Dans une annonce récente, le Commissariat à la protection de la vie privée du Canada (« CPVP ») a réaffirmé son engagement à protéger la vie privée des Canadiens en lien avec I'éclosion de la COVID-19 et a déclaré qu’ « [e]n situation de crise sanitaire, les lois sur la protection des renseignements personnels sont toujours en vigueur sans faire obstacle à une communication de renseignements appropriée. » D’autres commissaires à la protection de la vie privée au Canada ont aussi émis des déclarations similaires.1
Étant donné les circonstances exceptionnelles qui prévalent actuellement, les organisations sont naturellement soucieuses de protéger la sécurité de leurs clients et de leurs employés. Cependant, elles sont de plus en plus souvent invitées à révéler des renseignements personnels sur des cas confirmés ou suspectés du virus au sein de leurs établissements, ainsi qu’à fournir des renseignements sur leurs employés et leurs clients à différentes autorités publiques. Cela a conduit certaines à mettre en œuvre diverses mesures de contrôle (par exemple des contrôles de température, des questionnaires, etc.) afin de réduire la probabilité de contamination par le virus. Avant de collecter ou de divulguer des renseignements au sujet d’un individu les organisations doivent évaluer avec soin leurs obligations en vertu des lois qui régissent la protection des renseignements personnels au Canada (« lois canadiennes sur la protection de la vie privée »)2 afin de déterminer dans quelle mesure elles peuvent collecter et partager ces renseignements et selon quelles conditions.
Les employeurs doivent également prendre conscience des risques accrus en matière de sécurité que posent les acteurs malveillants souhaitant profiter des perturbations et de la confusion causées par le virus. Notamment, de nombreux experts en cybersécurité ont signalé une augmentation du nombre de courriels d’hameçonnage concernant la COVID-19. Ainsi, les organisations doivent s’assurer que des mesures de sécurité adéquates sont mises en place pour protéger non seulement la santé et la sécurité physique de leurs employés et de leurs clients, mais également la sécurité de leurs systèmes informatiques dans le contexte où leurs employés doivent travailler à distance.
Nous apportons ici des réponses à des questions clés en matière de gestion des enjeux liés au respect de la vie privée et à la cybersécurité pendant une pandémie.
Collecte de renseignements personnels sur les employés
Les entreprises peuvent-elles légalement demander à leurs employés de révéler s’ils ont été testés positifs au virus lié à la COVID-19 ou s’ils ont été exposés à certains facteurs de risque ? Les employeurs peuvent-ils demander à leurs employés de se soumettre à certains types de tests ou de mesures de contrôles obligatoires ?
En vertu des lois canadiennes sur la protection de la vie privée, une organisation est généralement tenue d’obtenir le consentement d’une personne avant de divulguer ses renseignements à un tiers, à moins qu’une exception au consentement ne s’applique (voir la section II pour plus d’informations concernant le consentement).
Nécessité
Quel que soit le type de renseignements recueillis ou la pratique recherchée, une organisation doit respecter le principe de minimisation des données et limiter sa collecte de renseignements personnels à ce qui est nécessaire pour atteindre l’objectif visé (c’est-à-dire préserver la santé et la sécurité de ses employés). Par ailleurs, une organisation doit éviter de soumettre des personnes à des contrôles répétés sur une période relativement courte sans raison légitime.
Fins raisonnables et légitimes
En vertu des lois canadiennes sur la protection de la vie privée, une organisation doit recueillir, utiliser et divulguer des renseignements personnels à des fins qui sont raisonnables et légitimes dans les circonstances. Le caractère raisonnable doit être évalué au cas par cas en tenant compte des activités de l’organisation et de ses obligations légales (notamment en matière de santé et de sécurité des employés), des directives émises par les autorités de santé publique et les autres professionnels de la santé, ainsi que de la sensibilité, de la quantité et de la nature des renseignements personnels concernés.
Compte tenu que la pandémie a mené à la déclaration de l’état d’urgence sanitaire dans plusieurs provinces et que les employeurs sont généralement tenus de préserver la santé et la sécurité de leurs employés, une organisation peut être justifiée de recueillir certains types de renseignements ayant trait à l’exposition d’un employé à la COVID-19. Elle peut notamment demander à ses employés de révéler s’ils ont récemment voyagé dans une région touchée, s’ils ont été en contact avec une personne ayant contracté le virus ou s’ils ont été diagnostiqués avec le virus.
