Passer au contenu

Défis en matière de confidentialité et de sécurité dans le sillage de la COVID-19

Auteur(s) : Adam Kardash, John Salloum, David Seevaratnam

Le 19 mars 2020

Dernière mise à jour : Le 1er avril 2020

Pour de plus amples renseignements sur les changements ci-dessous ou pour d'autres questions relatives au respect de la vie privée, veuillez contacter l'un des auteurs ci-dessus ou tout membre de notre groupe de gestion de la vie privée et des données.

La réponse à la pandémie causée par la COVID-19 exige des organisations de tous les secteurs qu’elles recueillent, utilisent et communiquent de l’information personnelle, y compris des renseignements personnels sensibles concernant la santé.

Compte tenu du volume, de l’ampleur et de la sensibilité du traitement des données qui pourraient intervenir dans la réponse à la pandémie causée par la COVID-19, il est d’une importance capitale que les organisations canadiennes de tous les secteurs tiennent compte des principales exigences des lois applicables sur la protection de la vie privée, et qu’elles atténuent les risques en matière de confidentialité et de sécurité que comporte le traitement des renseignements personnels dont elles ont la garde et le contrôle.

En règle générale, tant que certaines conditions sont remplies, les lois canadiennes sur la protection de la vie privée n’entraveront pas l’efficacité et l’ampleur des flux de renseignements personnels que les parties prenantes concernées et les différents secteurs doivent s’échanger pour faire face à cette urgence sanitaire massive.   

Au cours des dernières semaines, notre équipe a reçu un nombre en constante augmentation de demandes de renseignements concernant les obligations en matière de confidentialité et de sécurité qui s’appliquent dans le contexte de la COVID-19. Pour aider à guider les organisations en ces temps incertains, nous avons établi ci-dessous les principes clés du droit du respect de la vie privée qui s’appliquent en cette période de crise.

Traitement des renseignements personnels dans le contexte d’une urgence de santé publique

  • En vertu des lois canadiennes sur la protection de la vie privée dans le secteur privé, le secteur de la santé et le secteur public (les « lois canadiennes sur la protection de la vie privée »), les organisations peuvent divulguer des renseignements personnels avec le consentement de la personne concernée, ou en vertu d’une exception à l’obligation de consentement prévue par la loi applicable. En général, les lois canadiennes sur la protection de la vie privée prévoient des exceptions à l’obligation de consentement pour la divulgation de renseignements personnels dans des situations d’urgence impliquant un danger pour la vie, la santé ou la sécurité d’une personne ou du public en général. (Il existe un certain nombre d'autres exceptions à l’obligation de consentement dans les lois canadiennes sur la protection de la vie privée qui peuvent également être applicables dans le contexte de la pandémie de COVID-19).
  • Les exceptions à l’obligation de consentement pour les situations d’urgence varient quelque peu selon les différentes lois canadiennes sur la protection de la vie privée et peuvent comporter certaines conditions. En général, ces exceptions à l’obligation de consentement prévoient qu’un avis de divulgation doit être fourni à la personne avant la divulgation (si possible) ou sans délai après le fait. 
  • Lorsqu’une organisation est légalement autorisée à recueillir, utiliser ou communiquer des renseignements personnels (par exemple en vertu d’un consentement ou d’une exception à l’obligation de consentement), les lois canadiennes sur la protection de la vie privée (et les organismes de réglementation de la protection des renseignements personnels) exigent que les organisations ::
    • ne recueillent, utilisent et divulguent des renseignements personnels que dans la mesure où cela est raisonnable ou approprié dans les circonstances. Dans le contexte de la pandémie, la détermination de ce qui est raisonnable et approprié sera éclairée par divers facteurs, notamment les directives des autorités en matière de santé publique, les conseils des professionnels de la santé et des considérations factuelles précises comme le type, l’ampleur et le volume des renseignements personnels devant être recueillis, utilisés ou communiqués dans les circonstances; volume of personal information required to be collected, used or disclosed in the circumstances; 
    • limitent le type, l’ampleur et le volume des renseignements personnels à ce qui est nécessaire pour atteindre l’objectif de la collecte, de l’utilisation ou de la communication (ce que l’on appelle le « principe de minimisation des données »). Par exemple, dans la mesure du possible, les renseignements personnels devraient être dépersonnalisés, en particulier, les données de localisation;
    • se conforment au principe de responsabilité en documentant les divulgations de renseignements personnels (y compris la justification des divulgations) faites en rapport avec la pandémie, et en veillant à ce que les politiques et procédures écrites traitent de manière appropriée des types de collecte, d’utilisation, de divulgation et de stockage des renseignements personnels dans le contexte de la COVID-19; et
    • fassent preuve d’ouverture et de transparence en ce qui concerne leurs politiques et pratiques relatives à la gestion des renseignements personnels, y compris relativement au pouvoir législatif spécifique sur lequel elles s’appuient pour recueillir, utiliser et communiquer des renseignements personnels dans le contexte d’une crise de santé publique (consulter les lignes directrices du CPVP, La protection de la vie privée et l’éclosion de la COVID-19).

