Alerte COVID : La loi québécoise en matière de protection de renseignements personnels encadre déjà certaines pratiques d’employeurs ou entreprises pouvant être intrusives
Alerte COVID est l’application gratuite de notification d’exposition lancée par le gouvernement fédéral le 31 juillet dernier. Cette application qui peut être téléchargée volontairement par les Canadiens permet d’informer les utilisateurs s’ils ont été près d’une personne qui a reçu un diagnostic de COVID-19 et qui utilise également l’application, et les encourage à prendre des mesures appropriées (par exemple, se faire tester). Si une personne a eu un test positif pour la COVID-19 dans une province ou un territoire utilisant l’application, les autorités locales de santé publique peuvent le conseiller sur les prochaines étapes à suivre et lui fournir un code unique à entrer dans l’application, ce qui à son tour informera les autres utilisateurs de l’application avec qui la personne ayant reçu un test positif a été à proximité au cours des 14 derniers jours. Cette application vise donc ultimement à aider à réduire la propagation du virus.
Je suis membre du Conseil consultatif de l’application d’avis d’exposition à la COVID-19 qui veille à ce que l’application respecte les normes les plus élevées en ce qui concerne les résultats en santé publique, la technologie et la protection des renseignements personnels.
Certains articles (voir ceux du Devoir, du Journal de Montréal et de La Presse incluant un article intitulé Des employeurs pourraient exiger une application de traçage, craint la CDPDJ) rapportaient cette semaine certaines préoccupations soulevés par les organismes de défense du droit à la vie privée concernant les applications de traçage (précision: Alerte COVID est plutôt une application de notification d’exposition) pour lutter contre la COVID-19. Plus précisément, certains expriment la crainte que les lois québécoises en matière de protection des renseignements personnels ne protègent pas adéquatement les individus contre certaines pratiques pouvant être adoptées par des employeurs et des entreprises, à savoir le fait de forcer des individus à télécharger l’application de traçage et à partager des renseignements générés par celle-ci.
Je crois important d’apporter certaines clarifications à ces propos. Quoique la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le secteur privé ») nécessite une certaine mise à niveau (d’ailleurs, le 12 juin 2020, le Gouvernement du Québec a présenté le projet de loi 64 qui introduirait des changements importants au droit de la protection des renseignements personnels dans le secteur privé et public au Québec), elle offre déjà certaines protections et garanties contre ce type de pratiques intrusives de la part des employeurs et des entreprises.
La Loi sur le secteur privé s’applique aux renseignements personnels traités par une personne dans le cadre de l’exploitation d’une entreprise au Québec. En ce sens, une entreprise qui oblige une personne à télécharger une application ou à divulguer de quelque façon que ce soit les renseignements qu’elle contient est assujettie à la Loi sur le secteur privé, car ces actions constituent une forme de « collecte » de renseignements personnels au sens de la Loi. Or, la Loi impose certaines restrictions limitant les types de renseignements personnels que les entreprises et employeurs peuvent recueillir et le contexte dans lequel ils peuvent le faire.
Plus précisément, la Loi sur le secteur privé exige que la collecte soit justifiée, c’est-à-dire « nécessaire » dans les circonstances, eu égard, notamment, à la proportionnalité de la pratique dans son ensemble. En effet, l’article 5 de la Loi sur le secteur privé interdit à une organisation de recueillir des renseignements personnels à moins que ceux-ci ne soient « nécessaires à l’objet du dossier ». De même, à l’article 9, la Loi interdit également à une organisation de refuser de répondre à une demande relative à la fourniture de biens ou de services, ou liée à l’emploi, en raison du refus de la personne concernée de lui fournir un renseignement personnel sauf si cela est « nécessaire » à la conclusion ou à l’exécution d’un contrat, ou la collecte est autorisée par la loi. Ce principe de nécessité se retrouve également dans toutes les autres lois canadiennes sur la protection des renseignements personnels et constitue l’un des principaux remparts contre l’utilisation illicite de renseignements personnels par les entreprises et les employeurs.
Bien que la Loi sur le secteur privé, à l’instar des autres lois canadiennes sur la protection des renseignements personnels, soit rédigée en termes technologiquement neutres, ces principes trouvent application dans les circonstances actuelles. Quant à la détermination de ce qui est « nécessaire » en vertu de la Loi sur le secteur privé, la Commission d’accès à l’information (« CAI ») et les tribunaux ont adopté parfois un point de vue très restrictif ou alors adopté une approche davantage contextuelle. Quoiqu’il en soit, l’analyse visant à déterminer si une activité particulière de traitement des renseignements est nécessaire a été largement influencée par celle développée en droit constitutionnel canadien, c’est-à-dire l’analyse visant à déterminer si une violation des droits fondamentaux d’un individu par le gouvernement est justifiée dans les circonstances.
Cette analyse, mieux connue sous le nom du « test Oakes », vise à évaluer si le but poursuivi est suffisamment sérieux, légitime et urgent pour justifier l’atteinte à un droit fondamental, et si les moyens choisis sont proportionnels à cette atteinte. Par ailleurs, l’entreprise doit se demander si la pratique est susceptible d’être efficace pour atteindre l’objectif qu’elle s’est fixé, si le préjudice est proportionnel aux avantages qui peuvent en être raisonnablement tirés et s’il existe d’autres solutions moins intrusives. La CAI et les tribunaux ont eu recours à cette évaluation à diverses occasions, notamment en ce qui concerne le traitement des certificats médicaux et d’autres renseignements relatifs à la santé des employés par les employeurs, l’utilisation de systèmes de surveillance sur les lieux de travail et les demandes d’un locateur pour obtenir des renseignements fiscaux et des renseignements relatifs à l’emploi d’un futur locataire (pour n’en citer que quelques-uns).
Il est également généralement reconnu que le fardeau de la démonstration de la nécessité d’un renseignement repose sur la personne qui invoque sa nécessité (la partie qui collecte le renseignement). En ce sens, il sera sans doute difficile pour une entreprise ou un employeur de démontrer le caractère nécessaire du téléchargement forcé d’une application de traçage par ses employés, ses clients ou ses locataires, d’autant plus que les renseignements concernés, c’est-à-dire les renseignements sur la santé d’une personne, sont considérés comme sensibles.
Bref, la Loi sur le secteur privé offre déjà des protections à l’encontre d’entreprises (incluant des employeurs) qui tenteraient de forcer le téléchargement d’une telle application ou de forcer le partage d’informations découlant de l’application Alerte COVID.
Pour les intéressés, je souligne que la Politique de confidentialité Alerte COVID (notification d’exposition), l’évaluation de la protection des renseignements personnels sur l’application Alerte COVID effectuée en juillet 2020 par Santé Canada, en collaboration avec le Service numérique canadien, et l’Examen des répercussions sur la vie privée de l’application Alerte COVID effectué par le Commissariat à la protection de la vie privée du Canada sont disponibles en ligne.
La Commissaire à l’information et à la protection de la vie privée de l’Ontario a émis ses recommandations relativement à Alerte COVID et l’Ontario va de l’avant avec l’application.
This content has been updated on August 16, 2020 at 15 h 16 min.