Toutefois, étant donné que les renseignements médicaux personnels sont sensibles, les employeurs doivent faire preuve de prudence et limiter autant que possible la collecte de ce type de renseignements. Il est conseillé à un employeur de ne recueillir des renseignements médicaux personnels que lorsqu’il existe un risque raisonnable que l’employé ait été exposé à la COVID-19. Un employeur ne devrait pas exiger systématiquement de ses employés qu’ils se soumettent à des tests ou à des contrôles périodiques (c’est-à-dire des contrôles de température), car cette pratique est généralement considérée particulièrement intrusive par les autorités responsables de la protection de la vie privée, à moins que le rôle de l’employé ne justifie ce type de contrôle. Quoi qu’il en soit, un employeur doit toujours s’assurer que la méthode de contrôle utilisée est fiable et mettre en balance les avantages à tirer d’une pratique particulière avec l’impact qu’elle peut avoir sur le droit à la vie privée d’un employé. Un employeur devrait en outre examiner s’il existe d’autres méthodes ou pratiques de contrôle qui permettraient d’atteindre les mêmes objectifs de manière moins intrusive.
Si une pratique n’est pas considérée comme « raisonnable ou appropriée » aujourd’hui, elle peut le devenir à l’avenir en fonction de l’évolution de la pandémie, et vice-versa. En d’autres termes, la réponse aux questions susmentionnées devra être réévaluée et ajustée périodiquement. Le tableau ci-dessous énumère les dispositions établissant les exigences en matière de caractère raisonnable et de nécessité pour la collecte de renseignements personnels.
Nécessité et caractère raisonnable |
|||
Loi sur le secteur privé du Québec, articles 4 et 5 |
PIPA CB, article 11 |
PIPA de l’Alberta, article 11 |
LPRPDE, article 5(3) et Principe 4 |
« Toute personne qui exploite une entreprise et qui, en raison d’un intérêt sérieux et légitime, peut constituer un dossier sur autrui doit, lorsqu’elle constitue le dossier, inscrire son objet. » « La personne qui recueille des renseignements personnels afin de constituer un dossier sur autrui ou d’y consigner de tels renseignements ne doit recueillir que les renseignements nécessaires à l’objet du dossier. » |
« Sous réserve de la présente Loi, une organisation ne peut recueillir des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait appropriées dans les circonstances et qui répondent aux fins que l’organisation divulgue en vertu de la section 10(1) » (c’est-à-dire les fins pour lesquelles ils ont été recueillis) [notre traduction] |
« Une organisation ne peut recueillir des renseignements personnels qu’à des fins raisonnables. » (c’est-à-dire qu’une personne raisonnable considérerait comme approprié dans les circonstances) « Lorsqu’une organisation recueille des renseignements personnels, elle ne peut le faire que dans la mesure où cela est raisonnable pour atteindre les objectifs pour lesquels les renseignements sont recueillis. » [notre traduction] |
« L’organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. » « L’organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées » |
Partage de renseignements personnels
Dans le contexte d’une urgence sanitaire telle que la COVID-19, à partir de quel moment les organisations peuvent-elles partager des renseignements personnels, y compris des renseignements liés à la santé, avec d’autres employés, clients ou autorités publiques, et ce, sans le consentement de la ou des personnes concernées ?
Les lois canadiennes sur la protection de la vie privée prévoient certaines exceptions au consentement qui peuvent permettre à une organisation de partager les renseignements personnels d’une personne avec un tiers sans son consentement dans le contexte de la pandémie COVID-19. Selon l’exception au consentement invoquée par une organisation et la province dans laquelle elle opère, l’organisation peut être tenue d’aviser la personne concernée que ses renseignements personnels ont été divulgués sans son consentement. En outre, une organisation devrait examiner s’il existe d’autres considérations qui militent en faveur de la notification de la personne dont les renseignements ont été divulgués, même s’il n’y a pas d’obligation légale de le faire.
Danger pour la vie, la santé ou la sécurité
En général, toute organisation au Canada, à l’exception du Québec, peut communiquer des renseignements personnels sans consentement lorsque cela est nécessaire pour répondre à une urgence qui menace la vie, la santé ou la sécurité de toute personne, et peut donc divulguer les renseignements personnels d’un employé touché à d’autres personnes au sein de l’organisation ou à ses clients. En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et de la Personal Information Protection Act (PIPA) de la Colombie-Britannique , une organisation doit également aviser par écrit la personne concernée de cette divulgation, et ce sans délai. Toutefois, il n’existe pas d’exigences équivalentes en vertu de la Personal Information Protection Act (PIPA) de l’Alberta.3
En comparaison, la Loi sur la protection des renseignements personnels dans le secteur privé du Québec limite la portée de cette exception aux cas où l’urgence met en danger la vie, la santé ou la sécurité de la personne dont les renseignements personnels sont communiqués. Il est donc moins clair si une organisation au Québec serait en mesure de divulguer les renseignements personnels d’un employé visé à d’autres personnes au sein de l’organisation ou à ses clients.
