- Delphine Robert -
Bonjour et bienvenue dans ce nouvel épisode de FORMAT LÉGAL, le balado qui explore la dimension des affaires, en 8 à 14 minutes, proposé par Gowling WLG, cabinet juridique international.
Pensez à nous suivre pour ne manquer aucun épisode et visitez notre site internet gowlingwlg.com pour consulter toutes nos ressources et connaître les dernières nouvelles juridiques.
À travers l’épisode d’aujourd’hui, nous vous proposons un survol des meilleures pratiques en terme de protection des renseignements personnels mais dans un contexte d’emploi. Vous travaillez au service des Ressources Humaines? Vous êtes entrepreneur? Ou simplement avec quelques salariés à votre charge? Vous êtes tous concernés alors qu’est-ce que vous devriez savoir
Je suis Delphine Robert et je suis en compagnie de Tina Aswad, avocate en droit du travail et de l’emploi chez Gowling WLG à Montréal.
Bonjour Tina.
- Tina Aswad -
Bonjour Delphine
- Delphine Robert –
Alors Tina, tout d’abord, qu’est-ce qu’un renseignement personnel? On commence par la base. Quels types d’informations est considéré comme un renseignement personnel?
- Tina Aswad -
La notion de « renseignement personnel » est en effet très large. Ça regroupe toutes les informations qui portent sur une personne et qui permettent de l’identifier. Alors ça peut comprendre le nom, l’adresse, le numéro d’assurance sociale, le CV, les évaluations, des données sur la santé, sur le salaire, les finances d’une personne. Ça inclut également son image, son apparence, donc les photos. Toutefois, il est important de noter que les coordonnées professionnelles d’une personne ne sont pas considérées comme un renseignement personnel.
À la lumière de cette définition qui est très large, vous pouvez vous imaginez qu’on peut les retrouver un peu partout autour de nous, que ce soit dans les réseaux sociaux, dans les documents physiques ou dans des communications électroniques comme des courriels ou des textos.
- Delphine Robert –
Effectivement. Alors est-ce que l’on peut comprendre que la protection de ces données touche toutes les entreprises? Dans le fond, toutes les entreprises ont une responsabilité à cet égard?
- Tina Aswad -
Effectivement, les entreprises sont assujetties à différentes lois qui traitent directement ou indirectement de la protection des renseignements personnels. La principale loi est certainement la Loi sur la protection des renseignements personnels dans le secteur privé, on retrouve par ailleurs d’autres disposition dans d’autres Lois comme par exemple le Code Civil du Québec.
Il faut se rappeler aussi, de manière plus générale que lorsque l’on parle de renseignements personnels, on doit penser à la vie privée et à la protection de la vie privée et évidemment ce droit-là est un droit fondamental qui est protégé par notre charte donc la Charte des droits et libertés de la personne.
Finalement, il est très important pour les entreprises de comprendre les paramètres applicables. Comme nous avons pu le voir dans l’actualité récemment, les cas de bris de confidentialité en lien avec les renseignements personnels de clients et d’employés peuvent être lourds de conséquences pour les entreprises.
- Delphine Robert –
Effectivement.
Étant donné toutes les lois applicables dans ce contexte, comment est-ce qu’une entreprise doit procéder pour commencer à récolter des données personnelles, que ce soit au stade de l’entrevue ou au stade de l’embauche?
- Tina Aswad -
Ben en fait, premier principe, il s’agit d’obtenir le consentement de la personne, que ce soit un candidat dans un contexte d’embauche ou que ce soit un employé, il est important d’obtenir son consentement express. Donc une fois le consentement obtenu, l’entreprise pourra commencer à recueillir les informations nécessaires et pertinentes pour les fins de l’objet du dossier.
Alors par exemple dans un contexte d’embauche, ce sont toutes les informations qui sont liées aux compétences d’un candidat pour le poste. Alors il est important de se rappeler le consentement que l’on a obtenu et l’objet, les fins pour lesquelles on l’a obtenu et donc dans le processus d’embauche, encore une fois, vous devrez vous limiter dans les informations que vous allez récolter à ce qui est vraiment nécessaire pour évaluer si oui ou non le candidat est capable d’exercer les fonctions du poste pour lequel vous tentez de recruter une personne.
- Delphine Robert –
Ok. Dans ces différents contextes, est-ce que le consentement doit prendre une forme particulière? Que ce soit des formulaires ou autre, est-ce qu’il y a une procédure spécifique?
- Tina Aswad -
Il n’y a pas de procédure spécifique prévue dans la Loi, par ailleurs, il est vraiment recommandé de faire, dans un contexte d’embauche du moins, de faire signer un formulaire de consentement au candidat. Encore une fois, le candidat sera retenu, s’il devient votre employé, à ce moment-là vous pourrez obtenir à nouveau un consentement pour les fins de la relation d’emploi. Ce consentement-là peut être prévu dans le contrat d’emploi comme tel mais vous pouvez aussi avoir un document externe du contrat d’emploi dans lequel les différents paramètres applicables aux renseignements personnels seront détaillés et que l’employé devra signer pour exprimer son consentement de façon claire.
