Bulletin d’interprétation : Forme de consentement

L’une des principales fonctions du commissaire consiste à enquêter sur les plaintes en matière de protection de la vie privée déposées contre des organisations et à tenter de les régler. Ses conclusions sur une question donnée peuvent varier en fonction des faits propres à chaque cas et de la position des parties en cause. Au fil du temps, les conclusions au sujet de certaines questions clés ont commencé à former des principes généraux pouvant offrir une orientation utile aux organisations.

Afin de résumer les principes généraux qui se dégagent des décisions judiciaires et des conclusions du commissaire jusqu’à présent, le Commissariat publie des interprétations de certains concepts clés de la LPRPDE. Ces interprétations, qui n’ont pas force exécutoire mais servent plutôt d’orientation à des fins de conformité à la LPRPDE, peuvent évoluer et se préciser à mesure que la commissaire formule d’autres conclusions et que les tribunaux rendent d’autres décisions.

I. Dispositions législatives pertinentes

Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5 (LPRPDE)

Principe 4.3 : Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.

Principe 4.3.4 : La forme du consentement que l’organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements. Si certains renseignements sont presque toujours considérés comme sensibles, par exemple les dossiers médicaux et le revenu, tous les renseignements peuvent devenir sensibles suivant le contexte. Par exemple, les nom et adresse des abonnés d’une revue d’information ne seront généralement pas considérés comme des renseignements sensibles. Toutefois, les nom et adresse des abonnés de certains périodiques spécialisés pourront l’être.

Principe 4.3.5 : Dans l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes. Par exemple, une personne qui s’abonne à un périodique devrait raisonnablement s’attendre à ce que l’entreprise, en plus de se servir de son nom et de son adresse à des fins de postage et de facturation, communique avec elle pour lui demander si elle désire que son abonnement soit renouvelé. Dans ce cas, l’organisation peut présumer que la demande de la personne constitue un consentement à ces fins précises. D’un autre côté, il n’est pas raisonnable qu’une personne s’attende à ce que les renseignements personnels qu’elle fournit à un professionnel de la santé soient donnés sans son consentement à une entreprise qui vend des produits de soins de santé. Le consentement ne doit pas être obtenu par un subterfuge.

Principe 4.3.6 : La façon dont une organisation obtient le consentement peut varier selon les circonstances et la nature des renseignements recueillis. En général, l’organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d’être considérés comme sensibles. Lorsque les renseignements sont moins sensibles, un consentement implicite serait normalement jugé suffisant. Le consentement peut également être donné par un représentant autorisé (détenteur d’une procuration, tuteur).

Principe 4.3.7 : Le consentement peut revêtir différentes formes, par exemple :

1. a) on peut se servir d’un formulaire de demande de renseignements pour obtenir le consentement, recueillir des renseignements et informer la personne de l’utilisation qui sera faite des renseignements. En remplissant le formulaire et en le signant, la personne donne son consentement à la collecte de renseignements et aux usages précisés;
2. on peut prévoir une case où la personne pourra indiquer en cochant qu’elle refuse que ses nom et adresse soient communiqués à d’autres organisations. Si la personne ne coche pas la case, il sera présumé qu’elle consent à ce que les renseignements soient communiqués à des tiers;
3. le consentement peut être donné de vive voix lorsque les renseignements sont recueillis par téléphone; ou
4. le consentement peut être donné au moment où le produit ou le service est utilisé.

Article 6.1 : Pour l’application de l’article 4.3 de l’annexe 1, le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.

