Archivée - Lignes directrices sur la protection des renseignements personnels - Code de la protection des renseignements personnels concernant les employés

Le gouvernement fédéral s'est engagé en tant qu'employeur, à suivre à l'égard de ses employés des pratiques équitables en matière de gestion de renseignements. Ceux-ci peuvent donc à juste titre s'attendre à ce que les renseignements personnels qui les concernent soient réellement protégés. Les principes que toutes les institutions gouvernementales doivent respecter sont énoncés dans la Loi sur la protection des renseignements personnel (1983), qui a pour objet *de compléter la législation canadienne en matière de protection des renseignements personnels relevant des institutions fédérales et de droit d'accès des individus aux renseignements personnels qui les concernent+. (Loi sur la protection des renseignements personnels, article 2).

Les dossiers d'employés et de candidats à un emploi renferment des renseignements permettant d'identifier des personnes. La collecte, l'utilisation, la communication, la conservation et le retrait de ce genre de renseignements doivent donc se faire selon les principes de confidentialité, d'exactitude et de pertinence énoncés dans la Loi sur la protection des renseignements personnels. Le Code de la protection des renseignements personnels concernant les employés respecte l'esprit aussi bien que la lettre de la Loi, quand elle vise les fonctionnaires fédéraux.

Voici les six principes sur lesquels repose le Code.

Il doit exister un mécanisme d'accès permettant à l'employé de savoir quels renseignements à son sujet figurent dans un fichier et à quelles fins ils servent.

Les institutions gouvernementales qui détiennent des renseignements personnels doivent les conserver dans un des fichiers de renseignements personnels dont la liste est publié chaque année dans Info Source.

Les employés doivent avoir accès aux renseignements qui les concernent, sauf dans quelques cas d'exception. Habituellement, cela devrait pouvoir se faire sans devoir recourir à la procédure prévue dans la Loi sur la protection des renseignements personnels, mais aucune mesure de rétorsion ne sera prise contre l'employé qui désire y recourir. L'accès à des renseignements personnels ne sera interdit que dans les seuls cas d'exception prévus par la Loi.

On ne doit cacher l'existence d'aucune catégorie de renseignements et d'aucun fichier de renseignements personnels.

Il doit exister un mécanisme permettant à l'employé de corriger un fichier contenant des renseignements personnels à son sujet.

L'employé a le droit de demander à ce que les renseignements qui le concernent soient corrigés et il a le droit de faire ajouter une note aux renseignements qu'on a refusé de corriger.

Les dispositions de la Loi concernant la pertinence des renseignements personnels recueillis doivent être respectées.

Les renseignements personnels recueillis doivent avoir un lien direct avec l'activité ou le programme autorisé. Si possible, il faut recueillir les renseignements directement auprès de la personne concernée. Il y a cependant quelques exceptions à cette règle, par exemple lorsqu'il s'agit de faire respecter la Loi. L'employé doit aussi être informé de la raison pour laquelle les renseignements sont recueillis et des usages auxquels on les destine, sauf si une telle divulgation risquait de donner lieu à la collecte de données erronées ou trompeuses. L'employé doit aussi être informé du fait qu'il est tenu de par la Loi de fournir les renseignements, et si ce n'est pas le cas, qu'il le fait de son plein gré.

Il doit exister des contrôles conformes à la Loi pour régir l'utilisation et la communication des renseignements personnels, particulièrement lorsque les renseignements servent à des fins autres que celles pour lesquelles ils ont été réunis et lorsqu'ils sont communiqués à des tiers.

Sans le consentement de l'intéressé, les renseignements personnels ne peuvent servir qu'aux fins pour lesquelles ils ont été recueillis ou qu'aux fins compatibles avec les fins premières ainsi qu'aux fins autorisées par le paragraphe 8(2) sur la communication de la Loi sur la protection des renseignements personnels.

