Lignes directrices pour l’obtention d’un consentement valable
Sur cette page
- Aperçu
- Les sept principes directeurs pour le consentement valable
- Déterminer la forme de consentement appropriée
- Consentement et enfants
- Autres éléments que les organisations devraient connaître à propos du consentement
- Liste de contrôle
Aperçu
Le consentement valable est un élément essentiel des lois canadiennes sur la protection des renseignements personnels dans le secteur privé. En vertu de ces lois, les organisations doivent généralement obtenir un consentement valable pour la collecte, l’utilisation et la communication de renseignements personnels. Toutefois, les avancées technologiques et l’utilisation de longs énoncés légalistes des politiques de confidentialité rendent trop souvent illusoires le contrôle et l’autonomie personnelle qui devraient être rendus possibles par le consentement. Le consentement devrait demeurer un élément central, mais il faut donner un nouveau souffle aux manières de l’obtenir.
Le présent document fait fond sur des publications antérieures examinant l’état actuel du consentement, y compris les défis qui y sont associés et les solutions possiblesNote de bas de page 1. Il définit une orientation pratique débouchant sur une action en ce qui a trait aux mesures que devraient prendre les organisations pour s’assurer d’obtenir un consentement valable.
Le présent document est produit conjointement par le Commissariat à la protection de la vie privée du Canada (Commissariat) et les commissariats à l’information et à la protection de la vie privée de l’Alberta (CPVP-ALB) et de la Colombie-Britannique (CPVP-CB). Il reflète les principes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui est une loi fédérale, et ceux de lois provinciales qui lui sont essentiellement similaires : la Personal Information Protection Act de l’Alberta, la Personal Information Protection Act de la Colombie-Britannique et la Loi sur la protection des renseignements personnels dans le secteur privéNote de bas de page 2 du Québec. Ces lois reposent sur les mêmes principes sous-jacents, mais il existe quelques différences entre elles. Les organisations ont la responsabilité de comprendre les obligations précises qui leur incombent en vertu de la loi à laquelle elles sont assujettiesNote de bas de page 3.
Les sept principes directeurs pour le consentement valable
Au cours de la consultation sur le consentement menée par le Commissariat en 2016, certains intervenants ont suggéré que les organismes de réglementation élaborent des modèles de politique de confidentialité. Nous ne croyons pas que cela soit notre rôle. D’après nous, les organisations sont les mieux placées pour trouver des solutions novatrices et créatives afin d’élaborer un processus de consentement qui respecte les obligations réglementaires particulières leur incombant ainsi que la nature de leurs relations avec leurs clients. Nous nous attendons toutefois à ce que les organisations s’inspirentNote de bas de page 4 des principes suivants dans le cadre de leur démarche :
1. Mettre l’accent sur les éléments clés
L’information fournie sur la collecte, l’utilisation et la communication des renseignements personnels d’individus doit être facilement accessible dans son intégralité — mais, pour éviter une surabondance d’information et faciliter la compréhension par les individus, il faut mettre de l’avant certains éléments afin d’obtenir un consentement éclairé.
Selon la LPRPDE, la personne qui donne son consentement doit comprendre la nature, les fins et les conséquences de ce à quoi elle consentNote de bas de page 5. Or, pour que le consentement soit considéré comme valable, les organisations doivent informer les personnes de leurs pratiques de protection de la vie privée de manière détaillée et en des termes faciles à comprendreNote de bas de page 6. Ainsi, elles doivent fournir l’information sur leurs pratiques de gestion des renseignements personnels sous une forme facilement accessible aux personnes intéressées qui veulent en prendre connaissance dans son intégralité.
Toutefois, une information enfouie dans une politique de confidentialité ou des modalités d’utilisation n’est en réalité d’aucune utilité aux personnes qui ont peu de temps et d’énergie à consacrer à leur analyse. Pour obtenir un consentement valable, les organisations doivent permettre aux individus d’examiner rapidement les éléments clés qui auront une incidence sur leur décision en matière de protection des renseignements personnels au départ lorsqu’ils envisagent d’utiliser le produit ou le service offert, de faire un achat, de télécharger une application, etc. À cette fin, les organisations doivent de façon générale mettre davantage l’accent sur certains éléments clés :
- Renseignements personnels qui seront recueillis
Les organisations doivent indiquer aux individus les renseignements personnels les concernant qui seront recueillis ou qui sont susceptibles de l’être. L’information à ce sujet doit être suffisamment précise pour permettre aux individus de bien comprendre ce à quoi ils consententNote de bas de page 7.
