Écrit par Stephen Burns, Sebastien Gittens and Byron Tse
Alors que les autorités sanitaires fédérales et provinciales du Canada s’attaquent au nouveau coronavirus (COVID-19), diverses questions ont été soulevées concernant le rôle que les organisations devraient jouer dans l’équilibre entre la vie privée de leurs employés, entrepreneurs et invités et la sécurité globale du lieu de travail et du grand public. En particulier, les organisations déterminent :
- si et dans la mesure où ils devraient adopter des procédures de dépistage pour aider à déterminer si une personne qui fréquente un lieu de travail peut être potentiellement porteuses de la COVID-19; et
- comment naviguer dans la mosaïque complexe de lois canadiennes sur la protection de la vie privée qui s’appliquerait à tous les renseignements personnels recueillis à la suite de l’adoption de telles procédures.
Bien que la réponse à la COVID-19 représente des eaux inexplorées, le cadre analytique de collecte, d’utilisation et de communication des renseignements personnels demeure le même : les organisations qui cherchent à adopter un dépistage de la COVID-19 devraient répondre aux quatre questions suivantes :
1. La collecte, l’utilisation ou la communication des renseignements personnels sont-ils à des fins raisonnables?
Une organisation a généralement l’obligation de prendre des mesures raisonnables pour protéger la santé et la sécurité de ses employés, de ses sous-traitants et de ses invités. À la lumière de l’épidémie actuelle de COVID-19, il peut être raisonnable pour un employeur d’adopter certaines méthodes de dépistage conçues pour évaluer le risque que toute personne se rendant sur le lieu de travail soit porteuse de la COVID-19. Ces méthodes peuvent comprendre : (i) la prise de la température d’une personne au moment où elle entre dans le lieu de travail; ou (ii) un questionnaire demandant, par exemple, si la personne ou un membre de son ménage a récemment voyagé à l’extérieur du Canada ou s’il présente des symptômes liés à la COVID-19.
2. Les renseignements personnels à recueillir, à utiliser ou à communiquer se limitent-ils à ce qui est nécessaire pour atteindre l’objectif?
Le type de renseignements qu’un employeur recueille devrait se limiter strictement à évaluer si une personne qui fréquente le lieu de travail peut être porteuses de la COVID-19. Il faut veiller à ce que les renseignements personnels recueillis répondent efficacement aux besoins de l’organisation. À cette fin, une organisation devrait consulter une ressource reconnue (p. ex., un médecin-conseil) pour concevoir ou vérifier toute méthode de dépistage à adopter. Ce faisant, il devrait se demander s’il existe des moyens moins invasifs d’atteindre les mêmes objectifs (à un coût comparable et avec des avantages comparables).
3. La collecte, l’utilisation ou la communication des renseignements personnels est-elle autorisée par la loi sans qu’il soit nécessaire d’obtenir le consentement des personnes en question ou de les aviser?
Les lois canadiennes sur la protection des renseignements personnels dans le secteur privé permettent généralement à une organisation de recueillir, d’utiliser et de communiquer des renseignements personnels sur une personne sans consentement dans certaines situations. En Alberta, par exemple, une organisation n’est pas tenue d’obtenir le consentement lorsque l’utilisation ou la divulgation de renseignements est nécessaire pour intervenir en cas d’urgence qui menace la vie, la santé ou la sécurité d’une personne ou du public.
Toutefois, il faut faire preuve de prudence, car ces exemptions ne sont pas uniformes dans chaque loi. Par exemple, l’exception susmentionnée relative à la « vie, à la santé ou à la sécurité » en Alberta s’applique à l’utilisation et à la communication de renseignements personnels – elle ne s’applique pas à leur collecte. Il est également important de noter que de telles exceptions ne sont pas uniformes entre chacune de ces lois « essentiellement similaires » sur la protection de la vie privée au Canada. Par exemple, la loi fédérale sur la protection des renseignements personnels diffère de celle de l’Alberta en ce que l’exception relative à la « vie, à la santé ou à la sécurité » n’inclut pas expressément le public.
Par conséquent, il sera important pour chaque organisation de :
- déterminer quelle loi du secteur privé sur la protection des renseignements personnels s’applique dans les circonstances; et
- évaluer l’applicabilité de toute exception qui y est prévue en ce qui concerne la collecte, l’utilisation et la divulgation (potentielle) de tout renseignement personnel recueilli dans le cadre de ses activités de dépistage de la COVID-19.
Dans la mesure où une organisation ne peut pas se fier à l’exception susmentionnée pour recueillir, utiliser ou communiquer les renseignements personnels d’une personne, elle devra fournir un avis et, au besoin, obtenir le consentement pour le faire.
4. Lorsque la collecte, l’utilisation ou la communication sans consentement ou avis aux personnes en question n’est pas autorisée par la loi, l’organisation a-t-elle obtenu le consentement des personnes en question ou les a-t-elle avisées?
Un Guidance du Commissariat à la protection de la vie privée du Canada et du Commissariat à l’information et à la protection de la vie privée de l’Alberta et de la Colombie-Britannique a identifié plusieurs principes qui sous-tendent le consentement valable, y compris la nécessité de fournir à une personne des renseignements sur :
- quels renseignements personnels sont recueillis;
- les fins auxquelles les renseignements personnels sont recueillis, utilisés ou communiqués; et
- le risque potentiel de préjudice et d’autres conséquences découlant de la collecte, de l’utilisation ou de la communication.
Les commissaires ont souligné qu’il est important que les organisations réfléchissent à la forme appropriée de consentement à l’utilisation (expresse, réputée ou implicite) pour toute collecte, utilisation ou communication de renseignements personnels pour lesquels le consentement est requis. Lorsqu’elles prennent cette décision, les organisations doivent tenir compte de la sensibilité des renseignements et des attentes raisonnables de la personne. Ces deux éléments dépendront du contexte.
Compte tenu de la limite potentielle de l’exemption dont il est question ci-dessus, nous recommandons que des avis appropriés soient présents au moment de tout dépistage de la COVID-19 afin de s’assurer que l’avis est donné et que, lorsque le consentement est requis, le consentement est obtenu de chaque personne par sa participation à ce dépistage.
L’impact de la COVID-19 pourrait être très important pour les organisations. Si vous avez des questions concernant les informations contenues dans cet article, veuillez contacter un membre de l’équipe de confidentialité et de protection des données de Bennett Jones. De plus, veuillez visiter notre centre de ressources COVID-19 pour d’autres documents liés à la COVID-19.
Traduction alimentée par l’IA.
Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.
Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.
Bennett Jones