Consentement valable : une norme en évolution en vertu de la loi canadienne sur la protection des renseignements personnels

20 septembre 2019

Écrit par Ruth Promislow, Stephen Burns and Michael Whitt

À mesure que le paysage numérique évolue et que la banalisation des renseignements personnels augmente, les attentes quant à ce qui constitue un consentement approprié pour la collecte, l’utilisation et la communication de renseignements personnels au Canada évoluent également et deviennent plus onéreuses.

Avec l’annonce de Charte canadienne du numérique, le gouvernement fédéral a pris des mesures pour renforcer le droit à la vie privée des Canadiennes et des Canadiens en identifiant 10 principes clés, dont l’un est le « consentement et le contrôle ». Plus précisément :

Les Canadiens auront le contrôle sur les données qu’ils partagent, qui utilise leurs données personnelles et à quelles fins, et sauront que leur vie privée est protégée.

L’accent mis sur l’amélioration du contrôle des Canadiennes et des Canadiens sur leurs renseignements personnels et leur vie privée s’harmonise avec les récentes décisions et orientations du commissaire à la protection de la vie privée du Canada et laisse présager certains des changements probables à la Loi sur la protection des renseignements personnels et les documents électroniques (Canada) (LPRPDE) qui découleront de la modernisation prévue de la LPRPDE (désignée comme l’une des premières étapes de la mise en œuvre de la Charte du numérique du Canada).

La proposition de modernisation met l’accent (entre autres) sur le consentement valable. Pour régler ce problème, il est proposé que les organisations soient tenues de fournir aux personnes les renseignements dont elles ont besoin pour prendre des décisions éclairées, y compris l’exigence de renseignements précis, normalisés et en langage clair sur l’utilisation prévue des renseignements personnels, les tiers avec lesquels les renseignements personnels seront communiqués, et l’interdiction de regrouper le consentement dans un contrat.

Cette proposition est conforme à un certain nombre de développements récents dans l’évolution des exigences de consentement liées à la protection de la vie privée au Canada. Par exemple:

• Mai 2018 : Lignes directrices du Commissariat à la protection de la vie privée du Canada (CPVP) identifié plusieurs principes qui sous-tendent un consentement valable, y compris la nécessité de fournir au consommateur des renseignements sur : (1) les renseignements personnels recueillis; (2) avec quelles parties les informations personnelles sont partagées; (3) les fins auxquelles les renseignements personnels sont recueillis, utilisés ou communiqués; et (4) le risque potentiel de préjudice et d’autres conséquences découlant de la collecte, de l’utilisation ou de la communication.
• Avril 2019 : Rapport du CPVP concernant l’atteinte très médiatisée impliquant Equifax Inc., dans laquelle le CPVP a adopté une position similaire sur la question du consentement. Voici les principaux faits saillants du rapport du Cpvp :
  • L’objectif principal de la disposition sur le consentement de la LPRPDE est de « habiliter les Canadiens à faire des choix quant à savoir qui possède leurs renseignements personnels et pourquoi ».
  • Le transfert de renseignements personnels à la société mère d’Equifax Canada aux États-Unis constituait une divulgation à un tiers.
  • Compte tenu de la sensibilité des renseignements, un « consentement plus solide et plus exprès » était requis.
  • Les personnes doivent recevoir suffisamment de renseignements pour comprendre la nature, l’objet et les conséquences de la collecte, de l’utilisation ou de la communication de leurs renseignements personnels pour pouvoir y consentir.
  • Fournir des renseignements adéquats à la personne sur les choix disponibles est un élément clé du consentement valide.
• Avril 2019: Le OPC a publié son rapport sur l’affaire Facebook/Cambridge Analytica, qui portait (entre autres) sur la question du consentement valide et valable. Voici les points saillants du rapport Facebook :
  • Les organisations doivent informer les personnes de leurs pratiques en matière de protection de la vie privée d’une manière claire, complète et compréhensible. Ces renseignements doivent être présentés de manière à ce que les utilisateurs disposent de l’information et du contexte pertinents pour prendre une décision éclairée avant ou au moment où leurs renseignements personnels sont recueillis, utilisés ou communiqués.
  • Les utilisateurs doivent être informés des renseignements personnels particuliers qui peuvent être divulgués, à qui ils peuvent être divulgués et à quelles fins précises. Une déclaration générale et vague concernant l’utilisation potentielle n’est pas suffisante. Plus particulièrement, il ne suffira pas d’obtenir à l’avance un consentement général pour la divulgation qui pourrait survenir des années plus tard à des tiers inconnus à des fins inconnues.
  • Si une organisation compte sur un tiers pour obtenir ce consentement, elle doit prendre des mesures raisonnables pour s’assurer que le tiers obtient effectivement un consentement valable.
  • Il est important de noter qu’en réponse au refus de Facebook de mettre en œuvre les changements recommandés, le CPVP a annoncé son intention de poursuivre Facebook en justice pour obtenir une ordonnance visant à forcer l’entreprise à modifier ses pratiques en matière de protection de la vie privée.

Cette séquence d’événements s’effectue dans le contexte de la consultation du CPVP sur la question de savoir si le consentement devrait être requis pour les transferts de renseignements personnels aux fins de traitement. Cette consultation, annoncée pour la première fois en avril 2019 et mis à jour en juin 2019, met l’accent sur la façon dont les lignes directrices du CPVP sur le consentement pourraient devoir être mises à jour par rapport à leur position précédemment énoncée (datant de 2009).

Cette tendance ne se limite pas au CPVP; Le commissaire à la concurrence nouvellement nommé du Canada a commenté que le Bureau de la concurrence du Canada envisage de poursuivre les fabricants d’applications qui utilisent des données personnelles sans consentement clair et que le plafond de 10 millions de dollars sur les amendes pour pratiques trompeuses pourrait ne pas être approprié pour ce genre de vie privée violations.

La participation potentielle du commissaire à la concurrence dans la réglementation des questions concernant l’information, les données, l’utilisation abusive des données et la collecte de renseignements personnels n’est pas surprenante, en particulier compte tenu de l’examen minutieux des atteintes à la vie privée par la Federal Trade Commission des États-Unis en vertu de son pouvoir parallèle de réglementer les pratiques déloyales et trompeuses.

Cette activité récente démontre que l’on met de plus en plus l’accent sur la question du consentement et que le consentement est devenu un thème central pour faire progresser le Canada vers une approche plus moderne en matière de protection de la vie privée.

Par conséquent, les organisations sont bien avisées d’examiner leurs pratiques actuelles en matière de consentement à la lumière de cette tendance en évolution et d’examiner les mesures qui pourraient être nécessaires pour respecter cette norme de maturation. Il n’est pas seulement important de prêter attention aux attentes réglementaires pour rester à l’adeux de vos obligations; elle est également essentielle à la gestion des risques liés aux litiges.

Auteur(e)s