Avis de mise en œuvre de la protection des renseignements personnels 2022-03 : Les demandes de mesures d’adaptation

1. Date d’entrée en vigueur

Le présent Avis de mise en œuvre entre en vigueur le 30 juin 2022.

2. Pouvoirs

Le présent Avis de mise en œuvre est émis en vertu de l’alinéa 71(1)d) de la Loi sur la protection des renseignements personnels.

3. Application

Le présent Avis de mise en œuvre de la protection des renseignements personnels s’applique aux ministères et autres portions de l’administration publique fédérale, selon les définitions figurant à l’article 6 de la Politique sur la gestion des personnes et énumérée à l’article 11 de la Loi sur la gestion des finances publiques. Ces ministères et organismes sont assujettis à la Directive sur l’obligation de prendre des mesures d’adaptation, à laquelle renvoie le présent Avis de mise en œuvre de la protection des renseignements personnels.

4. Objectif

Le présent Avis contient des orientations pour les fonctionnaires chargés de la protection des renseignements personnels afin de les supporter lorsqu’ils fournissent des conseils sur la protection des renseignements relatifs à des demandes d’adaptation. Il est important que les conseils fournis soient cohérents et conformes à la Loi sur la protection des renseignements personnels et à toutes ses politiques connexes, ainsi qu’aux nouvelles orientations sur l’obligation de prendre des mesures d’adaptation.

5. Contexte

La fonction publique fédérale s’efforce d’être un milieu de travail inclusif sans obstacle où toutes les personnes ont un accès égal aux possibilités offertes dans l’administration publique centrale. À cette fin, la fonction publique vise à créer un milieu de travail où les employés sont traités avec dignité et respect, dans un environnement inclusif et sans obstacle. Lorsqu’il est impossible d’éliminer des obstacles, des mesures d’adaptation sont prises, jusqu’au point de la contrainte excessive les exigences de santé, de sécurité et de coût. Les demandes de mesures d’adaptation contiennent des renseignements personnels de nature délicate et soulèvent souvent des préoccupations en matière de protection de la vie privée. Pour répondre à ces demandes, les fonctionnaires chargés de la protection des renseignements personnels doivent être au courant des exigences relatives à l’obligation de prendre des mesures d’adaptation et être en mesure de fournir des conseils stratégiques judicieux.

6. Orientation

On trouve à l’annexe A des questions et des réponses sur la façon de respecter le droit à la vie privée dans le cadre du processus d’obligation de prendre des mesures d’adaptation, ce qui aidera les fonctionnaires chargés de la protection des renseignements personnels à formuler des conseils sur la gestion des renseignements personnels pour leur institution.

7. Documents de référence

Lois

• Loi sur la gestion des finances publiques
• Loi sur la protection des renseignements personnels
• Règlement sur la protection des renseignements personnels

Instruments de politique connexes du Conseil du Trésor

• Avis de mise en œuvre de la protection des renseignements personnels 2020-03 : protection des renseignements personnels lors de la diffusion de renseignements à propos d’un petit nombre de personnes
• Directive sur l’obligation de prendre des mesures d’adaptation
• Directive sur les pratiques relatives à la protection de la vie privée
• Gestion du mieux-être - Guide de gestion de l'incapacité à l'intention des gestionnaires de la fonction publique fédérale
• Obligation de prendre des mesures d'adaptation : Démarche générale à l'intention des gestionnaires
• Obtenir des renseignements auprès des professionnels de soins de santé en cas de maladie ou de blessure d'un employé
• Politique sur la gestion des personnes
• Politique sur la protection de la vie privée

8. Demandes de renseignements

Les membres du public peuvent communiquer avec le Service des demandes de renseignements du Secrétariat du Conseil du Trésor pour obtenir de plus amples renseignements au sujet du présent Avis de mise en œuvre.

Les employés des ministères fédéraux peuvent communiquer avec leur coordonnateur de l’accès à l’information et de la protection des renseignements personnels pour obtenir de plus amples renseignements au sujet du présent Avis de mise en œuvre.

Les coordonnateurs de l’AIPRP peuvent communiquer avec la Division de la protection de la vie privée et des données du Secrétariat du Conseil du Trésor pour obtenir de plus amples renseignements au sujet du présent Avis de mise en œuvre.

Annexe A : Questions et réponses – Les demandes de mesures d’adaptation

1. Les institutions ont-elles le pouvoir légal de recueillir des renseignements personnels pour prendre des décisions au sujet des demandes de mesures d’adaptation? 

Oui, les institutions ont le pouvoir légal de recueillir des renseignements personnels à utiliser à l’appui des activités de santé et de sécurité au travail, ce qui comprend l’obligation de prendre des mesures d’adaptation. Cette collecte est décrite dans la banque de renseignements personnels normalisée PSE 907, Santé et sécurité au travail. Toute utilisation ou divulgation de renseignements personnels doit être conforme à la description dans la banque de renseignements personnels.

