Les nouvelles obligations de la loi 25
La loi 25 vient préciser certaines obligations de l’employeur en matière de protection des renseignements personnels. Elle vient également imposer des amendes aux personnes et aux organisations qui ne protégeront pas adéquatement cette information. L’étendue et les ramifications de la loi, adoptée en 2021, sont si vastes que le législateur a étalé les différentes obligations de l’employeur sur une période de trois ans.
La première phase d’implantation est entrée en vigueur le 23 septembre dernier. Celle-ci impose aux organisations de nommer une personne responsable de la protection des renseignements personnels au sein de l’organisation. Cette personne doit non seulement connaître tous les renseignements personnels détenus par l’organisation, mais également les protéger adéquatement et signaler toute fuite potentielle de données personnelles et d’en aviser la Commission d’accès à l’information (CAI).
Comme les services de ressources humaines détiennent une grande quantité de renseignements personnels, nous allons proposer, dans cet article, une démarche pour aider les directions de ressources humaines à préparer une cartographie des données qu’elles détiennent. De cette façon, elles seront en mesure d’assister adéquatement le responsable et l’organisation dans leur désormais obligation de connaître cette information et, également, de pouvoir cerner les sources de risques de fuite potentielle au sein du service RH et de s’y attarder rapidement.
Des enjeux réels pour les RH dans les activités quotidiennes
À l’aide d’un exemple fictif, nous allons illustrer l’analyse qui devra être effectuée par les professionnels en ressources humaines dans les organisations.
Imaginons donc, Cynthia – CRHA, directrice des ressources humaines dans une PME située en banlieue de Montréal. Elle fait partie d’une organisation qui compte 145 employés, dont 90 à la production et qui sont syndiqués. L’entreprise produit et distribue différents types de solvants chimiques. Elle est seule aux ressources humaines et est donc responsable de l’ensemble des volets de la pratique RH de son organisation. Elle supervise également les activités de paye, effectuées par Guillaume, le technicien de paie de l’organisation.
Cynthia se questionne sur la loi 25, ses incidences dans son service et, le lien, avec son devoir prévu à son code de déontologie de protéger la confidentialité des dossiers des personnes et des renseignements de nature confidentielle qui viennent à sa connaissance dans l’exercice de sa profession (Code de déontologie CRHA | CRIA, art. 6, alinéa 6). Essayons donc de l’aider.
Tout d’abord, il convient de comprendre qu’elle est responsable des renseignements qu’elle recueille (collecte), de leur utilisation, communication, conservation et, éventuellement, de leur destruction. Elle doit donc, en vertu de la loi, protéger ces renseignements à toutes les phases du processus.
Considérons ainsi le processus de dotation de Cynthia. L’embauche d’une personne à la production comprend des vérifications médicales (afin notamment de s’assurer que les employés ne souffrent pas d’allergies à certaines des composantes chimiques) et des vérifications d’antécédents criminels (en raison des produits disponibles et manipulés dans le cadre des fonctions) ainsi que des vérifications de références d’emploi antérieur. Comme Cynthia confie ces vérifications à des partenaires externes, elle doit s’assurer non seulement que le canal de communication utilisé entre son candidat et ses partenaires soit sécuritaire; mais également que ceux-ci traitent et conservent les informations fournies de manière confidentielle.
De plus, avant de procéder (ou de faire procéder) à cette vérification, Cynthia doit obtenir l’autorisation de la personne candidate. En vertu de la loi sur la protection des renseignements personnels – art. 14 - « Le consentement à la collecte, à la communication ou à l’utilisation d’un renseignement personnel doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. Un consentement qui n’est pas donné conformément au premier alinéa est sans effet ».
Une fois la personne embauchée, Cynthia doit recueillir toute l’information afin de constituer le dossier de l’employé. Comme cette fonction est attribuée à Guillaume, c’est lui qui est chargé de faire remplir ces documents. Cynthia doit donc s’assurer que toute l’information recueillie par Guillaume demeure confidentielle (nom, adresse, téléphone, NAS, nom de l’établissement bancaire et numéro de compte, état civil, salaire, vacances, informations sur les personnes à charge et bénéficiaires de l’assurance collective ainsi que l’existence de conditions médicales particulières, les contacts et informations en cas d’urgence, numéro RAMQ, etc.), qu’elle ne soit pas transmise et/ou qu’elle soit protégée adéquatement dans le cas où elle doit être transmise.
En outre, comme chaque nouvel employé de production doit manipuler des produits dangereux, il aura besoin d’équipements de protection pour effectuer son travail. Cynthia l’envoie donc fournir toutes ses informations physiques (taille, poids, pointure des souliers, etc.) au superviseur qui est responsable de gérer le magasin et les équipements de protection. Ces informations constituent également des informations personnelles qui permettent d’identifier la personne. Les personnes concernées dans ce processus devront donc s’assurer de conserver ces données et de les traiter de manière sécuritaire.
Certaines informations en regard de l’employé sont également fournies par Cynthia aux responsables syndicaux de l’organisation afin que ceux-ci puissent intégrer l’employé dans leur groupe. Elle doit les mettre en garde concernant la confidentialité des renseignements personnels qu’elle leur confie.
D’autre part, en vue d’assurer la sécurité des installations de l’organisation, il faut une carte avec photo pour accéder au bâtiment. Il y a donc le technicien informatique, Simon, qui recueille les informations biométriques de l’employé (photo numérisée, empreintes digitales, etc.). Ces données sont conservées dans le logiciel du système de carte d’accès.
Arrêtons ici notre exemple. Il est facile de voir, à la lumière de celui-ci, que nous manipulons une grande quantité de renseignements personnels dans le cadre de nos fonctions aux ressources humaines. On peut imaginer que ces renseignements peuvent être collectés à la fois sous forme documentaire ou électronique, selon le type d’organisation dans laquelle on évolue. La façon de les protéger, de les communiquer, de les conserver et de les détruire sera donc différente, selon le cas.
Un champ d’application plus vaste
Dans notre exemple, nous ne nous sommes arrêtés qu’à l’embauche et l’intégration du nouvel employé au sein de l’organisation. La responsabilité est beaucoup plus vaste et couvre tous les volets des ressources humaines qui interviendront dans le parcours professionnel de l’employé au sein de l’organisation. Les événements liées à la formation et au développement de la personne, à son dossier disciplinaire, à la santé et sécurité au travail (incluant les accidents de travail), à son appartenance à certains groupes (en vertu d’un programme de diversité), au développement de l’organisation, à sa performance et à sa rémunération sont autant de volets où nous pourrons détenir ou collecter des informations personnelles et où il sera essentiel de s’assurer que l’information est conservée de manière confidentielle.
Naturellement, nous serons également responsables, de nous assurer que nos partenaires traitent également de manière confidentielle l’ensemble des informations qu’ils détiennent et manipulent dans le cadre de ces activités également.
Nous vous invitons donc à débuter sans tarder cet exercice et à tenir informer le responsable de la protection des renseignements personnels de votre organisation de la réalisation de vos obligations en la matière.