Politique d'utilisation acceptable (Québec)

La politique d'utilisation acceptable du Québec (PUA) est un document de gouvernance organisationnelle encadré par la rencontre de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ c P-39.1, communément appelée Loi 25), des obligations de bonne foi du Code civil du Québec (C.c.Q.) prévues aux art. 1375 et 2088, et de la Loi sur la santé et la sécurité du travail (LSST, RLRQ c S-2.1). La Loi 25, modifiée en profondeur en 2021 et pleinement en vigueur depuis septembre 2023, constitue la loi provinciale canadienne sur la vie privée la plus exigeante; elle impose des obligations qu'aucun employeur québécois ne peut remplir sans une PUA écrite régissant la façon dont les employés traitent les renseignements personnels sur les systèmes de l'organisation.

La Loi 25 oblige toute organisation au Québec qui détient des renseignements personnels à désigner un responsable de la protection des renseignements personnels, à établir et publier une politique de gouvernance, à réaliser des évaluations des facteurs relatifs à la vie privée (EFVP) avant certaines communications de données hors Québec, et à déclarer tout incident de confidentialité à la Commission d'accès à l'information (CAI) dans un délai de 72 heures en vertu de l'art. 3.5. La CAI est l'organisme de surveillance indépendant qui applique la Loi 25 et peut imposer des sanctions administratives pécuniaires pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial aux organisations en situation de manquement grave.

La Charte des droits et libertés de la personne du Québec (RLRQ c C-12), particulièrement son art. 5 qui protège le droit au respect de la vie privée, établit une norme de protection de la vie privée des employés plus élevée que celle qui s'applique dans la plupart des autres provinces canadiennes. La Commission des droits de la personne et des droits de la jeunesse (CDPDJ) a établi par sa jurisprudence que l'employeur qui surveille les communications électroniques de ses employés — courriels, navigation Internet, enregistrement de frappe — doit satisfaire à un test de justification en trois volets : la surveillance doit poursuivre un objectif d'affaires légitime, recourir au moyen le moins intrusif possible, et les employés doivent recevoir un avis préalable. Une PUA qui divulgue les pratiques de surveillance et obtient l'accusé de réception de l'employé satisfait à l'exigence d'avis préalable imposée par la CDPDJ.

Le Code civil du Québec impose à l'employeur, en vertu de l'art. 2088, une obligation générale d'agir de bonne foi envers ses employés, et à l'employé une obligation de loyauté et de protection de l'information confidentielle de l'employeur (art. 2088, al. 2). La PUA met en œuvre ces obligations du C.c.Q. en précisant ce qui constitue un usage acceptable et inacceptable des actifs informatiques appartenant à l'employeur, fournissant le fondement contractuel et réglementaire des mesures disciplinaires, y compris le congédiement pour cause juste et suffisante prévu par la Loi sur les normes du travail.

La conformité linguistique est une dimension propre au Québec. Toute politique organisationnelle qui régit des employés au Québec doit être disponible en français en vertu de l'art. 41 de la Charte de la langue française (RLRQ c C-11, modifiée par la Loi 96). Une PUA qui n'existe qu'en anglais ne satisfait pas aux obligations de l'employeur sous la Charte de la langue française, et l'Office québécois de la langue française (OQLF) peut exiger qu'il fournisse une documentation en français. L'employeur devrait aussi envisager une entente de confidentialité pour le Québec afin de couvrir les obligations de confidentialité au-delà de ce qu'une PUA peut accomplir dans un contexte autonome de gouvernance des TI.

La politique d'utilisation acceptable du Québec est exigée par la Loi 25 (RLRQ c P-39.1) comme composante du cadre obligatoire de gouvernance des renseignements personnels que toute organisation qui détient de tels renseignements doit établir et maintenir; elle est aussi nécessaire, de façon indépendante, pour satisfaire aux obligations du Code civil du Québec, de la Charte de la langue française et de la Loi sur les normes du travail.

Lorsqu'une organisation traite des renseignements personnels de clients ou d'employés sur ses systèmes informatiques — ce qui vise pratiquement toute entreprise québécoise qui tient une base de données clients, traite la paie au moyen d'un logiciel ou utilise des services infonuagiques — la Loi 25 exige des règles de gouvernance écrites couvrant la collecte, l'utilisation, la conservation et la protection de ces renseignements. La PUA est la composante de ce cadre destinée aux employés : elle précise ce qu'ils peuvent et ne peuvent pas faire avec les renseignements personnels sur les systèmes de l'organisation. Sans PUA, l'organisation ne peut démontrer à la Commission d'accès à l'information (CAI) qu'elle a mis en place les structures de gouvernance exigées par l'art. 3.2 de la Loi 25.

Lorsqu'un employeur met en place une surveillance électronique des employés — suivi de la navigation Internet, enregistrement des appels, suivi de la productivité par capture d'écran ou géolocalisation des véhicules de société — le droit à la vie privée de l'art. 35 C.c.Q. et le test de justification en trois volets de la CDPDJ exigent une divulgation préalable des pratiques de surveillance. La PUA est le véhicule habituel de cette divulgation. À défaut de divulgation préalable dans la PUA, une preuve obtenue par surveillance électronique peut être jugée inadmissible devant le Tribunal administratif du travail (TAT).

