Archives de l’étiquette : emploi

Entreprises au Québec: vous avez des employés, donc des données et des devoirs à faire!

Publié le par

Comme vous le savez probablement, jusqu’à maintenant, le droit québécois ignorait largement le fait que toutes les organisations et entreprises détiennent, invariablement, des données sur leur personnel. En effet, la loi québécoise touchant la protection des renseignements personnels a longtemps fait fit de ce fait, préférant se concentrer sur tous les autres cas où des entreprises détenait et utilisait des données de ce genre. Avec la nouvelle mouture de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnelsLoi»), de 2022 (une loi résultant du Projet de loi no 64), tout cela vient de changer.

La Loi de 2022 vient imposer toute une série de nouvelles obligations aux organisations détenant des données personnelles sur autrui. Dès maintenant, toutes les organisations, incluant même les PME, doivent donc commencer à porter attention à la question de la protection des renseignements personnels, en commençant, eh oui, par tous les renseignements que détiennent les organisations de tout acabit sur leurs employés. Ce serai d’autant plus important que la Loi prévoit dorénavant qu’on pourra imposer des amendes aux organisation contrevenante de l’ordre de 25 MILLIONS (oui, 25 000 000$) de dollars ou, même, à l’équivalent de 4% de son chiffre d’affaires annuel. Ai-je votre attention?

L’une des première chose à faire est de réaliser, au niveau de l’organisation, qu’on doit désormais commencer à se préoccuper de protection des renseignements personnels. Il faut y dédier des ressources, s’organiser et, eh oui, commencer à s’informer adéquatement quant à ce que la loi exige en matière de protection des données à caractère personnel. Pour les PME, ce sera malheureusement parfois la première fois où on fait cet exercice, la loi étant souvent vue à ce sujet comme une affaire de multinationale sans importance pour les plus petites entités.

Ensuite, si on commence à regarder ce que prévoit la Loi spécifiquement, on réalisera rapidement qu’il faut obligatoirement désormais mettre en place des protocoles, des politiques et des pratiques dictées par chaque organisation dans le but de bien gérer et encadrer sa gouvernance en matière de protection des renseignements personnels en sa possession. Oui, les jours du laisser-aller généralisé à ce sujet sont, en principe, maintenant chose du passé. Temps pour toutes les organisation de s’y mettre!

Fait intéressant, pour ceux et celles qui pourraient penser s’en tirer en ne faisant rien à ce sujet, en catimini: la Loi prévoit que chaque organisation devra (c’est une obligation non-optionnelle) rendre publiquement accessible tous ses protocoles, ses politiques et ses pratiques en la matière. Oui, vous lisez bien et, ceci à compter de dès maintenant.

Premier exemple spécifique au personnel, la Loi prévoit des règles contraignant la mesure dans laquelle les employeurs peuvent faire effectuer un traitement automatisé de renseignements personnels sur des employés potentiels ou présents, afin de prendre une décision sur leur embauche, leur promotion, etc. Généralement, bien que ce soit permis, les employeurs devraient s’informer des règles s’appliquant à ce type de traitement de données par des technologies telles l’intelligence artificielle.

La Loi confirme aussi (comme c’est le cas presque partout ailleurs) que toutes les organisations québécoises devraient se munir d’une politique de gestion des renseignements personnels, qu’on doit rendre accessible au personnel et au public. Cela comprend adopter une telle politique touchant les données des employés et prenant en compte les outils qu’on utilise dans l’organisation pour surveiller ou gérer le travail des salariés, comme par exemple les outils de surveillance, les outils de gestion de performance des employés, etc.

Règle générale, les entreprises québécoises devraient amorcer un réexamen de leurs pratiques de ce genre quant à leur personnel, en comprenant qu’on doit dorénavant porter généralement attention à la notion de consentement du personnel. Notons à ce sujet que le nouveau critère d’un consentement valable implique qu’il soit donné à des fins spécifiques, de surcroit «manifeste, libre et éclairé». En pratique, quand c’est nécessaire, chaque employé devra donc réellement consentir, après lui avoir demandé dans des documents distincts du reste des documents d’emploi. Attention, cela place la barre relativement haute!

À ce sujet, il faudra d’ailleurs dorénavant aussi faire bien attention à l’usage de systèmes divers permettant de surveiller, d’identifier ou de localiser nos employés et d’amasser des données quant à eux. Il faudra notamment informer le personnel visé des raisons sérieuses le justifiant et obtenir leur consentement à cet usage de renseignements les concernant, etc.. En un mot comme en mille, la période où on faisant ce qu’on voulait à ce sujet est bien révolue au Québec.