De même, les renseignements personnels ne doivent pas, sans le consentement de l'employé, être communiqués à des tiers, sauf dans les quelques cas d'exception prévus au paragraphe 8(2) de la Loi. Le paragraphe 8(2) permet, entre autres, la communication lorsqu'elle est requise en vertu d'autres lois et règlements, pour donner suite à une assignation ou à un mandat, ou lorsqu'il s'agit d'effectuer une vérification interne ou un dépôt aux Archives publiques. Dans bien des cas, ces dispositions sont permissives et il appartient alors à l'administrateur du personnel de déterminer si, même dans un cas ou elle est permissible, la communication de renseignements personnels constitue un procédé équitable à l'égard de l'intéressé.

Certains renseignements de nature très délicate, par exemple ceux que renferment les dossiers du Programme d'aide aux employés, les dossiers médicaux et les déclarations de conflit d'intérêts, ne devraient être communiqués à des personnes autres que les personnes responsables (p. ex. le conseiller du Programme d'aide aux employés) que lorsque la Loi l'oblige.

Les utilisations faites des renseignements personnels qui ne figurent pas dans la description des fichiers de renseignements personnels inscrite dans Info Source doivent être indiquées sur une note jointe aux renseignements en question. Le Commissaire à la protection de la vie privée doit être informé de cette utilisation, qui doit être ajoutée à la liste publiée dans Info Source.

En administration du personnel, il est fréquent de faire, à des fins administratives, le couplage des renseignements personnels obtenus de diverses sources. Généralement, cela se fait par ordinateur afin d'obtenir le plus de renseignements possible sur l'intéressé. Le Conseil du Trésor a établi à ce sujet une politique pour s'assurer que le couplage de données respecte les dispositions de la Loi, particulièrement celles qui concernent la collecte, l'usage et la communication des renseignements personnels dont on envisage le couplage. Les institutions gouvernementales sont tenues de donner au Commissaire à la protection de la vie privée, un préavis de 60 jours de leur intention de pratiquer ces couplages et doivent aussi décrire leurs programmes en ce sens dans Info Source.

Les institutions gouvernementales doivent veiller à ce que les renseignements personnels soient exacts et à ce que les mesures appropriées soient prises afin de les protéger.

De leur collecte à leur retrait, les renseignements personnels devraient être tenus à jour et correspondre exactement à l'utilisation envisagée. Il faudrait donc prévoir des mesures de protection suffisantes afin d'éviter les utilisations inappropriées.

La politique du gouvernement sur la sécurité prévoit une protection spéciale pour les renseignements personnels; ils reçoivent la mention PROTÉGÉ - RENSEIGNEMENTS PERSONNELS, et diverses normes de sécurité applicables à l'ensemble de l'administration fédérale sont fixées pour les protéger comme il se doit: entreposage dans les contenants verrouillés, accès contrôlé aux endroits où se trouvent les renseignements personnels, précautions spéciales pour leur transmission.

Une protection supplémentaire est prévue pour les renseignements particulièrement délicats contenus dans les dossiers du Programme d'aide aux employés et les dossiers médicaux. Par exemple, seuls le coordonnateur du Programme et le client ont accès aux renseignements qui pourraient servir à retracer un client dans les dossiers du Programme. Les renseignements de nature particulièrement délicate portent la mention PROTÉGÉ suivie d'une expression descriptive de la catégorie (p. ex., PROTÉGÉ - PROGRAMME D'AIDE AUX EMPLOYÉS) et des normes spéciales d'entreposage et de transmission sont aussi prévues.

L'employé doit avoir la possibilité de savoir ce que deviendront finalement les renseignements personnels qui le concernent.

Les renseignements personnels doivent être conservés et éliminés conformément aux calendriers approuvés et publiés de conservation et d'élimination des documents. Sauf lorsque la Loi en dispose autrement ou lorsque l'intéressé consent à leur élimination avant la date prévue, les renseignements personnels doivent être conservés au moins deux ans après leur dernière utilisation administrative, de manière à ce que les intéressés aient l'opportunité d'exercer leurs droits d'accès et de correction à leur égard