Le Commissariat à la protection de la vie privée a publié des lignes directrices sur l’obtention du consentement et sur les pratiques inacceptables du traitement des données

Note : Cet article a d’abord paru en anglais dans Canadian Privacy Law Review version 15 parution 9 (© LexisNexis Canada Inc., 2018)

Par Alex Cameron, Daniel Fabiano et Robin Spillette

Le 24 mai 2018, le Commissariat à la protection de la vie privée a publié deux documents d’orientation importants relativement aux activités assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques.

• Les Lignes directrices pour l’obtention d’un consentement valable (les « lignes directrices relatives au consentement »), qui comprennent une liste des éléments constituant un consentement valable, entreront en vigueur le 1^er janvier 2019;
• Le Document d’orientation sur les pratiques inacceptables du traitement des données : Interprétation et application du paragraphe 5(3) est entré en vigueur le 1^er juillet 2018 (les « lignes directrices relatives aux données »). 

La publication des documents d’orientation mentionnés ci-dessus s’inscrit dans la foulée des consultations du Commissariat en matière de consentement et de la récente mise à jour des lignes directrices relatives à l’enregistrement des appels téléphoniques des clients. Dans le présent bulletin, nous examinerons ces deux documents d’orientation et ferons état des conséquences de ces lignes directrices pour les entreprises assujetties à la LPRPDE.

Les lignes directrices pour l’obtention d’un consentement valable

Selon les lignes directrices relatives au consentement, les entreprises doivent respecter sept principes directeurs pour obtenir un consentement valable en vertu de la LPRPDE. Voici les sept principes en question :

1. Mettre l’accent sur les éléments clés

Le fait de mettre de l’avant des éléments clés relatifs au consentement (et à toute politique de confidentialité destinée au public) est susceptible d’aider la personne à comprendre les conséquences de donner son consentement et donc contribuer à obtenir un consentement valable. Selon les lignes directrices relatives au consentement, les organisations doivent, de façon générale, mettre davantage l’accent sur les éléments suivants :

1. Les renseignements personnels qui seront recueillis, utilisés et divulgués : Les organisations doivent indiquer aux personnes les renseignements personnels les concernant qui seront recueillis ou qui sont susceptibles de l’être. L’information à ce sujet doit être suffisamment précise pour permettre aux personnes de bien comprendre ce à quoi ils consentent.
2. Les fins auxquelles les renseignements personnels seront recueillis, utilisés ou divulgués : Les organisations doivent décrire ces fins avec suffisamment de détails pour que les personnes puissent bien comprendre ce à quoi on leur demande de consentir. Les descriptions vagues doivent être évitées. Toute fin n’étant pas essentielle à la prestation d’un service ou au produit offert et toute utilisation à laquelle on ne s’attendrait pas raisonnablement compte tenu du contexte devraient être soulignées.
3. Les tiers auxquels les renseignements personnels seront communiqués : Lorsque les organisations communiquent des renseignements à un nombre important de tiers, ou lorsque les parties sont susceptibles de changer au fil du temps, ces organisations doivent indiquer les types d’organisations auxquelles elles communiqueront des renseignements et offrir la possibilité aux utilisateurs d’obtenir plus d’information à cet égard. Une attention particulière doit être accordée à toute communication à des tiers susceptibles d’utiliser les renseignements à leurs propres fins plutôt que pour simplement fournir des services de la part de l’organisation ayant originalement recueilli les renseignements.
4. Le risque de préjudice lié à la collecte, à l’utilisation et à la divulgation de renseignements personnels : Les organisations devraient envisager de souligner les préjudices, tant direct qu’indirects (p. ex., l’utilisation non autorisée des renseignements) risquant de découler de l’activité pour laquelle le consentement est requis. Le risque de préjudice fait référence à tout risque de préjudice important (qui est supérieur à une possibilité minimale ou à une simple possibilité) en tenant compte des efforts d’atténuation de l’organisation. Les personnes doivent être au fait des conséquences de donner leur consentement pour que ce consentement soit valable. Cela comprend les risques indirects, comme la possibilité qu’un tiers utilise les renseignements de façon non autorisée.

