Bonjour docteur, la COVID-19 s’est attaqué à mes données!

Bonjour docteur, la COVID-19 s’est attaqué à mes données!
Vanessa Deschênes [1]
ROBIC, S.E.N.C.R.L.
Avocats, agents de brevets et de marques de commerce
Je dis souvent que les questions de vie privée et de protection des renseignements personnels se trouvent aujourd’hui partout, dans tout contexte. La situation de la
COVID-19 ne fait pas exception.
Nous l’avons vu dans les médias, un sentiment d’inquiétude et d’urgence se fait sentir auprès de la population et cette situation peut présenter des risques et défis en matière de protection des renseignements personnels et du droit à la vie privée.
En raison du présent chaos, votre entreprise est possiblement plus vulnérable que vous ne le croyez à la COVID-19.
Afin de vous guider dans la gestion de cette situation sans précédent, nous vous rappelons quelques éléments importants à prendre en considération.

SÉCURITÉ DES DONNÉES AVANT TOUT
Dans la foulée des annonces faites par le Gouvernement du Québec, plusieurs entreprises ont emboîté le pas et ont pris la décision de permettre à leurs employés de travailler de la maison. Cette mesure n’est toutefois pas sans risque pour les entreprises. En effet, qui dit augmentation fulgurante du nombre d’employés travaillant de la maison dit aussi possiblement augmentation importante du risque de sécurité et de non-respect de la réglementation en matière de protection des renseignements personnels et de vie la privée.
En outre, alors que certaines entreprises et employés sont déjà bien « rodés » en matière de télétravail, cela pourrait bien être une situation nouvelle pour une grande majorité de la population.
La protection des données n’est pas un obstacle en soi à la possibilité pour vos employés de travailler à distance, et ce, même lorsque ces derniers utilisent leur propre matériel informatique ou de communication. Il est toutefois primordial, comme entreprise, de vous assurer que des mesures de sécurité similaires et adéquates seront mises en place pour un tel type de travail.
À titre d’exemple, vos employés doivent porter une attention particulière à ne pas laisser à la vue de tous des documents contenants des renseignements personnels. Même chose pour ce qui est de l’accès à l’ordinateur. Les employés devraient systématiquement verrouiller leur session lorsqu’ils ne sont pas devant ce dernier.
Nous sommes également conscients qu’avec les écoles fermées, les parents devant faire du télétravail seront peut-être plus facilement distraits. Ainsi, il est important de rappeler à vos employés d’être deux fois plus vigilants lors de l’envoi de courriels transmettant des renseignements personnels. Une erreur de destinataire est si vite arrivée!
En résumé vos employés devraient notamment :
- Verrouiller systématiquement leur poste de travail dès qu’ils ne sont plus devant leur écran;
- Ne pas laisser les documents contenants des renseignements personnels à la vue de tous. Il en est de même pour les mots de passe;
- Ne pas laisser les clés USB contenant des renseignements personnels à la vue de tous et s’assurer de les ranger dans un endroit sûr, lorsque non utilisé;
- S’assurer d’avoir un endroit approprié lors d’appels téléphoniques susceptibles de révéler des renseignements personnels d’autrui;
- Éviter d’envoyer par courriel des documents contenants des renseignements personnels sur des réseaux non sécurisés;
- Contre-vérifier l’adresse courriel du destinataire.

Sécurité de vos systèmes informatiques
Vous avez sans doute déjà entendu le dicton le bonheur des uns fait le malheur des autres? En temps de crise comme c’est le cas en ce moment, il ne serait malheureusement pas surprenant de voir des personnes malintentionnées profiter de cette situation chaotique afin de pirater vos systèmes informatiques et ainsi infiltrer ces derniers pour voler des données.
Même chose en ce qui a trait à l’hameçonnage. Des personnes malveillantes pourraient profiter de la situation actuelle afin d’envoyer à vos employés des courriels en lien avec la COVID-19, en imitant par exemple des courriels de la Direction ou même des autorités gouvernementales. La vigilance est donc de mise.

Information relative à un(e) employé(e)
Les annonces faites par le Gouvernement laissent croire que cette épidémie constituerait un danger public exceptionnel. Dans un tel contexte, les pouvoirs autorisant à recueillir, à utiliser et à communiquer des renseignements personnels pour protéger la santé publique peuvent être considérables. En d’autres mots, la législation relative à la protection des renseignements personnels et de la vie privée ne peut empêcher l’échange d’information lorsque nous sommes en situation de pandémie d’urgence.
En vertu des lois du travail, l’employeur a l’obligation de protéger la santé et la sécurité de ses employés. Ce faisant, il a donc la responsabilité de s’informer de l’état de santé de ses derniers relativement à la COVID-19. Cela signifie également qu’il doit tenir son personnel informé des cas confirmés dans son organisation.
Toutefois, nous désirons porter à votre attention que cela ne signifie pas que vous avez besoin de nommer des personnes spécifiquement. De plus, nous désirons vous rappeler que vous ne devriez pas recueillir plus d’informations que nécessaire. Bien que vous ayez l’obligation de protéger la santé et la sécurité de vos employés, cela ne signifie pas pour autant que vous devez collecter de nombreuses informations à leur sujet.
À titre d’exemple, il serait raisonnable de demander à votre personnel s’ils ont visité un pays en particulier ou présentent des symptômes de la COVID-19. Si cette information s’avérait insuffisante, assurez-vous de ne collecter que ce dont vous avez besoin et assurez-vous que les informations collectées sont traitées avec les garanties appropriées, compte tenu de leur sensibilité.
Pour de plus amples informations sur vos obligations en matière de santé et sécurité, nous vous recommandons de consulter les recommandations émises par l’Ordre des conseillers en ressources humaines agréés relativement à la gestion du coronavirus en milieu de travail.
Vous avez des questions additionnelles ou désirez notre appui en matière de protection des renseignements personnels et de vie privée? N’hésitez pas à communiquer avec nous!
© CIPS, 2020.
[1] Vanessa Deschênes est avocate chez ROBIC, S.E.N.C.R.L., un cabinet multidisciplinaire d’avocats et d’agents de brevets et de marques de commerce.