Alors que les médias sociaux continuent d’influencer le processus d’embauche, les employeurs sont confrontés à la complexité de leurs obligations en matière de collecte, de stockage, d’utilisation et de protection des renseignements personnels des employés, conformément aux lois régissant la collecte, l’utilisation et la divulgation des renseignements personnels dans les secteurs privé et public.
Qu’est-ce que les « renseignements personnels » ?
Secteur privé – Fédéral et LPRPDE
Au niveau fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c. 5 (« LPRPDE »), régit la manière dont les employeurs des secteurs privés sous réglementation fédérale peuvent collecter, utiliser et divulguer les renseignements concernant leurs employés.
La définition de « renseignements personnels » dans la LPRPDE est large et comprend toute « information concernant un individu identifiable », le terme « information » englobant divers identifiants : l’adresse personnelle et le numéro de téléphone de l’employé, sa date de naissance, son numéro d’assurance sociale, son numéro d’identification et ses mots de passe, son revenu, ses intérêts personnels et ses passe-temps, ses antécédents professionnels, ses informations de crédit et de prêt, son casier judiciaire, ses origines ethniques, religieuses ou raciales, son orientation sexuelle et ses dossiers médicaux.
Secteur privé – Alberta, Colombie-Britannique et Ontario
Seules les provinces ayant adopté une législation « essentiellement similaire » peuvent régir la protection de la vie privée des employés du secteur privé sous réglementation fédérale. C’est le cas en Alberta avec la Personal Information Protection Act, SA 2003, c P-6.5 et en Colombie-Britannique avec une loi du même nom, la Personal Information Protection Act, SBC 2003, c 63 (ensemble, « PIPA »).
PIPA régit également l’utilisation des renseignements personnels dans le secteur public des deux provinces. PIPA définit les « renseignements personnels des employés » comme les renseignements raisonnablement nécessaires à une organisation pour établir, gérer ou mettre fin à une relation d’emploi ou pour gérer une relation postérieure à l’emploi. En Ontario, la Loi de 2000 sur les normes d’emploi, SO 2000, c. 41, Partie XI.1 (« ESA ») ne définit pas les renseignements personnels.
En Ontario, il n’existe pas de législation « essentiellement similaire ». La loi applicable en matière de protection de la vie privée est l’ESA. Toutefois, contrairement à la LPRPDE et à PIPA, elle ne prévoit que la surveillance électronique des employés. Plus précisément, l’ESA exige uniquement que les employeurs mettent en place une politique écrite concernant la surveillance électronique des employés. De plus, elle ne définit pas la notion de « renseignements personnels ».
Secteur public – Alberta, Colombie-Britannique et Ontario
Les employeurs du secteur public fédéral sont régis par la législation provinciale et, parfois, municipale de chaque province. En Alberta, les employeurs du secteur public sont régis par la Freedom of Information and Protection of Privacy Act, RSA 2000, c F-25 ; en Colombie-Britannique, les travailleurs du secteur public sont régis par la Freedom of Information and Protection of Privacy Act, RSBC 1996, c 165 ; et en Ontario, les travailleurs du secteur public sont régis par la Freedom of Information and Protection of Privacy Act, RSO 1990, c F.31 (ces trois lois étant désignées ensemble par « FIPPA ») ainsi que par la Municipal Freedom of Information and Protection of Privacy Act, RSO 1990, c M.56.
Ces lois définissent les « renseignements personnels » de manière aussi large que la LPRPDE et PIPA. Cependant, le titre, l’adresse professionnelle et le numéro de téléphone d’un employé, la classification, l’échelle salariale et les responsabilités de cet employé, ainsi que tout avantage discrétionnaire de nature financière, ne sont pas considérés comme des « renseignements personnels », contrairement au secteur privé.
Obligations de l’employeur en vertu de la législation
La LPRPDE et PIPA imposent des exigences aux employeurs lors de la collecte de renseignements personnels :
- Les employeurs doivent désigner un responsable chargé d’assurer la conformité avec la législation applicable ;
- Les employeurs doivent identifier la finalité commerciale pour laquelle les renseignements personnels sont collectés (au moment de la collecte ou avant celle-ci) ;
- Les employés doivent donner leur consentement à la collecte, à l’utilisation ou à la divulgation de leurs renseignements personnels, sauf lorsqu’une exception s’applique ;
- Les employeurs ne peuvent collecter que les renseignements nécessaires à des fins commerciales « raisonnables » ;
- Un employeur ne peut utiliser, divulguer ou conserver des renseignements en dehors de la finalité pour laquelle ils ont été collectés, sauf avec le consentement de l’employé ou si la loi l’exige ;
- Les employeurs doivent s’assurer que les renseignements sont exacts, complets et à jour ;
- Des mesures de sécurité appropriées à la sensibilité des renseignements doivent être mises en place pour protéger les renseignements personnels ;
- Les politiques et pratiques concernant la gestion des renseignements personnels doivent être communiquées aux employés ;
- Les employés, sur demande, peuvent être informés de l’existence, de l’utilisation et de la divulgation de leurs renseignements et ont le droit de contester leur exactitude ; et
- Les employés peuvent déposer des plaintes auprès du responsable désigné par l’employeur pour la gestion des renseignements personnels.
