Lors de l’embauche d’une personne, vous devrez procéder à l’ouverture de son dossier qui contiendra diverses informations personnelles nécessaires au traitement de sa paie. La règle prévue au Code civil du Québec indique que l’entreprise doit avoir « un intérêt sérieux et légitime » pour constituer un dossier sur une personne et « ne peut recueillir que les renseignements pertinents à l’objet déclaré du dossier. ».[1] Il est primordial de préserver la confidentialité de toutes les informations présentes au dossier de l’employée ou employé. L’employeur a, en vertu de plusieurs lois[2], l’obligation d’assurer la confidentialité du contenu des dossiers des membres du personnel. Il importe de mentionner que seules les personnes dont l’information est nécessaire à l’exercice de leurs fonctions doivent avoir accès aux dossiers d’une employée ou d’un employé. C’est pour cette raison que certaines sections du dossier d’employé devraient être consignées à part, dans un dossier distinct (voir Tableau 1). Ainsi, les dossiers physiques doivent se trouver dans un emplacement ou un classeur verrouillé à clé et les dossiers électroniques doivent avoir un accès limité et sécurisé, protégé par un mot de passe.[3]
La divulgation à un tiers d’informations personnelles au sujet d’une employée ou d’un employé n’est permise qu’avec son autorisation écrite préalable. Vous devez donc vous assurer d’avoir cette autorisation écrite pour pouvoir donner des références d’emploi, confirmer un emploi ou divulguer la rémunération de la personne par exemple, à une banque.[4]
» » Élément important nécessitant une attention particulière
Sachez que comme employeur, vous êtes lié à ces obligations de confidentialité même lorsque le lien d’emploi est rompu avec l’employée ou employé.[5]
Tableau 1. Exemple de contenu du dossier d’employé[6]
Section
Contenu
Accès
Contenu
- Fiche d’informations personnelles et autres documents administratifs nécessaires à l’ouverture du dossier de l’employée ou employé
- Formulaire de demande d’emploi, CV, lettre de motivation, guide, rapports et notes d’entrevue
- Offre d’emploi ou contrat de travail
- Description de poste
- Plan d’accueil et d’intégration
Accès
Accessible aux ressources humaines et au supérieur immédiat. Les rapports de vérification de références, d’enquête de crédit, d’antécédents judiciaires et les examens médicaux préembauche devraient être consignés dans un dossier distinct permettant de restreindre davantage le nombre de personnes y ayant accès.
Contenu
- Copie des diplômes
- Certificat de secouriste
- Certifications (permis de conduire, permis d’un ordre professionnel, etc.)
- Attestations des formations suivies en cours d’emploi
Accès
Accessible à la personne responsable des ressources humaines et au supérieur immédiat.
Contenu
- Formulaire d’évaluation du rendement
- Plan de développement individuel
- Objectifs de performance
- Plan de redressement
Accès
Accessible à la personne responsable des ressources humaines et au supérieur immédiat.
Contenu
- Formulaire d’adhésion à l’assurance collective
- Formulaires internes pour congé de maternité, paternité, parental ou maladie
- Certificat médical, rapport d’expertise, formulaire d’invalidité
- Formulaires de déclaration ou de réclamation en lien avec un accident de travail ou une maladie professionnelle, etc.
Accès
Puisqu’il s’agit d’informations hautement confidentielles, il est recommandé de consigner ces documents dans un dossier distinct permettant de restreindre davantage le nombre de personnes y ayant accès.
Contenu
- Avertissements verbaux ou écrits
- Avis de suspension
- Notes de rencontres, historique des événements, rapport d’enquête
- Autres mesures disciplinaires
Accès
Selon la nature de l’enquête, par exemple une enquête en matière de harcèlement psychologique ou sexuel, conserver les informations et documents relatifs dans des dossiers confidentiels distincts et dont l’accès limité est nécessaire.
Contenu
- Analyses salariales
- Historique de rémunération et des rajustements salariaux
- Documents relatifs à la bonification
- Formulaires d’adhésion au régime de retraite
- Tout autre document relatif à la rémunération globale
Accès
Comme la paie se distingue de la rémunération, toute information relative à la paie devrait se trouver dans un dossier distinct.
