Dans une annonce récente, le Commissariat à la protection de la vie privée du Canada (« CPVP ») a réaffirmé son engagement à protéger la vie privée des Canadiens en lien avec I'éclosion de la COVID-19 et a déclaré qu’ « [e]n situation de crise sanitaire, les lois sur la protection des renseignements personnels sont toujours en vigueur sans faire obstacle à une communication de renseignements appropriée. » D’autres commissaires à la protection de la vie privée au Canada ont aussi émis des déclarations similaires.1

Étant donné les circonstances exceptionnelles qui prévalent actuellement, les organisations sont naturellement soucieuses de protéger la sécurité de leurs clients et de leurs employés. Cependant, elles sont de plus en plus souvent invitées à révéler des renseignements personnels sur des cas confirmés ou suspectés du virus au sein de leurs établissements, ainsi qu’à fournir des renseignements sur leurs employés et leurs clients à différentes autorités publiques. Cela a conduit certaines à mettre en œuvre diverses mesures de contrôle (par exemple des contrôles de température, des questionnaires, etc.) afin de réduire la probabilité de contamination par le virus. Avant de collecter ou de divulguer des renseignements au sujet d’un individu les organisations doivent évaluer avec soin leurs obligations en vertu des lois qui régissent la protection des renseignements personnels au Canada (« lois canadiennes sur la protection de la vie privée »)2 afin de déterminer dans quelle mesure elles peuvent collecter et partager ces renseignements et selon quelles conditions.

Les employeurs doivent également prendre conscience des risques accrus en matière de sécurité que posent les acteurs malveillants souhaitant profiter des perturbations et de la confusion causées par le virus. Notamment, de nombreux experts en cybersécurité ont signalé une augmentation du nombre de courriels d’hameçonnage concernant la COVID-19. Ainsi, les organisations doivent s’assurer que des mesures de sécurité adéquates sont mises en place pour protéger non seulement la santé et la sécurité physique de leurs employés et de leurs clients, mais également la sécurité de leurs systèmes informatiques dans le contexte où leurs employés doivent travailler à distance.

Nous apportons ici des réponses à des questions clés en matière de gestion des enjeux liés au respect de la vie privée et à la cybersécurité pendant une pandémie.

Collecte de renseignements personnels sur les employés

Les entreprises peuvent-elles légalement demander à leurs employés de révéler s’ils ont été testés positifs au virus lié à la COVID-19 ou s’ils ont été exposés à certains facteurs de risque ? Les employeurs peuvent-ils demander à leurs employés de se soumettre à certains types de tests ou de mesures de contrôles obligatoires ?

En vertu des lois canadiennes sur la protection de la vie privée, une organisation est généralement tenue d’obtenir le consentement d’une personne avant de divulguer ses renseignements à un tiers, à moins qu’une exception au consentement ne s’applique (voir la section II pour plus d’informations concernant le consentement).

Nécessité

Quel que soit le type de renseignements recueillis ou la pratique recherchée, une organisation doit respecter le principe de minimisation des données et limiter sa collecte de renseignements personnels à ce qui est nécessaire pour atteindre l’objectif visé (c’est-à-dire préserver la santé et la sécurité de ses employés). Par ailleurs, une organisation doit éviter de soumettre des personnes à des contrôles répétés sur une période relativement courte sans raison légitime.

Fins raisonnables et légitimes

En vertu des lois canadiennes sur la protection de la vie privée, une organisation doit recueillir, utiliser et divulguer des renseignements personnels à des fins qui sont raisonnables et légitimes dans les circonstances. Le caractère raisonnable doit être évalué au cas par cas en tenant compte des activités de l’organisation et de ses obligations légales (notamment en matière de santé et de sécurité des employés), des directives émises par les autorités de santé publique et les autres professionnels de la santé, ainsi que de la sensibilité, de la quantité et de la nature des renseignements personnels concernés.

Compte tenu que la pandémie a mené à la déclaration de l’état d’urgence sanitaire dans plusieurs provinces et que les employeurs sont généralement tenus de préserver la santé et la sécurité de leurs employés, une organisation peut être justifiée de recueillir certains types de renseignements ayant trait à l’exposition d’un employé à la COVID-19. Elle peut notamment demander à ses employés de révéler s’ils ont récemment voyagé dans une région touchée, s’ils ont été en contact avec une personne ayant contracté le virus ou s’ils ont été diagnostiqués avec le virus.

