Lignes directrices sur la validité du consentement au Québec : Exigences clés, répercussions et prochaines étapes

La Commission d’accès à l’information (CAI), organisme de protection de la vie privée au Québec, a publié ses Lignes directrices sur les critères de validité du consentement (Lignes directrices) en vertu des modifications apportées à la loi québécoise sur la protection des renseignements personnels. Les Lignes directrices représentent un changement important par rapport aux pratiques existantes en matière de consentement et peuvent compter parmi les exigences les plus strictes au monde, y compris le RGPD. Semblant viser les entreprises de petite ou de moyenne taille, elles soulèvent des enjeux de mise en œuvre importants pour les grandes organisations qui exercent des activités dans plusieurs territoires ou qui entretiennent des relations étroites avec leurs clients ou d’autres personnes.

Ce que vous devez savoir

• Les grandes organisations devraient prendre connaissance des Lignes directrices et déterminer dans quelle mesure elles devraient les intégrer à leurs pratiques en matière de consentement.
• Les Lignes directrices :
  • Prescrivent les cas où le consentement exprès est requis, les cas où le consentement implicite est permis et les cas où le consentement peut être présumé;
  • Exigent que les entreprises obtiennent un consentement distinct pour chaque finalité non essentielle ou secondaire, séparément de toute autre information fournie;
  • Exigent que les entreprises obtiennent un consentement exprès chaque fois que des renseignements personnels sensibles sont en cause et recommandent un consentement exprès chaque fois que la finalité peut aller à l’encontre des attentes raisonnables.
• Les stratégies de conformité des entreprises devraient également tenir compte de la prochaine réforme du cadre fédéral de protection des renseignements personnels, ainsi que des bonnes pratiques qui peuvent réduire les risques de plaintes liées au consentement.

Ce que disent les Lignes directrices

La CAI y présente son interprétation des obligations en matière de consentement de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi) et recommande des bonnes pratiques qui permettront aux entreprises de s’y conformer. Lorsqu’elle fait référence à des obligations, la CAI utilise principalement les termes « doit » et « doivent » et lorsqu’elle incite à adopter de bonnes pratiques, elle utilise des termes liés à la recommandation ou à la possibilité (« devrai(en)t », « pourrai(en)t »). Nous résumons ci-dessous les recommandations les plus susceptibles d’avoir une incidence sur les entreprises.

Finalités et obligations en matière de consentement

Les Lignes directrices distinguent entre les « fins primaires » (fins pour lesquelles l’utilisation ou la communication de renseignements personnels est nécessaire à la fourniture d’un service ou d’un bien ou à l’accès à un emploi) et les « fins secondaires » (utilisations légitimes de renseignements qui ne sont pas strictement nécessaires à la fourniture d’un service ou d’un bien ou à l’accès à un emploi). Les fins secondaires peuvent comprendre le marketing, le partage de données, l’analyse et le développement de nouveaux produits, services ou outils (y compris l’entraînement d’un système d’IA).

Fins primaires

Pour obtenir un consentement à la collecte de renseignements personnels à des fins primaires, il suffit de fournir certaines informations, soit : les types de renseignements personnels requis, les fins pour lesquelles les données seront traitées, les tiers à qui les renseignements pourraient être communiqués et d’autres détails énoncés à l’article 8 de la Loi. L’entreprise qui satisfait aux exigences de l’article 8 n’a pas à obtenir un consentement exprès ou implicite pour utiliser les renseignements personnels à des fins primaires (en effet, selon l’article 8.3, le consentement est présumé avoir été obtenu si la personne fournit ses renseignements en toute connaissance de cause).

Notons que l’article 6 de la Loi oblige les entreprises à obtenir un consentement pour recueillir un renseignement auprès d’un tiers, sous réserve de certaines exceptions. Bien que la CAI ne fournisse aucune interprétation de cette exigence, il est peu probable que l’approche de consentement présumé ci-dessus puisse s’appliquer. Les entreprises devraient donc déterminer si elles doivent obtenir un consentement exprès ou implicite ou se poser la question à savoir si le tiers a déjà obtenu un consentement suffisant en leur nom.

