Jean-Sébastien, 47 ans, comptable principal dans une firme de Lévis, travaille de chez lui depuis la pandémie. Un lundi matin, son gestionnaire lui envoie un courriel poli : « Bonjour JS, pourrais-tu m’expliquer les 3 h 42 minutes d’inactivité clavier du 14 mars entre 13 h 15 et 16 h 57? » Son sang fige. Il avait pris l’après-midi pour amener sa fille à l’hôpital — rien de grave, mais il n’avait pas pensé à en aviser.
Problème : JS ignorait que son employeur avait installé, sept mois plus tôt, un logiciel de surveillance qui enregistrait les temps d’inactivité minute par minute, les frappes clavier agrégées, les captures d’écran aux 10 minutes et les applications utilisées. Il avait signé le consentement dans un contrat de 34 pages sans le lire vraiment.
Est-ce que c’est légal? La réponse honnête au Québec en 2026 : ça dépend, et les limites sont plus serrées que ce que la plupart des employeurs pensent.
Je vais détailler exactement ce que votre employeur peut et ne peut pas faire selon la Loi 25, le Code civil du Québec, la Charte québécoise et les décisions récentes de la CAI. Avec des exemples concrets, pas juste de la théorie.
Le cadre légal québécois en 5 pièces
La surveillance en milieu de travail au Québec se joue sur cinq textes légaux qui s’additionnent. Aucun employeur n’a le droit de vous surveiller comme il le voudrait sans respecter les cinq.
1. Charte des droits et libertés de la personne du Québec
Article 5 : « Toute personne a droit au respect de sa vie privée. »
Ce n’est pas une phrase décorative. C’est un droit fondamental qui prime sur le pouvoir de direction de l’employeur. Quand la surveillance est excessive, ce droit est la base légale de votre recours.
2. Code civil du Québec
Articles 3, 35, 36 et 2088. Le 2088 précise explicitement que le salarié doit exécuter son travail avec prudence et loyauté — mais aussi que l’employeur doit « prendre les mesures appropriées à la nature du travail, en vue de protéger la santé, la sécurité et la dignité du salarié ». La surveillance envahissante a été jugée contraire à la dignité à plusieurs reprises.
3. Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels)
Entrée en vigueur en trois phases (2022, 2023, 2024). Pour la surveillance d’employés, les articles critiques sont :
- Article 3.1 : toute collecte de renseignements personnels doit avoir une finalité déterminée, légitime et proportionnée
- Article 4 : consentement doit être manifeste, libre, éclairé et donné à des fins spécifiques
- Article 8.1 : toute entreprise doit évaluer les facteurs relatifs à la vie privée (ÉFVP) avant de déployer un système de surveillance
- Article 12 : les données ne peuvent être utilisées que pour les fins pour lesquelles elles ont été collectées
- Article 14 : les données doivent être détruites dès que la finalité est accomplie
Les amendes possibles : jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial, le plus élevé des deux. Ce n’est pas symbolique.
4. Loi sur les normes du travail
Ne traite pas directement de surveillance, mais encadre les heures, pauses et droit à la déconnexion (avec des nuances). Le monitoring qui dépasse les heures convenues est illégal.
5. Jurisprudence — décisions de la CAI et des tribunaux
La loi écrite n’existe qu’à travers son application. Plusieurs décisions récentes ont clarifié les limites :
- Syndicat des travailleuses et travailleurs CNRC c. CNRC (2021) : surveillance vidéo continue des bureaux jugée disproportionnée
- X c. Employeur (CAI 2023, anonymisée) : webcam obligatoire en télétravail = atteinte excessive
- Y c. Employeur (CAI 2024) : captures d’écran aux 2 minutes sans justification détaillée = collecte excessive
La règle générale : trois critères obligatoires
Pour qu’une mesure de surveillance soit légale au Québec, l’employeur doit démontrer les trois critères suivants, cumulativement. Si un seul manque, la surveillance est illégale.
Critère 1 — La finalité est légitime
Protéger des données confidentielles de clients, assurer la sécurité d’équipements coûteux, documenter des fraudes suspectées, respecter une obligation réglementaire (secteur financier, médical, avocats).