2. De quoi faut-il tenir compte du point de vue de la protection des renseignements personnels lors de la mise en place d'un comité d'adaptation et d'un processus d'examen?

Travaillez avec les services juridiques de votre ministère afin de fournir des conseils précis et contextuels sur la protection des renseignements personnels. Les considérations générales suivantes devraient être prises en compte dans la mise en place d’un processus d’examen : 

• Les membres du comité : L’adhésion devrait se limiter à ceux qui ont « besoin de connaître » l’information. Il est important que les membres du comité comprennent leurs responsabilités en matière de protection des renseignements personnels auxquels ils auront accès. Il leur incombe donc de limiter l’utilisation et la divulgation (comme indiqué ci-dessous) et de respecter le droit de la personne à la dignité, à la vie privée et à la confidentialité. Consultez également la question 7 ci-dessous pour de plus amples renseignements sur la protection des renseignements personnels, y compris le signalement des atteintes.
• Dépersonnalisation des renseignements : Dans la mesure du possible, lorsque les discussions du comité portent sur des personnes, celles-ci doivent être dépersonnalisées. Les détails qui peuvent identifier des personnes ne devraient pas être inclus dans la discussion lorsqu’il est possible de les omettre. Vous devriez collaborer avec les experts en ressources humaines et en relations de travail afin d’élaborer un processus pour dépersonnaliser l’information dans la mesure du possible.
  • Veuillez prendre note que les personnes ont le droit d’accéder à leurs propres renseignements personnels. Lorsque l’information a été dépersonnalisée aux fins de discussion, elle doit être conservée de façon à permettre qu’elle puisse être récupérée si l’employé souhaite accéder à ses propres renseignements.
• Documenter les recommandations : Les recommandations d’un comité devraient être documentées et mises à la disposition de l’employé s’il demande l’accès à ses renseignements personnels ou s’il souhaite les corriger.
• Limiter l’utilisation et la divulgation : Conformément à l’article 7 de la Loi sur la protection des renseignements personnels, les renseignements personnels ne doivent être utilisés qu’aux fins pour lesquelles ils ont été recueillis, ou pour une utilisation conforme à ces fins. Comme nous l’avons mentionné précédemment, toute utilisation ou divulgation de renseignements personnels devrait être conforme à la description figurant dans la banque de renseignements personnels PSE 907, Santé et sécurité au travail. 

3. Un employé devra-t-il fournir des renseignements personnels de nature délicate lorsqu’il demande des mesures d’adaptation? 

Les employés peuvent choisir de fournir tout renseignement qu’ils jugent pertinent à l’appui de leur demande de mesures d’adaptation, ce qui peut comprendre des renseignements personnels de nature délicate. Les gestionnaires doivent respecter la confidentialité des renseignements médicaux, même dans les situations où un employé communique volontairement ces renseignements.

Les gestionnaires pourraient demander des renseignements supplémentaires à un employé. Cette demande doit porter sur les limitations fonctionnelles et les problèmes de sécurité en question afin de déterminer les mesures d’adaptation appropriées. Cependant, l’employeur n’a pas le droit de connaître le diagnostic exact ou les traitements prescrits. La parole d’un médecin traitant suffit pour vérifier si un employé a besoin de mesures d’adaptation. Les gestionnaires ne devraient pas demander plus de renseignements que ce qui est nécessaire pour leur permettre de prendre une décision.

4. Une fois que les employés nous ont fourni leurs renseignements personnels, que pouvons-nous faire avec ces renseignements? 

Les renseignements personnels ne peuvent être utilisés qu’aux fins pour lesquelles ils ont été recueillis ou pour une utilisation conforme à ces fins, conformément à l’article 7 de la Loi sur la protection des renseignements personnels. Les renseignements personnels ne devraient pas être communiqués au sein de l’institution ou en dehors de celle-ci à quiconque n’ayant pas de besoin légitime de les connaître, sauf autorisation légale.

5. Une fois que les employés nous ont fourni leurs renseignements personnels, jusqu’à quel moment devrions-nous conserver ces renseignements?

Conformément à l’article 4 du Règlement sur la protection des renseignements personnels, à quelques exceptions près, les renseignements personnels doivent être conservés pendant au moins deux ans après la dernière fois qu’ils ont été utilisés à des fins administratives. D’autres questions sur la conservation devraient être adressées aux responsables de la gestion de l’information de votre institution.  

6. Les employés auront-ils accès à leur demande de mesures d’adaptation et à d’autres documents connexes?  

Oui, les employés ont le droit d’accéder à ces renseignements et de demander qu’on y apporte des corrections. Les décisions relatives aux personnes, ainsi que les renseignements utilisés pour prendre ces décisions, doivent être consignés et conservés de manière à permettre à l’employé d’exercer ces droits s’il le désire. Bien que les gestionnaires fondent leurs décisions sur des discussions, les résultats de ces discussions doivent être documentés pour appuyer leur décision. 

