Archives de catégorie : Renseignements personnels

L’Ontario oblige ses employeurs à déclarer leurs outils de surveillance d’employés

Publié le par

Comme le rapportait cette semaine les médias, l’Ontario mettait récemment à jour sa législation en matière d’emploi, en obligeant dorénavant les employeurs ontariens à déclarer à leur personnel dans quelle mesure on les surveille à l’aide de leur ordinateur et de leur téléphone cellulaire, le cas échéant.

Dorénavant, les employeurs visés doivent adopter et publier pour leur personnel une politique écrite sur la surveillance électronique des employés, dans laquelle on doit indiquer si on surveille les employés par voie électronique et, le cas échéant, décrire la manière et les circonstances dans lesquelles on le fait, les objectifs d’usage éventuel des données ainsi recueillies par l’employeur.

Cela obligera dorénavant les entreprises à le révéler, par exemple, si on utilise un système ou un logiciel subreptice destiné à gérer la productivité des employés (officiellement), en surveillant par exemple l’usage (plus ou moins continuel) de la souris, les touches tapées au clavier, les applications utilisées ou les sites Web visités par l’employé. En somme, la nouvelle loi ontarienne vise à informer les employés pour qu’on sache désormais au moins SI et dans quelle mesure on est surveillé au travail sur les appareils électroniques qu’on utilise au quotidien pour effectuer notre travail.

La nouvelle règle vise les entreprises embauchant 25 ou plus. Il n’existe actuellement rien de tel au Québec et je n’ai entendu parler d’aucune initiative à ce sujet pour l’instant. Actuellement, un employeur québécois peut généralement surveiller l’usage de son matériel informatique et de son infrastructure de réseautique, sans devoir pour autant le déclarer à son personnel, bien que la législation en matière de renseignements personnels s’appliquant désormais ici place des balises quant à l’information qui peut être collectée au sujet d’individus.

Entreprises, préparez-vous à la venue des «assistants» d’un proche au Québec, dès novembre

Publié le par

Le gouvernement du Québec est à supplémenter certains mécanismes visant à aider les personnes vulnérables et/ou en perte d’autonomie, dont en leur permettant de s’adjoindre l’aide d’un proche que la loi reconnaitra comme habilité à les aider dans leurs démarches et leurs décisions. La nouvelle loi à ce sujet entre en vigueur le 1er novembre prochain. Avec une population sans cesse vieillissante, on réalise que de très nombreux enfants et proches de personnes âgées (entre autres) peuvent vouloir aider, ce qui peut s’avérer difficile quand on est pas un mandataire ou quelqu’un qui a reçu l’autorité formelle de représenter la personne visée.

Avec son Projet de loi 18, le Québec vient ajouter une forme de collaborateurs que pourront s’adjoindre les personnes vulnérables et/ou en perte d’autonomie et qui le désirent. Dorénavant, plutôt que d’insister qu’on ouvre un régime de protection, qu’on place sous tutelle ou qu’on créer un mandat de protection (des mécanismes complexes et lourds), la loi québécoise reconnaitra qu’une personne vulnérable peut simplement vouloir s’adjoindre de l’aide d’un proche, sans nécessairement vouloir (ou devoir) aller plus loin pour se (faire) protéger. La solution à laquelle on en arrive en 2022, à ce sujet, impliquera donc une nouvelle possibilité pour les personnes vulnérables qui pourront dorénavant nommer un proche pour agir, pour leur compte, en tant qu’«assistant». Un tel assistant pourra être un proche ou un aidant naturel, par exemple.

Le Curateur public cite les exemples suivants où une personne pourrait vouloir s’adjoindre l’aide d’un proche par cette nouvelle formule :

  • «Une personne vieillissante en perte d’autonomie qui souhaite obtenir l’aide d’un proche
  • Un adulte ayant une légère déficience intellectuelle qui veut être aidé par ses proches
  • Un adulte qui vit avec une limitation visuelle, auditive ou motrice qui souhaite obtenir l’aide de ses proches
  • Un adulte souffrant d’une maladie mentale qui a besoin qu’un proche l’aide dans diverses démarches».

