Désolé, vous n'avez pas accès à cette fonctionnalité

Accédez à toutes les ressources sans limite en vous abonnant au CarrefourRH

Déjà abonné? Connectez-vous

Désolé, cette fonctionalité est réservé aux CRHA | CRIA.

Vous êtes un professionnel RH et vous souhaitez en apprendre plus sur les avantages de porter le titre de CRHA ou de CRIA? Découvrez les conditions d'admission.

Déjà CRHA | CRIA? Connectez-vous

outils / guides-pratiques

Guide conformité RH pour les PME - Dossier de l’employée ou employé

Lors de l’embauche d’une personne, vous devrez procéder à l’ouverture de son dossier qui contiendra diverses informations personnelles nécessaires au traitement de sa paie. La règle prévue au Code civil du Québec indique que l’entreprise doit avoir « un intérêt sérieux et légitime » pour constituer un dossier sur une personne et « ne peut recueillir que les renseignements pertinents à l’objet déclaré du dossier. ».[1] Il est primordial de préserver la confidentialité de toutes les informations présentes au dossier de l’employée ou employé. L’employeur a, en vertu de plusieurs lois[2], l’obligation d’assurer la confidentialité du contenu des dossiers des membres du personnel. Il importe de mentionner que seules les personnes dont l’information est nécessaire à l’exercice de leurs fonctions doivent avoir accès aux dossiers d’une employée ou d’un employé. C’est pour cette raison que certaines sections du dossier d’employé devraient être consignées à part, dans un dossier distinct (voir Tableau 1). Ainsi, les dossiers physiques doivent se trouver dans un emplacement ou un classeur verrouillé à clé et les dossiers électroniques doivent avoir un accès limité et sécurisé, protégé par un mot de passe.[3]

La divulgation à un tiers d’informations personnelles au sujet d’une employée ou d’un employé n’est permise qu’avec son autorisation écrite préalable. Vous devez donc vous assurer d’avoir cette autorisation écrite pour pouvoir donner des références d’emploi, confirmer un emploi ou divulguer la rémunération de la personne par exemple, à une banque.[4]

» » Élément important nécessitant une attention particulière

Sachez que comme employeur, vous êtes lié à ces obligations de confidentialité même lorsque le lien d’emploi est rompu avec l’employée ou employé.[5]

Tableau 1. Exemple de contenu du dossier d’employé[6]

Section

Contenu

Accès

Section : Embauche

Contenu

  • Fiche d’informations personnelles et autres documents administratifs nécessaires à l’ouverture du dossier de l’employée ou employé
  • Formulaire de demande d’emploi, CV, lettre de motivation, guide, rapports et notes d’entrevue
  • Offre d’emploi ou contrat de travail
  • Description de poste
  • Plan d’accueil et d’intégration

Accès

Accessible aux ressources humaines et au supérieur immédiat. Les rapports de vérification de références, d’enquête de crédit, d’antécédents judiciaires et les examens médicaux préembauche devraient être consignés dans un dossier distinct permettant de restreindre davantage le nombre de personnes y ayant accès.

Section : Formation

Contenu

  • Copie des diplômes
  • Certificat de secouriste
  • Certifications (permis de conduire, permis d’un ordre professionnel, etc.)
  • Attestations des formations suivies en cours d’emploi

Accès

Accessible à la personne responsable des ressources humaines et au supérieur immédiat.

Section : Performance

Contenu

  • Formulaire d’évaluation du rendement
  • Plan de développement individuel
  • Objectifs de performance
  • Plan de redressement

Accès

Accessible à la personne responsable des ressources humaines et au supérieur immédiat.

Section : Santé, sécurité, mieux-être

Contenu

  • Formulaire d’adhésion à l’assurance collective
  • Formulaires internes pour congé de maternité, paternité, parental ou maladie
  • Certificat médical, rapport d’expertise, formulaire d’invalidité
  • Formulaires de déclaration ou de réclamation en lien avec un accident de travail ou une maladie professionnelle, etc.

Accès

Puisqu’il s’agit d’informations hautement confidentielles, il est recommandé de consigner ces documents dans un dossier distinct permettant de restreindre davantage le nombre de personnes y ayant accès.

Section : Disciplinaire

Contenu

  • Avertissements verbaux ou écrits
  • Avis de suspension
  • Notes de rencontres, historique des événements, rapport d’enquête
  • Autres mesures disciplinaires

Accès

Selon la nature de l’enquête, par exemple une enquête en matière de harcèlement psychologique ou sexuel, conserver les informations et documents relatifs dans des dossiers confidentiels distincts et dont l’accès limité est nécessaire.

Section : Rémunération

Contenu

  • Analyses salariales
  • Historique de rémunération et des rajustements salariaux
  • Documents relatifs à la bonification
  • Formulaires d’adhésion au régime de retraite
  • Tout autre document relatif à la rémunération globale

Accès

Comme la paie se distingue de la rémunération, toute information relative à la paie devrait se trouver dans un dossier distinct.

