Fermer×
18 novembre 2022

Vos pratiques respectent-elles la loi sur la protection des renseignements personnels?

Ce texte ne constitue pas un avis juridique. C’est le fruit d’un travail de recherche diligent. Nous remercions Maître Margaux Verger pour sa précieuse collaboration lors de la révision de ce texte.

Saviez-vous que:

  • Utiliser Google Documents ou Google Sheets pour stocker la liste des étudiants inscrits à l’un de vos cours, à partir de votre compte Google Drive personnel, contrevient probablement à la loi?
  • Demander à vos élèves de s’inscrire à un groupe Facebook dans le cadre d’un cours peut être illégal?
  • Partager les notes de vos élèves avec les autres membres de votre département est illégal si vous n’avez pas recueilli leur consentement manifeste, libre, éclairé et pour cette action spécifique?

Étonné?

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (loi 25) modifie la Loi sur l’accès aux documents détenus par les organismes publics et la protection des renseignements personnels.

Cette loi est entrée en vigueur le 22 septembre 2021, mais certaines de ses dispositions n’entreront en vigueur qu’en septembre 2023. Une partie de ses dispositions s’appliquent déjà depuis septembre 2022.

Cette loi québécoise définit les obligations des organismes publics en matière de protection des renseignements personnels. Cette loi s’applique donc aux cégeps et établissements du réseau gouvernemental (comme les conservatoires) et à leurs employés, y compris le personnel enseignant. Une loi similaire s’applique aux entreprises privées. Préparez-vous, car ce qui suit pourrait vous pousser à remettre en question certaines de vos pratiques!

La Loi sur l’accès aux documents détenus par les organismes publics et la protection des renseignements personnels s’applique également aux collèges privés subventionnés (voir l’article 6 de la loi, alinéa 2), mais de façon limitée.

Dans les établissements privés subventionnés, les documents et les renseignements personnels relatifs aux services éducatifs subventionnés et les employés offrant des services subventionnés sont assujettis à la Loi sur l’accès. Les renseignements personnels recueillis en dehors des services éducatifs (par exemple pour utiliser le complexe sportif d’un collège privé) sont, eux, assujettis à la Loi sur la protection des renseignements personnels dans le secteur privé.

Qu’est-ce qui constitue un renseignement personnel?

Au sens de la loi québécoise, à peu près toutes les informations qui concernent vos étudiants ou vos collègues sont des renseignements personnels.

En fait, tous les renseignements qui concernent une personne physique et qui permettent directement ou indirectement de l’identifier sont des renseignements personnels.

Exemples de renseignements personnels des étudiants

Sur l’identité

  • Adresse
  • Numéro de téléphone
  • Photographie/vidéo
  • Langue
  • Ethnie
  • Handicap
  • Signature
  • Statut social ou familial
  • Adresse électronique
  • Identifiant numérique (code permanent, numéro de demande d’admission…)

Sur la scolarité

  • Inscription à un cours
  • Choix de cours
  • Horaires de cours
  • Absences/présences
  • Résultats scolaires
  • Diplômes
  • Mesures d’accommodement

Informations tirées d’une présentation faite par Me Margaux Verger, du cabinet Chvatal Tremblay avocats, à la Fédération des cégeps, pour Collecto.

Le nom d’une personne n’est pas considéré comme un renseignement personnel. Cela signifie que si vous avez simplement une liste de noms en vrac toute seule, il n’y a pas d’enjeux de confidentialité. Mais si cette liste est identifiée comme étant celle des élèves inscrits à votre cours, ou si cette liste est associée à des numéros de demande d’admission, ou à des notes pour un travail quelconque… alors elle contient des renseignements personnels et doit être traitée de façon confidentielle.

Si une étudiante vous remet un travail portant uniquement son nom et que vous y inscrivez des commentaires mais pas de notes, ça va. Mais si le travail comporte, par exemple, une page titre indiquant un nom de cours, un numéro de cours, un numéro de demande d’admission ou si vous y inscrivez une note, alors vous devez le traiter comme un renseignement personnel, et prendre des précautions afin de respecter la loi.

Si vous avez en mains les renseignements personnels d’élèves, dans le cadre de vos fonctions, vous êtes responsable de les stocker de façon confidentielle. Cela signifie que vous ne pouvez les partager avec des collègues si cela n’est pas nécessaire à l’exercice de leurs fonctions.

