Commission d’accès à l’information du Québec Dossier : 1015556-S Nom de l’entreprise: Bruneau Électrique inc. Date : 30 septembre 2021 Membre : M e Lina Desbiens
DÉCISION
ENQUÊTE en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé1.
APERÇU [1] La Commission d’accès à l’information (la Commission) a procédé à une enquête à l’égard de Bruneau Électrique Inc. (l’Entreprise) à la suite d’une plainte portant sur la collecte de renseignements personnels. Plus particulièrement, la plainte est basée sur le fait que l’Entreprise collecte l’image de ses employés sur une photographie par le biais d’un horodateur biométrique pour calculer les heures travaillées. [2] De plus, dans le cadre de l’enquête, la Commission constate que l’Entreprise collecte le numéro d’assurance maladie (NAM) au moment de l’embauche par le biais d’une fiche de renseignements personnels. Elle a également constaté des lacunes quant aux mesures de sécurité de la conservation des renseignements personnels.
CONTEXTE [3] Il ressort de l’enquête les éléments suivants. Les activités de l’Entreprise se déroulent dans les bureaux administratifs et sur plusieurs chantiers de construction. Durant la période estivale, elle compte plus de 150 employés avec un taux de roulement élevé.
1 RLRQ, c. P-39.1, Loi sur le privé.
1015556-S Page : 2
[4] Chaque employé doit s’identifier au début et à la fin de chacune des périodes de travail. Pour ce faire, il doit utiliser la tablette ou le téléphone intelligent disponible, soit dans les bureaux administratifs de l’Entreprise, soit sur les chantiers de celle-ci. L’application permet de comptabiliser les heures travaillées par les employés de l’Entreprise. [5] Dans les bureaux administratifs, une tablette de type iPad est installée au mur afin de permettre au personnel administratif d’enregistrer leurs heures travaillées. Sur les différents chantiers de construction, l’Entreprise utilise des roulottes de chantier pour abriter ses travailleurs lors des périodes de repos et de repas. Dans ces roulottes, on retrouve un iPad suspendu au mur permettant aux travailleurs d’enregistrer leurs heures travaillées. Pour les autres chantiers de moindre envergure, les surintendants, les contremaitres ou les chefs d’équipe remettent un téléphone intelligent de marque iPhone aux employés avec l’application et, à tour de rôle, les travailleurs peuvent enregistrer leurs heures travaillées. À l’occasion, un travailleur plus expérimenté pourrait détenir un appareil avec l’application afin de permettre à ses confrères d’enregistrer leurs heures travaillées sur un chantier de construction. [6] Sont alors collectées les informations suivantes : i) le numéro d’identification personnel (NIP) de l’employé, attribué par l’Entreprise; ii) la date et l’heure d’utilisation de l’application; iii) le projet de construction repéré par géolocalisation 2 ; iv) l’image du travailleur utilisant l’application. [7] Ces informations sont par la suite envoyées à l’aide d’une connexion HTTP sur le serveur de l’entreprise 3 . Un rapport hebdomadaire précisant notamment le cumul des heures travaillées est remis aux directeurs de projets pour approbation. Advenant un doute quant à l’identité d’un employé, son directeur de projet peut demander à vérifier la photographie prise par l’application avec celle figurant sur la photocopie du permis de conduire de l’employé recueillie par l’entreprise. [8] Selon l’Entreprise, la prise de photographie a été ajoutée à l’application afin d’éviter qu’une personne n’entre le numéro d’employé d’une autre personne et ainsi contrer le vol de temps.
2 C’est l’appareil utilisé qui est géolocalisé et non pas l’employé. 3 L’entreprise confirme son intention d’utiliser une connexion sécurisée HTTPS. Voir rapport d’enquête et observations du 2 septembre 2020.
1015556-S Page : 3
AVIS D’INTENTION ET OBSERVATIONS [9] Le 30 juin 2020, la Commission a transmis un avis informant l’Entreprise de son intention de rendre les ordonnances suivantes au motif qu’elle ne respectait pas la Loi sur le privé : - Cesser de recueillir la photographie de ses employés au début et à la fin de leur quart de travail par le biais d’une tablette ou d’un téléphone intelligent; - Cesser de recueillir le numéro d’assurance maladie de ses employés, au moment de leur embauche, par le biais de la Fiche de renseignements personnels; - Détruire les photographies des employés et les numéros d’assurance maladie, et ce, quelle que soit la nature de leur support et la forme sous laquelle elle détient ces renseignements personnels; - Adopter des politiques et directives relatives à la protection des renseignements personnels. [10] Conformément à l’article 83 de la Loi sur le privé, la Commission a invité l’Entreprise à fournir ses observations et un délai lui a été accordé pour ce faire. [11] Le 2 septembre 2020, l’Entreprise a transmis ses observations qu’elle a complétées le 22 septembre 2020 et le 25 janvier 2021. [12] À la lumière des faits recueillis lors de l’enquête et des observations reçues de l’Entreprise, la Commission : i) Constate que l’horodateur utilisé par l’entreprise n’est pas un horodateur biométrique. Il n’y a ni phase d’enrôlement ou d’inscription de la photographie des employés dans une banque ni phase de reconnaissance permettant d’identifier la personne concernée; ii) Prend acte de l’engagement de l’Entreprise de cesser de collecter le NAM de ses employés 4 ; iii) Prend acte de l’engagement de l’Entreprise d’adopter des politiques et directives relatives à la protection des renseignements personnels selon un échéancier qu’elle propose 5 ;