- Tiers auxquels les renseignements personnels seront communiqués
Les individus s’attendent à ce qu’une organisation ne communique pas à un tiers, à leur insu et sans leur consentement, les renseignements personnels qu’ils lui fournissent. Par conséquent, il faut expliquer clairement toute communication à des tiers, en précisant entre autres le type de renseignements communiqués. Les organisations devraient énumérer ces tiers le plus précisément possible. Si ces derniers sont appelés à changer périodiquement ou qu’ils sont trop nombreux pour qu’on les nomme, les organisations devraient à tout le moins préciser le type de tiers auxquels les renseignements seront communiqués, puis utiliser d’autres moyens (comme la communication de renseignements par couches) pour donner plus de précisions. Elles devraient accorder une attention particulière à toute communication à des tiers susceptibles d’utiliser les renseignements à leurs propres fins plutôt que pour simplement leur fournir des services de la part de l’organisation ayant originalement recueilli les renseignements.
- Fins auxquelles les renseignements personnels seront recueillis, utilisés ou communiqués
Les personnes devraient être informées de toutes les fins auxquelles les renseignements seront recueillis, utilisés ou communiqués. Elles doivent à tout le moins avoir suffisamment de détails sur ces fins pour bien comprendre ce à quoi on leur demande de consentir. Il faut énoncer ces fins dans un langage clair, en évitant les formulations vagues comme « améliorer le service ». Les organisations devraient établir une distinction entre les fins qui sont essentielles à la prestation d’un service et celles qui ne le sont pas et expliquer toutes les options offertes. Elles devraient notamment souligner toute fin qui ne serait pas évidente pour la personne ou à laquelle elle pourrait raisonnablement ne pas s’attendre dans le contexte.
- Risque de préjudice et autres conséquences
En vertu de la LPRPDENote de bas de page 8, pour qu’il y ait consentement valable, il doit être raisonnable de s’attendre à ce que les personnes comprennent les conséquences de la collecte, de l’utilisation ou de la communication de l’information pour laquelle elles ont donné leur consentementNote de bas de page 9. Une de ces conséquences qui devrait être indiquée clairement aux personnes par les organisations est le risque de préjudice, et, en particulier, les risques qui restent après qu’une organisation a appliqué des mesures d'atténuation conçues pour minimiser les risques et les répercussions de préjudices possibles. S’il y a un risque résiduel important de préjudice grave, le Commissariat est d’avis qu’il s’agit d’une conséquence possible dont les personnes doivent être avisées.
Le Commissariat part du principe que si une organisation estime que des préjudices peuvent être causés par la collecte, l’utilisation ou la communication de renseignements personnels, le principe de la responsabilité de la LPRPDE exigera que l’organisation s’efforce de minimiser ce risque. Dans certains cas, les efforts d’atténuation réduiront le risque de façon importante. Dans d’autres cas, le risque demeurera important. Les personnes ne doivent être avisées que des risques résiduels importants de préjudice grave.
Par « risque important » on entend un risque qui se situe en deçà de la prépondérance des probabilités, mais qui est supérieur à une possibilité minimale ou à une simple possibilité. La notion de « préjudice grave » comprend notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles, la perte financière et le vol d’identité, l’effet négatif sur le dossier de crédit et le dommage aux biens ou leur perteNote de bas de page 10.
Soulignons qu’en cas de risque vraisemblable (probable) de préjudice grave, la collecte, l’utilisation ou la communication prévue serait généralement considérée inappropriée en vertu du paragraphe 5(3) de la LPRPDE et ne devrait donc pas faire l’objet d’un consentement.
Le risque de préjudice devrait s’entendre au sens large, et en plus des préjudices qui découlent directement de l’activité, il peut comprendre les préjudices raisonnablement prévisibles causés par des acteurs malveillants ou autresNote de bas de page 11 (p. ex., la réutilisation non autorisée de renseignements destinés à un public restreint tirés de médias sociaux).
