Conseils clés en matière de protection des renseignements personnels à l’intention des professionnels des ressources humaines du gouvernement fédéral

Juillet 2016

Les professionnels des ressources humaines au sein d’institutions fédérales sont souvent appelés à gérer des questions de nature très délicate concernant les employés, ce qui les oblige à faire preuve de discrétion. Il s’agit notamment de la gestion de renseignements personnels liés à la dotation, aux relations employeur-employé et aux processus de recours ainsi que de questions relatives à la santé et au mieux-être des personnes. La communication involontaire de ces renseignements personnels peut avoir une incidence véritable sur le bien-être général des employés en milieu de travail.

Les conseils qui suivent sont tirés d’exemples réels d’enquêtes menées par le Commissariat à la protection de la vie privée du Canada en vertu de la Loi sur la protection des renseignements personnels. Les leçons retenues peuvent vous aider, vous et votre équipe, à mieux respecter la vie privée des employés et à conseiller vos clients pour qu’ils en fassent de même.

1. Évitez de communiquer de renseignements à des personnes auxquelles ils ne sont pas destinés

L’une des causes les plus courantes d’atteintes à la sécurité des données signalées au Commissariat concerne l’envoi de renseignements personnels à des personnes auxquelles ils ne sont pas destinés. Dans un cas particulier, une employée a demandé de consulter son dossier du personnel, mais celui-ci a été envoyé à une autre employée dont le nom était semblable, et la plainte déposée au Commissariat à ce sujet a été jugée fondée. À la suite de notre enquête, le ministère concerné a mis en œuvre de nouvelles mesures obligatoires pour le traitement de demandes de cette nature de la part des employés. Ce ministère s’est engagé à faire en sorte que le nom et le numéro d’identification d’un employé correspondent à ceux figurant dans le dossier du personnel avant d’envoyer le dossier en cause, ainsi qu’à soumettre la demande à l’examen et à l’approbation d’un superviseur avant de permettre la consultation du dossier du personnel.

2. Redoublez de prudence lorsqu’il s’agit d’envoyer des renseignements personnels à des groupes par voie électronique

Le Commissariat a observé de nombreux cas où des renseignements au sujet d’un processus de dotation ont été envoyés par courriel à tous les candidats, révélant les noms, les adresses électroniques et la participation des autres candidats au processus. Les institutions ont été informées d’utiliser le champ « Cci » pour ces types de courriels.

3. Les mêmes renseignements peuvent parfois être jugés « personnels » pour plusieurs employés

Les parties à une procédure de recours doivent être avisées de faire preuve de la plus grande discrétion possible lorsqu’il s’agit de traiter de ces questions. Une employée d’une organisation a présenté une plainte au Commissariat dans laquelle elle affirmait qu’une gestionnaire contre qui elle avait déposé une plainte de harcèlement avait mentionné ce fait lors d’une réunion du personnel. D’une part, la gestionnaire communiquait ses renseignements personnels, mais d’autre part, ce faisant, elle a également communiqué les renseignements personnels d’une autre personne.

4. Vérifiez soigneusement le contenu des documents pour vous prémunir contre la communication involontaire

En réponse à un appel d’un tribunal examinant un processus de dotation pour déterminer les documents pertinents, un ministère a présenté les notes d’entrevue des candidats. Bien que le tribunal ait expressément demandé que les renseignements médicaux et autres renseignements personnels de nature délicate soient retirés de tout dossier présenté, les notes comprenaient de l’information au sujet des antécédents médicaux d’un candidat, ce qui a donné lieu à un signalement d’atteinte à la vie privée. Ce cas a souligné la nécessité de vérifier de façon appropriée le contenu des dossiers avant de les présenter.

5. Lorsqu’il s’agit d’approuver un congé pour des raisons médicales ou des obligations familiales, ne demandez que les renseignements absolument nécessaires pour les besoins de la reddition de comptes

Dans un cas particulier, une personne a déposé une plainte au sujet de la demande de renseignements personnels d’une institution se rattachant aux demandes qu’elle avait présentées concernant un congé spécial rémunéré pour prendre soin d’un proche malade. Sur le formulaire de demande, il fallait indiquer les renseignements personnels du demandeur et d’autres personnes, dont le nom du proche malade et de la personne qui en prenait généralement soin, ainsi que le nom, le lien de parenté et l’âge des autres membres du ménage. À la suite de notre enquête, l’institution a accepté de ne recueillir que les renseignements personnels qui sont absolument nécessaires pour l’administration appropriée du congé et a cessé de recueillir le nom de tiers.