4 Courriel du 25 janvier 2021. 5 Courriel du 22 septembre 2020.
1015556-S Page : 4
iv) Conclut que la collecte de l’image des employés sur une photographie lors de l’utilisation de l’horodateur n’est pas nécessaire pour atteindre les objectifs recherchés. [13] La présente décision porte sur la collecte systématique de la photographie de tous les employés au début et à la fin de chaque période de travail.
ANALYSE 1. L’Entreprise est assujettie à la Loi sur le privé [14] L’Entreprise est un entrepreneur électricien qui exploite son entreprise au Québec. Elle est enregistrée au Registraire des entreprises du Québec 6 . [15] Par conséquent, l’Entreprise est assujettie à la Loi sur le privé qui établit les règles particulières pour une entreprise qui recueille, détient, utilise ou communique des renseignements personnels à l’occasion de l’exploitation de son entreprise. 2. L’image des employés est un renseignement personnel [16] Quelles que soient la nature de leur support et la forme sous laquelle ils sont accessibles, les renseignements qui concernent des personnes physiques et permettent de les identifier 7 sont des renseignements personnels visés par la Loi sur le privé. [17] En l’espèce, l’image d’une personne constitue un renseignement personnel, puisque l’image représente physiquement cette personne et elle permet de l’identifier. 3. La nécessité des renseignements personnels collectés par l’Entreprise [18] La Loi sur le privé prévoit que seuls les renseignements personnels nécessaires pour atteindre les objectifs poursuivis par l’Entreprise peuvent être recueillis 8 . Une entreprise ne peut pas déroger à cette exigence, même avec le consentement de la personne concernée. [19] Ainsi, une Entreprise qui entend collecter et utiliser des renseignements personnels doit justifier et démontrer la nécessité de cette collecte.
6 L’entreprise est enregistrée au Registre des entreprises du Québec sous le numéro 1142851337. 7 Art. 1 et 2 de la Loi sur le privé. 8 Art. 5 de la Loi sur privé.
1015556-S Page : 5
[20] Pour ce faire, elle doit démontrer le caractère légitime, important et réel de cette collecte et la proportionnalité de l’atteinte à la vie privée qu’elle constitue en lien avec les objectifs qu’elle poursuit 9 . [21] Dans le contexte du présent dossier, l’Entreprise doit démontrer que la collecte systématique de la photographie de chaque travailleur utilisant l’application, à leur arrivée et leur départ, est nécessaire pour atteindre les finalités particulières liées à l’objet du dossier. a. Les objectifs poursuivis par la collecte de l’image ont-ils un caractère légitime, important et réel [22] Plus particulièrement, dans l’application du test de nécessité, l’Entreprise doit démontrer que la collecte systématique de l’image des employés, à leur arrivée et leur départ, rencontre un caractère légitime, réel et important pour chacun de ses objectifs. [23] L’Entreprise doit préciser et documenter les objectifs poursuivis ou les problèmes rencontrés qui justifient de recueillir systématiquement l’image de ses employés. Ceux-ci doivent être suffisamment importants pour justifier la collecte de ce renseignement personnel. L’atteinte d’objectifs usuels, courants et intrinsèques à la gestion de toute entreprise ne sont généralement pas suffisamment important pour justifier la collecte de tels renseignements. Ces objectifs doivent aussi être réels et non seulement appréhendés. Ainsi, l’utilité d’une collecte de renseignements personnels n’est pas suffisante pour en démontrer la nécessité au sens de la Loi 10 . [24] Il ressort de l’enquête que l’Entreprise poursuit plusieurs objectifs en utilisant un horodateur colligeant des renseignements personnels : i) s’assurer de l’exactitude et de l’intégrité des heures déclarées; ii) contrer le vol de temps; iii) économiser des coûts de gestion pour le système de paie. [25] Ces objectifs peuvent être considérés comme étant légitimes, puisque l’Entreprise veut rémunérer correctement ses employés, c’est-à-dire rémunérer la bonne personne pour les heures effectivement travaillées et réduire les coûts de gestion du système de la paie. Toutefois, la Commission est d’avis que
9 Laval (Société de transport de la Ville de) c. X., [2003] C.A.I. 667 (C.Q.); Grenier c. Centre hospitalier universitaire de Sherbrooke, [2010] QCCQ 9397. 10 Garderie Excelsiori Daycare inc., CAI 111756, 5 octobre 2016.