Si vous déposez des renseignements personnels sur les serveurs d’un organisme, vous en êtes responsable. Même des entreprises qui doivent obéir aux lois québécoises peuvent représenter un danger si leurs pratiques ne sont pas transparentes. Le risque est encore plus grand lorsque les entreprises œuvrent dans des juridictions où la protection des renseignements personnels est moins forte qu’au Québec. Dans chaque cas, il faut donc estimer la protection qui sera offerte aux renseignements personnels que l’on confie à un tiers.

Le mieux est donc de vous limiter à utiliser les plateformes numériques recommandées par votre établissement.

Que dit la loi?

La Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels prévoit déjà des limites à la façon dont les renseignements personnels peuvent être recueillis par un organisme public (comme un établissement d’enseignement) et utilisés au sein de cet organisme.

Nul ne peut, au nom d’un organisme public, recueillir un renseignement personnel si cela n’est pas nécessaire à l’exercice des attributions de cet organisme ou à la mise en œuvre d’un programme dont il a la gestion.

Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, article 64

À compter du 22 septembre 2023, la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels précisera également, à l’article 65.1, qu’un renseignement personnel ne peut être utilisé au sein d’un organisme public qu’aux fins pour lesquelles il a été recueilli, à moins du consentement de la personne concernée. Il y a cependant des exceptions à cela:

  • lorsque l’utilisation d’un renseignement personnel est à des fins compatibles avec celles pour lesquelles il a été recueilli
  • lorsque l’utilisation d’un renseignement personnel est manifestement au bénéfice de la personne concernée
  • lorsque l’utilisation d’un renseignement personnel est nécessaire à l’application d’une loi au Québec
  • lorsque l’utilisation d’un renseignement personnel est nécessaire à des fins d’étude, de recherche ou de production de statistique et qu’il est dépersonnalisé.
    (Un renseignement est dépersonnalisé lorsqu’il ne permet plus d’identifier la personne concernée. Notons bien que la dépersonnalisation va au-delà d’une simple anonymisation. Dans une petite cohorte, il peut être facile d’identifier des élèves même sans que leurs noms ne soient divulgués, sur la base de leur sexe, de leur âge, de leur origine ethnique ou autre.)

Le consentement des élèves: une solution facile?

La loi prévoit qu’un renseignement personnel peut être utilisé à d’autres fins que celle pour laquelle il a initialement été recueilli si l’étudiant y a consenti. Cependant, la notion de consentement elle-même est bien encadrée par la loi.

Un consentement prévu à la présente loi doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Il est demandé à chacune de ces fins, en termes simples et clairs, distinctement de toute autre information communiquée à la personne concernée.

[…]

Le consentement du mineur de 14 ans et plus est donné par le mineur ou par le titulaire de l’autorité parentale.

Le consentement ne vaut que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, modifiant l’article 53 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels

Un consentement n’est pas libre si la personne sent qu’elle a besoin de le donner pour réussir un cours. Ainsi, si vous voulez accorder des points pour la participation des élèves à un groupe Facebook (qui nécessite donc d’avoir un compte sur Facebook, et pour cela de transmettre son nom et son adresse courriel à Facebook), vous ne pouvez légitimer votre pratique en faisant signer un formulaire de consentement à vos élèves. S’ils savent qu’un refus aura un impact négatif sur leur note, leur consentement sera invalide, puisqu’il n’aura pas été accordé librement. Même en dehors du contexte d’une évaluation sommative, si l’utilisation d’un outil est essentielle à la réalisation d’une activité d’apprentissage, l’élève qui veut apprendre pour réussir se sentira obligé de se connecter à la plateforme.

Votre collège ou votre programme ne peut pas non plus faire signer un formulaire «passe-partout» qui mènerait les élèves à consentir à la diffusion de leurs renseignements personnels sur plusieurs plateformes utilisées à différentes fins: le consentement sera invalide s’il n’est pas donné «à des fins spécifiques».