II. Interprétations générales des tribunaux

1. « La forme du consentement que l’organisation cherche à obtenir et la façon dont elle obtient ce consentement peuvent varier selon les circonstances et la nature des renseignements (articles 4.3.4 et 4.3.6). Dans l’obtention du consentement, les attentes raisonnables de la personne sont pertinentes (article 4.3.5). Lorsque les renseignements sont moins sensibles, un consentement implicite serait normalement jugé suffisant (article 4.3.6). Le consentement peut revêtir différentes formes, pouvant par exemple être donné dans un formulaire de demande de renseignements, en ne cochant pas une case, au téléphone ou au moment de l’utilisation; toutes ces formes impliquent que le consentement est donné au moment de la collecte et avant l’utilisation. »
   (Englander c. Telus Communications Inc., 2004 CAF 387 au paragraphe 60)
2. Le principe 4.3.4 indique clairement que « les renseignements médicaux sont presque toujours considérés comme sensibles, de sorte que le consentement à leur communication doit être plus explicite que ce n’est le cas pour d’autres catégories de renseignements. » (Townsend c. Sun Life Financial, 2012 CF 550 au paragraphe 25)
3. « Je conviens avec la défenderesse que [l’information sur la fréquence à laquelle une personne se rend dans un centre de culture physique] fait partie [des renseignements] qui sont les moins sensibles, lorsqu’on les envisage objectivement. Ils ne portaient en effet que sur le nombre de fois par semaine où le demandeur avait fréquenté l’un des centres de culture physique de la défenderesse. Les renseignements divulgués n’indiquaient pas ce qu’il faisait à ces centres de culture physique, le temps qu’il y demeurait, en quoi consistait son programme d’entraînement, sa condition physique ou d’autres renseignements personnels. Dans d’autres circonstances, on pourrait conclure à l’existence d’un consentement tacite à la divulgation de renseignements aussi peu sensibles.
   
   J’accepte la prétention du demandeur suivant laquelle, compte tenu des circonstances de l’espèce, les renseignements étaient sensibles, d’autant plus qu’ils avaient été divulgués à ses collègues de travail lors d’une réunion du personnel et qu’ils encourageaient la rivalité entre lui et ses collègues, ce qui le rendait mal à l’aise. L’employeur aurait dû savoir que certains employés pouvaient ne pas être à l’aise avec la divulgation publique de renseignements à leurs collègues. Dans ces conditions, il ne s’agissait pas de renseignements peu sensibles au point que je considérerais que le consentement à leur divulgation serait implicite. » (Randall c. Nubody’s Fitness Centres, 2010 CF 681 aux paragraphes 42 et 43)
4. « Le consentement n’est pas éclairé si la personne qui est censée l’avoir donné ne savait pas, au moment où elle l’a donné, qu’elle avait la possibilité de ne pas être inscrite. » (Englander c. Telus Communications Inc., supra au paragraphe 67)

III. Application par le Commissariat dans divers contextes

Considérations générales

• Le consentement explicite est la forme de consentement la plus adéquate et respectueuse à utiliser dans toutes les circonstances; le consentement implicite peut être acceptable dans des circonstances strictement définies.
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-192 : Une banque n’obtient pas le consentement explicite de ses clients pour communiquer leurs renseignements personnels)
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-203 : Un particulier laisse percer ses inquiétudes quant aux clauses de consentement sur un formulaire de demande de carte de crédit)
• Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements ainsi que des attentes raisonnables de la personne.
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-207 : Une entreprise de téléphones cellulaires satisfait aux conditions rattachées au consentement négatif)
• « En considération de l’objet de la LPRPDE et de l’équilibre sous-jacent qu’elle cherche à trouver entre la protection des renseignements personnels et la possibilité pour des organisations d’utiliser ces renseignements personnels à des fins raisonnablement valables, la Loi favorise une méthode contextuelle dans son évaluation du caractère sensible des renseignements personnels aux fins de déterminer la forme appropriée de consentement qu’une organisation devrait rechercher. »
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2012-002 : Facebook n’a pas obtenu le consentement des non membres en vue de l’utilisation de leurs adresses électroniques pour leur proposer des amis, au paragraphe 44)

Évaluation du degré de sensibilité des renseignements personnels dans différents contextes