À l’heure actuelle, il n’existe aucune exigence quant à la forme sous laquelle l’organisation devrait présenter les éléments susmentionnés de façon à les mettre en évidence. Nous encourageons les organisations à envisager l’adoption de mécanismes normalisés, dans la mesure où des pratiques exemplaires se développeront dans différents secteurs. Les organisations devraient également tenir compte des principes qui sont énoncés plus loin dans le présent document afin de déterminer les moyens qui conviennent le mieux pour communiquer ces éléments clés, tout en gardant à l’esprit qu’il faut accorder une importance accrue à ces renseignements.
2. Permettre aux individus de déterminer à quel point et quand ils souhaitent obtenir de l’information détaillée
L’information doit être communiquée aux individus de façons gérables et facilement accessibles (possiblement par couches), et ceux-ci devraient avoir la possibilité de déterminer à quel point et quand ils souhaitent obtenir de l’information détaillée.
Outre les quatre éléments mentionnés au principe directeur no 1 ci-dessus, le niveau de détail requis pour prendre une décision en matière de consentement variera selon la personne et la situation. Ainsi, une personne pourra se contenter d’un examen rapide d’information sommaire, tandis qu’une autre voudra un examen approfondi. Une personne voudra examiner attentivement au départ les pratiques de protection de la vie privée d’une organisation, tandis qu’une autre pourra consulter l’information de manière fragmentée, y revenir quand elle aura plus de temps ou selon le service qu’elle utilise et le moment où elle l’utilise. Certains voudront peut-être aussi avoir la possibilité d’examiner en détail l’information sur laquelle ils ont cliqué rapidement au départ pour avoir accès à un service. Les organisations devraient respecter et faciliter toutes les approches visant à obtenir de l’information sur la protection des renseignements personnels.
La présentation de l’information par couchesNote de bas de page 12, ou par un autre moyen appuyant le contrôle de l’utilisateur sur le degré de détail fourni, aide à comprendre les textes longs et complexes grâce à un résumé des principaux points figurant au début. De plus, l’information devrait toujours être accessible aux individus quand ils font affaire avec une organisation. Le choix en matière de consentement ne se fait pas qu’une seule fois. Les individus devraient pouvoir en tout temps décider s’ils veulent maintenir leur consentement ou le retirer et ils devraient avoir accès à toute l’information pour prendre ces décisions.
3. Donner clairement aux individus la possibilité de choisir « oui » ou « non »
On ne peut pas exiger des individus qu’ils consentent à la collecte, à l’utilisation ou à la communication de renseignements personnels au-delà de ce qui est nécessaire pour fournir le produit ou le service. Ils doivent avoir le choix de consentir ou de ne pas consentir. Ces choix doivent être expliqués clairement, et être facilement accessibles. La forme la plus appropriée du consentement (explicite ou implicite) dépendra des facteurs énoncés dans la section du présent document portant sur la forme du consentement.
La collecte, l’utilisation et la communication de renseignements personnels sur lesquels un individu ne peut exercer aucun contrôle (si ce n’est de renoncer à utiliser un produit ou un service) sont appelées « conditions de service ». Pour que la collecte, l’utilisation ou la communication constitue une condition de service valide, elle doit être essentielle à la fourniture de ce produit ou ce service, c’est-à-dire qu’elle est nécessaire pour réaliser les fins légitimes précisées explicitement. Les organisations devraient faire preuve de transparence et être préparées à expliquer les raisons pour lesquelles une collecte, une utilisation ou une communication en particulier est une condition de service, surtout si les raisons ne sont pas évidentes.
Autrement, pour toute autre collecte, utilisation ou communication, les individus doivent avoir un choix (sauf si une exception à l’exigence générale relative à l’obtention du consentement s’applique).
4. Faire preuve d’innovation et de créativité
Les organisations devraient concevoir ou adopter des processus de consentement novateurs qui peuvent être mis en œuvre juste à temps et qui sont propres au contexte et appropriés au type d’interface utilisé.
