Troisième principe relatif à l’équité dans le traitement de l’information de la LPRPDE – Consentement

Révisé : Août 2020

Vos responsabilités

Le consentement valable est un élément essentiel de la LPRPDE. Les organisations doivent généralement obtenir un consentement valable pour la collecte, l'utilisation et la communication de renseignements personnels.
Afin de donner un consentement valable, les personnes doivent comprendre ce à quoi on leur demande de consentir. Le consentement ne sera jugé valable que s'il est raisonnable de s'attendre à ce que vos clients comprennent la nature, les fins et les conséquences de la collecte, de l'utilisation ou de la communication de leurs renseignements personnels.
Un consentement ne peut être requis que pour la collecte, l'utilisation ou la communication nécessaires à une fin explicite et légitime. Pour les collectes, les utilisations et les communications non intégrales, un choix doit être donné aux personnes.
La forme du consentement doit tenir compte du caractère sensible du renseignement personnel. La manière dont vous demanderez un consentement dépendra des circonstances et du type de renseignement que vous recueillez.
Une personne peut retirer son consentement en tout temps, sous réserve de restrictions prévues par une loi ou un contrat et d'un préavis raisonnable, et vous devez informer la personne des conséquences du retrait.

Comment vous acquitter de vos responsabilités

Assurez-vous que l'information sur la protection de la vie privée est facilement accessible dans sa forme intégrale, en mettant l'accent ou en attirant l'attention sur quatre questions clés :
- Quels sont les renseignements personnels recueillis? (Fournir suffisamment de détails pour que les personnes comprennent bien ce à quoi elles consentent.)
- À quelles parties les renseignements personnels seront-ils communiqués?
- À quelles fins les renseignements personnels sont-ils recueillis, utilisés ou communiqués? (Fournir suffisamment de détails pour que les personnes comprennent bien ce à quoi elles consentent.)
- Quels sont les risques de préjudice et autres conséquences?
Fournissez l'information de manière à ce qu'elle soit facile d'accès et facile à utiliser.
Offrez aux personnes un choix clair et facilement accessible pour toute collecte, utilisation ou communication non nécessaire à la fourniture du produit ou à la prestation du service.
Tenez compte des perspectives de vos clients afin que les processus de consentement soient conviviaux et généralement compréhensibles.
Obtenez un consentement lorsque vous apportez des changements importants à vos pratiques en matière de protection de la vie privée, notamment en ce qui concerne l'utilisation de données à de nouvelles fins ou des communications à de nouvelles tierces parties.
Ne recueillez, n'utilisez ou ne communiquez des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.
Permettez aux personnes de retirer leur consentement (sous réserve de restrictions légales ou contractuelles).
Déterminez la forme appropriée du consentement : obtenez un consentement explicite pour les collectes, les utilisations ou les communications qui, en général : i) touchent des renseignements de nature délicate; ii) dépassent ce à quoi s'attendrait raisonnablement une personne; et/ou iii) créent un risque résiduel important de préjudice grave.
Consentement et enfants : obtenez le consentement d'un parent ou d'un tuteur pour toute personne qui n'est pas en mesure de fournir elle-même un consentement valable (le Commissariat a adopté la position que, dans toutes les circonstances sauf dans des situations exceptionnelles, cela comprend toutes les personnes âgées de moins de 13 ans), et assurez-vous que le processus de consentement des jeunes personnes en mesure de fournir elles-mêmes un consentement tient raisonnablement compte de leur niveau de maturité.
Qu'il soit implicite ou explicite, le consentement n'élimine pas les autres obligations d'une organisation en vertu de la LPRPDE, telles que la responsabilisation démontrable, les mesures de sécurité et l'existence de motifs raisonnables pour le traitement des renseignements personnels.

Forme de consentement

Il est important que les organisations examinent la forme de consentement (explicite ou implicite) qui convient pour la collecte, l'utilisation ou la communication de renseignements personnels nécessitant l'obtention d'un consentement. Le consentement devrait généralement être explicite, mais un consentement implicite peut être suffisant dans des circonstances strictement définies. Les organisations doivent prendre en compte la nature sensible des renseignements et les attentes raisonnables de la personne, qui sont toutes deux fonctions du contexte.

En règle générale, les organisations doivent obtenir un consentement explicite dans les cas suivants :

les renseignements recueillis, utilisés ou communiqués sont sensibles;
la collecte, l'utilisation ou la communication de l'information ne répond pas aux attentes raisonnables de la personne;
la collecte, l'utilisation ou la communication crée un risque résiduel important de préjudice grave.

Conseils

Les conseils qui suivent peuvent contribuer à rendre votre processus de consentement plus valable :

Permettez aux personnes de déterminer l'étendue des détails qu'elles souhaitent recevoir, et à quel moment.
Concevez ou adoptez des façons créatives d'obtenir un consentement, en temps opportun, qui sont propres au contexte et conviennent au type d'interface.
Rappelez périodiquement aux personnes les choix de consentement qu'elles ont faits et ceux qui leur sont offerts.
Effectuez périodiquement une vérification des communications touchant la vie privée afin de veiller à ce qu'elles reflètent exactement les pratiques en cours en matière de gestion des renseignements personnels.
Soyez prêt à faire la preuve de la conformité ‒ en particulier, du fait que le processus de consentement est compréhensible du point de vue de l'utilisateur.
Dans la conception du processus de consentement, envisagez de :
- consulter des utilisateurs et d'obtenir leurs points de vue;
- faire des essais pilotes ou d'utiliser des groupes de discussion afin d'évaluer le caractère compréhensible des documents;
- faire appel à des spécialistes de la conception axée sur l'interaction et de l'expérience utilisateur (IU/EU);
- consulter des experts ou des organismes de réglementation en matière de protection de la vie privée;
- suivre les pratiques exemplaires ou les normes établies.

Pour en savoir plus sur le consentement

Lignes directrices pour l’obtention d’un consentement valable

Document d’orientation sur les pratiques inacceptables du traitement des données : Interprétation et application du paragraphe 5(3)

Bulletin d’interprétation : Forme de consentement

Collecte de renseignements personnels : le consentement

Dix conseils pour améliorer votre politique de confidentialité en ligne et la transparence de vos pratiques en matière de protection de la vie privée

Date de modification :: 2020-08-13

Sélection de la langue

Recherche et menus

Recherche