Les entreprises et organismes publics québécois tentent de mettre en place toutes les mesures qui permettraient d'atténuer et contenir les risques reliés à la propagation de la COVID-19. Cela peut ainsi inclure le traitement de différents types de renseignements personnels. Certaines pratiques envisagées peuvent toutefois constituer une atteinte tant sur le plan de la protection des renseignements personnels que du point de vue du droit à la vie privée.

Il est important de se rappeler que les lois relatives à la protection des renseignements personnels continuent de s'appliquer, malgré le contexte actuel. Les mesures prises doivent donc toujours être proportionnées entre le fait de concilier/protéger la santé publique (et individuelle) tout en assurant la protection des renseignements personnels et la vie privée des individus/employés.

Les problématiques auxquelles sont confrontés les employeurs sont, notamment, de trois ordres :

  • Comment faire face aux risques de cyberattaques?
  • Comment assurer la protection de leurs employés?
  • Peut-on divulguer l'identité d'un employé atteint de la COVID-19 à ses collègues?

Sur les risques de cyberattaques

La Covid-19 a une conséquence en termes de cybersécurité. En effet, les pirates informatiques profitent du télétravail et des connexions à distance pour envoyer des courriels de phishing en exploitant la peur liée à l'épidémie pour s'infiltrer sur les réseaux informatiques des entreprises et des particuliers.

De sorte que même si les mesures de sécurité mises en place au sein de l'entreprise sont adéquates, il est important de sensibiliser régulièrement les employés des bonnes pratiques en matière de sécurité informatique.

Mise en place de mesures de protection des employés

La gestion du Covid-19 par les employeurs entraîne des enjeux majeurs relatifs à la vie privée des individus et à la protection de leur renseignements personnels. Les entreprises peuvent-elles se fonder sur la protection de la santé publique afin de collecter des données sensibles et les communiquer à des tiers sans pour autant avoir obtenu le consentement des employés?

Rappelons en effet qu'avant de collecter, d'utiliser et/ou de communiquer des renseignements personnels, il faut recueillir le consentement informé de l'individu et se poser les questions suivantes :

  • La mesure de l'employeur (ex. : prise de température, géolocalisation des employés, vidéosurveillance) est-elle justifiée au regard de l'objectif visé (soit de prendre les mesures nécessaires pour protéger la santé et assurer la sécurité et l'intégrité physique de tous les salariés)? Les motifs invoqués pour justifier une mesure ne peuvent en principe être liés à la surveillance de la production des employés ou à des fins disciplinaires.
  • La mesure envisagée est-elle susceptible d'être efficace pour répondre à ce besoin?
  • L'atteinte à la vie privée est-elle proportionnelle à l'avantage qui en découlera?
  • Existe-t-il un autre moyen moins envahissant permettant d'atteindre le même objectif? Par exemple, si un employeur impose la prise de température, il peut être possible de suggérer que chaque employé la prenne chez soi.

La mise en place de mesures visant à prévenir la contamination des employés par le Covid-19 ne doit pas empêcher le respect des lois applicables en matière de protection des renseignements personnels. Concrètement, les employés devraient être informés avant la mise en place d'une mesure nécessitant la collecte de renseignements personnels ou pouvant atteindre leur droit à la vie privée.

Il est également nécessaire d'obtenir leur consentement ainsi que le rappelle le Commissariat à la protection de la vie privée dans son document d'orientation sur La protection de la vie privée et l'éclosion de la COVID-19.

Il rappelle en effet que la LPRPDE autorise les organisations à recueillir, utiliser ou communiquer des renseignements à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances, et sous réserve de l'informer et d'obtenir son consentement valable.

Toutefois, il précise également qu'une organisation peut recueillir, utiliser ou communiquer des renseignements personnels sans obtenir le consentement de l'individu concerné dans certaines circonstances, dont les suivantes :

  • Si la collecte est manifestement dans l'intérêt de l'intéressé et que le consentement ne peut être obtenu auprès de celui-ci en temps opportun (alinéa 7(1)a)), notamment si l'individu est gravement malade.
  • Si l'utilisation ou la communication est faite en raison d'une situation d'urgence mettant en danger la vie, la santé ou la sécurité d'un individu (alinéas 7(2)b) et 7(3)e)).

Information aux employés d'un cas relié à la Covid-19 :

Si un employé est atteint du virus, ses collègues doivent être informés qu'un individu au sein du milieu de travail a été testé positif. Toutefois, l'information donnée ne devra pas permettre d'identifier la personne malade. D'autant plus qu'un diagnostic médical est un renseignement de santé, donc un renseignement particulièrement sensible. En revanche, l'entreprise pourra donner les informations relatives au département dans lequel travaille la personne porteur du virus, aux endroits sur son milieu de travail auxquels s'est rendue ladite personne et toute information permettant à ses collègues de prendre des mesures leur permettant de préserver leur santé et celle des autres. À ce titre, l'employeur pourrait imposer aux employés entrés en contact avec la personne porteuse du virus, d'être en quarantaine au motif qu'ils ont été en contact avec une personne ayant été testée positive.

Si le nom de l'individu doit être divulgué, ou s'il peut être déduit (par exemple s'il n'y a que deux employés dans le service et l'un des deux est malade), il est préférable d'obtenir en amont de la divulgation, le consentement de la personne concernée.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.