Fins secondaires

La CAI a confirmé que les organisations ne peuvent pas s’appuyer sur l’obtention d’un consentement présumé en vertu de l’article 8.3 pour l’usage des renseignements personnels à des fins secondaires. Un consentement exprès ou implicite est requis, à moins d’une exception prévue dans la Loi.

Consentement exprès ou implicite

Les Lignes directrices décrivent deux formes de consentement valide et les cas où elles doivent ou peuvent être utilisées à des fins secondaires.

Consentement exprès

Le consentement est exprès quand la personne pose un geste actif qui manifeste clairement son accord et que ce geste ne sert à rien d’autre qu’à consentir (p. ex., une signature, l’activation d’une case ou une réponse affirmative). Le consentement exprès doit être utilisé lorsqu’il vise des renseignements personnels sensibles (comme des renseignements médicaux ou biométriques) ou qu’une autre loi l’exige (comme la législation concernant les renseignements de crédit). Le consentement exprès devrait aussi être utilisé lorsque l’utilisation ou la communication prévue va à l’encontre des attentes raisonnables de la personne ou qu’elle présente un risque de préjudice grave.

Consentement implicite

Un consentement est implicite s’il peut être déduit par une autre action que pose la personne ou par son silence ou son inactivité (p. ex., une case déjà cochée ou le fait de cliquer sur le bouton « Continuer » dans une demande après avoir été informé de l’utilisation prévue des renseignements). Le consentement implicite ne doit pas être utilisé pour des renseignements sensibles et devrait être utilisé seulement lorsque l’utilisation ou la communication prévue ne va pas à l’encontre des attentes raisonnables de la personne et qu’elle ne présente aucun risque de préjudice grave.

Selon la CAI, les cas pour lesquels le consentement implicite à une finalité secondaire est réellement opportun sont susceptibles d’être plutôt rares.

Fins distinctes et spécifiques

Le consentement doit être « granulaire » : il est demandé à chacune des fins visées. Pour satisfaire à cette exigence, l’entreprise doit informer la personne de chaque finalité et des catégories de tiers qui recevront les renseignements. La demande de consentement doit être présentée en des termes précis, concis et suffisamment détaillés. L’entreprise doit permettre aux personnes de manifester leur accord ou leur désaccord séparément, et ce, pour chacune des finalités et chacun des tiers ou catégories de tiers visés.

Les entreprises qui s’appuient sur un consentement implicite devraient généralement s’assurer qu’il ne concerne qu’une seule finalité, car il peut être difficile d’exprimer son accord ou son désaccord pour chacune des finalités dans le cadre d’un consentement implicite. Plusieurs entreprises pourraient trouver cette interprétation irréaliste, impraticable et contraire aux pratiques de l’industrie.

Présentation distincte du consentement

Les entreprises doivent présenter des demandes de consentement écrites distinctement de toute autre information, y compris l’information fournie sous forme de politique de confidentialité à des fins primaires. Les demandes de consentement doivent aussi être distinctes de l’information qui n’est pas liée à la confidentialité (conditions d’utilisation). Cela laisse entendre que les organisations doivent distinguer les fins primaires (où le consentement peut être obtenu simplement en fournissant certaines informations) des fins secondaires (où le consentement est requis) même lorsque le consentement exprès n’est pas requis. Notons que le CAI suggère de répartir les informations à fournir en plusieurs niveaux : fournir les informations clés dans la demande de consentement elle-même et renvoyer à une autre source (p. ex., une politique de confidentialité, une foire aux questions, une autre page ou un autre document) pour les autres informations.

Refus et retrait du consentement

Il doit être aussi facile de donner son consentement que de ne pas le donner et ces options devraient être présentées équitablement (sans influence indue). Conformément à la législation actuelle sur la protection des renseignements personnels, les entreprises doivent permettre à une personne de refuser les finalités secondaires sans mettre fin à l’entente initiale concernant le produit, le service ou l’emploi. En outre, les entreprises devraient prévoir un mécanisme de retrait simple et accessible.