Lorsqu’elles demandent le consentement d’une personne en ligne, les organisations ne devraient pas se contenter de transposer en format numérique les politiques imprimées qu’elles utilisent hors ligne. L’environnement numérique est dynamique par nature et il faudrait examiner les possibilités qu’il offre et en tirer parti. On encourage les organisations à utiliser diverses stratégies de communication — y compris les avis « juste-à-temps », les outils interactifs et les interfaces mobiles personnalisées — pour expliquer leurs pratiques de protection de la vie privée, notamment :
Avis « juste-à-temps »
La vitesse à laquelle les transactions se déroulent constitue un facteur important dans l’obtention d’un consentement valable dans l’environnement en ligne. Comme les utilisateurs veulent avoir rapidement accès aux services et à l’information, ils éprouvent souvent un sentiment d’urgence au moment de décider de fournir ou non des renseignements les concernant. Il est donc important de placer l’information pertinente sur la protection des renseignements personnels au premier plan, où elle est bien visible et facile à consulter et à comprendre. Par exemple, si l’âge d’un utilisateur est requis pour l’inscription à un service en ligne, un avis juste-à-temps expliquant pourquoi ce renseignement est demandé devrait figurer près du champ où l’utilisateur doit saisir l’information. En outre, si la géolocalisation de l’utilisateur est requise pour activer une fonction d’un service, l’avis juste-à-temps donnant l’explication et demandant l’accès pourrait s’afficher au moment où l’utilisateur utilise cette fonction pour la première fois au lieu d’une seule fois au moment où il s’inscrit au départ pour obtenir le service.
Outils interactifs
Les organisations exploitent aussi les propriétés interactives d’Internet pour les aider à présenter de l’information sur la protection de la vie privée. Nous avons vu des exemples où des organisations créaient une revue virtuelle interactive de leurs paramètres de confidentialité (en les présentant aux utilisateurs au moment de l’enregistrement initial, puis de façon périodique à titre de rappel), des vidéos expliquant des concepts clés ou des outils infographiques ou autres outils visuels similaires.
Interfaces mobiles personnalisées
Les appareils mobiles présentent un défi plus grand sur le plan des communications. Les utilisateurs disposent de peu de temps et accordent une attention limitée au message et le support en soi ne se prête pas à de longues explications. Par conséquent, les organisations doivent mettre en évidence les questions de protection de la vie privée à des points de décision marquants dans l’expérience de l’utilisateur où la personne est susceptible d’y prêter attention et où elle a le plus besoin d’orientation. Dans ce contexte, il faudrait optimiser l’information sur la protection de la vie privée pour qu’elle soit efficace en dépit des limites physiques imposées par la taille de l’écran. Notre document d’orientation sur les applications mobiles est une ressource utile au moment de concevoir les communications sur le consentement pour les appareils mobiles.
5. Prendre en compte la perspective du consommateur
Les processus de consentement doivent prendre en compte la perspective du consommateur afin qu’ils soient conviviaux et que l’information fournie soit généralement compréhensible du point de vue du public cible visé par les organisations.
Le consentement n’est valable que si l’individu peut comprendre ce à quoi il consentNote de bas de page 13. Les organisations consacrent des ressources considérables à la conception de l’expérience utilisateur et des interactions avec les utilisateurs. Elles peuvent certainement déployer des efforts similaires pour s’assurer que leur processus de consentement est facile à comprendre, convivial et adapté à la nature du produit ou du service qu’elles offrent ainsi qu’à leur auditoire cible.
Les organisations devraient prendre en compte le contenu des communications sur la protection de la vie privée et leur accessibilité du point de vue des utilisateurs. À cette fin, elles devraient notamment fournir des explications claires, utiliser un niveau de langue adapté à un auditoire diversifié et trouver un moyen compréhensible d’afficher ou de communiquer l’information. Les organisations devraient aussi s’assurer que la politique et les avis de confidentialité sont facilement accessibles à partir de tous les appareils que les membres de leur(s) auditoire(s) cible(s) pourraient utiliser, y compris les dispositifs numériques en matière de santé, les téléphones intelligents, les tablettes électroniques, les consoles de jeu ainsi que les appareils plus traditionnels comme les ordinateurs personnels ou portatifs. Si les pratiques décrites sont complexes et font intervenir plusieurs parties, l’organisation devrait déployer un effort concerté pour s’assurer que l’utilisateur peut avoir facilement accès à tous les éléments clés du processus et les comprendre.
Pour s’acquitter efficacement de ces tâches, les organisations pourraient envisager les mesures suivantes :
- consulter les utilisateurs et obtenir leur point de vue au cours de l’élaboration du processus de consentement;
- mettre le processus à l’essai ou avoir recours à des groupes de consultation pour s’assurer que les individus comprennent ce à quoi ils consentent;
- faire appel à des concepteurs spécialistes de l’interaction avec les utilisateurs et de l’expérience utilisateur au cours de l’élaboration du processus de consentement;
- consulter des spécialistes de la protection de la vie privée ou des organismes de réglementation dans le domaine au cours de l’élaboration du processus de consentement;
- suivre une pratique exemplaire, une norme ou d’autres lignes directrices bien établies au cours de l’élaboration du processus de consentement.
