« Je consens (sous réserve de ce que le commissaire à la protection de la vie privée juge valable) » : feuille de route sur le consentement valable en 2019, à l’intention du secteur privé

« [Le] caractère privé des renseignements personnels […] [est] souvent assimilé à la confidentialité. Il comprend également, en matière informationnelle, la notion connexe, mais plus large, de contrôle, d’accès et d’utilisation. » – R. c. Spencer, 2014 CSC 43 au par. 39 et 40.

Compte tenu de l’entrée en vigueur des Lignes directrices pour l’obtention d’un consentement valable (les « lignes directrices ») en date du 1er janvier 2019, les entreprises du secteur privé exerçant des activités au Canada seront vraisemblablement appelées à modifier leurs pratiques et à réviser leurs politiques de manière fondamentale afin de se conformer à la loi.

Selon les lignes directrices publiées par le Commissariat à la protection de la vie privée du Canada (le « CPVP »), l’obtention du consentement valable nécessitera une transparence accrue quant à la manière de recueillir, d’utiliser et de communiquer des données. Le CPVP souligne également que le « consentement explicite » est celui qui s’applique par défaut, alors que le consentement implicite suffira uniquement dans certains cas bien précis.

Aujourd’hui, le consentement doit être éclairé, volontaire et valable. Mais qu’est-ce que cela signifie concrètement?

Le consentement valable est éclairé par le contexte, ce qui laisse aux entreprises la possibilité de recourir à une réponse plutôt générique, du genre « tout dépend des circonstances ». Cependant, il ressort clairement des lignes directrices que le CPVP n’acceptera pas les politiques truffées de jargon juridique. Les entreprises devront donc aller au-delà de la simple inclusion de clauses en petits caractères que peu de consommateurs ont le temps, l’énergie ou l’envie de lire.

Même s’il faudra attendre que les lignes directrices aient été appliquées et interprétées pour connaître les exigences exactes du CPVP, nous encourageons les organisations du secteur privé à revoir leurs politiques et pratiques dès maintenant en vue de mettre en œuvre les pratiques exemplaires imposées par le CPVP.

Contexte : « l’attente raisonnable quant au respect de la vie privée » et le « consentement valable » au sens de la Loi canadienne

De nos jours, il est considéré comme évident que la collecte, l’utilisation et la communication des renseignements personnels des consommateurs font partie intégrante du développement d’une entreprise. Toutefois, la définition de « consentement » relative à la collecte, l’utilisation et la communication de tels renseignements est pour sa part plutôt nébuleuse.  

Compte tenu de la facilité à partager les renseignements personnels et de la capacité de le faire à la vitesse de l’éclair, il serait facile d’affirmer que l’importante quantité de renseignements dont disposent les entreprises reflète le fait que les consommateurs ont volontairement abandonné le contrôle des renseignements qu’ils leur communiquent.

Bien au contraire, cette théorie a été rejetée par la Cour suprême du Canada, celle-ci ayant reconnu que le caractère privé des renseignements personnels comprend, en matière informationnelle, « la notion connexe, mais plus large, de contrôle, d’accès et d’utilisation »[1].

En outre, la Cour suprême du Canada a récemment publié plusieurs décisions dans le contexte du droit criminel, lesquelles portent sur la question de l’attente raisonnable quant au respect de la vie privée. Ces arrêts établissent également des principes directeurs quant à la portée du consentement implicite et aux circonstances dans lesquelles un particulier sera réputé avoir « renoncé » à ses droits en matière de vie privée. Même s’il est question ici de jurisprudence dans le domaine du droit criminel, les principes et les sujets de vaste portée qui y sont traités contiennent néanmoins des renseignements utiles pour le secteur privé. 

Il convient donc de souligner quelques affaires en matière de vie privée qui ont été publiées au cours des années récentes, et dont les principes sont reflétés dans les nouvelles lignes directrices du CPVP :

  • R. c. Reeves, 2018 CSC 56 : un particulier peut avoir une attente raisonnable quant au respect de sa vie privée à l’égard d’un appareil partagé (en l’espèce, un ordinateur). Il ressort de cet arrêt que le consentement d’un utilisateur à communiquer aux autorités des renseignements stockés dans un ordinateur n’annule pas l’attente raisonnable du co‑utilisateur quant au respect de sa vie privée. « La renonciation par un titulaire de droits ne constitue pas une renonciation pour tous les titulaires de droits » (par. 52). Les organisations doivent être sensibles à cette décision, celle-ci ayant une incidence sur la notion du consentement dans le secteur privé et sur certaines pratiques, comme l’exploration de comptes de médias sociaux en vue d’extraire des renseignements portant sur les « amis », l’utilisation de programmes de recommandation invitant les gens à fournir les coordonnées d’autres personnes, ainsi que la gestion de comptes joints entre conjoints et entre les membres d’une famille.
  • Royal Bank of Canada c. Trang, 2016 CSC 50 : la Cour a convenu que les renseignements financiers sont « généralement des renseignements extrêmement sensibles », mais a toutefois affirmé que le degré de sensibilité est contextuel et doit être évalué en fonction des renseignements financiers connexes qui sont déjà du domaine public. Dans cette affaire, « le consentement visant à aider le shérif à donner suite à un bref de saisie‑exécution a été donné implicitement au moment où l’hypothèque a été consentie » (par. 49), ce qui autorisait donc une première banque à communiquer l’état de mainlevée d’hypothèque à une deuxième banque.
  • R. c. Marakah, 2017 CSC 59 : l’absence de contrôle ne porte pas un coup fatal à la reconnaissance d’un intérêt en matière de vie privée. Même si cette décision portait sur des messages textes échangés entre des coaccusés, la Cour a néanmoins confirmé que les particuliers peuvent exercer « un véritable contrôle sur l’information qu’ils envoient par message texte en décidant de la manière dont ils la divulguent ainsi que du moment où ils le font et à qui ils la divulguent » (par. 39).