Prochaines étapes pour les entreprises

Les Lignes directrices soulèvent un certain nombre de questions pratiques qui pourraient rendre leur mise en œuvre coûteuse ou causer des perturbations importantes. C’est particulièrement le cas pour les grandes organisations qui exercent des activités dans plusieurs territoires ou qui ont des relations étroites avec leurs clients. Voici quelques mesures et considérations qui pourraient leur faciliter la tâche :

Détermination des finalités et des sources de renseignements personnels

L’un des éléments essentiels de la mise en œuvre des Lignes directrices consiste à répertorier les fins auxquelles l’entreprise traite les renseignements personnels. Les entreprises devraient déterminer les fins qui sont : i) des fins primaires ou secondaires assujetties aux exceptions prévues par la Loi en matière de consentement; ii) des fins primaires pour lesquelles elles seront tenues de fournir des informations; iii) des fins secondaires pour lesquelles elles devront obtenir un consentement exprès; et iv) des fins secondaires pour lesquelles elles pourront obtenir un consentement implicite.

S’ajoutent à cette liste les cas où le consentement est requis pour recueillir des renseignements personnels auprès d’un tiers ou d’un mineur de moins de 14 ans.

Conformité avec les Lignes directrices

Étant donné la difficulté pratique de mettre en œuvre certaines des recommandations, les entreprises devraient déterminer dans quelle mesure elles peuvent raisonnablement se conformer aux Lignes directrices à court ou à long terme. Après tout, celles-ci ne sont pas contraignantes et présentent le point de vue de la CAI sur ce que les entreprises doivent faire en vertu de la Loi et les bonnes pratiques qu’elles devraient adopter. Par conséquent, les entreprises peuvent déterminer que certaines pratiques ne conviennent tout simplement pas à leurs activités ou ne sont pas utiles aux personnes dont elles recueillent les renseignements personnels. Par exemple, une entreprise qui se conforme au RGPD peut juger que certaines des recommandations de la CAI ne cadrent pas avec son approche globale. De même, une entreprise peut interpréter différemment certaines exigences de la Loi en ce qui concerne ses activités et sa clientèle.

Bien entendu, cette approche doit tenir compte des risques réglementaires et des risques de mise en application. Il y a fort à parier que la CAI fasse respecter la Loi selon sa propre interprétation de celle-ci. Bien qu’elle ait indiqué sa volonté de mettre d’abord l’accent sur la sensibilisation, les entreprises devraient garder à l’esprit que les sanctions pour une violation de la Loi peuvent atteindre 10 millions de dollars ou 2 % du chiffre d’affaires mondial (selon le montant le plus élevé) et que les amendes peuvent aller jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial (selon le montant le plus élevé).

Réforme du cadre fédéral de protection des renseignements personnels

Les entreprises qui exercent des activités à l’extérieur du Québec doivent également tenir compte de la réforme du cadre fédéral de protection des renseignements personnels prévue dans le projet de loi C-27, qui fait actuellement l’objet d’un examen par le Comité permanent de l’industrie et de la technologie de la Chambre des communes. Les exigences du projet de loi C-27 pourraient être plus ou moins rigoureuses que celles des Lignes directrices ou de la Loi, et les organisations nationales ou internationales devraient penser à harmoniser leur approche à l’échelle du Canada.

Outils de gestion du consentement

Les entreprises qui traitent des renseignements personnels à de multiples fins secondaires pourraient utiliser un outil de gestion du consentement pour mettre en œuvre les différents choix des personnes en matière de consentement. Bien qu’ils ne soient pas une panacée, ces outils peuvent réduire le fardeau administratif et le risque d’erreur humaine.

Autres pratiques à adopter

Voici quelques mesures supplémentaires pour réduire les risques de plaintes liées au consentement :

• Mettre en place des processus accessibles et efficaces pour résoudre les questions et les plaintes relatives à la protection des renseignements personnels;
• S’assurer que leurs clients et employés peuvent facilement refuser ou retirer leur consentement;
• Examiner le processus de consentement pour les nouveaux produits, services ou initiatives en fonction des exigences légales et des Lignes directrices dans le cadre des processus d’évaluation des risques existants (p. ex., dans le cadre de l’évaluation des facteurs relatifs à la vie privée);
• Documenter les pratiques existantes en matière de consentement et les comparer aux exigences de la Loi, de la LPRPDE et des lois internationales applicables;
• Rappeler aux personnes leurs choix en matière de consentement, par exemple en utilisant une option de « vérification de la confidentialité ».