Il s’agit de quelques suggestions qui sont censées être adaptables en fonction de la taille de l’organisation ainsi que de la quantité et du type de renseignements personnels qu’elle recueille, utilise ou communique.
6. Faire du consentement un processus dynamique et continu
Le consentement éclairé est un processus continu qui évolue selon les circonstances; les organisations ne devraient pas s’en tenir à un moment statique dans le temps, mais elles devraient plutôt traiter le consentement comme un processus dynamique et interactif.
L’obtention efficace d’un consentement constitue un processus dynamique qui ne prend pas fin au moment de l’affichage d’une politique ou d’un avis de confidentialité. En effet, le processus se poursuit à mesure que les organisations innovent, prennent de l’essor et évoluent. Lorsque les flux de données sont complexes, comme c’est souvent le cas, les organisations devraient mettre en place un mécanisme interactif et dynamique pour prévoir les questions des utilisateurs et y répondre si l’information fournie n’est pas claire ou qu’elle soulève des questions complémentaires. Dans l’environnement en ligne, où tout va très vite, il n’est peut-être pas réaliste ni pratique d’afficher un numéro sans frais, mais il existe une foule d’autres moyens à la disposition des organisations — par exemple, rédiger une foire aux questions et la mettre à jour régulièrement, utiliser de nouvelles technologies intelligentes ou faire appel à un assistant virtuel.
Lorsqu’elle prévoit modifier de façon significative ses pratiques de protection de la vie privée, une organisation doit en aviser les utilisateurs et obtenir leur consentement avant l’entrée en vigueur des changements. Au nombre des modifications significatives, mentionnons l’utilisation de renseignements personnels à une fin nouvelle non prévue à l’origine ou la nouvelle communication de renseignements personnels à un tiers à des fins autres que le traitement, mais qui font partie intégrante de la prestation du service.
En outre, les organisations devraient envisager de rappeler périodiquement aux individus les options qui s’offrent à eux en matière de protection de la vie privée et de les inviter à revoir celles qu’ils ont choisies.
Finalement, les organisations devraient adopter la pratique exemplaire consistant à vérifier périodiquement leurs pratiques de gestion de l’information afin de s’assurer que leurs renseignements personnels continuent d’être traités conformément à la façon décrite aux individus.
7. Être responsable : Se tenir prêt à démontrer en tout temps sa conformité
Les organisations devraient être en mesure de démontrer leur conformité sur demande. Plus particulièrement, elles devraient pouvoir démontrer que le processus de consentement mis en œuvre est suffisamment compréhensible du point de vue du public cible, de manière à permettre un consentement valable.
Afin de montrer qu’elle a obtenu un consentement valable, il ne suffit pas à une organisation de signaler quelques mots dissimulés dans une politique de confidentialité. Les organisations devraient plutôt être en mesure de démontrer — soit à la suite d’une plainte déposée par un individu ou d’une demande de renseignements proactive émanant d’un organisme de réglementation de la protection de la vie privée — qu’elles ont mis en place un processus pour obtenir le consentement de l’individu et que ce processus respecte les obligations législatives en matière de consentement. Il s’agit d’une partie intégrante non seulement du processus de consentement, mais d’un régime de responsabilité efficace.
Entre autres, une organisation pourrait démontrer sur demande qu’elle a examiné et mis en application les principes énoncés dans le présent document. Là encore, les attentes des organismes de réglementation quant aux étapes suivies par une organisation pour démontrer sa conformité et sa responsabilisation dépendront de la taille de l’organisation ainsi que de la quantité et du type de renseignements personnels qu’elle recueille, utilise ou communique.
Pour obtenir des renseignements généraux sur les pratiques de gestion de la protection des renseignements personnels, veuillez consulter notre document d’orientation intitulé Un programme de gestion de la protection de la vie privée : la clé de la responsabilité.
Déterminer la forme de consentement appropriée
Au-delà des principes susmentionnés, il est important que les organisations examinent la forme de consentement (explicite ou implicite) qui convient pour la collecte, l’utilisation ou la communication de renseignements personnels nécessitant l’obtention d’un consentement. Le consentement devrait généralement être explicite, mais un consentement implicite peut être suffisant dans des circonstances strictement définiesNote de bas de page 14. Dans un arrêt récent, la Cour suprême a confirmé que pour déterminer le type de consentement requis, les organisations doivent prendre en compte le caractère sensible des renseignements et les attentes raisonnables de la personne, qui sont tous deux fonctions du contexteNote de bas de page 15.