Toutefois, étant donné que les renseignements médicaux personnels sont sensibles, les employeurs doivent faire preuve de prudence et limiter autant que possible la collecte de ce type de renseignements. Il est conseillé à un employeur de ne recueillir des renseignements médicaux personnels que lorsqu’il existe un risque raisonnable que l’employé ait été exposé à la COVID-19. Un employeur ne devrait pas exiger systématiquement de ses employés qu’ils se soumettent à des tests ou à des contrôles périodiques (c’est-à-dire des contrôles de température), car cette pratique est généralement considérée particulièrement intrusive par les autorités responsables de la protection de la vie privée, à moins que le rôle de l’employé ne justifie ce type de contrôle. Quoi qu’il en soit, un employeur doit toujours s’assurer que la méthode de contrôle utilisée est fiable et mettre en balance les avantages à tirer d’une pratique particulière avec l’impact qu’elle peut avoir sur le droit à la vie privée d’un employé. Un employeur devrait en outre examiner s’il existe d’autres méthodes ou pratiques de contrôle qui permettraient d’atteindre les mêmes objectifs de manière moins intrusive.

Si une pratique n’est pas considérée comme « raisonnable ou appropriée » aujourd’hui, elle peut le devenir à l’avenir en fonction de l’évolution de la pandémie, et vice-versa. En d’autres termes, la réponse aux questions susmentionnées devra être réévaluée et ajustée périodiquement. Le tableau ci-dessous énumère les dispositions établissant les exigences en matière de caractère raisonnable et de nécessité pour la collecte de renseignements personnels.

Partage de renseignements personnels

Dans le contexte d’une urgence sanitaire telle que la COVID-19, à partir de quel moment les organisations peuvent-elles partager des renseignements personnels, y compris des renseignements liés à la santé, avec d’autres employés, clients ou autorités publiques, et ce, sans le consentement de la ou des personnes concernées ?

Les lois canadiennes sur la protection de la vie privée prévoient certaines exceptions au consentement qui peuvent permettre à une organisation de partager les renseignements personnels d’une personne avec un tiers sans son consentement dans le contexte de la pandémie COVID-19. Selon l’exception au consentement invoquée par une organisation et la province dans laquelle elle opère, l’organisation peut être tenue d’aviser la personne concernée que ses renseignements personnels ont été divulgués sans son consentement. En outre, une organisation devrait examiner s’il existe d’autres considérations qui militent en faveur de la notification de la personne dont les renseignements ont été divulgués, même s’il n’y a pas d’obligation légale de le faire.

Danger pour la vie, la santé ou la sécurité

En général, toute organisation au Canada, à l’exception du Québec, peut communiquer des renseignements personnels sans consentement lorsque cela est nécessaire pour répondre à une urgence qui menace la vie, la santé ou la sécurité de toute personne, et peut donc divulguer les renseignements personnels d’un employé touché à d’autres personnes au sein de l’organisation ou à ses clients. En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et de la Personal Information Protection Act (PIPA) de la Colombie-Britannique , une organisation doit également aviser par écrit la personne concernée de cette divulgation, et ce sans délai. Toutefois, il n’existe pas d’exigences équivalentes en vertu de la Personal Information Protection Act (PIPA) de l’Alberta.3

En comparaison, la Loi sur la protection des renseignements personnels dans le secteur privé du Québec limite la portée de cette exception aux cas où l’urgence met en danger la vie, la santé ou la sécurité de la personne dont les renseignements personnels sont communiqués. Il est donc moins clair si une organisation au Québec serait en mesure de divulguer les renseignements personnels d’un employé visé à d’autres personnes au sein de l’organisation ou à ses clients.

Le tableau ci-dessous énumère les dispositions applicables à la divulgation de renseignements personnels sans consentement en raison d’un danger pour la vie, la santé ou la sécurité.

Nécessaire ou raisonnable pour gérer une relation d’emploi

À l’exception de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, les lois canadiennes sur la protection de la vie privée permettent aux organisations de recueillir, d’utiliser et de divulguer les renseignements personnels de leurs employés sans consentement aux fins « d’établir, de gérer ou de mettre fin à une relation d’emploi » entre l’organisation et la personne concernée. En vertu de la PIPA de la Colombie-Britannique et de la PIPA de l’Alberta, la collecte, l’utilisation ou la communication doit être « raisonnable » afin d’établir, de gérer ou de mettre fin à la relation d’emploi, tandis qu’en vertu de la LPRPDE, elle doit être « nécessaire », ce qui indique une norme plus élevée pour les employeurs soumis à la législation fédérale. En outre, une organisation qui se fie à cette exception au consentement est tenue d’informer la personne concernée (c’est-à-dire l’employé) que ses renseignements personnels seront recueillis, utilisés ou divulgués à ces fins, et ce, avant la collecte, l’utilisation ou la divulgation.