2. Permettre aux personnes de déterminer à quel point elles souhaitent obtenir de l’information détaillée

Les organisations doivent communiquer les informations de façon plus gérable et accessible, et les personnes devraient avoir la possibilité de déterminer comment, à quel point et quand elles souhaitent obtenir de l’information détaillée sur les pratiques de l’organisation en matière de protection de la vie privée auxquelles elles auraient accès à tout moment. L’une des façons de procéder consiste à structurer les informations données en couches. Lorsque les informations sont données par couches, les premières informations sont d’ordre plus abstrait, soit de l’information générale. La personne peut ensuite obtenir plus de détails sur des sujets de son choix. En outre, les informations sur la protection des renseignements personnels devraient être facilement accessibles afin que les personnes puissent les consulter à nouveau.  Cette approche soutient le consentement valable parce qu’elle donne le choix à la personne de réexaminer le consentement donné et possiblement le retirer si elle s’oppose aux pratiques de l’organisation.

3. Donner clairement aux personnes la possibilité de choisir « oui » ou « non »

Les organisations ne doivent pas exiger des personnes qu’elles consentent à la collecte, à l’utilisation ou à la divulgation de renseignements personnels au-delà de ce qui est nécessaire pour fournir le produit ou le service. Pour que la collecte, l’utilisation ou la divulgation constitue une condition de service valide, elle doit être essentielle à la fourniture de ce produit ou de ce service (c’est-à-dire qu’elle est nécessaire pour réaliser les fins légitimes précisées explicitement). Dans les cas où d’autres informations doivent être recueillies en obtenant le consentement (explicite ou implicite), les personnes doivent pouvoir choisir de donner ou non leur consentement à la collecte de ces renseignements supplémentaires, et ce choix doit être clair et accessible, sauf si une exception s’applique au consentement.

4. Faire preuve d’innovation et de créativité

Les organisations ne devraient pas se contenter de simplement transposer en format numérique les politiques imprimées qu’elles utilisent hors ligne; elles devraient plutôt faire preuve d’innovation en ce qui a trait à l’obtention du consentement. Par exemple, les avis « juste-à-temps » constituent une autre façon permettant d’obtenir le consentement « d’emblée ». Par exemple, si, plutôt que de demander l’accès à la géolocalisation dès son installation, une application de téléphone cellulaire demande ce consentement la première fois que l’utilisateur tente d’utiliser l’application d’une façon pour laquelle la géolocalisation est requise, cela donne plus de contexte à l’utilisateur, qui aura une meilleure idée des renseignements recueillis et de la raison de cette collecte de données. D’autres outils interactifs tels que les vidéos ou des présentations sur lesquelles cliquer qui expliquent les politiques relatives à la protection des renseignements personnels, ainsi que les interfaces mobiles, peuvent également être utilisés. Des renseignements supplémentaires relatifs aux applications mobiles se trouvent dans le document d’orientation du Commissariat intitulé : Une occasion à saisir : Développer des applis mobiles dans le respect du droit à la vie privée.

5. Prendre en compte la perspective du consommateur

Afin de s’assurer que les consentements et les informations concernant la protection de la vie privée sont conviviaux et compréhensibles, les organisations doivent prendre en compte la perspective du consommateur visé. À cet égard, il est opportun d’utiliser le niveau de langage approprié, et de fournir des explications claires dans un format accessible, selon le type d’appareil qu’utilise le consommateur visé (ordinateurs portables, téléphones mobiles, tablettes, etc.). Il est possible pour les organisations de cerner la perspective des consommateurs visés en consultant ces derniers, en mettant le processus à l’essai, en formant des groupes de consultation, en consultant des spécialistes de la protection de la vie privée et en suivant les pratiques exemplaires dans ce domaine.