6. Dans le cadre d’évaluations d’aptitude à l’emploi, les institutions ne doivent communiquer que les renseignements qui sont factuels, objectifs et pertinents

Dans un cas dont a été saisi le Commissariat, une plaignante a allégué que, après que son directeur intérimaire a demandé une évaluation, son employeur a envoyé un trop grand nombre de renseignements personnels à son sujet à Santé Canada, des renseignements allant au-delà de ce qui était nécessaire aux fins prévues. Il s’agissait de renseignements liés à une enquête précédente en matière de harcèlement, de même que plusieurs notes du médecin, qui ont tous été fournis sans son consentement. Le Commissariat a conclu qu’il n’existait aucun élément de preuve donnant à penser que les certificats médicaux étaient directement en rapport avec l’évaluation ou nécessaires à cette fin.

7. Ce n’est pas parce que des renseignements personnels se trouvent sur un site Web qu’on peut les recueillir

Une activiste dont l’organisation avait intenté une poursuite contre le gouvernement fédéral a déposé une plainte au Commissariat au sujet de deux ministères qui surveillaient sa page Facebook personnelle. En vertu de la Loi sur la protection des renseignements personnels, les renseignements personnels que recueille une institution fédérale doivent avoir un lien direct avec ses programmes ou ses activités. À la suite de son enquête, le Commissariat a conclu que certains des renseignements personnels recueillis n’avaient aucun lien manifeste avec les activités de ces deux ministères. La principale leçon à tirer de ce cas est que, en vertu de la Loi sur la protection des renseignements personnels, des restrictions relatives à la collecte de renseignements personnels s’appliquent, et ce, qu’il s’agisse de renseignements accessibles ou non au public.

8. Connaissez votre rôle et compartimentez les renseignements personnels en conséquence

Les professionnels des ressources humaines jouent divers rôles au sein d’une organisation; il est donc important qu’ils compartimentent les renseignements qui leur sont communiqués en conséquence. Dans le cadre d’une enquête, le Commissariat a conclu que les renseignements personnels fournis confidentiellement par une employée à un agent des ressources humaines, agissant auprès d’elle en qualité de conseiller en harcèlement, ont été indûment communiqués à un gestionnaire dans le cadre d’un processus de dotation auquel la plaignante prenait part. L’agent a communiqué la nature des problèmes que la plaignante éprouvait avec son superviseur actuel et, par conséquent, une offre d’emploi a été retirée.

Afin d’éviter des problèmes en matière de protection des renseignements personnels comme ceux-là, les gestionnaires des ressources humaines doivent savoir anticiper et acquérir les connaissances nécessaires pour régler les questions avant qu’elles ne deviennent des problèmes. Ils peuvent notamment prendre les mesures qui suivent :

9. Accorder la priorité à la formation sur la protection des renseignements personnels

Les professionnels des ressources humaines ont accès à un nombre considérable de renseignements personnels au sujet des employés, ce qui peut présenter un risque élevé. Par conséquent, il est important que les équipes des ressources humaines connaissent bien les exigences de la Loi sur la protection des renseignements personnels lorsqu’il s’agit de manipuler des renseignements personnels et de conseiller les clients au sujet de questions de nature délicate touchant le personnel.

10. Faire appel aux connaissances de l’équipe responsable de l’accès à l’information et de la protection des renseignements personnels de l’organisation

Sachant que même le professionnel des ressources humaines le plus compétent ne connaît pas toujours toutes les réponses aux questions relatives à la protection des renseignements personnels, il est important d’établir et d’entretenir une bonne communication avec l’unité responsable de l’accès à l’information et de la protection des renseignements personnels d’une institution afin d’obtenir des conseils en cas de doute.

Date de modification :