Si vous décidez de demander leur consentement à vos élèves pour partager ou utiliser à une nouvelle fin leurs renseignements personnels dans un contexte particulier qui le justifie, faites-le par écrit. (Un consentement obtenu oralement peut être valide, mais est plus difficile à démontrer par la suite en cas de problème.) Le formulaire doit être très clair (pas comme les longs formulaires d’acceptation des conditions d’utilisation d’un outil qu’on voit trop souvent). Quelqu’un doit être disponible pour répondre aux questions de la personne de qui on demande le consentement.

Le mieux serait que vous vous référeriez au comité responsable de la protection des renseignements personnels dans votre collège pour obtenir un modèle de formulaire de consentement et pour faire valider le vôtre. Si votre collège n’a pas de gabarit à vous proposer, voici un modèle de formulaire de consentement proposé par Me Verger lors de sa présentation.

Il faut bien comprendre que le consentement (libre, manifeste et éclairé) est une exception, au sens légal. Ainsi, obtenir le consentement des élèves pour poser une action n’est pas une parade au respect de l’esprit de la loi.

Une utilisation «manifestement au bénéfice de la personne concernée»?

La loi prévoit qu’il est possible d’utiliser un renseignement personnel à une autre fin que celle pour laquelle il a été recueilli si cette nouvelle utilisation est «manifestement au bénéfice de la personne». Est-ce à dire qu’à partir du moment où on a une bonne intention envers un élève, on peut utiliser ses renseignements personnels sans contraintes? Non.

Concernant l’application de cette disposition, il y a que très peu de jurisprudence dans un contexte qui nous serait utile. Cependant, l’attitude la plus raisonnable à adopter est la prudence. Si en voulant aider un étudiant vous partagez ses renseignements personnels à un tiers et que ce partage a ou pourrait avoir des conséquences négatives pour lui, vous n’agissez pas manifestement en son bénéfice.

Discuter d’un élève avec un collègue pour soutenir sa réussite?

Un collègue qui enseigne en 1re session vous transmet la liste des élèves qui ont moins bien réussi dans son cours, pour que vous puissiez leur accorder un soutien particulier dans votre cours de 2e session? L’intention est bonne, mais la pratique n’est pas légale. En effet, comme il y aurait d’autres façons pour vous d’offrir un soutien aux élèves en difficulté (par exemple, en faisant une évaluation diagnostique en début de session), le partage de renseignements personnels au sujet des élèves n’est pas légitime. (Par ailleurs, ici, l’évaluation diagnostique aurait l’avantage de mettre les élèves en position de contrôle de leur destinée plutôt que de les étiqueter.)

Pendant une réunion de département, vous mentionnez qu’une étudiante est en situation d’échec pour savoir comment se passent ses autres cours? Illégal également.

Bonnes pratiques

  • Privilégiez des outils recommandés par votre établissement. La loi 25 prévoit qu’au sein de chaque organisme public (et donc de chaque cégep et collège privé subventionné), un comité sur l’accès à l’information et la protection des renseignements personnels soit formé depuis le 22 septembre 2022. Ce comité doit guider le personnel dans l’exercice de ses responsabilités.  Communiquez avec les membres du comité de votre collège pour en savoir plus!
  • Si vous voulez des outils numériques autres que ceux qui sont soutenus par votre établissement:
    • N’obligez pas les élèves à utiliser un outil en particulier; offrez-leurs des options variées.
    • Choisissez des outils ou des applications qui n’exigent pas la création de compte par les élèves ou l’authentification des élèves. Il y a plusieurs outils auxquels les étudiants peuvent accéder de manière anonyme, par exemple via un code numérique fourni par l’enseignant.
    • Parlez de la situation avec vos étudiants et étudiantes, afin de les outiller pour qu’ils et elles prennent leurs propres décisions.
  • Ne discutez pas des situations personnelles de vos élèves avec vos collègues à moins d’avoir obtenu le consentement clair de l’élève pour le faire. (Comme toujours, vous pouvez évidemment demander conseil à des collègues sur la meilleure façon d’aider un élève en difficulté. Toutefois, ne nommez pas l’élève en question et ne fournissez pas autrement des informations qui permettraient à vos collègues d’identifier l’élève en question.)

Notre engagement

Afin de soutenir les bonnes pratiques en la matière, l’équipe d’Éductive s’engage à faire preuve de vigilance dans les suggestions d’outils numériques ou les utilisations que nous présenterons dorénavant aux enseignants et enseignantes.