6. Faire du consentement un processus dynamique et continu

Le processus de consentement est continu, dynamique et interactif (et non simplement ponctuel). Des rappels périodiques et des occasions de revoir les options offertes quant aux pratiques relatives à la protection de la vie privée, ainsi que des moyens pratiques durables pour les personnes d’obtenir plus d’information devraient être mis en place.

7. Être responsable : Se tenir prêt à démontrer en tout temps sa conformité

Les organisations doivent être en mesure de démontrer qu’elles ont obtenu un consentement valable, notamment montrer que leur processus lié au consentement est compréhensible et accessible. Les organisations peuvent le faire en étant au courant des présentes lignes directrices et de celles contenues dans le document d’orientation du Commissariat intitulé Un programme de gestion de la protection de la vie privée : la clé de la responsabilité et en démontrant qu’elles les respectent.

D’autres éléments abordés dans les lignes directrices

Déterminer la forme de consentement appropriée

En plus des sept principes directeurs susmentionnés, le Commissariat rappelle que les organisations doivent examiner la forme de consentement qui convient compte tenu des circonstances. Bien que le consentement implicite puisse convenir dans certains cas, d’autres circonstances, dont les suivantes, requièrent le consentement explicite : a) les renseignements recueillis, utilisés ou divulgués sont sensibles; b) la collecte, l’utilisation ou la divulgation de l’information ne répond pas aux attentes raisonnables de l’intéressé; c) la collecte, l’utilisation ou la divulgation de l’information crée un risque résiduel important de préjudice grave.

Le consentement et les enfants

Un autre facteur contextuel est le fait que le groupe de personnes visées comprenne des enfants. Dans un tel cas, les organisations doivent prendre en compte le fait que les capacités de compréhension des enfants sont différentes sur le plan émotionnel et cognitif de celles des adultes. Les enfants comprennent donc moins bien la façon dont leurs renseignements personnels sont utilisés, ce qui a une incidence sur leur capacité de donner un consentement valable. Selon le Commissariat, un parent ou un tuteur doit donner le consentement pour un enfant de 13 ans ou moins. Lorsque le groupe de personnes visées comprend des mineurs qui sont capables de fournir un consentement valable, les organisations doivent prendre en compte leur degré de maturité et être en mesure de démontrer qu’elles l’ont fait.

À la fin de ces lignes directrices, le Commissariat fournit une liste de contrôle utile de ce que les organisations « doivent faire » et de ce qu’elles « devraient prendre en compte » lorsqu’elles cherchent à obtenir un consentement valable aux termes de la LPRPDE.

Le document d’orientation sur les pratiques inacceptables du traitement des données

Conjointement à la publication de ses lignes directrices, le Commissariat a publié les lignes directrices relatives aux données dans lesquelles figurent les divers éléments que les organisations devraient garder à l’esprit lorsqu’elles tentent de déterminer si une pratique est contraire au paragraphe 5(3) de la LPRPDE.

Le libellé du paragraphe 5(3), qui est un principe directeur, est le suivant : « L’organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. » Autrement dit, même si le consentement de la personne a été obtenu, certaines fins sont inacceptables en vertu de la LPRPDE parce qu’une personne raisonnable ne les estimerait pas acceptables dans les circonstances.

Comme c’est le cas pour le consentement valable, le caractère acceptable d’une fin ne peut être déterminé que selon une approche contextuelle. Le document d’orientation contient un résumé des facteurs suivants qui ont été appliqués par le Commissariat et les tribunaux :

• le besoin légitime ou les intérêts commerciaux véritables des fins visées par l’organisation;
• l’efficacité de la collecte, de l’utilisation et de la divulgation pour répondre au besoin de l’organisation;
• l’existence de moyens portant moins atteinte à la vie privée qui permettent d’atteindre les mêmes fins pour un coût et des avantages comparables;
• la proportionnalité de l’atteinte à la vie privée par rapport aux avantages (ce qui comprend la considération du caractère sensible des renseignements personnels en question).