Ceci étant dit, il pourrait toujours y avoir un consentement verbal, ceci dit c’est toujours plus difficile au niveau de la preuve dans la mesure où si cela deviendrait contesté etc, ce ne serait certainement pas la forme la plus recommandée.
- Delphine Robert –
Effectivement. Il faudrait les enregistrer. [rires]
Ok donc, nous avons abordé les cas où les candidats ou les employés consentent à la création d’un dossier sur eux-mêmes et donc à la collecte d’informations personnelles mais est-ce que l’on pourrait avoir une situation où un candidat refuse de donner des informations?
- Tina Aswad -
Oui, effectivement. Et puis c’est fréquent, en fait, généralement, les candidats vont vouloir donner toute l’information pertinente par contre il peut arriver des situations où le candidat estime que les questions sont un peu trop intrusives au niveau de la vie privée, alors la personne pourrait refuser de répondre. Ceci dit, si vous vous limitez à des questions qui sont en lien avec les exigences du poste pour lequel vous souhaitez recruter la personne, en théorie la personne devrait répondre aux questions. Il faut par contre être sensible aux questions que vous posez. Parfois ce que vous posez peut vous sembler tout à fait anodins mais cela peut être considéré un peu trop intrusif par la personne. Si vous vous risquez à poser des questions d’ordre personnel non reliées au poste, à ce moment-là vous vous exposez aussi à des plaintes ou à des recours. Donc vous vous rappelez qu’il y a la Charte des droits et libertés de la personne qui s’applique et donc toute question qui serait trop intrusive pourrait être considérée en violation du droit à la vie privée de la personne et il pourrait, par conséquent y avoir des plaintes à la commission des droits de la personne ou d’autres types de recours similaires.
Il doit toujours s’agir d’une pondération entre les droits de vous, à titre d’employeurs de pouvoir recruter la bonne personne et s’assurer qu’il y a un bon fit comme on dit et aussi le droit par contre, du candidat au respect à sa vie privée et à ne pas divulguer des informations qui ne seraient pas pertinentes pour les fins de l’entrevue.
- Delphine Robert –
Ok. Et qu’est-ce qu’il en est, par exemple, des vérifications d’antécédents, de dossiers de crédits, dossiers criminels? Est-ce qu’un candidat peut refuser que ces procédures soient faites? Est-ce qu’on doit lui faire signer un consentement? Qu’est-ce qu’il en est?
- Tina Aswad -
C’est un excellent point. En fait, ces vérifications de crédits ou d’antécédents judiciaires sont fréquents au Québec, par contre dans la plupart des cas, Ils ne sont pas nécessairement légitimes. En fait, vous pouvez faire ce genre de vérifications lorsque c’est pertinent pour déterminer si la personne peut occuper le poste pour lequel vous recrutez. Alors il est important d’avoir une connexion entre les informations que vous tentez d’aller chercher et le poste pour lequel vous recrutez.
Donc par exemple, faire des enquêtes de crédit à tous les candidats, alors que les personnes occuperaient par exemple des postes de commis en entrepôt ou un poste par exemple d’une assistante juridique par exemple dans notre domaine, il n’est pas nécessaire de procéder à une vérification de crédit pour déterminer si la personne peut faire son travail. Par ailleurs, si vous tentez d’embaucher un directeur des finances qui va avoir le pouvoir de signer, de faire des transferts de fonds et qui aura accès à la bourse de l’entreprise à ce moment-là, il est possible qu’une vérification soit légitime.
- Delphine Robert –
Ok je comprends.
- Tina Aswad -
Quant à la question de savoir est-ce qu’il faut un consentement ben effectivement oui. Le principe reste le même donc pour pouvoir aller chercher des informations personnelles ou demander des informations personnelles, on doit avoir le consentement de la personne. Comme vous pouvez vous imaginer, pour faire une vérification de crédit ou d’antécédents, vous allez aller chercher de l’informations sur le candidat mais pas nécessairement du candidat lui-même, alors il sera important de faire signer un formulaire de consentement qui sera très clair et qui expliquera les fins pour lesquelles on veut avoir l’autorisation et récolter les informations et donc qu’il soit bien compris et signé par le candidat.
- Delphine Robert –
Ok. Je suis une entreprise, donc on considère à ce stade que j’ai donc récupéré des données personnelles, j’ai donc maintenant une responsabilité en terme de stockage de ces renseignements et de leur protection. Quelles formes ça prend? Comment on peut s’assurer de leur protection et quel est le degré de responsabilité?