Lors de l'accueil de nouveaux employés appelés à utiliser les systèmes d'information de l'entreprise, la PUA fournit le fondement contractuel du pouvoir de l'employeur de sanctionner ou de congédier en cas de mauvais usage des TI : accès non autorisé à des renseignements personnels (pouvant constituer un acte criminel sous l'art. 342.1 du Code criminel, L.R.C. 1985, c C-46), utilisation des systèmes à des fins commerciales personnelles, ou téléchargement de logiciels non autorisés créant un risque de logiciels malveillants. La Loi sur les normes du travail exige une cause juste et suffisante pour le congédiement de l'employé qui justifie de deux ans ou plus de service continu (art. 124); une PUA documentée et reconnue par l'employé établit le cadre de règles servant à cette justification.

Lorsque l'organisation communique des renseignements personnels hors Québec — à des fournisseurs infonuagiques, à une société mère ou à des services de TI externalisés dans d'autres provinces ou à l'étranger — l'art. 17 de la Loi 25 exige une EFVP préalable et une entente écrite avec le destinataire confirmant une protection équivalente. La PUA doit instruire les employés de l'interdiction de transférer des renseignements personnels à l'externe sans avoir complété l'EFVP requise et obtenu l'approbation du responsable de la protection des renseignements personnels désigné.

Lorsqu'une organisation détient des renseignements personnels au titre d'une exemption de la LPRPDE fédérale (Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, c 5) pour des activités de compétence provinciale, l'exemption fédérale de l'al. 26(2)b) exige que la loi provinciale soit essentiellement similaire. La Loi 25 a été déclarée essentiellement similaire à la LPRPDE : les organisations de compétence québécoise satisfont donc à leurs obligations fédérales en s'y conformant. La PUA doit être rédigée pour respecter les exigences de la Loi 25, à plusieurs égards plus strictes que la LPRPDE, dont la règle de notification d'incident dans les 72 heures.

Une politique d'utilisation acceptable du Québec conforme à la Loi 25 (RLRQ c P-39.1), au Code civil du Québec, à la Charte de la langue française et à la Loi sur les normes du travail doit comprendre les éléments suivants.

La portée et le champ d'application doivent définir les systèmes, appareils, réseaux et actifs de données visés — ordinateurs de l'entreprise, appareils mobiles, comptes de courriel, stockage infonuagique, comptes de médias sociaux, et tout appareil personnel utilisé à des fins professionnelles dans le cadre d'un arrangement « apportez votre appareil personnel » (AVAP). La portée doit aussi préciser le personnel visé : employés, entrepreneurs, travailleurs temporaires, stagiaires et tout tiers ayant accès aux systèmes de l'organisation.

La clause de gouvernance des renseignements personnels doit nommer le responsable de la protection des renseignements personnels désigné en vertu de l'art. 3.1 de la Loi 25 et ses coordonnées, préciser les catégories de renseignements personnels traités, interdire l'accès non autorisé à ces renseignements ou leur divulgation, obliger les employés à suivre le protocole de signalement d'incident dans le délai de 72 heures imposé par l'art. 3.5 de la Loi 25 pour la déclaration à la CAI, et confirmer la politique de gouvernance prévue par la Loi 25.

La divulgation de la surveillance doit décrire avec précision la surveillance électronique exercée par l'employeur — filtrage des courriels, journaux de navigation Internet, suivi de la productivité, géolocalisation des véhicules, vidéosurveillance — en indiquant la finalité, l'étendue et la fréquence. Selon les orientations de la CDPDJ, la surveillance doit être proportionnée à l'objectif d'affaires légitime et recourir au moyen le moins intrusif. Cette clause doit être rédigée en français en vertu de la Charte de la langue française (RLRQ c C-11, art. 41).

Les usages permis et interdits doivent distinguer clairement les activités autorisées (communications liées au travail, perfectionnement professionnel, usage personnel limité dans des paramètres définis) des activités interdites (accès non autorisé à des renseignements personnels, installation de logiciels non autorisés, usage des systèmes à des fins commerciales personnelles, accès à du contenu illégal ou discriminatoire, partage d'identifiants d'accès). Les activités interdites constituant un motif de mesure disciplinaire grave, y compris le congédiement, doivent être expressément nommées.

La politique relative aux médias sociaux doit concilier l'intérêt de l'employeur quant à sa réputation et la liberté d'expression des employés protégée par la Charte des droits et libertés de la personne (RLRQ c C-12), en précisant ce que les employés peuvent ou non publier en leur qualité d'employés ou dans des contextes qui les identifient à l'employeur, et en distinguant l'usage durant les heures de travail de l'usage durant le temps personnel.

Les exigences de conservation et de sécurité des données doivent préciser les politiques de mots de passe, les exigences de chiffrement des appareils portables traitant des renseignements personnels, l'interdiction de stocker de tels renseignements sur des comptes infonuagiques personnels, et l'obligation d'utiliser les outils approuvés par l'organisation pour tout traitement de renseignements personnels conformément au principe de responsabilité de la Loi 25.

Le modèle de politique d'utilisation acceptable du Québec de forms-legal.com couvre toutes les exigences du cadre de gouvernance de la Loi 25, dont le protocole de signalement d'incident à la CAI, l'EFVP requise pour les transferts transfrontaliers, le format bilingue conforme à l'OQLF et le renvoi à l'obligation de loyauté de l'employé prévue à l'art. 2088 C.c.Q.

L'accusé de réception écrit doit être obtenu de chaque employé visé par la PUA, confirmant qu'il a lu, compris et accepté de s'y conformer. En vertu de l'art. 102 de la Loi sur les normes du travail, l'employeur qui veut congédier pour cause juste et suffisante doit démontrer que l'employé connaissait la règle enfreinte; un accusé de réception signé de la PUA en constitue la preuve.