De plus, dans ses lignes directrices relatives aux données, le Commissariat a dressé une liste de fins interdites en vertu de la LPRPDE qu’il a qualifiées de « zones interdites ». Selon le Commissariat, une personne raisonnable n’estimerait pas acceptable la collecte, l’utilisation ou la divulgation de renseignements personnels dans certaines circonstances. Voici un résumé des « zones interdites » actuelles :

• La collecte, l’utilisation ou la divulgation qui est autrement illégale (p. ex. violation d’une autre loi);
• La collecte, l’utilisation ou la divulgation qui mènerait au profilage ou à la catégorisation donnant lieu à un traitement injuste, contraire à l’éthique ou discriminatoire interdit en vertu de la législation sur les droits de la personne;
• La collecte, l’utilisation ou la divulgation de renseignements personnels à des fins qui causent ou sont susceptibles de causer (selon la prépondérance des probabilités) un préjudice grave à la personne (lésion corporelle, humiliation, dommage à la réputation ou aux relations, perte financière, vol d’identité, effet négatif sur le dossier de crédit, dommage aux biens ou leur perte, et perte de possibilités d’emploi, d’occasions d’affaires ou d’activités professionnelles);
• la publication de renseignements personnels dans le but de réclamer un paiement aux personnes pour retirer ces renseignements (c.-à-d., du chantage);
• l’obligation de communiquer le mot de passe des comptes de médias sociaux aux fins de la sélection des employés;
• la surveillance exercée par une organisation au moyen de fonctions informatiques (p. ex., enregistreur de frappe) ou des fonctions audio ou vidéo de l’appareil appartenant à la personne.

Bien que ces « zones interdites » soient importantes, les organisations ne doivent pas oublier que cette liste n’est ni contraignante ni déterminante ou exhaustive, et qu’une analyse contextuelle est nécessaire aux fins de l’application du paragraphe 5(3). Ce qu’une personne raisonnable considère comme acceptable est un concept souple qui évolue et fera de temps à autre l’objet d’un examen du Commissariat.

Les conséquences pour les organisations assujetties à la LPRPDE

Les documents d’orientation du Commissariat n’ont pas force de loi et ne sont pas contraignants pour les organisations. Toutefois, ils contiennent les attentes claires du Commissariat, les points de référence selon lesquels le Commissariat évaluera les pratiques dans le contexte d’une plainte, d’un audit ou d’une enquête, et se veut une référence pour les organisations souhaitant se conformer à la LPRPDE.

Il est également important de noter qu’au fil du temps, les documents d’orientation précédents du Commissariat, notamment les lignes directrices contenues dans le document intitulé « Communication transfrontalière de renseignements personnels » ont, de fait, établi la norme et les pratiques en vertu de la LPRPDE. Les organisations devraient prendre connaissance des nouveaux documents d’orientation et envisager de prendre les mesures qui s’imposent pour modifier leurs pratiques, au besoin. Par exemple, les organisations qui utilisent des interfaces mobiles et en ligne peuvent se référer au travail déjà accompli relativement à la mise en place d’icônes et de tableaux de bord de confidentialité pour l’obtention de consentements valables. Ces solutions, ainsi que d’autres solutions potentielles, figurent dans le document de discussion du Commissariat intitulé « Consentement et protection de la vie privée ».

Enfin, les organisations qui souhaitent se conformer aux nouvelles lignes directrices dont il est question dans le présent bulletin ne doivent pas oublier les conséquences de ne pas avoir obtenu un consentement valable ou traité l’information de façon acceptable conformément à la LPRPDE. Par exemple, le fait de ne pas avoir obtenu un consentement valable auprès d’un nombre élevé de personnes pourrait miner les bases sur lesquelles sont fondées les principales activités commerciales de l’organisation. De ce fait, les activités de l’organisation risqueraient de devenir non conformes à la LPRPDE en plus de risquer de donner lieu à une action collective pour cause d’atteinte à la vie privée (p. ex. traiter des renseignements personnels à des fins commerciales sans avoir obtenu un consentement valable).

Alex Cameron et Daniel Fabiano sont des associés et Robin Spillette a effectué son stage d’été 2018 auprès du cabinet Fasken Martineau.