Une fois ainsi nommé, un(e) assistant(e) pourra aider l’autre personne quand elle doit faire des choses comme communiquer avec le gouvernement ou des entreprises, faire des démarches auprès d’eux, etc. Selon ce qu’envisage le gouvernement à ce sujet :

«L’assistant sera le porte-voix de la personne assistée.  Il devra agir uniquement à sa demande et pour les aspects souhaités par la personne assistée. »

On ne parlera donc que d’un intermédiaire qui, en principe, ne pourra dire ou faire autre chose que ce que la personne protégée voudrait elle-même faire ou dire si elle était en toute possession de ses moyens. Bien que l’assistant ne pourra pas carrément prendre de décision ni signer de documents au nom de la personne assistée (contrairement à détenir une véritable procuration, par exemple), son rôle  impliquera pouvoir faire des choses tels : conseiller, agir d’intermédiaire, communiquer avec des tiers et  même obtenir accès aux renseignements personnels de la personne assistée. À noter que l’assistant devra éviter de se placer en situation de conflit d’intérêt et qu’il lui sera généralement interdit d’exiger d’être rémunéré pour ses services, sauf si il/elle est un(e) avocat(e) ou un(e) notaire.

Avantage notable, le nouveau mécanisme qu’on est à mettre en place ne nécessitera pas l’intervention d’un tribunal, ni d’évaluation médicale ou psychosociale, ni d’assemblée de parents, d’amis et d’alliés. Ce sera donc pas mal plus simple que les alternatives qui existent à l’heure actuelle, pour des cas moins lourds où un rôle s’impose que le droit reconnaitrait, au Québec. Les tiers (dont les banques et les entreprises, par exemple), DEVRONT accepter d’interagir avec ces assistants, ne pouvant prétexter qu’ils ne sont pas leur client(e) ou réellement autorisé pour lui/elle. Une fois qu’on confirme qu’on interlocuteur a été nommé en bonne et due forme comme assistant, il faudra traiter avec lui/elle, en tant qu’intermédiaire avec le/la véritable client(e).

À noter que ce ne seront évidemment pas toutes les personnes qui pourront nommer un(e) assistant(e), le site du Curateur expliquant que les  personnes déjà sous tutelle ou disposant déjà d’un  mandataire ou d’un «conseiller au majeur» ne pourront faire usage de cette nouvelle formule d’aide.

Du côté des entreprises et des fournisseurs, il faudra évidemment dorénavant faire une place à ces assistants avec lesquels un nouvel article du Code civil du Québec nous obligera à interagir, une fois qu’on confirme qu’ils ont effectivement été autorisés par la personne protégée. Le Curateur public mettra une base de données à la disposition de tous afin de vérifier qui a effectivement été nommé comme assistant d’autrui.

Ce type de demande de reconnaissance d’un(e) assistant(a) pourra être soumis (au Curateur public) à partir du 1er novembre 2022, lors de l’entrée en vigueur de la nouvelle loi. Le processus de nomination impliquera plusieurs étapes commençant par compléter un formulaire à être créé. Le système à être mis en place à ce sujet impliquera le déploiement de filtres de protection, lesquels viseront à minimiser les chances que des proches mal intentionnés puissent abuser du nouveau système afin d’exploiter encore plus facilement les individus déjà vulnérables autour d’eux.

Entreprises au Québec: vous avez des employés, donc des données et des devoirs à faire!

Publié le par

Comme vous le savez probablement, jusqu’à maintenant, le droit québécois ignorait largement le fait que toutes les organisations et entreprises détiennent, invariablement, des données sur leur personnel. En effet, la loi québécoise touchant la protection des renseignements personnels a longtemps fait fit de ce fait, préférant se concentrer sur tous les autres cas où des entreprises détenait et utilisait des données de ce genre. Avec la nouvelle mouture de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnelsLoi»), de 2022 (une loi résultant du Projet de loi no 64), tout cela vient de changer.

La Loi de 2022 vient imposer toute une série de nouvelles obligations aux organisations détenant des données personnelles sur autrui. Dès maintenant, toutes les organisations, incluant même les PME, doivent donc commencer à porter attention à la question de la protection des renseignements personnels, en commençant, eh oui, par tous les renseignements que détiennent les organisations de tout acabit sur leurs employés. Ce serai d’autant plus important que la Loi prévoit dorénavant qu’on pourra imposer des amendes aux organisation contrevenante de l’ordre de 25 MILLIONS (oui, 25 000 000$) de dollars ou, même, à l’équivalent de 4% de son chiffre d’affaires annuel. Ai-je votre attention?

L’une des première chose à faire est de réaliser, au niveau de l’organisation, qu’on doit désormais commencer à se préoccuper de protection des renseignements personnels. Il faut y dédier des ressources, s’organiser et, eh oui, commencer à s’informer adéquatement quant à ce que la loi exige en matière de protection des données à caractère personnel. Pour les PME, ce sera malheureusement parfois la première fois où on fait cet exercice, la loi étant souvent vue à ce sujet comme une affaire de multinationale sans importance pour les plus petites entités.