En vertu des lois provinciales sur la santé et la sécurité au travail, les employeurs sont généralement tenus de prendre des mesures raisonnables afin de fournir un environnement de travail sécuritaire. Le respect des exigences en matière de santé et de sécurité au travail a été jugé comme relevant de la « gestion d’une relation d’emploi » par le CPVP de l’Alberta.4 Selon cette interprétation, une organisation peut être autorisée à informer ses employés qu’un collègue est atteint par la COVID-19s, et ce, sans obtenir le consentement de l’employé atteint, afin d’offrir un environnement de travail sécuritaire à tous.

La loi québécoise ne contient pas d’exception au consentement semblable. Toutefois, un employeur au Québec pourrait néanmoins être justifié de recueillir, d’utiliser ou de communiquer de tels renseignements sans le consentement de son employé afin de respecter ses obligations en matière de protection de la santé et de la sécurité de ses employés consacrées par l’article 46 de la Charte des droits et libertés de la personne et par la Loi sur la santé et la sécurité du travail.

Dans tous les cas et dans toutes les provinces où l’on invoque de telles exceptions au consentement, un employeur doit toujours s’assurer que la collecte, l’utilisation ou la divulgation de renseignements personnels est adaptée à l’objectif légitime de garantir la santé et la sécurité au travail.

Le tableau ci-dessous énumère les dispositions applicables à la divulgation de renseignements personnels sans consentement aux fins de la gestion d’une relation d’emploi.

Demande des autorités gouvernementales (y compris les autorités de santé publique)

Dans le contexte d’un état d’urgence sanitaire, les lois canadiennes sur la protection de la vie privée permettent généralement la divulgation aux autorités publiques de renseignements personnels ayant trait au problème sanitaire en cause. Bien qu’il puisse y avoir certaines différences, ces lois prévoient généralement des exceptions au consentement lorsque la divulgation est requise par la loi ou qu’elle a pour but de faire respecter ou d’appliquer une loi. Ces exceptions peuvent s’appliquer aux divulgations faites aux autorités de santé publique, qui ont généralement d’importants pouvoirs pour recueillir des renseignements auprès des organisations.5 Les organisations peuvent également être tenues de divulguer des renseignements à d’autres types d’autorités publiques, telles que les organismes de sécurité publique, en vertu de la législation applicable aux situations d’urgence ou de décrets ou ordonnances pris en vertu de cette législation.

Il convient également de noter que les divulgations faites aux autorités de santé publique conformément à ces exceptions au consentement n’obligent généralement pas une organisation à informer la personne concernée. Cependant, une organisation peut décider qu’elle souhaite néanmoins informer cette personne, qu’il s’agisse d’un employé ou d’un client, même si elle n’est pas légalement tenue de le faire.

Compte tenu de l’évolution rapide de la situation, les organisations doivent se tenir à jour afin d’évaluer avec précision leurs obligations et de déterminer si elles doivent se conformer à des exigences supplémentaires en matière de divulgation dans leurs provinces respectives.

Le tableau ci-dessous énumère les dispositions applicables à la divulgation de renseignements personnels sans consentement lorsque la loi ou les autorités publiques le requièrent.

Exigences applicables à toutes divulgations

Même si une organisation est autorisée par la loi à divulguer certains renseignements personnels sans consentement en période de pandémie, elle reste liée par ses autres obligations en vertu des lois canadiennes sur la protection de la vie privée. L’organisation demeure responsable envers les personnes dont elle divulgue les renseignements personnels et doit limiter le type, la quantité et le contenu des renseignements personnels qu’elle divulgue. Par exemple, il est possible que, dans une situation particulière, il ne soit pas nécessaire de divulguer l’identité de la personne, ou encore que les raisons pour lesquelles une personne a été invitée à se mettre en quarantaine ne soient pas pertinentes. En d’autres termes, une organisation doit s’assurer que toute divulgation de renseignements personnels qu’elle fait en rapport avec la COVID-19 soit :