Renseignements sur la santé dans le contexte de la publicité ciblée

• L’activité en ligne d’une personne liée à la consultation de sites Web sur la santé (p. ex. recherche concernant un appareil permettant de traiter l’apnée du sommeil) constitue des renseignements personnels sensibles. Il n’est pas approprié de compter sur un consentement implicite d’utilisation de ces renseignements dans le but de faire de la publicité ciblée à des fins de remarketing. Un consentement explicite est requis.
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2014-001 : L’utilisation par Google de renseignements sensibles sur l’état de santé aux fins de l’affichage de publicités ciblées soulève des préoccupations en matière de vie privée)

Adresses électroniques dans le contexte des médias sociaux

• « En outre, bien qu’une adresse électronique ne puisse à première vue être considérée comme un renseignement personnel sensible, on pourrait dans certains contextes tout à fait particuliers, considérer comme sensibles des relations sociales existantes ou présumées établies entre des personnes et ayant découlé de l’utilisation d’adresses électroniques [...]. »
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2012-002 : Facebook n’a pas obtenu le consentement des non membres en vue de l’utilisation de leurs adresses électroniques pour leur proposer des amis, au paragraphe 39)

Reconnaissance du réseau veineux de la paume de la main dans le contexte d’un processus d’admission

• Toutes les mesures biométriques portent plus ou moins atteinte à la vie privée étant donné qu’elles supposent la collecte des caractéristiques physiques d’une personne. Cependant, ce ne sont pas tous les usages de la biométrie qui portent gravement atteinte à la vie privée. La représentation binaire du balayage du réseau veineux de la paume de la main d’un candidat, à la lumière de l’utilisation que fait de la technologie l’administrateur de l’examen, n’est pas un renseignement personnel très sensible dans ce cas particulier.
  
  Par exemple, nous constatons que les balayages du réseau veineux de la paume de la main sont immédiatement transformés en un gabarit binaire chiffré, que le code binaire est irréversible et qu’aucune image biométrique brute n’est conservée. De plus, l’information relative au code binaire conservée à partir du balayage ne peut pas être interprétée facilement par d’autres parties ni utilisée à d’autres fins, et le gabarit est conservé séparément de tous les autres renseignements personnels relatifs au candidat. Dans ce cas-ci, le balayage du réseau veineux de la paume est également considéré comme une méthode biométrique qui ne laisse pas de trace, étant donné qu’il est impossible de laisser des images latentes sur des objets, y compris le système servant au balayage.
  
  (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2011-012 : Une candidate au GMAT s’oppose à l’utilisation de la technologie de reconnaissance du réseau veineux de la paume de sa main)

Renseignements financiers dans le contexte du marketing secondaire

• Bien qu’il puisse être raisonnable pour une organisation d’utiliser une clause de désistement (refus) pour divulguer les coordonnées de clients à des fins de marketing secondaire, elle ne peut pas le faire si elle compte divulguer des renseignements financiers sensibles comme le revenu annuel et les antécédents de crédit.
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-203 : Un particulier laisse percer ses inquiétudes quant aux clauses de consentement sur un formulaire de demande de carte de crédit)

Habitudes et préférences d’achat dans le contexte d’un programme de fidélisation

• L’utilisation et la divulgation de renseignements adaptés en fonction des habitudes et des préférences d’achat du membre d’un programme de points sont probablement assez sensibles pour justifier un consentement positif.
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2002-42 [mise à jour] : Air Canada permet à 1 % des membres Aéroplan de se « désister » des pratiques de partage d’information)

Empreintes vocales dans un contexte d’emploi

• Bien qu’une voix humaine puisse révéler des caractéristiques comportementales et physiques qui rendent une personne unique, une empreinte vocale numérique utilisée par un employeur uniquement pour l’authentification un à un d’employés voulant obtenir accès au réseau informatique interne de l’entreprise est sans conséquence.
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2004-281 : Une organisation utilise la biométrie à des fins d’authentification, cité avec l’approbation de la Cour d’appel fédérale dans Wansink c. TELUS Communications Inc., 2007 CAF 21)