Le tableau ci-dessous énumère les dispositions applicables à la divulgation de renseignements personnels sans consentement en raison d’un danger pour la vie, la santé ou la sécurité.
Danger pour la vie, la santé ou la sécurité |
|||
Loi sur le secteur privé du Québec, article 18(7) |
PIPA CB, article 18(1)(k) |
PIPA de l’Alberta, article 20(g) |
LPRPDE, article 7(3)(e) |
« à une personne à qui cette communication doit être faite en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée » |
« s’il existe des motifs raisonnables de croire qu’il existe des circonstances impérieuses qui affectent la santé ou la sécurité de toute personne et si l’avis de divulgation est envoyé à la dernière adresse connue de la personne à laquelle se rapportent les renseignements personnels » [notre traduction] |
« la divulgation des renseignements est nécessaire afin de répondre à une situation d’urgence qui met en danger la vie, la santé ou la sécurité d’une personne ou du public » [notre traduction] |
« elle est faite à toute personne qui a besoin du renseignement en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de toute personne et, dans le cas où la personne visée par le renseignement est vivante, l’organisation en informe par écrit et sans délai cette dernière » |
Nécessaire ou raisonnable pour gérer une relation d’emploi
À l’exception de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, les lois canadiennes sur la protection de la vie privée permettent aux organisations de recueillir, d’utiliser et de divulguer les renseignements personnels de leurs employés sans consentement aux fins « d’établir, de gérer ou de mettre fin à une relation d’emploi » entre l’organisation et la personne concernée. En vertu de la PIPA de la Colombie-Britannique et de la PIPA de l’Alberta, la collecte, l’utilisation ou la communication doit être « raisonnable » afin d’établir, de gérer ou de mettre fin à la relation d’emploi, tandis qu’en vertu de la LPRPDE, elle doit être « nécessaire », ce qui indique une norme plus élevée pour les employeurs soumis à la législation fédérale. En outre, une organisation qui se fie à cette exception au consentement est tenue d’informer la personne concernée (c’est-à-dire l’employé) que ses renseignements personnels seront recueillis, utilisés ou divulgués à ces fins, et ce, avant la collecte, l’utilisation ou la divulgation.
En vertu des lois provinciales sur la santé et la sécurité au travail, les employeurs sont généralement tenus de prendre des mesures raisonnables afin de fournir un environnement de travail sécuritaire. Le respect des exigences en matière de santé et de sécurité au travail a été jugé comme relevant de la « gestion d’une relation d’emploi » par le CPVP de l’Alberta.4 Selon cette interprétation, une organisation peut être autorisée à informer ses employés qu’un collègue est atteint par la COVID-19s, et ce, sans obtenir le consentement de l’employé atteint, afin d’offrir un environnement de travail sécuritaire à tous.
La loi québécoise ne contient pas d’exception au consentement semblable. Toutefois, un employeur au Québec pourrait néanmoins être justifié de recueillir, d’utiliser ou de communiquer de tels renseignements sans le consentement de son employé afin de respecter ses obligations en matière de protection de la santé et de la sécurité de ses employés consacrées par l’article 46 de la Charte des droits et libertés de la personne et par la Loi sur la santé et la sécurité du travail.
Dans tous les cas et dans toutes les provinces où l’on invoque de telles exceptions au consentement, un employeur doit toujours s’assurer que la collecte, l’utilisation ou la divulgation de renseignements personnels est adaptée à l’objectif légitime de garantir la santé et la sécurité au travail.
Le tableau ci-dessous énumère les dispositions applicables à la divulgation de renseignements personnels sans consentement aux fins de la gestion d’une relation d’emploi.