Comme indiqué ci-dessus, la Loi de 2000 sur les normes d’emploi (ESA) en Ontario exige que les employeurs mettent en place une politique écrite. Cette politique doit indiquer si l’employeur surveille ses employés électroniquement et, si tel est le cas, fournir une description de : (1) la manière dont il surveille les employés, (2) les circonstances dans lesquelles la surveillance a lieu et (3) la finalité de l’utilisation des renseignements collectés. En dehors de l’ESA et, le cas échéant, de la LPRPDE, il n’existe pas d’autres protections de la vie privée en Ontario.
Dans le secteur public, les obligations imposées aux employeurs sont nettement moins strictes – la collecte de renseignements personnels ne nécessite pas de consentement. Cependant, aucun renseignement personnel ne peut être collecté s’il ne se rapporte pas directement à l’activité de l’employeur.
Exceptions à l’exigence de consentement
Il existe plusieurs exceptions où le consentement de l’employé pour la collecte, l’utilisation et la divulgation de renseignements personnels n’est pas requis :
- Pour établir, gérer et mettre fin à une relation d’emploi ;
- Les renseignements personnels produits par un individu dans le cadre de son emploi ne sont pas protégés s’ils sont utilisés dans le contexte pour lequel ils ont été produits. Par exemple, l’utilisation du numéro de téléphone personnel d’un employé pour communiquer son horaire de travail ou de son adresse résidentielle pour envoyer des bulletins de paie ou des documents fiscaux ;
- La divulgation de renseignements personnels à un avocat représentant l’employeur dans le cadre de la collecte d’une dette due par l’employé à l’employeur ;
- La divulgation de renseignements personnels pour se conformer à une assignation ou à une ordonnance ; et
- La divulgation de renseignements personnels lorsque leur collecte est « manifestement dans l’intérêt » de l’employé et que le consentement ne peut être obtenu en temps opportun.
Implications pratiques : Médias sociaux
À l’ère actuelle, de plus en plus d’individus utilisent les médias sociaux, parfois sous diverses formes. Les renseignements personnels sont plus accessibles qu’auparavant, et les employeurs utilisent les médias sociaux pour évaluer et examiner les candidats potentiels.
En Colombie-Britannique et en Alberta, les employeurs n’ont pas besoin du consentement des candidats pour utiliser les médias sociaux dans le but d’établir, de gérer ou de mettre fin à une relation d’emploi, mais uniquement dans la mesure où cela reste raisonnable. En d’autres termes, les employeurs peuvent utiliser LinkedIn ou Instagram pour évaluer des candidats.
Cependant, les commissaires à la protection de la vie privée de la Colombie-Britannique et de l’Alberta ont publié plusieurs lignes directrices pour interpréter les lois respectives. Ces lignes directrices incluent : veiller à ce que les vérifications des antécédents sur les réseaux sociaux respectent la LPRPDE et PIPA ; s’assurer que la vérification porte sur le bon individu et non sur plusieurs individus ; confirmer que l’utilisation de comptes personnels de médias sociaux, plutôt qu’un compte professionnel, ne viole pas les lois applicables ; garantir que l’utilisation de tiers pour effectuer des vérifications respecte toujours les obligations en matière de confidentialité ; et être conscient que les individus peuvent découvrir qu’une vérification de leurs antécédents sur les réseaux sociaux a été effectuée.
En Ontario, les employeurs du secteur privé relevant de la LPRPDE ne peuvent pas utiliser les médias sociaux pour effectuer des vérifications des antécédents des candidats. Toutefois, les employeurs du secteur privé qui ne relèvent pas de la LPRPDE peuvent effectuer des recherches sur les réseaux sociaux, à condition que la « collecte » d’informations soit pertinente. Cela soulève toutefois des problèmes liés à la présence d’informations non pertinentes sur les profils de médias sociaux des personnes. Nous notons que cela peut être évité en limitant les recherches aux sites de réseaux sociaux professionnels tels que LinkedIn, qui est principalement utilisé pour des informations liées à l’emploi.
Agir conformément aux lois et lignes directrices applicables permettra aux employeurs de prendre toutes les mesures prudentes pour protéger les renseignements personnels des employés et d’éviter toute réclamation inutile pouvant découler de l’utilisation des médias sociaux et des renseignements personnels par un employeur au cours du processus d’embauche.