- les renseignements recueillis, utilisés ou communiqués sont sensibles;
- la collecte, l’utilisation ou la communication de l’information ne répond pas aux attentes raisonnables de l’intéressé;
- la collecte, l’utilisation ou la communication de l’information crée un risque résiduel important de préjudice graveNote de bas de page 16.
Sensibilité
Il n’y a pas de ligne de démarcation nette pour déterminer si un renseignement est sensible ou non. Certaines catégories de renseignements (par exemple ceux sur la santé ou les renseignements financiers) sont généralement considérées comme sensibles, mais même des renseignements non sensibles peuvent le devenir dans certaines circonstances. Par exemple, un élément d’information peut ne pas être sensible lorsqu’il est pris isolément, mais le devenir selon ce qu’il peut révéler lorsqu’on le combine à d’autres renseignements personnels concernant un individuNote de bas de page 17.
En plus des renseignements sur la santé et des renseignements financiers, certaines catégories de renseignements seront généralement considérées comme sensibles en raison des risques particuliers pour les personnes qui sont associés à la collecte, à l’utilisation ou à la communication de ces renseignements. Cela comprend notamment les renseignements sur les origines ethniques et raciales, les opinions politiques, la vie sexuelle ou l’orientation sexuelle et les croyances religieuses ou philosophiques, ainsi que les données génétiques et biométriques.
À l’inverse, dans certaines circonstances, des renseignements personnels généralement considérés comme sensibles peuvent l’être moins lorsque des renseignements connexes sont déjà du domaine public, selon la raison pour laquelle ces renseignements ont été rendus publics et la nature des relations entre les parties concernéesNote de bas de page 18.
Attentes raisonnables
Au moment de déterminer la forme de consentement appropriée, les organisations devraient aussi tenir compte des attentes raisonnables de l’intéressé dans les circonstances. Par exemple, en cas d’utilisation ou de communication à laquelle l’utilisateur ne s’attendrait pas raisonnablement — entre autres la communication de certains renseignements à un tiers, le téléchargement de photos ou de listes de contacts ou le suivi de géolocalisation—, un consentement explicite serait probablement exigé.
Dans certains cas, d’autres facteurs contextuels peuvent entrer en jeu. Par exemple, lorsqu’une organisation envisage de communiquer des renseignements à un tiers, l’identité de ce dernier et les fins auxquelles il souhaite obtenir l’information peuvent être pertinentes. Selon la situation, une personne pourrait raisonnablement s’attendre à ce que les renseignements soient communiqués à un tiers autorisé par la loi à y avoir accès, mais non à des personnes mues seulement par la curiosité ou cherchant à obtenir les renseignements à des fins nuisiblesNote de bas de page 19.
Risque de préjudice
Le risque de préjudice pour l’intéressé est à la base de l’analyse contextuelle de la sensibilité des renseignements et des attentes raisonnables. Le terme « préjudice » devrait être interprété dans son sens large; il peut s’agir, entre autres, de dommages matériels, d’une atteinte à la réputation ou d’une restriction de l’autonomie. Le principe directeur no 1, susmentionné, mentionne que les personnes doivent être avisées s’il y a un risque résiduel important d’un préjudice grave. Le Commissariat est d’avis que, dans une telle situation, une personne s’attendrait raisonnablement à ce que le consentement à cette collecte, utilisation ou communication soit explicite et non pas implicite. Encore une fois, cela suppose que le risque de préjudice n’a pas atteint un seuil qui contreviendrait à l’exigence des « fins acceptables » définie ci-après (par exemple lorsqu’il y a un risque vraisemblable ou probable de préjudice grave), auquel cas on considérerait que les fins ne sont pas comformes au paragraphe 5(3) de la LPRPDE.
Consentement et enfants
La capacité des enfants et des jeunes de fournir un consentement valable à la communication de leurs renseignements personnels dépend grandement de leur développement cognitif et affectif. Comme les adultes ont eux-mêmes de la difficulté à comprendre ce qu’il advient de leurs renseignements personnels dans un environnement complexe, il serait irréaliste de s’attendre à ce que les enfants saisissent parfaitement les complexités de la communication de leurs renseignements personnels et les risques en découlant. Dès lors, la législation sur la protection des renseignements personnels dans le secteur privé autorise le consentement par l’intermédiaire d’une personne autorisée, comme un parent ou le tuteur légal.