Généralement, il est recommandé de conserver les dossiers de ses employées et employés pour une durée de trois ans suivant la fin du lien d’emploi.
Confidentialité des informations
Les employeurs ont accès à nombre d’informations sur les personnes qu’ils emploient. Il importe de respecter le droit fondamental à la vie privée [7] de toute personne et de traiter ces renseignements avec la plus grande protection de leur confidentialité.
L’entrée en vigueur de la Loi modifiant les dispositions législatives en matière de protection des renseignements personnels dans le secteur privé mieux connue sous le nom de « Loi 25 », réforme l’ensemble de la législation traitant de renseignements personnels au Québec. Elle s’applique à « toute organisation collectant, utilisant, conservant ou transmettant au moins un renseignement personnel (…) quel que soit son type, son domaine d’activité, son secteur (public ou privé) ou son statut (lucratif ou non lucratif), y compris les travailleuses et travailleurs autonomes. »[8] Cette loi impose aux entreprises des obligations[9] dont l’application est définie à chaque étape du cycle de vie d’un renseignement personnel (voir Image 1). Elle dicte également les bonnes pratiques en matière de cybersécurité, sujet d’actualité qui peut avoir des conséquences majeures pour une entreprise lorsqu’elle est mal gérée.
Image 1. Cycle de vie d’un renseignement personnel[9]
Qu’est-ce qu’un renseignement personnel?
Un renseignement personnel permet de reconnaître directement ou indirectement une personne. Ces renseignements sont confidentiels et doivent être protégés en vertu du droit à la vie privée.
- Il doit faire connaître quelque chose à quelqu’un.
- Il doit avoir un rapport avec une personne physique.
- Il doit être susceptible de distinguer cette personne par rapport à une autre ou de reconnaître sa nature.[11]
Catégorie de renseignement personnel
- Renseignements d’identité
- Renseignements de santé
- Renseignements financiers
- Renseignements relatifs au travail
- Renseignements scolaires et relatifs à la formation
- Renseignements relatifs à la situation sociale ou familiale[13]
Plus un renseignement personnel est intime ou pourrait entraîner des répercussions s’il était divulgué (par exemple : dossier médical, dossier de crédit, orientation sexuelle, religion, opinions politiques, biométrie, etc.), plus les attentes en matière de vie privée sont élevées.
Aux obligations de confidentialité citées précédemment dans les sections liées au recrutement et à la tenue des dossiers d’employées et employés, s’ajoutent les obligations suivantes :
- Désigner une personne responsable de la protection des renseignements personnels et rendre accessibles son titre et ses coordonnées sur le site Internet de l'entreprise ou par un autre moyen approprié si l’organisation n’a pas de site;
- Faire l’inventaire des renseignements personnels détenus par l’entreprise (ou pour son compte par un tiers), évaluer leur sensibilité et le maintenir à jour;
- Mettre en place et appliquer des politiques et des pratiques encadrant la gouvernance des renseignements personnels et communiquer celles-ci en des termes simples et clairs sur le site Internet de l’entreprise ou, si elle n’a pas de site, par tout autre moyen approprié;
- Informer et obtenir le consentement des personnes à la collecte de leurs renseignements personnels, de l’utilisation qui en sera faite, des moyens utilisés pour la collecte, des droits d’accès à leurs renseignements et leur permettre de retirer leur consentement. Note : cela inclut les données collectées via Internet, par exemple, les témoins (cookies);
- Tenir un registre de tous les incidents et prendre rapidement des mesures raisonnables afin de diminuer le risque qu'un préjudice soit causé aux personnes concernées. Une entreprise doit aussi aviser la Commission et les personnes concernées de tout incident présentant un risque sérieux de préjudice;
- Divulguer préalablement à la Commission la vérification ou la confirmation d'identité faite au moyen de caractéristiques ou de mesures biométriques;
- Détruire ou anonymiser les renseignements personnels lorsqu’ils ne sont plus utilisés;
- Respecter le droit à la cessation de la diffusion, à la réindexation ou à la désindexation;
- Évaluer les risques liés à la communication des renseignements personnels à l’extérieur du Québec.[11]
À partir de septembre 2024, les entreprises doivent également :
- Répondre aux demandes de portabilité des renseignements personnels (communication ou modification).[14]