Tenir compte des attentes raisonnables d’une personne

• Bien que dans certaines circonstances, la présélection de réglages par défaut dans un environnement en ligne puisse être raisonnable pour éviter un processus d’inscription exagérément lourd, ces réglages doivent correspondre aux attentes raisonnables des utilisateurs, et ceux-ci doivent être correctement informés des réglages et des conséquences du choix d’un réglage au lieu d’un autre.
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2009-008 : CIPPIC c. Facebook Inc.)
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2012-001 : Nexopia, site de réseautage social pour les jeunes, a enfreint la loi canadienne sur la protection des renseignements personnels)
• Il importe de garder à l’esprit qu’un non-utilisateur ne devrait raisonnablement pas s’attendre à ce qu’un site comme Facebook fasse usage de son courriel pour établir des relations sociales. Cela est d’autant plus vrai dans le cadre de cette plainte où les plaignants, qui n’étaient pas des utilisateurs de Facebook, n’avaient jamais eu de relations avec Facebook.
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2012-002 : Facebook n’a pas obtenu le consentement des non membres en vue de l’utilisation de leurs adresses électroniques pour leur proposer des amis, au paragraphe 38)
• Une personne raisonnable ne s’attendrait pas à ce qu’une organisation adapte sa publicité à partir d’informations concernant ses intérêts personnels ou professionnels, ses usages ou préférences pour certains produits et services et ses statuts financiers potentiellement sensibles sans son consentement explicite.
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2002-42 [mise à jour] : Air Canada permet à 1 % des membres Aéroplan de se « désister » des pratiques de partage d’information)

Exemples d’utilisation appropriée du consentement implicite

Dans un contexte de résolution de litige ou de différend

• En entreprenant, auprès de la Commission des services financiers de l’Ontario, une procédure arbitrale dans laquelle elle a mis ses renseignements médicaux personnels en cause, la plaignante a implicitement consenti à la collecte, à l’utilisation et à la communication de ses renseignements personnels par l’assureur devant lui servir uniquement à se défendre dans le cadre de ces procédures particulières.
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2009-003 : Un assureur communique les renseignements médicaux d’un particulier à un expert-conseil indépendant en fonction d’un consentement implicite)
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2009-016 : Une employée qui porte en appel la cessation de son indemnité d’accident du travail consent à la communication de renseignements personnels autorisée en vertu du processus d’appel)

Dans un contexte d’emploi

• Le consentement à la collecte de renseignements personnels sur des employés à l’aide de la technologie de systèmes mondiaux de localisation (GPS) dans leur véhicule de travail ne peut être implicite que si elle est utilisée pour des raisons appropriées auxquelles les employés pourraient raisonnablement s’attendre. Par exemple, un consentement implicite est approprié et respecte l’attente raisonnable de la personne si les véhicules équipés duGPS suivant ses déplacements servent à améliorer la productivité de la main-d’œuvre, à assurer la sécurité des conducteurs ou à protéger et à gérer les biens de l’entreprise. On ne peut toutefois pas utiliser le consentement implicite pour évaluer ou gérer régulièrement les employés, autrement que lors de circonstances exceptionnelles où il y a enquête sur une plainte ou un problème clair de rendement, et où une politique claire établissant un processus approprié d’avertissements et de surveillance progressive existe et a été préalablement porté à l’attention des employés.
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2006-351 : Examen de l’utilisation des renseignements personnels recueillis au moyen d’un système mondial de localisation)
• On a considéré qu’un service de transport municipal avait le consentement implicite de ses employés et clients quant à l’utilisation d’un terminal de données mobile, comprenant un système mondial de localisation (GPS), à bord de ses véhicules. Les renseignements recueillis étaient utilisés à des fins appropriées, soit de fournir un service efficace à ses clients. Étant donné que les employés avaient été avisés de l’installation de la technologie, le fait qu’ils continuaient d’utiliser les véhicules constituait un consentement implicite à la collecte et à l’utilisation de leurs renseignements personnels à cette fin. De la même façon, les clients devaient être au courant que le mis en cause et ses chauffeurs ont besoin de leurs nom et points de départ et d’arrivée pour fournir le service de transport demandé.
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2009-011 : Le conducteur d’un véhicule de transports en commun s’oppose à l’utilisation de technologies [MDT et GPS] à bord des véhicules d’entreprise)