Gérer une relation d’emploi |
|||
Loi sur le secteur privé du Québec |
PIPA CB, articles 13, 16 et 19 |
PIPA de l’Alberta, articles 15, 18 et 21 |
Section 7.3 LPRPDE |
N/A |
« la collecte, l’utilisation ou la divulgation est raisonnable aux fins d’établir, de gérer ou de mettre fin à une relation de travail entre l’organisation et l’individu » « Une organisation est tenue d’informer une personne qu’elle va recueillir, utiliser ou divulguer des renseignements personnels d’employés sur elle et les fins de la collecte, de l’utilisation ou de la divulgation avant de recueillir, d’utiliser ou de divulguer des renseignements personnels d’employés sur elle sans le consentement de la personne » [notre traduction] |
« les renseignements sont recueillis, utilisés ou divulgués uniquement aux fins d’établir, de gérer ou de mettre fin à une relation d’emploi ou de travail bénévole entre l’organisation et l’individu ; il est raisonnable de recueillir, d’utiliser ou de divulguer les renseignements aux fins particulières pour lesquelles ils sont recueillis, utilisés ou divulgués ; et dans le cas d’un individu qui est un employé actuel de l’organisation, l’organisation a, avant de recueillir, d’utiliser ou de divulguer les renseignements, fourni à l’individu un avis raisonnable indiquant que des renseignements personnels d’employés concernant l’individu vont être recueillis, utilisés ou divulgués et les fins pour lesquelles les renseignements vont être recueillis, utilisés ou divulgués. » [notre traduction] |
« nécessaire pour établir ou gérer la relation d’emploi entre elle et lui, ou pour y mettre fin, et si elle a au préalable informé l’intéressé que ses renseignements personnels seront ou pourraient être recueillis, utilisés ou communiqués à ces fins. » |
Demande des autorités gouvernementales (y compris les autorités de santé publique)
Dans le contexte d’un état d’urgence sanitaire, les lois canadiennes sur la protection de la vie privée permettent généralement la divulgation aux autorités publiques de renseignements personnels ayant trait au problème sanitaire en cause. Bien qu’il puisse y avoir certaines différences, ces lois prévoient généralement des exceptions au consentement lorsque la divulgation est requise par la loi ou qu’elle a pour but de faire respecter ou d’appliquer une loi. Ces exceptions peuvent s’appliquer aux divulgations faites aux autorités de santé publique, qui ont généralement d’importants pouvoirs pour recueillir des renseignements auprès des organisations.5 Les organisations peuvent également être tenues de divulguer des renseignements à d’autres types d’autorités publiques, telles que les organismes de sécurité publique, en vertu de la législation applicable aux situations d’urgence ou de décrets ou ordonnances pris en vertu de cette législation.
Il convient également de noter que les divulgations faites aux autorités de santé publique conformément à ces exceptions au consentement n’obligent généralement pas une organisation à informer la personne concernée. Cependant, une organisation peut décider qu’elle souhaite néanmoins informer cette personne, qu’il s’agisse d’un employé ou d’un client, même si elle n’est pas légalement tenue de le faire.
Compte tenu de l’évolution rapide de la situation, les organisations doivent se tenir à jour afin d’évaluer avec précision leurs obligations et de déterminer si elles doivent se conformer à des exigences supplémentaires en matière de divulgation dans leurs provinces respectives.
Le tableau ci-dessous énumère les dispositions applicables à la divulgation de renseignements personnels sans consentement lorsque la loi ou les autorités publiques le requièrent.
Exigé par la loi |
|||
Loi sur le secteur privé du Québec, article 18(4) |
PIPA CB, article 18(1)(o) |
PIPA de l’Alberta, article 20(b) |
LPRPDE, article 7(3)(i) |
« à une personne à qui il est nécessaire de communiquer le renseignement dans le cadre d’une loi applicable au Québec ou pour l’application d’une convention collective » |
« la divulgation est requise ou autorisée par la loi » [notre traduction] |
« la divulgation des renseignements est autorisée ou exigée par une loi de l’Alberta ou du Canada, un règlement de l’Alberta ou un règlement du Canada, un règlement d’un organisme gouvernemental local ou un instrument législatif d’un organisme de réglementation professionnelle » [notre traduction] |
« la communication est exigée par la loi » |
Autorités publiques |
|||
Section 18(5) Loi sur le secteur privé de l’Alberta |
PIPA CB |
Section 20(c) PIPA de l’Alberta |
Section 7(3)(c.1) LPRPDE |
« à un organisme public au sens de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A‐2.1) qui, par l’entremise d’un représentant, le recueille dans l’exercice de ses attributions ou la mise en œuvre d’un programme dont il a la gestion » |
N/A |
« la divulgation des renseignements est faite à un organisme public et cet organisme public est autorisé ou tenu par un texte législatif de l’Alberta ou du Canada de recueillir les renseignements auprès de l’organisation » [notre traduction] |
« elle est faite à une institution gouvernementale — ou à une subdivision d’une telle institution — qui a demandé à obtenir le renseignement en mentionnant la source de l’autorité légitime étayant son droit de l’obtenir et le fait, selon le cas, qu’elle est demandée pour l’application du droit canadien ou provincial » |
Exigences applicables à toutes divulgations
Même si une organisation est autorisée par la loi à divulguer certains renseignements personnels sans consentement en période de pandémie, elle reste liée par ses autres obligations en vertu des lois canadiennes sur la protection de la vie privée. L’organisation demeure responsable envers les personnes dont elle divulgue les renseignements personnels et doit limiter le type, la quantité et le contenu des renseignements personnels qu’elle divulgue. Par exemple, il est possible que, dans une situation particulière, il ne soit pas nécessaire de divulguer l’identité de la personne, ou encore que les raisons pour lesquelles une personne a été invitée à se mettre en quarantaine ne soient pas pertinentes. En d’autres termes, une organisation doit s’assurer que toute divulgation de renseignements personnels qu’elle fait en rapport avec la COVID-19 soit :
- Justifiée par la loi (sur la base du consentement ou d’une exception au consentement);
- Limitée à ce qui est nécessaire pour atteindre l’objectif de la divulgation (le principe de minimisation des données);
- Documentée de manière suffisamment détaillée pour permettre aux personnes de comprendre le raisonnement et la justification de l’organisation.6
À cette fin, il est conseillé que chaque fois qu’une organisation divulgue des renseignements personnels d’un employé liés à la COVID-19, elle documente la divulgation, en indiquant notamment le fondement juridique de la divulgation, les renseignements qui ont été divulgués, la personne qui les a divulgués, à qui ils ont été divulgués, la date de la divulgation et toute autre information importante (par exemple, si un avis a été donné à la personne dont les renseignements ont été divulgués conformément à une exigence légale applicable).
Gestion des risques de cybersécurité
Que doivent faire les organisations afin de se conformer aux lois canadiennes sur la protection de la vie privée et pour répondre aux risques de cybersécurité liés aux arrangements de travail à distance dus à la COVID-19 ?
En vertu des lois canadiennes sur la protection de la vie privée, une organisation est tenue de prendre des mesures de sécurité adéquates afin de protéger les renseignements personnels en sa possession ou sous son contrôle contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisée. Plus précisément, une organisation est responsable des actions de ses employés et de ses fournisseurs de services qui traitent des renseignements personnels en son nom. Toute personne au sein d’une organisation doit donc jouer un rôle préventif afin de préserver la sécurité et la confidentialité des renseignements personnels, en particulier lorsqu’elle travaille à distance.
En pratique, cela se traduit souvent par une obligation de mettre en œuvre des mesures physiques, organisationnelles et techniques qui sont liées à quand, où, quoi, comment et par qui les renseignements personnels peuvent être consultés. Toutefois, étant donné que de nombreuses organisations ont dû s’adapter rapidement à la situation actuelle en permettant à leurs employés de travailler à distance, leur infrastructure et leurs systèmes informatiques peuvent être particulièrement vulnérables aux cyberattaques. D’ailleurs, ces dernières semaines, plusieurs ont constaté un grand nombre de courriels d’hameçonnage liés à la COVID-19 qui ont été conçus afin de tirer profit de la perturbation et de la confusion causées par le virus.
Il est donc impératif que les organisations gardent prennent des mesures préventives afin de réduire le risque d’une cyberattaque réussie. Ces mesures peuvent comprendre :
- Réviser et mettre à jour les politiques et procédures de l’organisation. Les organisations doivent veiller à ce que leurs plans de sécurité des renseignements et d’intervention en cas d’incident soient à jour et tiennent compte des problèmes potentiels liés aux conditions de travail à distance et au risque accru de cyberattaques. Plus précisément, compte tenu de la multiplication des cyberattaques profitant de la situation actuelle, les organisations devraient s’assurer qu’elles sont prêtes à réagir en cas d’incident de sécurité;
- Réviser, mettre à jour et appliquer les mesures de sécurité en place. Ces mesures de sécurité comprennent généralement : la surveillance et la journalisation des activités sur le réseau de l’organisation; le chiffrage des communications contenant des renseignements personnels et confidentiels au moyen d’un réseau privé virtuel (RPV); et la mise en œuvre de mesures d’authentification à facteurs multiples ainsi que d’autres dispositifs de sécurité basés sur l’accès (par exemple, réinitialisation périodique des mots de passe) afin de protéger l’accès aux comptes des employés;
- Éduquer et former les employés. La formation offerte aux employés devrait se concentrer sur les mesures particulières à prendre lorsqu’ils travaillent à distance, telles que l’utilisation exclusive des plateformes de communication et autres outils informatiques fournis par l’organisation, éviter l’utilisation d’outils gratuits qui risquent de ne pas offrir un niveau adéquat de confidentialité et de sécurité, et maintenir des pratiques prudentes afin de limiter la mesure dans laquelle les renseignements personnels sont exposés aux autres membres de la famille; et sur la façon de détecter et de signaler les dangers tels que les courriels d’hameçonnage.
Pour toute autre question relative à la gestion de la vie privée et de la cybersécurité, veuillez contacter l’un des membres de l’équipe vie privée et cybersécurité de BLG énumérés ci-dessous. BLG a créé un Centre de ressources sur la COVID-19 pour aider les entreprises sur une variété de sujets, tels que la gestion des investissements, le crédit-bail, les risques contractuels, les exigences de divulgation publique et le droit pénal.
Les auteurs souhaitent remercier Andy Nagy, stagiaire, pour sa contribution.
1 Par exemple, dans sa directive [en anglais uniquement], le Commissariat à l’information et à la protection de la vie privée de l’Alberta (« CPVP de l’Alberta ») a déclaré à juste titre que « les lois sur la vie privée ne constituent pas un obstacle à un partage approprié des renseignements en cas de pandémie ou de situation d’urgence », tout en rappelant « qu’il est important que les organismes publics, les professionnels de la santé et les organisations du secteur privé sachent comment les renseignements personnels ou de santé peuvent être partagés en cas de pandémie ou de situation d’urgence [notre traduction]. » Le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique et la Commission d’accès à l’information du Québec ont émis des directives semblables.
2 Au Canada, il existe quatre lois principales en matière de protection de la vie privée qui régissent la collecte, l’utilisation et la divulgation des renseignements personnels dans le secteur privé : la Loi sur la protection des renseignements personnels et les documents électroniques fédérale (« LPRDE »), la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (« Loi sur le secteur privé du Québec »), la Personal Information Protection Act de la Colombie-Britannique (« PIPA CB ») et la Personal Information Protection Act de l'Alberta (« PIPA de l’Alberta ») (collectivement, les « lois canadiennes sur la protection de la vie privée »). Les organisations du secteur privé au Québec, en Colombie-Britannique et en Alberta sont soumises à la Loi sur le secteur privé, à la PIPA CB et à la PIPA de l’Alberta respectivement, tandis que les organisations du secteur privé opérant dans les autres régions du pays sont soumises à la LPRPDE. Une différence fondamentale entre la LPRPDE et les lois provinciales sur la protection de la vie privée mentionnées ci-dessus est que la première ne protège pas les renseignements personnels des employés qui ne sont pas employés par une entreprise fédérale, tandis que les lois provinciales sur la protection de la vie privée s'appliquent aux renseignements personnels de tous les employés travaillant dans ces provinces.
3 En revanche, le CPVP de l’Alberta recommande aux organisations d’informer leurs employés de l’autorité législative précise qui les autorise à divulguer leurs renseignements personnels sans leur consentement. (en anglais uniquement).
4 Voir la décision du CPVP de l’Alberta, P2019-04, au para. 31 (en anglais uniquement). Voir aussi Order P2010-002 (en anglais uniquement), dans laquelle le CPVP de l'Alberta a jugé que la divulgation par l'organisation des renseignements personnels de son ex-employé (c'est-à-dire, le fait qu'il ne travaillait plus pour l'employeur) à des sous-traitants et à des clients avait été faite « uniquement pour gérer une relation de travail entre l'organisation et l'individu », et que « le fait de conclure autrement aboutirait à une situation où une organisation ne pourrait pas informer ses sous-traitants et ses clients quant aux personnes qui sont actuellement employées par l'organisation ou qui la représentent » [notre traduction].
5 Voir par exemple la Loi sur la santé publique du Québec, section 123(3).
6 Dans sa directive concernant la COVID-19, le CPVP a déclaré que les organisations qui se fondent sur une exception au consentement afin de divulguer des renseignements personnels devraient pouvoir « informer les individus concernés de l’autorisation légale précise qui vous permet de le faire. »