Le respect de la vie privée : un élément essentiel à un milieu de travail sain

Allocution prononcée à la conférence des Présidentes et Présidents des sections locales du Syndicat des employées des section nationaux

Gatineau (Québec)
Le 22 avril 2016

Allocution prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Introduction

Merci de m’avoir invité à prendre la parole aujourd’hui.

C’est avec plaisir que je m’adresse à vous, d’autant plus que j’ai peu souvent l’occasion de discuter de questions touchant la vie privée avec des organisations syndicales.

Dans le temps qui m’est alloué, je vous parlerai des tendances en matière de protection de la vie privée que nous observons dans les milieux de travail fédéraux.

Je parlerai aussi de mes recommandations concernant la réforme de la Loi sur la protection des renseignements personnels, la loi fédérale touchant la protection de la vie privée dans le secteur public. Certaines de ces mesures auraient une incidence directe sur les questions qui se posent en milieu de travail.

Établir un juste équilibre entre le besoin de savoir et le droit à la vie privée

La conférence se déroule à un moment où les questions de bien-être au travail retiennent beaucoup l’attention. Or, le respect de la vie privée, en plus d’être nécessaire à une société saine et à la démocratie, est aussi un élément essentiel à un milieu de travail sain. En tout cas, il est clair à l’inverse que la violation de la vie privée peut facilement miner un milieu de travail sain.

Cela ne signifie pas que les employeurs n’ont pas le droit de colliger des renseignements personnels concernant leurs employés, par exemple pour l’administration de la paie et des avantages sociaux, la gestion du rendement individuel ou la sécurité.

Mais les employés ont droit au respect de leur vie privée au travail. Les employeurs ont d’ailleurs la responsabilité non seulement de limiter la collecte aux renseignements nécessaires aux activités de l’organisation, mais aussi de veiller à ce que ces renseignements soient protégés comme il se doit.

Tant dans les milieux de travail modernes que dans l’ensemble de notre économie et de notre société, il est maintenant possible de recueillir très facilement d’énormes quantités de renseignements personnels concernant des individus, principalement en raison des percées technologiques. Pour ce faire, on peut utiliser des questionnaires, surveiller le Web, faire de la vidéosurveillance ou consulter les fils des médias sociaux.

Ces technologies soulèvent de nouvelles questions tant pour les employeurs que pour les employés et, par le fait même, pour vous, leurs représentants.

Bon nombre de plaintes mettent en cause des problèmes en milieu de travail.

Au cours des dernières années, le Commissariat a constaté qu’un grand nombre de plaintes déposées en vertu de la Loi sur la protection des renseignements personnels mettent en cause les relations entre employeur et employés au sein du gouvernement fédéral. De façon générale, ces plaintes entrent dans trois grandes catégories : la dotation (et en particulier l’évaluation des références), les recours (dont les griefs) et le bien-être au travail.

En examinant les types de plaintes reçues qui se rapportent au milieu de travail, nous avons constaté que bon nombre d’entre elles mettent en cause une communication excessive de renseignements concernant des employés.

Dans de nombreux cas, il s’agit de renseignements sur les antécédents médicaux qui, par exemple, finissent par être communiqués sans discernement à des personnes participant à différents processus. Il peut s’agir, entre autres, d’enquêtes internes, d’évaluations de l’aptitude au travail (y compris les plans d’action pour le retour au travail) et même, de la vérification des références.

Les professionnels des ressources humaines participent souvent aux types de processus que j’ai mentionnés. C’est pourquoi le Commissariat a donné une série de présentations à leur intention au cours des dernières années dans le but de les sensibiliser à la protection de la vie privée en mettant un accent particulier sur le principe du « besoin de savoir ». Nous sommes aussi à l’affût des occasions de sensibiliser les fonctionnaires fédéraux par l’entremise de certains groupes professionnels et de différents ministères.

Surveillance exercée par les employeurs et fouinage par les employés

Le Commissariat continue également d’être saisi de problèmes associés à la vidéosurveillance. Par exemple, dans un dossier que nous avons examiné il y a quelques années, un employeur avait installé des caméras vidéo dans le milieu de travail sans en informer les employés. Plus récemment, nous avons fait enquête sur l’Agence des services frontaliers du Canada (ASFC).

Au cours de cette enquête, l’Agence nous a référé à sa Politique sur l’utilisation de la technologie de surveillance et d’enregistrement audiovisuel, selon laquelle elle peut avoir recours à la vidéosurveillance non seulement à des fins de sécurité, mais aussi pour aider à assurer la qualité des services offerts dans le cadre de ses programmes.

Nous avons reconnu que l’« assurance qualité » peut englober une gamme variée d’activités, par exemple enregistrer le nombre de voyageurs dont les déclarations sont traitées dans une installation en une heure afin de déterminer s’il y a lieu d’ouvrir d’autres centres de service.