Vue d’ensemble des lignes directrices : principes obligatoires et facultatifs à mettre en œuvre au sein du secteur privé

Dans les lignes directrices, le Commissaire à la protection de la vie privée énonce sept (7) principes en vue de souligner plusieurs indices permettant de démontrer le consentement valable. Les critères présentés tiennent compte de l’évolution de la technologie ainsi que des attentes des consommateurs quant au respect de leur vie privée à l’égard des données.  

Certaines des lignes directrices sont obligatoire et, afin de s’y conformer, bon nombre d’entreprises du secteur privé devront procéder à la révision (ou à la révision partielle à tout le moins) de leurs pratiques et politiques en matière de vie privée. Les autres lignes directrices sont plutôt présentées comme des principes qui devraient être respectés. En pratique, il semble y avoir un chevauchement considérable entre les principes obligatoires et les principes facultatifs. Par conséquent, il convient de se pencher sur la mise en œuvre de tous les principes dans la mesure où ils ont une incidence sur l’entreprise et sur ses pratiques de gestion de l’information. Afin de simplifier la consultation des principes, nous vous présentons ci-dessous un résumé de ces derniers :

(1) Mettre l’accent sur les éléments clés du consentement (obligatoire) : ce principe oblige les organisations à mettre davantage l’accent sur les éléments suivants lorsqu’elles cherchent à obtenir le consentement des consommateurs :

  • Indiquer précisément les renseignements personnels qui seront recueillis afin de mieux informer le consommateur;
  • Énumérer les tiers auxquels les renseignements personnels seront communiqués;
  • Expliquer les fins auxquelles les renseignements personnels seront recueillis, utilisés ou communiqués. Il faut éviter d’employer des formulations vagues. Les organisations « devraient établir une distinction entre les fins qui sont essentielles à la prestation d’un service et celles qui ne le sont pas »; et
  • Expliquer les risques de préjudice et les autres conséquences : on entend par « risque important » un risque supérieur à une possibilité minimale ou à une simple possibilité. « La notion de “préjudice grave” comprend notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles, la perte financière et le vol d’identité, l’effet négatif sur le dossier de crédit et le dommage aux biens ou leur perte. » Ce genre de conséquence doit être clairement définie afin que les individus soient au courant des risques qui persistent après qu’une organisation a appliqué des mesures d'atténuation en vue de minimiser les risques.

(2) Permettre aux individus de déterminer à quel point et quand ils souhaitent obtenir de l’information détaillée (facultatif) : l’information doit être présentée par couches, ou par un autre moyen appuyant le contrôle de l’utilisateur, de façon à résumer les points principaux dès le début. Une fois fourni, le consentement ne devrait pas être éternel : tout au long de la relation d’affaires, les individus devraient avoir le choix de décider s’ils veulent maintenir leur consentement ou le retirer.  

(3) Donner clairement aux individus la possibilité de choisir « oui » ou « non » (obligatoire) : les organisations doivent indiquer clairement si la collecte, l’utilisation ou la communication de renseignements constituent une condition de service. Le consommateur doit avoir le choix de consentir ou pas. Si elles sont présentées comme obligatoires, la collecte, l’utilisation ou la communication de renseignements personnels doivent être essentielles à la fourniture du produit ou du service.

(4) Faire preuve d’innovation et de créativité (facultatif) : en ce qui concerne les politiques de confidentialité, évitez de transposer en ligne les politiques imprimées de l’organisation. Tirez plutôt parti des interfaces mobiles personnalisées. D’usage convivial, celles-ci sont constituées d’outils et d’avis interactifs en ligne qui expliquent pourquoi un renseignement est demandé (par exemple l’âge ou l’emplacement d’un individu).

(5) Prendre en compte la perspective du consommateur (obligatoire) : le consentement et l’accessibilité sont des notions primordiales lorsqu’il s’agit de communiquer avec les utilisateurs. L’information devrait être accessible à l’ensemble de l’auditoire cible, et ce, à partir d’une variété d’appareils. 

