hors de tout doute demander le numéro de compte bancaire de l’employé pour déposer directement ses payes — ces renseignements doivent être convenablement protégés.

Cette protection est régie par les 10principes relatifs à l’équité dans le traitement de l’information reconnus internationalement, qui comprennent la responsabilité, la transparence, l’exactitude, la prise de mesures de sécurité, l’accès et les recours pour assurer la conformité.

Un exemple d’incident dans ce domaine est l’envoi, à cause d’une erreur humaine, de l’évaluation des compétences d’un cadre d’un ministère du gouvernement fédéral, par voie électronique, à 375employés du même ministère.

Comment ces principes généraux s’appliquent-ils à la protection de la vie privée des employés en ligne?

Permettez-moi de vous exposer les lignes directrices que nous transmettons tant aux employeurs qu’aux employés à cet égard.

Ce que nous recommandons aux employeurs

Qu’ils soient assujettis aux lois sur la protection des renseignements personnels ou non, les employeurs peuvent trouver un équilibre entre leur «besoin de connaître» et le droit à la vie privée de leurs employés en ne recueillant, en n’utilisant et en ne communiquant des renseignements personnels concernant leurs employés qu’à des fins appropriées.

Dans nos documents d’orientation, nous recommandons de suivre les règles de base ci-après pour établir et maintenir cet équilibre, dans le cadre d’activités en ligne ou non.

  • Transparence. L'employeur devrait indiquer quels renseignements personnels concernant ses employés il recueille, les raisons pour lesquelles il les recueille et l'utilisation qu'il en fait. S’il surveille les activités en ligne de ses employés, il doit donc le faire ouvertement et en expliquer la raison.
  • La collecte, l'utilisation ou la communication des renseignements personnels ne devraient normalement avoir lieu qu'avec le consentement et au su des employés. Une ligne de conduite permettant de veiller à ce que l’employé connaît et accepte ces pratiques, tout en favorisant la confiance et la transparence, consiste à demander aux employés de signer une politique qui prévoit expressément les pratiques en matière de surveillance et de traitement des données de l’employeur.
  • L'employeur ne devrait recueillir que les renseignements personnels requis aux fins qu’il a lui-même déterminées dans une politique qui définit les activités de surveillance en ligne de l’employeur.
  • Qu’il ait obtenu ou non en ligne les renseignements personnels sur l’employé, l’employeur ne devrait normalement les utiliser ou les communiquer qu'aux seules fins auxquelles il les a recueillis, et ne les conserver qu’aussi longtemps que nécessaire pour la réalisation de ces fins, ou pendant toute période requise par la loi.
  • Encore une fois, qu’ils aient été obtenus en ligne ou non, les renseignements personnels des employés doivent être exacts, complets et à jour. Les employés visés par les lois sur la protection des renseignements personnels doivent pouvoir avoir accès à leurs renseignements personnels et avoir la possibilité de contester leur exactitude et leur exhaustivité.

Il est légitime que les employeurs obtiennent certains renseignements personnels sur leurs employés. Ils ont besoin de connaître qui ils embauchent. Est-ce que cela leur permet de «googler» leurs employés? Cela leur permet-il de visiter leur page Facebook? Quoique nous n’ayons jamais publié de conclusions sur cette question, il me semble que s’il est à la portée de tous de faire une recherche sur Google, il en va autrement pour Facebook: sur un site de réseautage social, les utilisateurs ont au moins un certain contrôle sur les personnes qui ont accès à leurs renseignements personnels.

En ce qui concerne Facebook, une étude d’Avner Levin, de l’Université Ryerson, financée par le Commissariat, a révélé un clivage entre les jeunes et leurs employeurs éventuels: les jeunes considèrent que les renseignements qu’ils diffusent sur Facebook sont privés parce qu’ils sont destinés seulement à leurs amis. Les employeurs, quant à eux, considèrent que ces renseignements sont publics puisqu’ils ont été diffusés. Cette étude a été réalisée avant notre enquête sur Facebook, qui a incité les administrateurs du réseau social à resserrer les paramètres de confidentialité.

Il serait difficile d’affirmer qu’un employeur qui consulte les renseignements partagés avec «tout le monde» fait preuve d’ingérence dans la vie privée. En revanche, on pourrait soutenir que le même employeur qui contournerait en cachette les paramètres de sécurité d’un candidat porterait atteinte à la vie privée de ce dernier. Encore une fois, nous n’avons jamais publié de conclusions à ce sujet et l’issue d’un cas futur dépendrait des faits dont à notre disposition et des lois applicables.