Nous avons aussi convenu que la vidéosurveillance est nécessaire dans certains domaines pour des raisons de sécurité. Nous acceptons même que les enregistrements puissent être utilisés en cas de graves préoccupations se rapportant à des manquements au code de conduite ou à des activités criminelles.

Nous avons également vu la possibilité que l’Agence puisse utiliser les enregistrements pour la gestion du rendement individuel.

Bien que l’ASFC n’ait pas eu cette intention, le libellé de la politique manquait de clarté, ce qui a suscité la contestation.

L’ASFC a alors mis à jour sa politique pour clarifier l’utilisation prévue de la vidéosurveillance en précisant qu’elle ne servirait pas à surveiller le rendement individuel des employés.

On nous présente aussi des cas où des employés auraient consulté sans autorisation les renseignements personnels de leurs collègues ou clients. Autrement dit, ils auraient fouiné. Il y a eu par le passé des cas où des employés auraient consulté le dossier de personnes avec qui ils avaient un différend ou par simple curiosité.

Ces situations ne devraient pas arriver dans un milieu de travail respectueux mais malheureusement, il y a des cas d’accès non autorisé et les institutions fédérales doivent adopter des mesures de sécurité appropriées pour protéger les renseignements personnels contre les personnes peu scrupuleuses. Pour ce faire, le Commissariat a vivement incité les ministères à mettre en œuvre des mesures de contrôle des systèmes pour réserver l’accès aux renseignements sensibles à ceux qui ont besoin d’en prendre connaissance. Nous leur demandons aussi de tenir un registre indiquant quels dossiers ont été consultés, à quel moment et par qui.

Atteintes à la sécurité des données

Nous avons également exhorté les institutions à prendre des mesures proactives pour se protéger contre les atteintes à la sécurité des données.

Tant dans les milieux de travail fédéraux que partout ailleurs au pays, la protection des renseignements personnels préoccupe grandement les personnes qui doivent fournir des renseignements personnels très sensibles à des institutions fédérales.

Il incombe aux ministères et organismes de veiller à ce que des procédures adéquates soient en place pour protéger ces renseignements.

Réforme de la Loi sur la protection des renseignements personnels

En plus de demander aux ministères d’adopter des procédures appropriées, nous proposons des modifications à la Loi elle-même.

La Loi sur la protection des renseignements personnels est entrée en vigueur dans les années 1980, soit des dizaines d’années avant l’avènement des courriels, des appareils mobiles et des médias sociaux. À l’époque, l’information était recueillie et communiquée sur papier et les bureaux fédéraux étaient remplis de classeurs.

La Loi est toujours inchangée. Après plus de 30 ans, il faut la modifier car elle est déphasée compte tenu des risques d’atteinte à la vie privée qui existent aujourd’hui et des risques émergents dans le domaine.

Récemment, en témoignant devant le Parlement, j’ai présenté 16 recommandations pour la réforme de la Loi sur la protection des renseignements personnels. Ces recommandations se classent en trois grandes catégories :

  • les changements technologiques;
  • l’accroissement de la transparence;
  • la modernisation des lois.

Le texte intégral de la lettre est affiché sur notre site Web. Je vous encourage à en prendre connaissance. Mais, aujourd’hui, je me concentrerai sur quelques recommandations clés en mettant l’accent sur certaines d’entre elles qui se rapportent à des questions en milieu de travail.

Les changements technologiques

Bon nombre des sujets dont j’ai parlé plus tôt touchent les mesures de sécurité. Or, sous sa forme actuelle, la Loi sur la protection des renseignements personnels n’exige pas explicitement une protection adéquate des renseignements personnels.

Les dispositifs de stockage portables modernes permettent à quiconque de transporter sur un porte-clés ou dans sa poche des renseignements personnels qui, sur papier, pourraient remplir une salle d’archives. En 2012, le ministère appelé à l’époque « Ressources humaines et Développement des compétences Canada » a déclaré la perte d’un disque dur externe renfermant les dossiers de plus de 500 000 bénéficiaires de prêts d’études et de quelque 800 employés. Les institutions fédérales ont alors appris à quel point on peut facilement égarer d’énormes quantités de renseignements personnels.

Aucune disposition de la Loi ne porte explicitement sur les mesures de sécurité, mais le Secrétariat du Conseil du Trésor a publié des lignes directrices à l’intention des ministères et la plupart d’entre eux prennent leurs responsabilités au sérieux. Mais le moment est venu d’exiger que ces protections soient prévues dans la loi, et non simplement dans une politique administrative interne.

La même chose vaut pour la déclaration des atteintes à la sécurité des données. L’adoption de la directive administrative qui rend cette déclaration obligatoire a sans aucun doute amélioré les choses, mais certaines institutions fédérales ne déclarent toujours pas ces incidents.

Si la loi imposait expressément l’obligation de déclarer les atteintes « substantielles » à la sécurité des données, le Commissariat aurait une meilleure idée de la situation dans l’ensemble des institutions fédérales. Nous serions donc mieux en mesure de travailler avec les organisations pour aider à atténuer les risques et les répercussions.