Dans un contexte d’emploi 

  • Dans le contexte de l’emploi, les lois canadiennes sur la protection des renseignements personnels dans le secteur privé (le cas échéant) n’exigent pas de consentement pour la collecte, l’utilisation ou la communication des renseignements personnels nécessaires à la gestion de la relation employeur-employé, pourvu que l’employé ait été informé que ses renseignements personnels seront ou pourront être recueillis, utilisés ou communiqués à ces fins. 
  • Lorsque cela est nécessaire pour remplir leurs obligations en matière de santé et de sécurité dans le contexte d’une pandémie, les employeurs peuvent être justifiés de demander aux employés de faire une divulgation s’ils ont obtenu un résultat positif pour un test de dépistage du virus COVID-19, ou s’ils ont été exposés à certains facteurs de risque, par exemple s’ils ont récemment voyagé ou se sont trouvés à proximité d’autres personnes ayant obtenu un résultat positif pour un test de dépistage du virus COVID-19.    
  • À ce titre, ce qui est nécessaire dans les circonstances peut dépendre des obligations de l’employeur en matière de santé et de sécurité envers tous ses employés, ou des exigences des autorités en matière de santé publique. Si les employeurs recueillent, utilisent ou communiquent des renseignements personnels sur leurs employés en cas d’urgence, ils doivent indiquer à ces derniers l’autorité législative particulière qui les autorise à le faire (voir le guide du CIPVP de l’Alberta, Privacy in a Pandemic) (en anglais seulement).
  • Certains organismes européens de réglementation (par exemple, en Belgique et en Hongrie (en anglais seulement)) mettent en garde contre l’exigence disproportionnée de contrôles généraux et obligatoires à l’aide d’appareils de diagnostic (par exemple, des thermomètres) sur tous les employés, à moins que l’employeur, après avoir pris en compte toutes les circonstances et sur la base d’une évaluation des risques réfléchie, ne le juge absolument nécessaire pour certains emplois particulièrement touchés par l’exposition à la maladie. Dans ces cas, ces directives prévoient qu’un employeur peut exiger ces tests de diagnostic uniquement s’ils sont effectués par des fournisseurs de soins de santé et des professionnels de la santé qualifiés et que les employeurs peuvent uniquement être informés des résultats.
  • De façon générale, pour se conformer aux lois canadiennes sur la protection de la vie privée, les employeurs ne devraient pas divulguer les raisons d’un congé ou les modalités de télétravail d’un employé, sauf aux employés qui ont besoin de cette information pour exercer leurs fonctions ou pour maintenir un lieu de travail sûr. L’objectif général est de fournir aux employés potentiellement exposés des informations suffisantes pour se protéger contre le risque. En communiquant cette information, les employeurs doivent faire des efforts raisonnables pour ne pas divulguer de renseignements (seuls ou avec des renseignements accessibles au public) qui permettraient d’identifier la ou les personnes pouvant avoir causé le risque de transmission de la COVID-19. Tout dépendant des circonstances, il n’est pas toujours possible de donner un avis de risque de transmission de la COVID-19 sans expressément ou implicitement identifier la personne à la source du risque.
  • Pour plus d’information sur la confidentialité et d’autres considérations juridiques dans le contexte de l’emploi, voir la ressource Gestion du coronavirus (COVID‐19) pour les employeurs au Québec sur le site Osler.com. 