Les employeurs doivent également prendre en compte les questions de rendement, assurer la sécurité physique dans leurs installations, enrayer les fuites de renseignements personnels, ou prévenir le harcèlement au travail. Ces besoins organisationnels légitimes peuvent justifier la surveillance des activités en ligne, mais strictement en lien avec ces paramètres: ils doivent poursuivre un objectif valable de façon proportionnelle à cet objectif. Cela signifie que les activités de surveillance ne peuvent dépasser les limites de ce qui est strictement nécessaire pour l’atteinte des objectifs du lieu de travail, en conformité avec la politique de surveillance des activités en ligne clairement communiquée au personnel.

Nous comprenons que les employeurs peuvent, dans certaines circonstances, être obligés de s’immiscer dans des affaires privées, et qu’ils peuvent être obligés de surveiller les activités en ligne pour le bien de l’organisation. Toutefois, l’intérêt de connaître ce que chaque employé fait pendant les heures de travail avec le matériel de l’entreprise est foncièrement discutable, et les bons employeurs ne confient pas l’entièreté de la gestion de leurs ressources humaines, de leurs employés, à la technologie.

Par exemple, au lieu de recourir à la surveillance en ligne, il est plus facile de prévenir le harcèlement au travail par la formation et la sensibilisation du personnel; on s’assure du respect des valeurs et du code d’éthique par l’engagement des employés, la discussion et des échanges francs; on s’assure de l’impartialité et du professionnalisme par une évaluation du rendement équitable et régulière, et non par une ingérence dans la vie privée de chaque employé.

Même s’ils n’y sont pas tenus par la loi, le Commissariat est d’avis que les employeurs devraient, en guise de pratique exemplaire, dire à leurs employés quels renseignements personnels seront recueillis, utilisés et communiqués. Ils devraient informer leurs employés de leurs politiques en matière d’utilisation du Web, de la messagerie électronique et du téléphone, par exemple. Si les employés sont soumis à une surveillance aléatoire ou continue, ils doivent en être informés.

Les employeurs devraient également veiller à ce que l’information qu’ils recueillent à une fin précise n'est pas utilisée à une autre fin sans le consentement de l’employé.

Les employeurs devraient aussi donner à leurs employés l’accès aux renseignements personnels qu’ils détiennent à leur sujet. Cela permettrait à ces derniers de vérifier et, au besoin, de contester leur exactitude et leur exhaustivité.

Les employeurs pourraient être tentés d’informer leurs employés ou employés éventuels qu’ils ne doivent s’attendre à aucune protection de leur vie privée sur les lieux de travail, que la perte de vie privée est une condition préalable à l’emploi. On pourrait soutenir qu’une personne qui accepte de travailler dans ces conditions consent à ce qu’on recueille, utilise et communique sans restriction ses renseignements personnels.

On peut se demander s’il s’agit là de consentement réel, d’un consentement clair, éclairé et volontaire. Avec cette façon de faire, on perd de vue le principe général qui veut qu’on ne recueille seulement les renseignements requis à des fins appropriées. Une solution de rechange consisterait à demander expressément aux employés de donner leur consentement à la collecte, à l’utilisation et à la communication explicites, limitées et justifiées de leurs renseignements personnels, en particulier des renseignements personnels à caractère très délicat, comme les informations sur l’état de santé, le régime de pension ou la paie.

Dans de nombreux lieux de travail, des pratiques telles que celles mentionnées ci-dessus sont exigées par la législation sur la protection des renseignements personnels, et les employés disposent de moyens légaux pour résoudre les conflits avec leur employeur et faire respecter leurs droits. Les employés syndiqués ont parfois aussi accès à des recours pour faire respecter leurs intérêts en matière de vie privée en milieu de travail en vertu des conventions collectives.

Toutefois, les bonnes pratiques en matière de protection de la vie privée ne visent pas seulement à éviter les plaintes, les griefs ou les poursuites. Que les renseignements personnels soient protégés ou non par la loi ou par contrat, favoriser une culture en milieu de travail où la vie privée est estimée et respectée a pour corollaire de renforcer le moral des employés et la confiance réciproque. Et cette pratique tient du simple bon sens sur le plan des affaires.

Au Commissariat, nous nous sommes engagés à trouver un équilibre entre notre besoin de recueillir, de conserver, d’utiliser, de communiquer et d’éliminer les renseignements personnels de nos employés et le droit à la vie privée de ces employés. Nous nous efforçons d’informer nos employés des circonstances dans lesquelles leurs renseignements personnels seront recueillis, conservés, utilisés, communiqués et éliminés. Bien entendu, nous nous sommes penchés sur la question des activités des employés dans les médias sociaux. Permettez-moi donc de conclure en vous expliquant de quelle manière nous procédons.