Nous reconnaissons que la maturité est un processus de développement en évolution. Les jeunes découvrent — et, par conséquent, commencent à comprendre, de plus en plus tôt, les services axés sur l’information. Le Commissariat estime que la capacité de donner un consentement valable peut varier d’un enfant à l’autre, mais qu’il y a un âge minimum sous lequel les jeunes enfants ne sont probablement pas en mesure de comprendre pleinement les conséquences de leurs choix concernant la protection de la vie privée, surtout à une époque où les flux de données sont complexes. Par contre, le CPVP-ALB, le CPVP-CB et la CAI du Québec ne prévoient pas d’âge minimum. Ils se demandent plutôt si la personne comprend la nature et les conséquences de l’exercice du droit ou du pouvoir en questionNote de bas de page 20. Ainsi, lorsqu’un enfant est incapable de donner un consentement valable à la collecte, à l’utilisation et à la communication de renseignements personnels (le Commissariat adopte la position que, sauf dans des circonstances exceptionnelles, cela veut dire qu’il s’agit d’enfants de moins de 13 ans), le consentement doit plutôt être obtenu auprès des parents ou tuteurs. En ce qui concerne les mineurs qui sont capables de fournir un consentement valable, le consentement peut être considéré comme valable uniquement si l’organisation a pris en compte leur degré de maturité et adapté en conséquence son processus de consentement. Les organisations qui recueillent, utilisent ou communiquent les renseignements d’enfants ou de jeunes devraient porter une attention particulière au principe directeur no 7 et être prêtes à montrer sur demande que le processus choisi leur permettra d’obtenir un consentement valable.
Autres éléments que les organisations devraient connaître à propos du consentement
Enfin, les organisations devraient aussi prendre en compte quelques autres éléments au cours de l’élaboration des processus de consentement.
Fins acceptables
Il importe de se rappeler que les fins auxquelles une organisation recueille et utilise les renseignements personnels doivent être acceptables et définies. Même si l’intéressé a donné son consentement, les lois sur la protection des renseignements personnels obligent les organisations à limiter la collecte, l’utilisation et la communication des renseignements personnels aux fins qu’une personne raisonnable estimerait acceptables dans les circonstancesNote de bas de page 21. Autrement dit, le consentement de l’intéressé ne donne pas carte blanche à l’organisation pour recueillir et utiliser sans discernement les renseignements personnels comme bon lui semble.
Retrait du consentement
En vertu des lois sur la protection des renseignements personnels dans le secteur privé, les individus ont le droit de retirer leur consentement, sous réserve des restrictions légales ou contractuelles. Le retrait du consentement devrait être respecté et mettre fin à toute collecte ou utilisation ultérieure des renseignements personnels de l’individu. Dans certains cas, ce retrait peut également entraîner la suppression des données sur la personne concernée qui sont détenues par l’organisation. Par exemple, si un utilisateur supprime son compte sur le site d’un réseau social, l’organisation devrait effacer ses renseignements personnels du site. Dans certains cas bien précis, toutefois, une organisation peut être obligée de conserver une partie des renseignements sur un individu qui a retiré son consentement. Par exemple, la liste des adresses de courriel des personnes qui ont demandé à ce qu’un service en ligne ne les contacte plus peut être conservée. Par ailleurs, d’autres lois peuvent exiger la conservation de ces renseignements. Par exemple, la législation et la réglementation applicables au secteur financier obligent les organisations à conserver des données comme le dossier de crédit de leurs clients et leurs demandes de carte de crédit pendant cinq ans à partir du jour de la fermeture du compte auquel elles se rapportentNote de bas de page 22.
Le consentement n’est pas une solution miracle
Enfin, il est important de noter que le consentement ne libère pas l’organisation de ses autres obligations en vertu des lois sur la protection des renseignements personnels, par exemple la responsabilité générale, les limites de la collecte et les mesures de sécurité. En d’autres termes, si un individu a consenti à ce que ses renseignements personnels soient traités contrairement aux dispositions de la loi, l’organisation n’en serait pas moins considérée comme enfreignant ces dispositions.