Préoccupations liées à la sécurité de l’information

  • Les organisations sont tenues, en vertu des lois canadiennes sur la protection de la vie privée, de mettre en œuvre des mesures de protection raisonnables et appropriées pour protéger les renseignements personnels dont elles ont la garde et le contrôle. La pandémie causée par la COVID-19 soulève une foule de préoccupations en matière de sécurité de l’information, principalement en ce qui concerne les modalités de télétravail qui ont été mises en place par les organisations (dans certains cas, du jour au lendemain).
  • Pour se conformer aux obligations prévues par les lois canadiennes sur la protection de la vie privée, ainsi qu’aux obligations contractuelles et autres obligations légales en matière de confidentialité, il demeure essentiel que les organisations envisagent la mise en place des contrôles physiques, techniques et administratifs nécessaires pour protéger de manière appropriée leurs actifs de données contre la perte, le vol, la divulgation non autorisée et tout autre compromission. Le cas échéant, les organisations devraient demander l’aide d’experts externes en sécurité de l’information pour les aider à cet égard. Les principales considérations en matière de sécurité de l’information sont les suivantes :
    • veiller à ce que les Réseaux Privés Virtuels (« RPV ») soient correctement sécurisés, y compris par une authentification multifactorielle, afin que l’accès à distance aux données reste au moins aussi sûr que sur le lieu de travail traditionnel;
    • compte tenu de l’utilisation croissante des appareils portables, envisager de veiller à ce que les renseignements personnels qui peuvent être stockés sur ces appareils soient cryptés tant lorsqu’ils sont inactifs que lorsqu’ils sont en transit, et à ce que l’accès à l’appareil nécessite une authentification (par exemple, à l’aide d’une protection par mot de passe, d’une identification faciale, d’une identification tactile ou de technologies similaires);
    • envisager de renforcer la formation des employés en matière de sécurité de l’information et, en particulier, de les sensibiliser aux nouvelles menaces associées à la COVID-19 comme l’hameçonnage et les escroqueries par message texte;
    • dans la mesure où les télétravailleurs utilisent leurs propres systèmes pour accéder aux ressources de l’organisation, aider ces travailleurs à installer et à maintenir à jour les technologies antivirus et antimaliciels qu’ils utilisent;
    • examiner l’incidence des modalités de télétravail sur les processus de réponse aux incidents liés aux données, de reprise après sinistre et de continuité des activités de votre organisation. Il s’agira notamment d’examiner attentivement les politiques et protocoles écrits existants et de déterminer si les ententes existantes avec des fournisseurs de services tiers sont suffisantes.

Information et ressources supplémentaires 

  • Questions relatives à la confidentialité en cas de pandémie : Notre conférence téléphonique mensuelle de mars 2020 a abordé expressément les questions de la confidentialité et de la sécurité propres à la COVID-19. Écouter en suivant ce lien : https://www.osler.com/en/resources/regulations/2020/privacy-related-issues-in-a-pandemic
  • Ressources clés : L’équipe Respect de la vie privée et gestion de l’information d’Osler prépare un ensemble de directives et de ressources clés supplémentaires qui seront nécessaires pour gérer les problèmes de confidentialité liés à la gestion de la COVID-19, documents qui seront accessibles dans un guichet de sujets qui sera bientôt publié au moyen de la plateforme Knowledge Portal d’AccessPrivacy (en anglais seulement).
  • Pour plus d’information et de ressources utiles, veuillez consulter la page web d’Osler intitulée Coronavirus : clarifier les conséquences commerciales et juridiques

Quelle est l’incidence de la COVID-19 sur votre entreprise? Restez informés grâce à notre Digest (disponible en anglais).

Abonnez-vous

COVID-19: clarifier les conséquences juridiques et commerciales

Restez informés

Laissez-nous vous aider à vous tenir à jour. Recevez nos mises à jour par courriel.

Abonnez-vous