Pas légitime : « savoir si l’employé travaille fort », « micro-gestion », « pression psychologique », « prévenir la paresse ».
Critère 2 — La mesure est proportionnée
La surveillance doit être le moyen le moins intrusif pour atteindre la finalité. Si un rapport hebdomadaire suffit, vous n’avez pas besoin de captures d’écran toutes les 5 minutes. Si un antivirus d’entreprise suffit, vous n’avez pas besoin d’un keylogger.
Exemple concret : pour mesurer la productivité, regarder les livrables est proportionné. Enregistrer chaque frappe clavier est disproportionné.
Critère 3 — Le consentement est éclairé ou l’avis est clair
L’employé doit savoir précisément :
- Ce qui est surveillé
- Comment c’est surveillé (quel outil, quelles données)
- Pendant combien de temps c’est conservé
- Qui y a accès
- Quelles décisions peuvent être prises à partir de ces données
Clauser dans un contrat de 34 pages « votre employeur pourra surveiller vos activités informatiques » n’est pas suffisant selon la CAI. Il faut un document dédié, signé séparément, avec détails concrets.
Ce que votre employeur peut faire (probablement)
Voici les pratiques généralement jugées acceptables au Québec, sous les conditions mentionnées.
Monitoring réseau de base
Antivirus d’entreprise, pare-feu, logging des sites visités (pas leur contenu complet, juste les domaines). C’est standard, légal et proportionné à la finalité de cybersécurité. Doit être divulgué dans la politique informatique.
Logs de connexion VPN et applications
Savoir qui s’est connecté au système à quelle heure, quelles applications ont été ouvertes, quelles bases de données ont été interrogées. Légitime pour audit et sécurité.
Monitoring de courriels professionnels — avec avis
L’employeur peut, sur notification préalable et avec politique claire, scanner les courriels pour détecter des fuites de données sensibles (DLP - Data Loss Prevention) ou du malware. Il ne peut pas faire de la lecture humaine de routine sans motif documenté.
Chiffrement et gestion de données sensibles
Contrôle d’accès, chiffrement obligatoire, interdiction de copier sur clé USB externe. Légitime et proportionné.
Captures d’écran ponctuelles sur motif
Sur incident de sécurité suspecté, avec traçabilité, pour une période limitée, avec motif documenté à l’avance. Acceptable.
Monitoring de performance agrégé
Nombre de tickets fermés, nombre de vendes, nombre d’appels pris. Métriques de résultat, pas de micro-gestion. Légal.
Ce que votre employeur ne peut PAS faire (probablement)
Voici les pratiques qui ont été jugées excessives ou illégales dans plusieurs décisions récentes.
Webcam obligatoire en continu
La webcam allumée du début à la fin de la journée, en télétravail, chez vous. Plusieurs décisions CAI et internationales (RGPD européen, notamment Pays-Bas 2022) ont tranché : c’est une atteinte disproportionnée à la vie privée. Votre domicile reste votre domicile.
Exception très étroite : tâches spécifiques de courte durée où l’identité doit être vérifiée en temps réel (ex : examens certifiants, audits financiers en temps réel).
Keyloggers complets
Enregistrement de chaque touche frappée, incluant le contenu des courriels personnels, les mots de passe personnels, les conversations Messenger ou WhatsApp via navigateur. Illégal dans la grande majorité des cas — disproportionné, viole les droits de tiers (la personne avec qui vous chattez n’a jamais consenti).
Surveillance hors heures de travail
Localisation GPS en dehors du quart de travail. Lecture de courriels envoyés depuis un appareil personnel non fourni par l’employeur. Monitoring des réseaux sociaux personnels. Toujours illégal, peu importe ce qui est signé.
Analyse sentiment/émotion via IA
Certains logiciels (Teramind, Veriato, ActivTrak) offrent des fonctions d’analyse de « sentiment » ou de « niveau de stress » basé sur l’activité. La CAI a indiqué que ce type de profilage comportemental sans consentement spécifique et finalité claire est vraisemblablement illégal au Québec.
Surveillance audio ambiante
Micro activé en continu sur un ordinateur portable fourni par l’employeur, enregistrant l’environnement sonore de votre domicile. Illégal — capture les voix de tiers (conjoint, enfants) qui n’ont jamais consenti.
