Gérer vos risques connexes à la vie privée

Robert Osborne, conseiller juridique principal et chef de la protection des renseignements personnels (CPRP) chez PricewaterhouseCoopers à Toronto, est devenu l’expert en droit de la vie privée du géant mondial de la comptabilité lors de son premier mois de travail, il y a neuf ans.

Depuis, dit-il, ils ont élargi leurs activités à cet égard et six juristes axent leurs efforts sur ce sujet. Me Osborne est l’un des maints juristes d’entreprise canadiens touchés par l’évolution dramatique du milieu de travail quant aux questions connexes à la vie privée, passées du statut de considérations secondaires il y a dix ans, à celui de priorités.

Respecter la législation

Bien que la mise en oeuvre de la première législation sur la vie privée dans le secteur privé au Québec remonte à 1994, c’est en 2004 que la mise en oeuvre intégrale de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et de lois provinciales similaires (la Personal Information Protection Act (PIPA)) en Colombie Britannique et en Alberta a pris son essor. La Loi sur la protection des renseignements personnels, en vigueur depuis 1983, obligeait les ministères et agences du gouvernement fédéral à respecter les droits à la vie privée des personnes. Cependant, la LPRPDE et les PIPA vont beaucoup plus loin, protégeant les renseignements personnels dans le secteur privé.

Entre-temps, des provinces comme l’Ontario n’ont aucune PIPA, mais possèdent des lois sur la protection des renseignements personnels visant les renseignements personnels sur la santé. Les sociétés exploitées au Manitoba devront bientôt comprendre les subtilités de la législation de cette province en la matière, la Loi sur la protection des renseignements personnels et la prévention du vol d’identité, promulguée en 2013, mais pas encore en vigueur.

Selon Daniel Bourque, conseiller juridique principal et CPRP chez Xerox Canada à Toronto, une entreprise nationale doit veiller au respect de toutes les exigences législatives du pays en matière de vie privée. Tous les employés canadiens de Xerox doivent respecter ses normes fondées sur les exigences les plus rigoureuses.

Une nouvelle jurisprudence change la donne. En novembre, la Cour suprême du Canada a rendu un arrêt important dans Alberta (Information and Privacy Commissioner) c. Travailleurs et travailleuse unis de l’alimentation et du commerce, section locale 401, dans lequel elle a déclaré que malgré le rôle important joué par la PIPA de l’Alberta pour protéger la vie privée, elle viole la liberté d’expression garantie par la Charte canadienne des droits et libertés et doit donc être invalidée. La Cour a accordé un an au gouvernement albertain pour modifier la législation. (Cette décision causera probablement la modification d’autres lois provinciales et de la LPRPDE.)

L’annulation de la décision d’un tribunal inférieur par la Cour d’appel de l’Ontario dans l’affaire Jones c. Tsige en 2012 est digne d’intérêt. Selon Lyndsay Wasser, associée chez McMillan à Toronto, cela a établi, en common law, le nouveau délit d’intrusion dans l’intimité, ce qui est très important car jusqu’à cette décision, l’Ontario ne possédait aucun délit d’intrusion dans la vie privée en Ontario.

Recueillir et protéger l’information

En revanche, les sociétés utilisent les progrès technologiques pour en apprendre davantage sur leurs employés et sur les candidats, et gérer les données chevauchant diverses régions. Ce faisant, il est essentiel de veiller à ce que votre société n’enfreigne aucune loi.

Concernant les vérifications des références et le processus d’embauche, maints cabinets veulent maintenant vérifier les antécédents médicaux, le dossier de conduite ou les antécédents en matière de crédit d’une personne. Ce qui importe, dit Éloïse Gratton, une autre associée chez McMillan à Montréal, c’est que l’information soit pertinente pour l’emploi.

Une fois les employés engagés, les cabinets pourraient devoir transférer les renseignements privés les concernant, que ce soit au siège social, à une filiale ou à un fournisseur d’avantages sociaux, qui pourraient se trouver à l’étranger. Me Wasser explique que des règles particulières régissent ces processus. Le Québec s’est doté des plus contraignantes pour le secteur privé. Cependant, l’Alberta possède des exigences en matière de notification. Une certaine jurisprudence en vertu de la LPRPDE concerne ce qu’il faut faire en cas de transfert international de renseignements.

Selon des lignes directrices du Commissariat à la protection de la vie privée du Canada, certaines mesures devraient être prises pour protéger les renseignements qui sont transmis à l’étranger. En outre, Me Gratton fait remarquer qu’au Québec, il faut informer le fournisseur de services du genre de mesures de sécurité devant être prises pour satisfaire aux lois de cette province. La législation exige un contrat.

Contrôle des employés

Quant au contrôle des employés, selon Me Wasser, le défi est que les commissaires à la protection de la vie privée de chaque région utilisent des critères légèrement différents pour déterminer le caractère acceptable du contrôle d’un employé, accordant une haute importance à son objectif. Ainsi, on examinera moins minutieusement un contrôle fondé sur la sécurité qu’un contrôle réalisé pour suivre les capacités, la productivité et le rendement.

Cela inquiète beaucoup Avner Levin, PhD, président de la faculté de droit et des affaires et directeur du Privacy and Cybercrime Institute à l’Université Ryerson, à Toronto. Les employeurs utilisant maintenant la technologie pour accroître la productivité, ils risquent de la voir se substituer aux humains quant aux pouvoirs discrétionnaires, à l’évaluation et aux décisions nécessitant la prise de mesures. Il cite plusieurs cas dans lesquels la vie privée d’un employé a été violée par l’utilisation de technologies par sa société qui souhaitait contrôler son manque de productivité alors qu’une conversation aurait suffi.

Demeurer à jour

Il n’est donc pas surprenant que les juristes d’entreprise prennent les questions de vie privée très au sérieux. Étant donné l’évolution constante de ce domaine, Me Osborne vous conseille de vous appuyer sur un solide réseau de conseillers externes et d’avoir, sur place, un spécialiste en la matière. Me Bourque ajoute que bien que la plupart des grandes sociétés possèdent des politiques sur la vie privée, le juriste responsable de ce domaine doit, malgré tout, les vérifier au moins une fois par an, sinon deux, pour s’assurer qu’elles reflètent tout changement.

Selon Heather Innes, juriste et spécialiste des processus d’envergure mondiale, droit commercial international, et CPRP chez General Motors of Canada à Oshawa (Ontario), il vous faut aussi avoir des représentants ou des coordonnateurs en matière de vie privée dans chacun des principaux services qui collaborent avec le CPRP et les juristes internes.

Il est essentiel de posséder une telle structure, car les questions liées à la vie privée seront en perpétuelle évolution sur le lieu de travail. Non seulement les modifications législatives et la jurisprudence peuvent susciter des changements fondamentaux, mais la nature changeante du lieu de travail compliquera ces questions plus que jamais.