Ensuite, si on commence à regarder ce que prévoit la Loi spécifiquement, on réalisera rapidement qu’il faut obligatoirement désormais mettre en place des protocoles, des politiques et des pratiques dictées par chaque organisation dans le but de bien gérer et encadrer sa gouvernance en matière de protection des renseignements personnels en sa possession. Oui, les jours du laisser-aller généralisé à ce sujet sont, en principe, maintenant chose du passé. Temps pour toutes les organisation de s’y mettre!

Fait intéressant, pour ceux et celles qui pourraient penser s’en tirer en ne faisant rien à ce sujet, en catimini: la Loi prévoit que chaque organisation devra (c’est une obligation non-optionnelle) rendre publiquement accessible tous ses protocoles, ses politiques et ses pratiques en la matière. Oui, vous lisez bien et, ceci à compter de dès maintenant.

Premier exemple spécifique au personnel, la Loi prévoit des règles contraignant la mesure dans laquelle les employeurs peuvent faire effectuer un traitement automatisé de renseignements personnels sur des employés potentiels ou présents, afin de prendre une décision sur leur embauche, leur promotion, etc. Généralement, bien que ce soit permis, les employeurs devraient s’informer des règles s’appliquant à ce type de traitement de données par des technologies telles l’intelligence artificielle.

La Loi confirme aussi (comme c’est le cas presque partout ailleurs) que toutes les organisations québécoises devraient se munir d’une politique de gestion des renseignements personnels, qu’on doit rendre accessible au personnel et au public. Cela comprend adopter une telle politique touchant les données des employés et prenant en compte les outils qu’on utilise dans l’organisation pour surveiller ou gérer le travail des salariés, comme par exemple les outils de surveillance, les outils de gestion de performance des employés, etc.

Règle générale, les entreprises québécoises devraient amorcer un réexamen de leurs pratiques de ce genre quant à leur personnel, en comprenant qu’on doit dorénavant porter généralement attention à la notion de consentement du personnel. Notons à ce sujet que le nouveau critère d’un consentement valable implique qu’il soit donné à des fins spécifiques, de surcroit «manifeste, libre et éclairé». En pratique, quand c’est nécessaire, chaque employé devra donc réellement consentir, après lui avoir demandé dans des documents distincts du reste des documents d’emploi. Attention, cela place la barre relativement haute!

À ce sujet, il faudra d’ailleurs dorénavant aussi faire bien attention à l’usage de systèmes divers permettant de surveiller, d’identifier ou de localiser nos employés et d’amasser des données quant à eux. Il faudra notamment informer le personnel visé des raisons sérieuses le justifiant et obtenir leur consentement à cet usage de renseignements les concernant, etc.. En un mot comme en mille, la période où on faisant ce qu’on voulait à ce sujet est bien révolue au Québec.

Autre obligation déjà en vigueur, depuis la semaine dernière: on doit désigner un responsable de la protection des renseignements personnels dans chaque organisation, incluant en diffusant cette information, dont auprès du public et des employés. Cette obligation s’avère conforme dans ce qui se faire dans bon nombre d’autres juridictions et n’a donc rien de bien surprenant. Chaque entreprise et organisation devrait donc en principe avoir quelqu’un (qu’il soit à l’interne ou à l’externe) qui soit chargé de ce genre de questions. Dans le cours normal des choses, on devrait choisir pour ce faire un membre de la haute direction détenant l’expertise nécessaire à gérer le genre de données qu’on possède, un individu qu’on devrait munir de l’autorité nécessaire afin de combler ce rôle.

Désormais, il est aussi important de noter que la Loi exigera qu’on rapporte à la Commission d’accès à l’information (la «CAI»), le chien garde québécois quant à ce genre de question), les incidents éventuels de sécurité ayant potentiellement résulté dans la perte ou la fuite de données personnelles. Cela comprendra les cas où on réalise avoir été la cible de pirates informatiques, les pertes d’ordinateurs portables contenant des données sensibles, etc. Côté salariés, à compter de maintenant, les employés désirant se plaindre des pratiques de leur employeur quant à leurs données pourront d’ailleurs porter plainte auprès de la CAI.

Bien que ce ne soit pas toutes les dispositions de la Loi qui soit déjà en vigueur (l’entrée en vigueur s’avère graduelle d’ici à 2024), une partie de celles-ci le sont déjà -attention et faites vos devoirs!