Et, comme de nouveaux règlements obligeront bientôt les organisations du secteur privé à déclarer les atteintes présentant un risque réel de préjudice grave, il serait étrange que les institutions fédérales ne soient pas assujetties à la même règle.

L’accroissement de la transparence

Nous avons aussi formulé des recommandations en vue d’accroître la transparence sous le régime de la Loi.

La Loi sur la protection des renseignements personnels permet aux particuliers d’avoir accès aux renseignements personnels que détiennent les institutions fédérales à leur sujet. Il s’agit donc d’un élément important pour favoriser la transparence et le gouvernement ouvert.

Nous avons aussi recommandé de limiter les exceptions et de maximiser la communication, s’il y a lieu, lorsque des personnes demandent à avoir accès aux renseignements personnels qui les concernent.

La modernisation des lois

En ce qui concerne la modernisation des lois, nous avons recommandé des dispositions pour aider à prévenir les problèmes en amont.

L’évaluation des facteurs relatifs à la vie privée est un outil efficace qui permet aux institutions d’examiner, sous l’angle de la protection de la vie privée, les initiatives nouvelles ou considérablement modifiées. Une évaluation effectuée dans les règles de l’art avant la mise en œuvre d’un programme permet de cerner les risques d’atteinte à la vie privée. De plus, elle aide les organisations à évaluer les répercussions que les changements éventuels pourraient avoir dans le domaine et à élaborer des stratégies d’atténuation. À l’heure actuelle, une directive administrative exige que les évaluations des facteurs relatifs à la vie privée soient présentées au Commissariat aux fins d’examen ou de conseil.

Mais le problème, c’est que les organisations ne respectent pas toujours la directive sur les évaluations des facteurs relatifs à la vie privée ou qu’elles l’interprètent parfois de façon trop restrictive. Par conséquent, on se trouve à ne pas examiner dès le départ certaines questions sensibles se rapportant à la protection de la vie privée.

Il faut aussi clarifier la Loi sur la protection des renseignements personnels en ce qui concerne les situations où une institution est autorisée à recueillir des renseignements personnels. À cet égard, d’après l’article 4 de la Loi, « les seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités ».

Selon notre interprétation, cela signifie que la collecte des renseignements doit être nécessaire aux programmes ou aux activités. Mais l’expression « lien direct » prise au sens strict pourrait être interprétée différemment. Certains pourraient comprendre qu’elle permet aux ministères de recueillir tout renseignement utile à un programme ou à une activité, même s’il n’est pas vraiment nécessaire.

En fait, le Commissariat a demandé et obtenu l’autorisation d’intervenir dans la contestation judiciaire soulevée par le Syndicat des agents correctionnels du Canada concernant la nouvelle norme fédérale sur le filtrage de sécurité. Nous interviendrons en tant que partie neutre, pour aider le tribunal à interpréter cet article particulier de la Loi sur la protection des renseignements personnels. Nous examinons actuellement « l’évaluation des enjeux de vie privée » menée par le Secrétariat du Conseil du Trésor relativement à la nouvelle norme, en plus de faire enquête sur plusieurs plaintes connexes.

Il s’agit de l’une des nombreuses questions qui se posent dans la société moderne, où l’on peut recueillir d’énormes quantités de renseignements personnels de façon efficace et sans efforts comparativement aux années 1980. Elle fait ressortir la pertinence de notre recommandation préconisant d’imposer explicitement dans la Loi sur la protection des renseignements personnels le critère de nécessité explicite.

Nous avons aussi recommandé d’étendre à toutes les questions pour lesquelles une personne peut déposer une plainte à le Commissariat les motifs de révision judiciaire auprès de la Cour fédérale.

À l’heure actuelle, ce recours est offert uniquement aux personnes à qui on a refusé l’accès à leurs renseignements personnels.

Nous proposons d’élargir la portée de cette disposition manière à englober, par exemple, les problèmes touchant la collecte, l’utilisation et la communication de renseignements personnels par une institution.

Conclusion

En terminant, j’espère que mes propos vous ont donné une bonne idée des questions auxquelles nous faisons face.

Comme je l’ai indiqué, les entreprises et les responsables de la politique publique accordent maintenant la priorité à l’amélioration du bien-être au travail. Et ils ont bien raison. Plusieurs facteurs peuvent aider à atteindre cet objectif – par exemple, une sensibilisation accrue aux questions touchant la protection de la vie privée ainsi que l’adoption de procédures adéquates et, un jour espérons-le, de lois modernisées pour respecter la vie privée des employés et protéger les renseignements personnels.

J’espère vous avoir cité des exemples éloquents pour montrer à quel point le milieu de travail a évolué au cours des 30 dernières années. Et j’espère par le fait même vous avoir permis de comprendre comment la réforme de la Loi sur la protection des renseignements personnels nous aiderait à nous acquitter de notre mandat consistant à protéger la vie privée des fonctionnaires et de tous les Canadiens.

Merci.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :