Droit à la vie privée : êtes-vous protégé lorsque vous utilisez votre téléphone professionnel ?
[ad_1]
Les employés des secteurs privé et public au Canada ont des droits quant à la protection de leurs renseignements personnels, même lorsqu’ils utilisent des appareils appartenant à leur employeur, affirment des experts juridiques consultés par Radio-Canada.
En novembre, un reportage de Radio-Canada révélait qu’au moins 13 ministères et organismes fédéraux utilisent des outils ou des logiciels capables de récupérer même les données cryptées et protégées par mot de passe trouvées sur les ordinateurs, tablettes et téléphones mobiles.
Ceux-ci peuvent inclure des messages texte, des e-mails, des photos et un historique de voyage. Certains logiciels peuvent également accéder aux données cloud d’un utilisateur et révéler son historique de recherche sur Internet, son contenu supprimé et son activité sur les réseaux sociaux.
Une commission parlementaire se penchera à partir de jeudi sur l’utilisation de ces instruments par le ministère fédéral.
Le droit à la vie privée
De nombreux départements déclarent utiliser ces outils et logiciels pour enquêter sur des violations présumées de diverses lois, et seulement après avoir obtenu un mandat de perquisition.
Mais d’autres affirment qu’ils les utilisent également sans mandat sur les appareils émis par le gouvernement – lorsque les employés sont soupçonnés d’actes répréhensibles tels que du harcèlement ou de fausses demandes d’heures supplémentaires, par exemple.
Il faut s’assurer que la collecte de ces données est absolument nécessaire.– Pierre-Luc Déziel, Université Laval
« Un employé conservera une attente raisonnable en matière de confidentialité à l’égard de ses données, même lorsqu’il utilise un appareil fourni et administré par son employeur, qui demeure propriétaire de cette coque, si l’on veut », a déclaré Pierre-Luc Déziel, professeur de droit à l’Université Laval spécialisé en protection de la vie privée, a déclaré à Radio-Canada en français.
En matière de confidentialité, la loi canadienne fait la distinction entre l’appareil et les renseignements personnels qu’il détient, a expliqué Déziel.
“Ce n’est pas parce qu’un employé ne possède pas l’appareil – la tablette, le téléphone, l’ordinateur, peu importe – que ses droits à la vie privée concernant les données contenues dans cet appareil sont complètement éteints.”
Éloïse Gratton, associée chez Borden Ladner Gervais qui dirige la pratique de protection de la vie privée et des données du cabinet, a fait une observation similaire.
“Que ce soit dans le secteur public ou dans le secteur privé, l’employeur n’a pas de jeu libre. L’employé a certains droits à la vie privée, même sur son lieu de travail ou dans un contexte de travail”, a déclaré Gratton en français.
Toutefois, cette protection peut être diminuée en fonction de la nature du travail, a-t-elle expliqué.
“Si l’employé travaille dans une industrie, que ce soit dans le secteur public ou privé, où il y a beaucoup de problèmes de sécurité nationale, par exemple, il serait plus acceptable d’effectuer une certaine surveillance ou d’utiliser des outils d’extraction de données pour assurer la sécurité publique. “.
Enquêtes internes
Services partagés Canada (SPC) fait partie des institutions fédérales qui utilisent des instruments d’extraction de données pour les enquêtes internes. L’agence a fourni des informations supplémentaires à Radio-Canada après la publication du premier article en novembre.
“Des exemples de telles enquêtes incluent des cas de navigation inappropriée sur un site Web, d’installation d’un logiciel malveillant sur un appareil ou de fausse déclaration d’heures supplémentaires”, a indiqué l’agence.
“Les outils d’investigation numérique sont exclusivement utilisés sur des appareils émis par le gouvernement et dans des circonstances très spécifiques et limitées.”
Le ministère a déclaré avoir utilisé ces outils six fois au cours des deux dernières années.
Pêches et Océans Canada a également déclaré qu’il utilise ces outils pour des enquêtes internes « impliquant des violations de politiques gouvernementales, comme la fraude ou le harcèlement au travail ».
Dans ces cas-là, “aucune autorisation judiciaire n’est requise, car les données appartiennent au département”, précise-t-on.
Les outils sont également utilisés pour maintenir l’intégrité des réseaux informatiques, selon divers ministères fédéraux.
Gratton et Déziel affirment tous deux que les attentes d’un employé en matière de confidentialité sont accrues si son employeur lui permet d’utiliser son téléphone ou son ordinateur de travail à des fins personnelles.
L’utilisation personnelle des appareils et des réseaux du gouvernement du Canada est autorisée si elle est effectuée pendant votre temps personnel et si elle n’est pas effectuée dans un but lucratif, n’entraîne pas de coûts supplémentaires pour le ministère et n’interfère pas avec la conduite de ses affaires.
Organiser un voyage personnel, acheter des produits en ligne, payer des factures, effectuer des opérations bancaires, contribuer à des groupes de discussion et mettre à jour un blog personnel sont quelques-uns des exemples répertoriés comme usage personnel acceptable par la « directive sur les services et le numérique » du gouvernement fédéral.
La directive précise également que les employés qui choisissent de stocker leurs informations personnelles sur un réseau gouvernemental ou sur ses équipements le font à leurs propres risques.
4 questions aux employeurs
L’utilisation de technologies potentiellement intrusives sur les téléphones ou les ordinateurs des employés peut être autorisée dans certaines circonstances, selon les deux juristes.
Mais ils ajoutent qu’un employeur devrait se poser quatre questions essentielles avant d’autoriser une telle utilisation, afin de s’assurer qu’elle est conforme à la loi canadienne :
- Y a-t-il un problème précis et légitime à résoudre ? (En l’absence d’un problème spécifique et légitime, les violations de la vie privée sont difficiles à justifier.)
- L’outil choisi est-il efficace pour résoudre le problème ?
- L’atteinte à la vie privée du salarié est-elle proportionnelle à l’objectif poursuivi ?
- Existe-t-il des moyens moins intrusifs pour atteindre les mêmes objectifs ?
“Récupérer la quasi-totalité des données ou de l’historique d’un appareil constitue une forme très importante d’atteinte à la vie privée”, a déclaré Déziel. “L’objectif doit donc également être très important. Il faut s’assurer que la collecte de ces données est absolument nécessaire.”
On ne sait pas quelles données les institutions fédérales ont récupérées des appareils ciblés.
Aucune analyse d’impact réalisée
Une directive fédérale exige que tous les ministères effectuent une évaluation des facteurs relatifs à la vie privée avant toute nouvelle activité impliquant la collecte ou le traitement de renseignements personnels.
Selon leurs réponses écrites à Radio-Canada, aucun ministère ne l’a fait avant d’utiliser des outils d’extraction de données, mais ils affirment avoir agi conformément à une série d’exigences légales.
« Le président de Service partagé Canada (SSC) est autorisé en vertu de la Loi sur la gestion des finances publiques de mener ces enquêtes à la demande du chef de la sécurité de SSC”, a écrit l’agence.
« Ces enquêtes sont conformes à la Politique sur la sécurité du gouvernement et sont menées dans un laboratoire médico-légal sécurisé et isolé de SPC.
SSC a déclaré que le laboratoire n’est pas accessible sur Internet et que les données sont uniquement transmises à son responsable de la sécurité.
Pêches et Océans Canada a également déclaré que ses enquêtes internes « sont fondées sur des politiques et des procédures déléguées par le chef de la sécurité ». Les informations personnelles sont conservées dans des « laboratoires isolés » et conformément à la Loi sur la protection de la vie privée, a indiqué le ministère.
Gratton a déclaré que c’était une bonne pratique d’avoir des mesures de sécurité en place pour protéger les informations personnelles saisies, mais elle insiste sur la nécessité pour un employeur de vérifier dès le départ si les moyens utilisés pour obtenir ces données sont justifiés.
[ad_2]