1015556-S Page : 6
l’Entreprise n’a pas démontré que les fins poursuivies par la collecte systématique de l’image de chaque travailleur sont importantes et réelles. i. Exactitude et intégrité des heures travaillées [26] L’Entreprise indique que chacun de ses travailleurs de la construction doit déclarer sa prestation de travail. Il doit nécessairement s’identifier et indiquer pour quel projet de construction il a effectué sa prestation de travail, et ce, même en l’absence d’horodateur. [27] L’Entreprise explique que le nombre important d’employés, le taux de roulement de la main-d’œuvre, la grande autonomie des employés relativement à la déclaration des heures travaillées, la présence d’incohérences, d’erreurs, d’omissions ou de fausses déclarations des employés quant aux heures travaillées justifiaient la mise en place d’un horodateur avec des mesures de contrôle. [28] L’Entreprise n’a fourni aucune précision aux enquêteurs ou dans ses observations concernant la présence d’incohérences, d’erreurs, d’omissions ou de fausses déclarations des employés quant aux heures travaillées. [29] Il ressort de l’enquête et des observations que pour utiliser l’application qui comptabilise les heures travaillées, l’employé s’enregistre au début et à la fin de sa période de travail avec un NIP. [30] En ce qui a trait à la collecte de l’image du travailleur utilisant l’application, l’Entreprise a déclaré aux enquêteurs que cette collecte, à l’entrée et à la sortie, s’est ajoutée à l’identification par le NIP afin de limiter la fraude. [31] En effet, l’Entreprise affirme qu’advenant un doute quant à l’identité d’un employé lors de la vérification des rapports hebdomadaire, son directeur de projet peut demander à comparer la photographie prise par l’application avec celle figurant sur la photocopie du permis de conduire de l’employé. [32] Il ressort de l’enquête qu’il n’y a pas de vérification d’identité à partir de la photographie transmise systématiquement lorsque l’employé s’enregistre avec son NIP. Dans certaines situations, une identification visuelle est faite par le superviseur sur les lieux de son travail. La photographie de chaque employé prise à l’entrée et à la sortie pour chaque jour travaillé est conservée au cas où une vérification serait nécessaire. ii. Vol de temps
1015556-S Page : 7
[33] L’Entreprise a ajouté à l’identification par le NIP un deuxième facteur d’identification, soit la prise de photographie pour limiter la fraude et le vol de temps. [34] À cet égard, aucune démonstration relative au vol de temps avant et après la mise en place de la collecte de l’image n’a été faite. L’Entreprise mentionne simplement que le vol de temps est un problème généralisé dans toutes les entreprises. [35] Dans ses observations, l’Entreprise soumet un cas récent survenu en 2020, soit plusieurs années après la plainte. Elle soutient que ce cas est une démonstration concrète de l’importance et de l’utilité des données. [36] Le seul cas rapporté a permis de démontrer qu’un employé avait développé un stratagème de vol de temps en raison de l’imprécision de la géolocalisation et non pas en raison de son identification. [37] En effet, le cas d’espèce présenté concerne une situation où la photographie a permis à l’Entreprise de constater que l’employé, qui habite tout près de son lieu de travail, réussissait à s’enregistrer à partir de sa résidence avant d’arriver à l’entrepôt parce que la géolocalisation collectée par l’horodateur est imprécise et connait une marge d’erreur qui peut varier de plusieurs centaines de mètres. Ainsi, il s’agit davantage d’un problème lié à la technologie utilisée qu’à l’identification de l’employé à partir de sa photographie. La photographie a, au mieux, servi à identifier qu’il était à sa résidence et non pas sur les lieux du travail. [38] Ce n’est pas l’ajout de l’image aux renseignements d’identité qui a permis d’atteindre l’objectif visé, soit de contrer le vol de temps. iii. Réduction des coûts de gestion pour le système de paie [39] Il ressort des observations que l’Entreprise a automatisé son système de paie en utilisant un horodateur plutôt que des feuilles de temps. Cependant, l’Entreprise n’a pas démontré en quoi la collecte systématique de l’image des employés chaque fois qu’ils utilisent l’application permet de réduire les coûts de la gestion du système de paie. [40] Ainsi, la Commission conclut que la collecte de l’image pour atteindre l’objectif poursuivis n’a pas un caractère réel et important.