Certains de nos employés utilisent les médias sociaux dans le cadre de leurs fonctions officielles: nous tenons des blogues, nous possédons un compte sur un site de microbloggage en vogue et nous avons une chaîne sur un site de partage de vidéos. Nous rappelons à nos employés qui utilisent les médias sociaux dans le cadre de leurs fonctions qu’il est primordial d’appliquer les valeurs et les principes du code d’éthique de la fonction publique dans ce contexte.

  • Ils ne doivent pas oublier qu’ils parlent au nom du Commissariat.
  • Ils ne doivent pas publier de matériel ou s’engager dans des discussions qui remettraient en question l’impartialité ou l’intégrité de l’organisation.
  • Nous leur demandons d’être professionnels, respectueux, impartiaux et responsables, et de respecter la confidentialité des dossiers en cours comme les enquêtes et les vérifications.

Certains de nos employés choisissent d’utiliser les médias sociaux pour des raisons personnelles, que ce soit à la maison sur leur propre ordinateur ou au travail avec les ressources électroniques du Commissariat (ce qui est expressément autorisé dans notre Politique sur l’utilisation acceptable des réseaux électroniques).

Au Commissariat, nous rappelons régulièrement à nos employés que lorsqu’ils abordent des sujets liés au travail dans les médias sociaux en dehors du cadre de leurs fonctions, les règles d’éthique professionnelle et de confidentialité continuent de s’appliquer. Les employés qui utilisent les médias sociaux pour discuter de questions liées au travail doivent faire preuve de responsabilité personnelle et se comporter de manière conforme au Code de valeurs et d'éthique de la fonction publique.

Nous encourageons nos employés qui utilisent les médias sociaux en dehors du travail, à des fins strictement personnelles, à garder à l’esprit certains faits de base.

  • Sous réserve des politiques et des règles en cours sur les lieux de travail, certaines organisations surveillent les activités de réseautage social de leurs employés.
  • L’information publiée sur les sites de réseautage social peut sembler transitoire et informelle, mais dès qu’un renseignement personnel est affiché en ligne, il devient permanent et peut être diffusé et trouvé par autrui. Autrement dit, si vous ne voulez pas que votre patron lise quelque chose, ne l’affichez pas en ligne.

Ce conseil provient d’une fiche d’information publiée par le Commissariat, intitulée Protection de la vie privée et réseautage social au travail. Dans cette fiche d’information, accessible sur notre site Web, nous demandons aux employeurs de garder à l’esprit ce qui suit:

  • ils doivent être conscients que les sites de réseautage social peuvent contenir des renseignements inexacts, dénaturés ou périmés sur les candidats à l’emploi. Ils devraient donc faire preuve de discernement à l’égard de ces renseignements;
  • ils devraient également se garder d’utiliser des renseignements personnels se trouvant sur les sites de réseautage social, ou toute autre source en ligne, de manière discriminatoire contre un candidat à l’emploi ou un employé en poste.

Conclusion

En résumé, vous avez le droit à la vie privée en milieu de travail, mais ce droit n’est pas absolu. Il se heurtera toujours aux besoins de l’organisation.

L’employeur a des intérêts organisationnels légitimes, et les employés ont un droit fondamental à la vie privée.

Dans un article de 2009, la commissaire adjointe à la protection de la vie privée HeatherBlack s’est penchée sur la collecte, par les employeurs, de renseignements personnels sur des sites de réseautage social.

Elle affirmait que dans le cadre normal de la gestion de leur relation avec leurs employés en poste, les employeurs devraient, de manière générale, obtenir leur consentement avant de recourir à de tels moyens de collecte et d’utilisation.

En ce qui concerne les candidats à l’emploi, elle nous rappelait que les employeurs ont besoin des mêmes renseignements que par le passé: ils veulent connaître les études des candidats, leurs compétences, leur expérience, leurs connaissances et leurs qualités personnelles en lien avec l’emploi. Les employeurs disposent déjà d’excellents moyens d’obtenir ces renseignements indispensables: contrôle auprès des anciens employeurs, références, documents officiels et entrevues. L’existence de nouveaux moyens de s’ingérer dans la vie des gens n’en fait pas un droit. Les gens ont toujours le droit à leur vie privée.

À notre avis, toute ingérence considérée comme un abus de confiance entre l’employeur et l’employé dans un milieu de travail physique l’est tout autant dans le monde virtuel.

Le droit à la vie privée ne peut exister que s’il est respecté, parce qu’il n’est pas absolu. Il s’agit d’un axiome que ni les employeurs ni les employés ne devraient oublier.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :