Un article écrit par Brigitte Bureau

Droit à la vie privée : qu’en est-il quand on utilise le téléphone du travail?

Société > Prévention et sécurité

Au moins treize agences et ministères fédéraux ont recours à des outils ou à des logiciels capables d'extraire les données d'appareils électroniques comme des téléphones et des ordinateurs.Cliquez ici pour afficher l'image d'en-tête
Au moins treize agences et ministères fédéraux ont recours à des outils ou à des logiciels capables d'extraire les données d'appareils électroniques comme des téléphones et des ordinateurs.

Des juristes soulèvent des enjeux importants en matière de vie privée, à la suite des révélations de Radio-Canada sur l’utilisation au fédéral d’outils pour récupérer les données d’appareils électroniques, notamment quand des fonctionnaires sont soupçonnés de fautes.

Les employés tant du secteur privé que public ont des droits en matière de protection des renseignements personnels, même lorsqu'ils utilisent des appareils qui appartiennent à leur employeur, affirment des experts consultés par Radio-Canada.

Un reportage de Radio-Canada a révélé en novembre qu'au moins treize agences et ministères fédéraux ont recours à des outils ou à des logiciels capables d'extraire les données – même cryptées et protégées par des mots de passe – qui se trouvent dans les téléphones intelligents, les ordinateurs ou les tablettes.

À lire aussi :

Ça peut comprendre les courriels, les messages textes, les photos et l’historique des déplacements. Certains logiciels peuvent aussi accéder au nuage informatique d'un usager et retracer ses recherches sur Internet, ses contenus supprimés et ses activités sur les réseaux sociaux.

À compter du 1er février 2024, un comité parlementaire va se pencher sur l'emploi de ces instruments au fédéral.

Droit à la vie privée

Plusieurs ministères disent se servir de ces outils ou logiciels pour des enquêtes sur des violations alléguées de différentes lois et seulement après avoir obtenu un mandat de perquisition.

Mais d'autres affirment les utiliser aussi sans mandat sur des appareils fournis par le gouvernement, par exemple quand des fonctionnaires sont soupçonnés d'actes répréhensibles, comme du harcèlement ou une fausse déclaration d’heures supplémentaires.

Un employé va conserver une attente raisonnable en matière de vie privée à l'égard de ses données, même quand il utilise un appareil qui est fourni et traité par son employeur, qui reste, lui, propriétaire de cette coquille, si on veut, affirme Pierre-Luc Déziel, professeur de droit à l'Université Laval et spécialiste en protection du droit à la vie privée.

Il explique qu'en matière de vie privée, le droit canadien fait la distinction entre l'appareil et les renseignements personnels qui s'y trouvent.

Ce n'est pas parce qu'un employé ne possède pas l'appareil, la tablette, le téléphone, l'ordinateur, peu importe, que son droit en matière de protection de la vie privée à l'égard des données qui sont contenues dans cet appareil est complètement éteint, dit le professeur.

Même constat de l'avocate Éloïse Gratton, associée du cabinet BLG où elle dirige le groupe national de pratique Respect de la vie privée et protection des renseignements personnels.

Que ça soit dans le secteur public ou le secteur privé, l'employeur n'a pas libre jeu. L'employé a certains droits en matière de vie privée, même sur les lieux du travail ou dans un contexte de travail.

Éloïse Gratton, avocate en droit de la vie privée

L'avocate précise toutefois que cette protection peut être amoindrie selon la nature de l'emploi.

C'est certain que si l'employé travaille dans une industrie, que ce soit du secteur public ou privé, où il y a beaucoup d'enjeux de sécurité nationale, par exemple, ce serait plus acceptable de faire une certaine surveillance ou d'utiliser des outils d'extraction de données pour assurer la sécurité du public, dit Mme Gratton.

Enquêtes internes sur des employés

Services partagés Canada est l’une des institutions fédérales qui ont recours à des instruments d'extraction des données pour des enquêtes internes. L'agence a fourni des renseignements supplémentaires à Radio-Canada après la parution de l’article initial, en novembre.

Des exemples d’enquêtes comprennent notamment des suspicions de navigation inappropriée sur le web, l’installation d’un logiciel malveillant sur un appareil ou la suspicion d’une fausse déclaration d’heures supplémentaires, affirme l’agence.

Elle précise que les outils d’enquête judiciaire numérique sont utilisés exclusivement sur les appareils émis par le gouvernement et dans des circonstances très précises et limitées.

Services partagés affirme y avoir eu recours à six reprises au cours des deux dernières années.

Le ministère des Pêches et Océans dit aussi s’en servir pour des enquêtes internes portant sur des violations des politiques du gouvernement du Canada, comme la fraude ou le harcèlement en milieu de travail.

Aucune autorisation judiciaire n’est requise, car les données appartiennent au ministère, affirme le ministère.

Ces outils sont aussi utilisés pour assurer l'intégrité des réseaux informatiques du gouvernement, soutiennent différentes institutions fédérales.

Santé Canada

Au départ, Santé Canada avait affirmé n’avoir jamais utilisé l’outil d’extraction de données qu’il s’est procuré en 2016. Cependant, le ministère a corrigé le tir après qu’on lui a fait remarquer que son nom figurait dans des contrats plus récents.

L'outil a été utilisé par Santé Canada dans une capacité limitée pour aider aux enquêtes entre 2016 et 2021, a reconnu le ministère, tout en refusant de dire à quelles fins.

Pour des raisons de sécurité et de confidentialité, nous ne pouvons pas discuter de cas spécifiques, affirme le ministère, qui dit ne plus y avoir recours.

L'avocate Éloïse Gratton et le professeur de droit Pierre-Luc Déziel s'entendent pour dire que les attentes quant à la protection de la vie privée des employés sont accrues lorsque l'employeur leur permet d'utiliser leur téléphone ou leur ordinateur de travail à des fins personnelles.

Au fédéral, un usage personnel des appareils et des réseaux du gouvernement du Canada est permis durant le temps personnel de l'employé, si cette activité n'a aucun but financier, n'engage aucun coût additionnel pour le ministère et ne nuit pas au travail de l'institution.

Organiser un voyage à titre personnel, effectuer des opérations bancaires, faire des achats en ligne, participer à des groupes de discussion et tenir un blogue comptent parmi les exemples d'usage personnel acceptable cités dans la Directive fédérale sur les services et le numérique.

Cette directive stipule aussi que les employés qui décident de conserver leurs renseignements personnels sur les réseaux ou les appareils du gouvernement le font à leurs propres risques.

Les questions que doivent se poser les employeurs

Dans certaines circonstances, l'utilisation de technologies potentiellement intrusives dans les téléphones ou les ordinateurs d'employés peut être permise, selon les deux juristes.

Mais ils expliquent qu'un employeur devrait se poser quatre grandes questions avant de les déployer, pour s'assurer qu'il se conforme au droit canadien.

Un test en quatre questions pour les employeurs :

  1. Y a-t-il un problème précis et légitime à régler? (En l'absence d'un problème précis et légitime, les atteintes à la vie privée sont difficilement justifiables.)
  2. L'outil choisi est-il efficace pour régler ce problème?
  3. L’atteinte à la vie privée de l’employé est-elle proportionnelle à l’importance de l’objectif visé?
  4. Existe-t-il des moyens moins intrusifs d'arriver aux mêmes fins?

Aller chercher presque l'ensemble des données ou l'historique d'un appareil, c'est une forme d'atteinte à la vie privée qui est très importante, affirme M. Déziel. Donc l'objectif visé devra être, lui aussi, très important. Il faudrait vraiment s'assurer que cette collecte-là soit absolument nécessaire, dit-il.

Les institutions n'ont pas précisé quelles données elles récupèrent dans les appareils ciblés.

Une directive fédérale oblige les ministères à effectuer une évaluation des facteurs relatifs à la vie privée, avant la mise en œuvre de toute nouvelle activité qui comporte la collecte ou le traitement de renseignements personnels.

D'après les réponses écrites des ministères à nos questions, aucun d'entre eux n'a procédé à une telle évaluation avant de recourir à des outils d'extraction de données.

Mais ils disent agir en conformité avec une série d’exigences légales.

Le président de Services partagés Canada (SPC) est autorisé en vertu de la Loi sur la gestion des finances publiques de mener ces enquêtes suite à la demande du dirigeant principal de la sécurité de SPC, écrit l'agence.

Les enquêtes sont conformes à la Politique sur la sécurité du gouvernement et sont effectuées dans un laboratoire judiciaire sécurisé et isolé, précise-t-elle. Services partagés ajoute que le laboratoire n’est pas accessible d’Internet et que les données ne sont transmises qu’au dirigeant principal de la sécurité.

Le ministère des Pêches et Océans affirme aussi que ses enquêtes internes reposent sur des politiques et des procédures déléguées par le chef de la sécurité. Il ajoute que les renseignements personnels sont conservés dans des laboratoires isolés et en conformité, entre autres, avec la Loi sur la protection des renseignements personnels.

L'avocate Gratton affirme que la mise en place de mesures de sécurité pour conserver les renseignements personnels saisis constitue une bonne pratique. Mais elle rappelle la nécessité pour un employeur de vérifier, au départ, si le moyen utilisé pour obtenir ces renseignements est justifié.