Liste de contrôle
Les mesures énoncées dans le présent document peuvent être séparées en deux catégories : les obligations découlant d’exigences juridiques (les choses qu’une organisation doit faire pour obtenir un consentement valable) et les meilleures pratiques (les choses qu’une organisation devrait prendre en compte afin d’améliorer son processus de consentement). Nous vous recommandons de lire tout le document afin de comprendre le contexte et les nuances et de lire les lois de votre province ou territoire pour vos obligations juridiques particulières, mais vous pouvez vous servir de la liste de contrôle qui suit à titre de référence rapide.
Ce qui doit être fait
- Afin d’obtenir un consentement valable et de satisfaire à ses obligations connexes prévues dans le droit canadien en matière de protection des renseignements personnels, une organisation doit :
- Rendre les renseignements personnels accessibles dans leur forme intégrale, tout en mettant l’accent ou en attirant l’attention sur quatre éléments clés :
- Les renseignements personnels qui sont recueillis, avec suffisamment de précision pour que l’intéressé puisse bien comprendre ce à quoi il consent.
- Les parties auxquelles les renseignements personnels sont transmis.
- La raison pour laquelle les renseignements personnels sont recueillis, utilisés ou communiqués, avec suffisamment de détails pour que l’intéressé puisse bien comprendre ce à quoi il consent.
- Les risques de préjudice et les autres conséquences.
- Fournir les renseignements de façon à ce qu’ils soient facilement accessibles et puissent facilement être utilisés.
- Offrir à l’intéressé un choix clair et facilement accessible en ce qui concerne la collecte, l’utilisation ou la communication qui n’est pas nécessaire pour fournir le produit ou le service.
- Tenir compte du point de vue des consommateurs afin de s’assurer que les processus de consentement sont conviviaux et généralement compréhensibles.
- Obtenir le consentement lorsqu’on apporte des modifications significatives aux pratiques en matière de protection des renseignements personnels, y compris l’utilisation de données à de nouvelles fins ou la communication de données à de nouveaux tiers.
- Ne recueillir, utiliser ou communiquer des renseignements personnels que pour des fins qu’une personne raisonnable jugerait acceptables dans les circonstances.
- Permettre à l’intéressé de retirer son consentement (sous réserve de restrictions prévues par une loi ou un contrat).
Forme de consentement
- Obtenir un consentement explicite en ce qui concerne les collectes, les utilisations ou les communications qui en général : i) comportent des renseignements sensibles; ii) vont au-delà de ce à quoi l’intéressé peut raisonnablement s’attendre; ou iii) créent un risque résiduel important de préjudice grave.
Consentement et enfants
- Obtenir le consentement d’un parent ou d’un tuteur dans le cas d’une personne qui est incapable de fournir un consentement valable par elle-même (le Commissariat adopte la position que, sauf dans des circonstances exceptionnelles, cela veut dire toute personne âgée de moins de 13 ans), et veiller à ce que le processus de consentement relatif aux jeunes qui sont capables de fournir un consentement par eux-mêmes tienne raisonnablement compte de leur degré de maturité.
Ce qui devrait être fait
- Permettre à l’intéressé de contrôler la quantité de détails qu’il souhaite recevoir et de déterminer quand il souhaite les recevoir.
- Concevoir ou adopter des façons novatrices et créatives d’obtenir le consentement qui sont juste-à-temps, propres au contexte, et qui conviennent au type d’interface.
- Rappeler périodiquement à l’intéressé les choix en matière de consentement qu’il a faits et les choix qui lui sont offerts.
- Vérifier périodiquement les communications de renseignements personnels afin de s’assurer qu’elles sont conformes aux pratiques actuelles en matière de gestion des renseignements personnels.
- Être prêt à démontrer la conformité – notamment que le processus de consentement est compréhensible du point de vue de l’utilisateur.
- Dans le cadre de la conception d’un processus de consentement, envisager :
- de consulter les utilisateurs et d’obtenir leurs commentaires;
- de faire des essais pilotes ou d’avoir recours à des groupes de discussion afin d’évaluer la facilité de compréhension de documents;
- de faire intervenir des utilisateurs/des concepteurs (IU/EU) de l’expérience utilisateur;
- de consulter des experts en protection des renseignements personnels ou des organismes de réglementation; ou
- de suivre les pratiques exemplaires ou les normes établies.
- Date de modification :