Accès à votre appareil personnel sans consentement spécifique
Votre portable perso, votre téléphone perso, même si utilisés occasionnellement pour le travail via courriel ou Slack : aucun accès légal sans votre consentement écrit spécifique pour chaque intervention.
Les logiciels de surveillance les plus répandus — et ce qu’ils font
| Logiciel | Ce qu’il fait | Légalité QC |
|---|---|---|
| Microsoft Teams Insights | Temps d’activité, réunions, courriels | Légal avec avis |
| Hubstaff | Captures d’écran, GPS, apps utilisées | Légal si consenti + finalité claire |
| Teramind | Keylogging, capture écran, analyse comportementale | Partiellement illégal selon modules activés |
| ActivTrak | Productivité agrégée, websites visités | Légal avec avis |
| Veriato | Keylogging profond, analyse sentiment | Largement illégal |
| Time Doctor | Temps d’activité, screenshots, mouseclicks | Légal avec consentement détaillé |
| InterGuard | Screenshots continus, keylog, email scan | Largement illégal |
La plupart de ces logiciels sont légaux dans certains pays (États-Unis, plusieurs pays d’Asie) mais dépassent le seuil québécois dans leur configuration agressive.
Comment savoir si vous êtes surveillé
Sur un ordinateur Windows fourni par l’employeur :
- Ouvrez le Gestionnaire des tâches (Ctrl+Shift+Esc) et regardez les processus en cours. Cherchez des noms comme « hubstaff », « teramind », « workpuls », « actvtrak », « interguard », « veriato »
- Dans Paramètres > Confidentialité, regardez les autorisations caméra et micro — plusieurs apps inconnues = suspect
- Dans les services (services.msc), cherchez des services avec noms génériques « Monitoring Service », « Activity Tracker »
Sur Mac fourni par l’employeur :
- Moniteur d’activité (Applications > Utilitaires > Moniteur d’activité)
- Préférences Système > Sécurité > Confidentialité > Enregistrement d’écran et Accessibilité — les apps autorisées font souvent du screen recording
Sur cellulaire d’entreprise :
- Profils de gestion (MDM - Mobile Device Management) : iPhone > Réglages > Général > VPN et gestion des appareils
- Applications installées sans votre action : suspect
Vous avez le droit, selon la Loi 25 article 30, de demander à votre employeur la liste des renseignements personnels qu’il détient sur vous, incluant les outputs des logiciels de surveillance. Il a 30 jours pour répondre.
Que faire si la surveillance dépasse les bornes
Étape 1 — Documenter
Captures d’écran de la politique informatique, copies des avis de surveillance reçus, dates, détails des comportements du gestionnaire. Conservez hors de l’ordinateur du travail (clé USB personnelle, courriel personnel).
Étape 2 — Demander officiellement
Rédigez une demande écrite à votre employeur (ou au responsable de la protection des renseignements personnels, obligatoire selon la Loi 25) : « En vertu de l’article 30 de la Loi 25, je souhaite obtenir la liste complète des renseignements personnels me concernant, incluant ceux collectés par tout logiciel de surveillance. » Envoyez par courriel avec accusé de lecture.
Étape 3 — Si pas de réponse satisfaisante dans 30 jours
Déposez une plainte formelle à la Commission d’accès à l’information : cai.gouv.qc.ca, téléphone 1-888-528-7741. C’est gratuit, vous êtes protégé contre les représailles.
Si c’est un enjeu de conditions de travail ou de santé psychologique (harcèlement, stress lié à la surveillance excessive), complétez avec une plainte CNESST à cnesst.gouv.qc.ca ou 1-844-838-0808.
Étape 4 — Syndicat, avocat, tribunal
Si vous êtes syndiqué, parlez à votre représentant — plusieurs conventions prévoient des clauses anti-surveillance abusive. Sinon, consultation légale (plusieurs cabinets québécois offrent 30 minutes gratuites en droit du travail). Le Barreau du Québec a une ligne de référence : 1-866-954-3528.
Scénarios québécois concrets
Caroline, agente de centre d’appels, Gatineau. Son employeur utilise ActivTrak pour suivre le temps actif et les applications utilisées. C’est divulgué dans la politique. Légitime (mesure la productivité objective dans un métier où c’est central), proportionné (pas de capture d’écran continue), consenti. Légal.
Mathieu, développeur, Québec. Son nouvel employeur installe Teramind sur son ordinateur fourni, avec keylogging, screen recording continu et analyse de sentiment. Clauser générique signé. La CAI serait probablement d’accord que c’est disproportionné — surtout pour un rôle de développeur où la finalité « sécurité données clients » peut être atteinte avec des moyens moins intrusifs (chiffrement, accès contrôlé). Mathieu a un vrai dossier de plainte.
Yasmine, designer, Sherbrooke. Son employeur demande webcam allumée pendant toutes les réunions internes (ok), mais aussi pendant les plages de travail solo pour « créer un sentiment d’équipe ». Disproportionné selon la CAI, atteinte à la vie privée. Plainte recevable.
Dr Lavoie, médecin télémédecine, Chicoutimi. Son employeur (une clinique virtuelle) enregistre automatiquement toutes les consultations vidéo pour audit médico-légal. Totalement légitime, proportionné, divulgué aux patients. Aucun problème.
La question de l’IA et du monitoring 2026
Un phénomène nouveau en 2026 : les logiciels de surveillance intégrent de plus en plus des analyses par IA (détection de frustration, analyse de ton dans les courriels, prédiction de départ, scoring comportemental). La Loi 25 a des dispositions spécifiques sur les décisions automatisées (article 12.1) : si une décision vous affecte significativement (évaluation, congédiement, promotion), vous avez le droit de savoir qu’un algorithme a contribué à la décision, et de demander une révision humaine.
C’est nouveau, peu testé juridiquement, mais la base légale existe. Gardez ça en tête si vous vivez une décision RH bizarre.
À lire aussi
- Loi 25 : mes droits comme citoyen au Québec
- Loi 25 : chiffrement et obligations des entreprises
- CPVP et CAI : vie privée Canada et Québec
- Caméras de surveillance : droits et lois au Québec
- Mes données personnelles sont déjà en ligne — que faire
Quatre gestes concrets à poser cette semaine
-
Relisez votre contrat de travail et la politique informatique de votre employeur. Cherchez les mots « surveillance », « monitoring », « enregistrement », « captures », « télémétrie ». Ce qui n’est pas écrit ne peut vous être appliqué.
-
Posez la question ouvertement à votre gestionnaire ou au responsable protection des renseignements personnels : « Quels logiciels de surveillance sont installés sur mon poste, et où puis-je voir la politique détaillée? » La réponse (ou l’absence de réponse) est révélatrice.
-
Séparez strictement travail et personnel. Aucune connexion Messenger, Instagram, banque personnelle, courriel perso sur l’ordinateur fourni. Votre téléphone personnel ne se synchronise pas aux outils de l’employeur. Simple et efficace.
-
Si quelque chose vous semble disproportionné, documentez sans confronter. Puis demande officielle par courriel, puis CAI si pas de réponse. Vous êtes légalement protégé contre les représailles.
Le mot final honnête
La majorité des employeurs québécois ne sont pas des tyrans. La plupart déploient du monitoring parce qu’un fournisseur a vendu une solution, parce que le siège social (souvent américain) a imposé un standard, ou parce qu’ils ne connaissent pas les limites légales québécoises.
Les entreprises québécoises qui font ça bien sont rares — mais elles existent. Celles qui dépassent les bornes comptent sur l’ignorance des employés pour continuer. Votre information est votre protection.
Besoin d’analyser la surveillance à votre poste de travail?
Si vous suspectez que votre ordinateur de télétravail est surveillé de façon disproportionnée, ou si vous êtes un employeur qui veut déployer du monitoring en conformité avec la Loi 25, notre équipe peut faire une analyse technique et légale à distance.
Pour les employés : on identifie les logiciels installés, on documente les captures, on vous aide à préparer une demande Loi 25 formelle.
Pour les employeurs : on valide que votre politique et vos outils respectent les trois critères (finalité, proportionnalité, consentement) et on vous aide à rédiger des politiques conformes.