7. Une fois que les employés nous ont fourni leurs renseignements personnels, quelle est la meilleure façon pour nous de protéger ces renseignements?  

Il est essentiel au succès de ce programme de favoriser la confiance des employés grâce à de solides mesures de protection de la vie privée. Conformément à la section 6.2.19 de la Directive sur les pratiques relative à la protection de la vie privée, les institutions doivent déterminer quels postes ou fonctions du programme ou de l’activité ont une raison valable d’accéder aux renseignements personnels et de les traiter. De plus, conformément à l’article 6.2.20 de cette directive, les institutions doivent limiter l’accès aux renseignements personnels et leur utilisation par des moyens administratifs, techniques et physiques. Des mesures devraient être prises pour une intrusion minimale qui respecte la nature très sensible de ces renseignements, notamment :

• si les renseignements sont stockés électroniquement, veiller à ce que les mesures de protection électroniques respectent la désignation de sécurité des renseignements (Protégé B, dans ce cas-ci) et qu’ils aient des mesures appropriées en place, comme l’accès fondé sur les rôles, qui limiteront l’accès aux données;
• veiller à ce que les employés qui s’occupent du traitement des renseignements personnels soient conscients de leurs responsabilités en matière de protection des renseignements personnels;
• fournir uniquement des renseignements relatifs à une demande de mesures d’adaptation aux personnes qui ont besoin de les connaître, comme leur superviseur direct ou un représentant des ressources humaines;
• veiller à ce que les renseignements personnels ne soient pas divulgués par inadvertance lorsqu’on fait un rapport global sur la mise en œuvre du programme.

Comme vous le savez, toute collecte, utilisation, divulgation, conservation ou élimination inappropriée ou non autorisée de renseignements personnels constitue une atteinte à la vie privée. Il est important que les employés qui participent à la demande de mesures d’adaptation soient au courant des plans de gestion des atteintes à la vie privée de votre institution et de leurs responsabilités en cas où ils soupçonnent qu’une atteinte s’est produite.

En cas d’atteinte à la vie privée au sujet de ce processus, nous recommandons que les institutions de considérer l’incident une atteinte substantielle en fonction de la nature de l’information (émotionnel/la réputation) et de l’incidence à la personne. À titre de rappel, la Directive sur les pratiques relatives à la protection de la vie privée du SCT exige que les institutions fournissent un avis écrit officiel au SCT et au Commissariat à la protection de la vie privée du Canada lorsqu’elles constatent une atteinte importante.

8. Dans la déclaration de données, quelles considérations devrions-nous prendre en compte pour protéger les renseignements personnels, surtout s’il y a eu quelques demandes de mesures d’adaptation ou de décisions au sein de notre organisation?

Tout rapport devrait être fait à l’aide de données agrégées et dépersonnalisées; toutefois, il faut quand même faire preuve de prudence avec ces ensembles de données. Les demandes de mesures d’adaptation dépersonnalisées peuvent révéler l’identité du demandeur lorsqu’elles sont présentées dans un petit échantillon de personnes. La protection du nom d’une personne peut être insuffisante si d’autres renseignements d’identification sont disponibles. L’Avis de mise en œuvre de la protection des renseignements personnels 2020-03 donne des directives aux institutions sur les mesures visant à appuyer la protection de la vie privée lorsque l’on diffuse des données sur de petits groupes de personnes sans avoir l’intention de révéler l’identité des personnes visées, conformément à la Loi sur la protection des renseignements personnels. 

Cet Avis énonce ce qui suit : 

• les mesures pour prévenir toute réidentification;
• les éléments particuliers à prendre en considération lors de la divulgation de renseignements en réponse à des demandes d’accès à l’information;
• les éléments à prendre en considération au moment de publier des renseignements sur des employés du gouvernement ou du personnel ministériel;
• la communication de renseignements à des fins d’administration, de recherche ou de statistique.

9. À quel niveau les documents contenant des renseignements personnels ayant trait à des demandes de mesures d’adaptation devraient-ils être classifiés?  

Tout renseignement personnel recueilli dans le cadre d’une demande de mesures d’adaptation doit être classé et traité conformément à sa sensibilité. De façon générale, comme on peut s’attendre à ce que la compromission de ces renseignements entraîne un dommage grave à la personne, ceux-ci devraient être traités comme étant Protégé B. Votre dirigeant principal de la sécurité peut vous aider à veiller à ce que les renseignements soient classés de façon appropriée et que les protocoles établis pour la protection de ces renseignements sont proportionnels à leur classification de sécurité.