1015556-S Page : 8
b. [41] Même si la Commission avait conclu que les objectifs poursuivis par la collecte de l’image avaient un caractère légitime, important et réel, la seconde partie du test de nécessité n’est pas satisfaite. [42] En effet, la Commission conclut également que l’atteinte à la vie privée des employés par la collecte de l’image n’est pas proportionnelle aux objectifs recherchés. [43] La collecte de renseignements personnels constitue une atteinte à la vie privée. Cette atteinte doit être proportionnelle à l’objectif recherché. Pour évaluer la proportionnalité de l’atteinte à la vie privée, il faut tenir compte de la nature sensible des renseignements personnels collectés, des autres moyens à la disposition de l’Entreprise et la balance entre l’atteinte à la vie privée des personnes concernées et le bénéfice de l’Entreprise [44] En l’espèce, la Commission considère que l’Entreprise n’a pas démontré que la collecte de l’image par la prise de photographie systématique au moment de l’inscription des heures d’arrivée et de départ est une atteinte à la vie privée proportionnelle aux objectifs poursuivis. [45] D’abord, contrairement à ce que soutient l’Entreprise, la prise de photographie ne constitue pas une simple automatisation de l’identification visuelle de l’employé par le contremaitre. Le droit à l’image d’une personne est une composante du droit à la vie privée [46] La prise de photographie constitue une collecte d’un renseignement personnel sensible qui doit respecter les dispositions de la Loi sur le privé. [47] L’Entreprise doit donc démontrer que la collecte est rationnellement liée aux objectifs, que l’atteinte à la vie privée est minimisée et que la divulgation du renseignement requis est nettement plus utile à l’organisme que préjudiciable à la personne. [48] En l’espèce, pour s’assurer de l’exactitude et de l’intégrité des heures déclarées, contrer le vol de temps et économiser des coûts de gestion du système de paie, l’Entreprise utilise un horodateur. Un NIP est attribué à chacun des
Proportionnalité de l’atteinte à la vie privée en lien avec les objectifs recherchés
11 .
12 .
11 Société de transport de Laval, déjà citée; Les 3 Piliers inc. CAI 1018507, 14 février 2020. 12 Aubry c. Éditions Vice-Versa inc., [1998] 1 R.C.S. 591.
1015556-S Page : 9
employés qui sont géolocalisés au moment de leur enregistrement avec l’heure du début et de leur fin de prestation de travail. [49] Considérant que cette identification est insuffisante, l’Entreprise ajoute la prise de photo pour ajouter un deuxième niveau de contrôle de l’identifiant. Dans ses observations, elle explique avoir envisagé d’autres moyens d’identification, comme les empreintes digitales ou la reconnaissance faciale. Toutefois, d’autres solutions ne portant pas atteinte à la vie privée ou moins intrusives n’ont pas été envisagées. [50] En effet, l’Entreprise doit minimiser la collecte de renseignements personnels permettant d’atteindre ses objectifs. Elle n’a pas démontré que la collecte de photographie avait un lien rationnel avec l’objectif poursuivi, que l’atteinte à la vie privée était minimale et que la collecte était nettement plus utile à l’Entreprise que préjudiciable aux employés. L’utilité de la collecte pour des situations exceptionnelles comme celle soumise n’est pas suffisante pour démontrer la nécessité de la collecte systématique de l’image des employés. [51] Dans les circonstances, la Commission conclut que l’Entreprise n’a pas démontré la nécessité de la collecte systématique de la photographie de chaque employé au moment de l’enregistrement de ses heures d’arrivée et de départ, en plus des autres renseignements d’identité qu’elle collecte.
1015556-S Page : 10
POUR CES MOTIFS, LA COMMISSION : [52] PREND ACTE des engagements de l’Entreprise : o de cesser de collecter le numéro d’assurance maladie de ses employés au moment de leur embauche par le biais de la Fiche de renseignements personnels; o d’adopter des politiques et directives relatives à la protection des renseignements personnels 13 selon l’échéancier proposé. [53] ORDONNE à l’Entreprise : o de cesser de recueillir la photographie de ses employés au début et à la fin de leur quart de travail par le biais d’une tablette ou d’un téléphone intelligent; o de détruire les photographies des employés et les numéros d’assurance maladie, et ce, quelle que soit la nature de leur support et la forme sous laquelle elle détient ces renseignements personnels; o de rendre compte à la Commission de la mise en œuvre de l’échéancier d’implantation dans les six mois de la présente décision, en y faisant les adaptations nécessaires.
Original signé M e Lina Desbiens Membre de la section surveillance de la Commission d’accès à l’information
13 Courriel du 22 septembre 2020.