(6) Faire du consentement un processus dynamique et continu (obligatoire) : le consentement n’est pas un processus statique, mais dynamique. À titre d’exemple, lorsqu’une organisation revoit ses pratiques de protection de la vie privée, elle doit en informer les utilisateurs et obtenir leur consentement avant la date d’entrée en vigueur des changements prévus.

À noter que le CPVP préconise la vérification périodique des pratiques de gestion de l’information, sans pour autant en faire une obligation.

(7) Être responsable et se tenir prêt à démontrer en tout temps sa conformité (facultatif) : les organisations doivent se tenir prêtes à démontrer leur conformité aux organismes de réglementation de la protection de la vie privée [2].

Quoique ces principes paraissent plutôt généraux, ils ont été élaborés en vue de fournir une marge de manœuvre aux organisations et de permettre à ces dernières d’exercer leur discrétion pour déterminer les formes de consentement qu’il convient d’obtenir en fonction du type d’information à recueillir.

Afin de déterminer quel type de régime de consentement s’applique selon les circonstances, les organisations feront bien de prendre en compte la nature de l’information à recueillir, utiliser ou communiquer. Par exemple, même si aux termes de la loi canadienne l’information portant sur la santé, le bien-être financier, ou la religiosité n’est pas considérée comme « sensible » et qu’il n’est donc pas obligatoire d’obtenir un consentement explicite à cet égard, dans la plupart des contextes, ce genre d’information sera raisonnablement considéré comme étant sensible. En outre, lorsque des renseignements sont compilés et analysés, le résultat peut parfois s’avérer révélateur quant aux prédispositions et aux valeurs d’un consommateur (voir à titre d’exemple R. c. Spencer, 2014 CSC 43). Le cas échéant, l’information devient sensible compte tenu du contexte et en raison de la façon dont elle a été compilée et utilisée.

Conséquences pratiques

Les lignes directrices reflètent une appréciation normative de la rapidité avec laquelle il est possible d’obtenir des renseignements et de les utiliser subséquemment à des fins différentes. Elles servent de rappel à l’intention du secteur privé, en soulignant que le fait de pouvoir recueillir, utiliser et communiquer des renseignements n’annule pas l’intérêt d’un individu en matière de vie privée ni sa capacité à retirer son consentement.

Sur le plan pratique, les lignes directrices inciteront les organisations à porter un regard plus critique sur leurs politiques et à simplifier le jargon juridique qu’on y retrouve en vue de les rendre compréhensibles pour les utilisateurs, qui préfèrent effectuer des transactions rapides sans avoir à se soucier des clauses en petits caractères. Les lignes directrices seront bien sûr appliquées par le CPVP, mais qui plus est, on s’attend à ce qu’elles changent la perception des consommateurs quant au niveau de transparence des organisations avec lesquelles ils interagissent. Les organisations offrant un régime de consentement moins volumineux, facilement accessible, récupérable tout au long de l’interaction, et compréhensible, peuvent s’attendre à de bons résultats avec les consommateurs, ces derniers étant fréquemment appelés à fournir des renseignements en échange de services.

Point important à garder en tête quant au choix du régime de consentement, les organisations peuvent faire la collecte, l’utilisation ou la communication de renseignements seulement à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. La notion d’« acceptable » demeure fluide afin de s’adapter à l’évolution et au changement des structures organisationnelles, des demandes du marché, et des valeurs des consommateurs. Ceci dit, le CPVP semble être d’avis que la collecte, l’utilisation et la communication de renseignements personnels risquent de dépasser le seuil d’« acceptabilité » lorsqu’on demande au consommateur de consentir à une collecte, une utilisation ou une communication de renseignements, « au-delà de ce qui est nécessaire pour fournir le produit ou le service [3] ». À cet égard, on dispose donc d’un critère objectif et vérifiable quant à la notion d’acceptabilité.

Nous vous invitons à voir la mise en œuvre des lignes directrices comme un mécanisme qui aidera votre organisation à être perçue comme transparente et digne de confiance aux yeux des consommateurs. La publication des lignes directrices du CPVP arrive à point nommé, car aujourd’hui, les consommateurs portent une attention accrue à la protection de leur vie privée et l’on constate une faible tolérance pour les politiques et pratiques nébuleuses.

Avertissement : le contenu du présent article ne constitue pas un avis juridique. L’article vise uniquement à fournir des renseignements aux consommateurs et aux entreprises. À mesure que les mécanismes de collecte des données deviennent de plus en plus sophistiqués, vous pourriez avoir besoin de conseils plus précis et nuancés. Pour obtenir un avis juridique, n’hésitez pas à contacter notre équipe de protection des renseignements personnels et des données.  


[1] R. c. Spencer2014 CSC 43 au par. 40.

[2] Commissariat à la protection de la vie privée du Canada, Lignes directrices pour l’obtention d’un consentement valable, en ligne : https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/collecte-de-renseignements-personnels/consentement/gl_omc_201805/. Voir aussi les différences entre le consentement explicite et le consentement implicite telles que soulignées dans les lignes directrices.

[3] Ibid.