Généralement, il est recommandé de conserver les dossiers de ses employées et employés pour une durée de trois ans suivant la fin du lien d’emploi.

Confidentialité des informations

Les employeurs ont accès à nombre d’informations sur les personnes qu’ils emploient. Il importe de respecter le droit fondamental à la vie privée [7] de toute personne et de traiter ces renseignements avec la plus grande protection de leur confidentialité.

L’entrée en vigueur de la Loi modifiant les dispositions législatives en matière de protection des renseignements personnels dans le secteur privé mieux connue sous le nom de « Loi 25 », réforme l’ensemble de la législation traitant de renseignements personnels au Québec. Elle s’applique à « toute organisation collectant, utilisant, conservant ou transmettant au moins un renseignement personnel (…) quel que soit son type, son domaine d’activité, son secteur (public ou privé) ou son statut (lucratif ou non lucratif), y compris les travailleuses et travailleurs autonomes. »[8] Cette loi impose aux entreprises des obligations[9] dont l’application est définie à chaque étape du cycle de vie d’un renseignement personnel (voir Image 1). Elle dicte également les bonnes pratiques en matière de cybersécurité, sujet d’actualité qui peut avoir des conséquences majeures pour une entreprise lorsqu’elle est mal gérée.

Image 1. Cycle de vie d’un renseignement personnel[9]

Cycle de vie d’un renseignement personnel

Qu’est-ce qu’un renseignement personnel?

Un renseignement personnel permet de reconnaître directement ou indirectement une personne. Ces renseignements sont confidentiels et doivent être protégés en vertu du droit à la vie privée.

  • Il doit faire connaître quelque chose à quelqu’un.
  • Il doit avoir un rapport avec une personne physique.
  • Il doit être susceptible de distinguer cette personne par rapport à une autre ou de reconnaître sa nature.[11]

Catégorie de renseignement personnel

  1. Renseignements d’identité
  2. Renseignements de santé
  3. Renseignements financiers
  4. Renseignements relatifs au travail
  5. Renseignements scolaires et relatifs à la formation
  6. Renseignements relatifs à la situation sociale ou familiale[13]

Plus un renseignement personnel est intime ou pourrait entraîner des répercussions s’il était divulgué (par exemple : dossier médical, dossier de crédit, orientation sexuelle, religion, opinions politiques, biométrie, etc.), plus les attentes en matière de vie privée sont élevées.

Aux obligations de confidentialité citées précédemment dans les sections liées au recrutement et à la tenue des dossiers d’employées et employés, s’ajoutent les obligations suivantes :

  • Désigner une personne responsable de la protection des renseignements personnels et rendre accessibles son titre et ses coordonnées sur le site Internet de l'entreprise ou par un autre moyen approprié si l’organisation n’a pas de site;
  • Faire l’inventaire des renseignements personnels détenus par l’entreprise (ou pour son compte par un tiers), évaluer leur sensibilité et le maintenir à jour;
  • Mettre en place et appliquer des politiques et des pratiques encadrant la gouvernance des renseignements personnels et communiquer celles-ci en des termes simples et clairs sur le site Internet de l’entreprise ou, si elle n’a pas de site, par tout autre moyen approprié;
  • Informer et obtenir le consentement des personnes à la collecte de leurs renseignements personnels, de l’utilisation qui en sera faite, des moyens utilisés pour la collecte, des droits d’accès à leurs renseignements et leur permettre de retirer leur consentement. Note : cela inclut les données collectées via Internet, par exemple, les témoins (cookies);
  • Tenir un registre de tous les incidents et prendre rapidement des mesures raisonnables afin de diminuer le risque qu'un préjudice soit causé aux personnes concernées. Une entreprise doit aussi aviser la Commission et les personnes concernées de tout incident présentant un risque sérieux de préjudice;
  • Divulguer préalablement à la Commission la vérification ou la confirmation d'identité faite au moyen de caractéristiques ou de mesures biométriques;
  • Détruire ou anonymiser les renseignements personnels lorsqu’ils ne sont plus utilisés;
  • Respecter le droit à la cessation de la diffusion, à la réindexation ou à la désindexation;
  • Évaluer les risques liés à la communication des renseignements personnels à l’extérieur du Québec.[11]

À partir de septembre 2024, les entreprises doivent également :

  • Répondre aux demandes de portabilité des renseignements personnels (communication ou modification).[14]

Table des matières du guide

Cette ressource est réservée aux CRHA/CRIA et aux abonnés du Carrefour RH.


Jusqu'au 30 septembre 2024, abonnez-vous pour 595 $
(valeur de 700 $) et accédez à plus de 3000 ressources RH.

De plus, accédez à la formation en ligne
 « Loi 27 - Les risques psychosociaux au travail : nouvelles
dispositions et gestes-clés » gratuitement.

Abonnez-vous au Carrefour RH et découvrez toutes les ressources, sans limites.

Déjà CRHA | CRIA ou abonné? Connectez-vous