Autre obligation déjà en vigueur, depuis la semaine dernière: on doit désigner un responsable de la protection des renseignements personnels dans chaque organisation, incluant en diffusant cette information, dont auprès du public et des employés. Cette obligation s’avère conforme dans ce qui se faire dans bon nombre d’autres juridictions et n’a donc rien de bien surprenant. Chaque entreprise et organisation devrait donc en principe avoir quelqu’un (qu’il soit à l’interne ou à l’externe) qui soit chargé de ce genre de questions. Dans le cours normal des choses, on devrait choisir pour ce faire un membre de la haute direction détenant l’expertise nécessaire à gérer le genre de données qu’on possède, un individu qu’on devrait munir de l’autorité nécessaire afin de combler ce rôle.

Désormais, il est aussi important de noter que la Loi exigera qu’on rapporte à la Commission d’accès à l’information (la «CAI»), le chien garde québécois quant à ce genre de question), les incidents éventuels de sécurité ayant potentiellement résulté dans la perte ou la fuite de données personnelles. Cela comprendra les cas où on réalise avoir été la cible de pirates informatiques, les pertes d’ordinateurs portables contenant des données sensibles, etc. Côté salariés, à compter de maintenant, les employés désirant se plaindre des pratiques de leur employeur quant à leurs données pourront d’ailleurs porter plainte auprès de la CAI.

Bien que ce ne soit pas toutes les dispositions de la Loi qui soit déjà en vigueur (l’entrée en vigueur s’avère graduelle d’ici à 2024), une partie de celles-ci le sont déjà -attention et faites vos devoirs!

Dérapage technologique: quand on oblige l’employé à installer une appli de géolocalisation sur son propre appareil

Publié le par

Les médias rapportent cette semaine une histoire intéressante au sujet d’entreprises exigeant que leurs employés installent une appli de géolocalisation sur leur appareil mobile afin de pouvoir suivre certains de leurs déplacements pendant leur journée de travail.

L’histoire en question se passe en Alberta, où une employée prétend que son congédiement récent découle de son refus d’installer l’application Blip que son employeur exigeait qu’elle utilise dorénavant. Cette application permet aux employeurs de créer une zone géorepérable (c’est un mot, ok, je note), en étant ensuite avisés quand un usager sort du périmètre.

Cette affaire soulève des problèmes intéressants relatifs à ce qu’on peut imposer à un individu, notamment dans le contexte d’un emploi, en particulier par rapport à ses données et à son propre appareil, sans parler de la collecte et de l’utilisation de données personnelles liées à son déplacement. Dans la mesure où c’est l’employé qui achète et paie pour l’utilisation de son appareil, un employeur peut-il réellement lui imposer d’installer puis d’activer une appli spécifique au seul bénéfice de l’entreprise? Quand un employé est salarié et n’a aucune possibilité de refuser (sans s’exposer à des sanctions), peut-on réellement parler de consentement? Évidemment pas, d’où le malaise qu’on peut ressentir à la lecture de telles histoires.

D’ailleurs, même si une application comme Blip ne permet pas de localiser l’employé à l’intérieur de la zone et est plutôt simplement pratique pour l’employeur afin d’aider son système de paie (par rapport aux heures travaillées sur place), cela ne signifie pas qu’on soit nécessairement en droit d’exiger l’utilisation de telles applis, du moins pas de cette façon, ni n’importe comment. Oui, un employeur peut très bien demander à son personnel de «pointer» au début et à la fin de son quart de travail (avec une carte et un horodateur), ce qui ne s’étend cependant pas automatiquement à pousser la chose jusqu’à exiger qu’un salarié installe une balise sur son propre appareil. Il s’agit d’un bon exemple de «dérapage technologique» qui tend à survenir quand on innove, en présumant que le contexte qui existait auparavant demeure le même malgré l’évolution de la techno dans un cas précis.

D’ailleurs, de façon générale (au Québec, comme dans plusieurs autres provinces canadiennes), les employeurs devraient généralement réserver l’utilisation de technologies de surveillance pour les cas problèmes, en évitant de mettre en œuvre des systèmes de ce type sans avoir de réel besoin dépassant le fait que cela s’avère pratique pour eux.

Quand un problème particulier se pointe, c’est une chose, mais imposer le port d’une balise à tous les employés sans bonne raison, surtout de la façon dont cela semble s’être fait ici, a certainement de quoi déranger. De plus, offrir à un salarié d’installer volontairement une appli qui lui évitera de devoir pointer manuellement, c’est une chose, lui en imposer une sur son propre appareil, qui générera et utilisera des renseignements personnels, une tout autre.