Avez-vous des pratiques exemplaires en matière de protection des renseignements personnels des étudiants et étudiantes à partager avec nos lecteurs et lectrices? Contactez-nous ou décrivez-les dans la zone de commentaires!

S’abonner
Notification pour
guest
3 Commentaires
Le plus ancien
Le plus récent Le plus populaire
Commentaires en ligne
Afficher tous les commentaires
Luc Lessard
Luc Lessard
24 novembre 2022 9h46

Je suis conseiller pédagogique d’un programme au sein duquel, chaque fin de session, lors d’une rencontre départementale, on discute des étudiant(e)s, plus précisément de leur réussite. Évidemment, l’objectif de cet exercice consiste à aider les étudiant(e)s dans leur cheminement au sein du programme. On ne partage pas de notes, seulement des commentaires permettant d’orienter l’encadrement offert par les enseignant(e)s dans les différents cours. Cela permet d’orienter les étudiant(e)s vers les services adéquat pour assurer leur réussite et leur persévérance. Je résumerais cette action en disant que les enseignant(e)s font preuve de sollicitude envers les élèves. Mais est-ce légal?
De plus, nous sommes à évaluer ce programme et une des recommandations est la suivante :

Cibler les étudiants ayant une MGSP faible dès la première session afin de les orienter

vers les différents services d’aide à la réussite qui existent au Collège

(SAIDE, les Centres d’aide, le Service psychosocial, les CO, les API, etc.).

Évidemment, ici, aucun chiffre n’est transmis au coordonnateur du programme, seulement une liste de noms. Cette liste est transmise uniquement au coordonnateur et à l’API à la réussite afin que, d’une part, le premier puisse orienter l’étudiant vers les services adéquats et que, d’autre part, l’API à la réussite puisse discuter avec l’élève de l’aspect psychosocial de son cheminement. Mais est-ce légal???

Merci

Alexandre Enkerli
24 novembre 2022 14h41
Répondre à  Luc Lessard

Un cas bien pertinent, merci de le décrire!
Pour rappel: nous ne sommes pas juristes et nos suggestions ne proviennent que de notre compréhension de ce dossier si complexe.

La réponse la plus simple (et honnête) à offrir, c’est que cette pratique doit être encadrée par le comité de l’institution qui établit une liste des personnes qui doivent avoir accès à de tels renseignements.Cette liste comporte certainement des personnes en charge de la réussite étudiante et le comité lui-même est fort probablement constitué en grande partie de personnes dont c’est le rôle. Si on pense à ces enjeux dans un contexte de sécurité des données, on comprend qu’il s’agit d’une responsabilité partagée autour de données qui s’avèrent somme toute assez sensibles (sans nécessairement demander une protection supplémentaire). Quelles seraient les conséquences d’une brèche qui révélerait ces données au grand jour? Lorsque l’étudiante qui avait une faible moyenne se lance comme candidate à des élections, des années plus tard, cette information peut-elle nuire à sa carrière?
Par ailleurs, il est important de noter que la prudence dans l’usage des données a aussi une assise pédagogique. Si, au lieu d’«étiqueter» une personne selon les notes qu’elle a obtenues auparavant, on utilisait d’autres outils pour évaluer ses besoins de soutien, on éviterait probablement des effets importants (parfois associés à Pygmalion, puis décrits de façon très détaillée en sociologie de l’éducation).
En d’autres termes: prudence… et collaboration.

Dernière modification le 15 jours il y a par Alexandre Enkerli
johanne Trudeau
johanne Trudeau
7 décembre 2022 13h11

Je suis chargée de cours depuis un bout, et cet article me bouscule et m’inquiète sur nos méthodes qui sont actuellement utilisées pour l’aide à la réussite. Un sentiment de peur de faire une erreur s’empare de moi maintenant, il faut que je me protège de tout bord et de tout cotés car je ne saisi pas tout de l’impact . Suis-je devenue parano ? Suis-je la seule? Il est important de s’ajuster oui, car tout est sujet à risque de nos jours et nous le voyons tous les jours. La fuite de nos renseignements personnels, la discrimination, la cyber intimidation qui en découle sont des gros problèmes de société. J’avoues que des séances d’informations, d’explications et des règles d’ajustement explicites serait un atout notre environnement de travail et ça presse!.