- Tina Aswad -
Effectivement, les entreprises sont directement responsables de la protection des données personnelles qu’elles détiennent soit sur leurs salariés ou tout autres tiers. Donc au niveau de la protection, ça peut prendre plusieurs formes : évidemment au niveau des données qui seraient imprimées donc des données physiques, on doit s’assurer des mesures de sécurité de base donc les documents devraient être conservés dans des filières barrées, accessibles uniquement par certaines personnes donc qui peuvent consulter les données.
Pour ce qui est des données électroniques, ça se complique un peu plus. En fait plusieurs mesures peuvent être prises lorsque les données sont conservées au Québec, sur vos serveurs internes etc. Par exemple, vous pouvez vous assurer de mettre des protections sur les documents, vous pouvez empêcher l’impression, vous pouvez vous assurer qu’ils ne sont accessibles qu’à une certaine catégorie de personne et à cet égard-là, la règle est toujours la suivante : on donne le minimum d’accès et donc uniquement ce qui est nécessaire pour que la personne, donc l’autre employé, puisse accomplir ses fonctions.
Ceci dit, de nos jours, on a beaucoup de situations où les informations peuvent être transmises à l’extérieur du Québec, que ce soit avec des solutions électroniques via des solutions infonuagiques, des centres de données qui pourraient se situer à l’extérieur de la province et là la Loi sur la protection des données personnelles prévoit des dispositions qui sont particulières et vous obligent comme employeurs de vous assurer des mesures de protections lorsque les données sont transmises à l’extérieur du Québec à un tiers. À cet égard-là, la Loi vous exige de prendre des mesures raisonnables pour s’assurer de la protection des informations et s’assurer qu’elles ne sont pas utilisées à d’autres fins.
La Commission de l’accès à l’information considère que la conclusion d’une entente écrite avec ces tiers constitue une mesure raisonnable pour protéger les informations donc cette entente là avec le tiers devra comprendre certaines informations afin de vous assurer que les données sont soumises au même degrés de protection que si ces données avaient été détenues au Québec. Alors il est important d’analyser le système juridique en place du pays ou de la province dans lequel vous transféreriez les informations pour s’assurer de ça.
- Delphine Robert –
Alors il est important de parler à son avocat ou son avocate
- Tina Aswad -
Effectivement [rires]
- Delphine Robert –
Ok, je suis toujours une entreprise, même un chef d’entreprise, concrètement, quels sont les bons réflexes à avoir?
- Tina Aswad -
D’abord il faut se demander quels sont les renseignements personnels que votre entreprise détient? Qui sont en charge de les gérer? Est-ce que ces personnes ont été formées? Est-ce qu’elles sont sensibilisées aux règles qui sont applicables et aux différents paramètres que la Loi établit au Québec? Et puis l’autre question, le reflexe, est-ce que vous êtes certains que vos données sont conservées dans la province de Québec ou est-ce que vous les confiées à des tiers, par exemple à des fournisseurs de paie, à des entreprises qui font de la conservation de données électroniques etc etc.
Une fois que l’on a déterminé ça. On doit se poser aussi la question : Est-ce que l’on a des politiques à l’interne qui déterminent les droits et obligations de chacun en matière de renseignements personnels et qui informe adéquatement les employés de où sont détenues leurs informations personnelles, qui a accès à ces informations-là, de quelle manière ils peuvent corriger ou rectifier les informations qui seraient détenues par l’employeur. Alors vous devez d’abord vous demander est-ce que vous avez des politiques et si oui, est-ce qu’elles sont toujours à jour en 2019 et toujours donc en conformité avec le droit applicable.
- Delphine Robert –
Ok. On arrive à la fin de notre balado, alors pour finir, on a vu les bons réflexes mais pour partir sur une note très concrète, quels seraient les conseils que tu donnerais à nos auditeurs?
- Tina Aswad -
Former votre personnel. C’est vraiment la clé pour éviter les imbroglios et les communications non autorisées de renseignements personnels. Il est facile aujourd’hui de nos jours, par un simple texto, ou un simple courriel, de franchir la ligne de l’acceptable et de se mettre les pieds dans les plats comme employeur, bien qu’il n’y avait pas de mauvaise foi de la part de l’employé. Alors vraiment, la sensibilisation sera la clé.
Répondre aux demandes d’accès en temps opportun. Souvent ce ne sont pas des demandes qu’on considère très pressantes par contre, la Loi prévoit un délai de 30 jours, alors si vous avez un employé ou un ancien employé ou un candidat qui vous demande d’avoir accès aux informations que vous détenez sur cette personne, répondez-y dans un délai de 30 jours. Puis soyez transparent, sur la collecte et l’utilisation des renseignements seraient les conseils que je pourrais donner aux différentes entreprises.
- Delphine Robert –
Merci beaucoup Tina et merci à vous d’avoir écouté ce nouvel épisode de FORMAT LÉGAL.
Pensez à nous suivre pour ne pas manquer notre prochain épisode et pour aller plus loin, rendez-vous sur notre site internet gowlingwlg.com pour consulter toutes les ressources disponibles sur le sujet.