Conditions d’utilisation appropriée du consentement négatif

• L’utilisation d’un mécanisme de consentement négatif peut être acceptable lorsque :
  • des renseignements personnels sont à l’évidence non sensibles quant à leur nature et au contexte;
  • le contexte dans lequel les renseignements sont communiqués est bien circonscrit et bien défini quant à la nature des renseignements personnels visés ou communiqués et à la portée de leur utilisation ou de leur communication;
  • les objectifs des organisations sont circonscrits, bien définis et énoncés de manière claire et compréhensible et mentionnés aux particuliers au moment où l’on recueille leurs renseignements personnels;
  • l’organisation obtient lors de la collecte le consentement des personnes pour l’usage et la communication ou informe ces personnes de la communication ou de l’usage qui est projeté et leur offre le plus tôt possible une option de retrait;
  • l’organisation offre une procédure pratique de désistement ou de retrait du consentement à des fins secondaires, le désistement prenant immédiatement effet et avant communication des renseignements personnels pour les nouvelles fins projetées.
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-192 : Une banque n’obtient pas le consentement explicite de ses clients pour communiquer leurs renseignements personnels)
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-203 : Un particulier laisse percer ses inquiétudes quant aux clauses de consentement sur un formulaire de demande de carte de crédit)
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-207 : Une entreprise de téléphones cellulaires satisfait aux conditions rattachées au consentement négatif)
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2012-002 : Une enquête révèle que Facebook n’a pas obtenu le consentement des non membres en vue de l’utilisation de leurs adresses électroniques pour leur proposer des amis, au paragraphe 47)
• « Dans le cas où il existe un usage ou une communication à des fins secondaires, l’organisation doit offrir à l’intéressé un moyen permanent de retrait de son consentement à des fins secondaires et veiller à ce que le désistement prenne effet le plus tôt possible. »
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2012-002 : Une enquête révèle que Facebook n’a pas obtenu le consentement des non membres en vue de l’utilisation de leurs adresses électroniques pour leur proposer des amis, au paragraphe 48)
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2002-91 : Une entreprise de marketing est accusée de communication inappropriée de renseignements issus d’un sondage)
• L’option de désistement pour retirer son consentement devrait être immédiate et pratique. Il n’est pas vraisemblablement raisonnable d’exiger d’un client de remplir un formulaire pour retirer son consentement à une utilisation ou à une divulgation à des fins secondaires.
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2005-289 : Le vol d’un ordinateur portatif met en cause la responsabilité d’une banque)
• Une personne qui est déjà dans le système de marketing d’une organisation peut raisonnable s’attendre à ce qu’il faille à l’organisation plusieurs semaines pour traiter une demande de désistement, mais une organisation devrait posséder des systèmes permettant de répondre rapidement à ces demandes et, dans tous les cas, à l’intérieur du délai annoncé aux gens.
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-250 : Un client s’objecte aux pratiques de consentement de sa banque)
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2002-42 [mise à jour] : Air Canada permet à 1 % des membres Aéroplan de se « désister » des pratiques de partage d’information)
• Non seulement une organisation doit-elle donner la possibilité à ses clients de retirer leur consentement, mais elle doit aussi faire en sorte que ce désistement, lorsqu’il est exprimé, est aussi communiqué à ses entreprises associées, sociétés affiliées et filiales.
  • (Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-116 : Un client demande à ne plus recevoir de matériel promotionnel, mais son institution bancaire continue de lui en envoyer)