  • Justifiée par la loi (sur la base du consentement ou d’une exception au consentement);
  • Limitée à ce qui est nécessaire pour atteindre l’objectif de la divulgation (le principe de minimisation des données);
  • Documentée de manière suffisamment détaillée pour permettre aux personnes de comprendre le raisonnement et la justification de l’organisation.6

À cette fin, il est conseillé que chaque fois qu’une organisation divulgue des renseignements personnels d’un employé liés à la COVID-19, elle documente la divulgation, en indiquant notamment le fondement juridique de la divulgation, les renseignements qui ont été divulgués, la personne qui les a divulgués, à qui ils ont été divulgués, la date de la divulgation et toute autre information importante (par exemple, si un avis a été donné à la personne dont les renseignements ont été divulgués conformément à une exigence légale applicable).

Gestion des risques de cybersécurité

Que doivent faire les organisations afin de se conformer aux lois canadiennes sur la protection de la vie privée et pour répondre aux risques de cybersécurité liés aux arrangements de travail à distance dus à la COVID-19 ?

En vertu des lois canadiennes sur la protection de la vie privée, une organisation est tenue de prendre des mesures de sécurité adéquates afin de protéger les renseignements personnels en sa possession ou sous son contrôle contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisée. Plus précisément, une organisation est responsable des actions de ses employés et de ses fournisseurs de services qui traitent des renseignements personnels en son nom. Toute personne au sein d’une organisation doit donc jouer un rôle préventif afin de préserver la sécurité et la confidentialité des renseignements personnels, en particulier lorsqu’elle travaille à distance.

En pratique, cela se traduit souvent par une obligation de mettre en œuvre des mesures physiques, organisationnelles et techniques qui sont liées à quand, où, quoi, comment et par qui les renseignements personnels peuvent être consultés. Toutefois, étant donné que de nombreuses organisations ont dû s’adapter rapidement à la situation actuelle en permettant à leurs employés de travailler à distance, leur infrastructure et leurs systèmes informatiques peuvent être particulièrement vulnérables aux cyberattaques. D’ailleurs, ces dernières semaines, plusieurs ont constaté un grand nombre de courriels d’hameçonnage liés à la COVID-19 qui ont été conçus afin de tirer profit de la perturbation et de la confusion causées par le virus.

Il est donc impératif que les organisations gardent prennent des mesures préventives afin de réduire le risque d’une cyberattaque réussie. Ces mesures peuvent comprendre :

  • Réviser et mettre à jour les politiques et procédures de l’organisation. Les organisations doivent veiller à ce que leurs plans de sécurité des renseignements et d’intervention en cas d’incident soient à jour et tiennent compte des problèmes potentiels liés aux conditions de travail à distance et au risque accru de cyberattaques. Plus précisément, compte tenu de la multiplication des cyberattaques profitant de la situation actuelle, les organisations devraient s’assurer qu’elles sont prêtes à réagir en cas d’incident de sécurité;
  • Réviser, mettre à jour et appliquer les mesures de sécurité en place. Ces mesures de sécurité comprennent généralement : la surveillance et la journalisation des activités sur le réseau de l’organisation; le chiffrage des communications contenant des renseignements personnels et confidentiels au moyen d’un réseau privé virtuel (RPV); et la mise en œuvre de mesures d’authentification à facteurs multiples ainsi que d’autres dispositifs de sécurité basés sur l’accès (par exemple, réinitialisation périodique des mots de passe) afin de protéger l’accès aux comptes des employés;
  • Éduquer et former les employés. La formation offerte aux employés devrait se concentrer sur les mesures particulières à prendre lorsqu’ils travaillent à distance, telles que l’utilisation exclusive des plateformes de communication et autres outils informatiques fournis par l’organisation, éviter l’utilisation d’outils gratuits qui risquent de ne pas offrir un niveau adéquat de confidentialité et de sécurité, et maintenir des pratiques prudentes afin de limiter la mesure dans laquelle les renseignements personnels sont exposés aux autres membres de la famille; et sur la façon de détecter et de signaler les dangers tels que les courriels d’hameçonnage.

Pour toute autre question relative à la gestion de la vie privée et de la cybersécurité, veuillez contacter l’un des membres de l’équipe vie privée et cybersécurité de BLG énumérés ci-dessous. BLG a créé un Centre de ressources sur la COVID-19 pour aider les entreprises sur une variété de sujets, tels que la gestion des investissements, le crédit-bail, les risques contractuels, les exigences de divulgation publique et le droit pénal.