Passer au contenu principal
Bulletin

Survol des lignes directrices sur la validité du consentement au Québec

Fasken
Temps de lecture 15 minutes
S'inscrire
Partager

Aperçu

Bulletin Protection des renseignements confidentiels, vie privée et cybersécurité

Le 31 octobre 2023, la Commission d’accès à l’information (la « CAI ») a publié la version finale des Lignes directrices 2023-1 – Consentement : critères de validité, suivant une consultation publique à laquelle Fasken a participé (pour consulter notre mémoire, dont plusieurs des recommandations ont été retenues, cliquez ici). Ces lignes directrices visent à faciliter l’application des lois sur la protection des renseignements personnels en matière de consentement[1]. Plus particulièrement, elles ont pour objet de :

  • favoriser la compréhension des critères à respecter pour obtenir un consentement valide;
  • clarifier les obligations des organisations dans l’obtention d’un tel consentement;
  • recenser des bonnes pratiques qui favorisent le respect du droit à la vie privée des personnes[2].

Le Document de rétroaction « Consultation sur le projet de Lignes directrices 2023-1 – Consentement : critères de validité » fourni par la CAI avec la version finale des lignes directrices est un outil d’intérêt pour les interpréter[3]. Il résume notamment les commentaires sur le projet de lignes directrices publié en mai 2023 dont la CAI a tenu compte dans le cadre de sa rédaction.

D’emblée, les lignes directrices font tantôt référence à des obligations, tantôt à des bonnes pratiques, marquées respectivement par la couleur bleue et verte. Le présent bulletin traite surtout des obligations, et ce, autant pour le secteur privé que public.

Le schéma disponible ci-dessous présente les questions à se poser pour cerner les situations qui demandent d’obtenir un consentement et pour s’assurer de sa validité, selon les lignes directrices de la CAI.

CLIQUEZ ICI POUR TÉLÉCHARGER LE SCHEMA (PDF 124 KO)

 

1. Quand faut-il obtenir un consentement?

Cycle de vie du consentement

Comme pour les autres obligations prévues aux lois sur la protection des renseignements personnels, il importe d’envisager l’application de chaque exigence liée au consentement selon l’étape du cycle de vie.

Portée des lignes directrices

Dans ses lignes directrices, la CAI part du principe selon lequel, sauf exception[4], les lois québécoises n’encadreraient pas la collecte de renseignements personnels par le consentement, et ce, contrairement à d’autres lois canadiennes. En effet, selon la CAI, les exigences de consentement ne semblent s’appliquer qu’au stade de l’utilisation et de la communication des renseignements personnels. Ainsi, les lignes directrices ne viseraient pas le consentement obtenu lors de la collecte grâce à l’obligation de transparence prévue par la loi[5].

Cette posture surprend, considérant que les lignes directrices indiquent porter « sur les critères de validité du consentement ». Si on tient compte des commentaires de la CAI, les lignes directrices n’encadreraient pas le mécanisme le plus communément utilisé pour obtenir un consentement, soit celui applicable lors de la collecte (voir notre mémoire, recommandation 4, à la page 4).

En effet, selon la CAI, une organisation devrait se contenter de respecter les obligations suivantes lors de la collecte :

Nécessité. Avant de recueillir des renseignements personnels, une organisation doit d’abord respecter le critère de nécessité. Cela sous-tend que toutes les conditions suivantes soient réunies :

  • L’ objectif en lien avec la collecte est légitime, important et réel;
  • La collecte des renseignements est rationnellement liée aux objectifs, c’est-à-dire que l’atteinte à la vie privée est proportionnelle à cet objectif;
  • L’ atteinte au droit à la vie privée est minimisée.  Autrement dit, il n’existe pas d’autres moyens d’atteindre les mêmes objectifs d’une façon qui porte moins atteinte à la vie privée[6].

Transparence. Ensuite, l’organisation doit satisfaire à l’obligation de transparence en fournissant des informations précises et complètes à la personne concernée lorsque la collecte se fait auprès d’elle[7]. Une fois informée adéquatement, la personne concernée qui fournit ses renseignements personnels est présumée consentir à l’utilisation et à la communication de ses renseignements personnels pour les « fins primaires » ainsi annoncées[8].

Distinction entre fins primaires et secondaires

Selon la CAI, l’obligation d’obtenir un consentement serait intimement liée à la distinction entre les fins « primaires » et « secondaires ». D’emblée, la loi ne fait aucunement référence à ces concepts et ne les définit pas. Ainsi, les placer au cœur des lignes directrices est donc surprenant. Pourtant essentielles, les définitions de « fins primaires » et « fins secondaires » proposées soulèvent des difficultés d’application.

Dans le glossaire, les lignes directrices suggèrent qu’une fin primaire correspond à une finalité qui concerne la fourniture d’un service, d’un produit ou à l’accès à un emploi et qui est annoncée au moment de la collecte. Toujours selon la CAI, les finalités secondaires désignent toutes les autres fins poursuivies par une organisation. Les définitions proposées créent une confusion importante. Par exemple, le fait d’annoncer une finalité qui « concerne la fourniture d’un produit ou d’un service » (comme la prospection commerciale) au moment de la collecte suffirait-il à en faire une finalité primaire, et ce, même si les renseignements utilisés aux fins de cette prospection sont de nature sensible? Cela nous semble contraire à l’esprit de la loi et surpasser les attentes raisonnables des personnes concernées.

La notion de fin primaire mériterait d’être clarifiée pour que l’utilisation ou la communication projetée soit essentielle à la fourniture d’un produit ou d’un service demandé par la personne , laquelle peut alors, logiquement, faire l’objet d’un consentement présumé[9] (voir notre mémoire, recommandation 2, à la page 2). De plus, le moment où est présentée la finalité ne devrait pas avoir d’impact sur la qualification de la finalité comme primaire ou secondaire, à notre sens.

Application des lignes directrices aux fins secondaires

De ce qui précède, nous comprenons qu’une organisation devrait obtenir un consentement qui satisfait aux huit critères de validité décrits dans les lignes directrices dans les seuls cas où elle souhaite utiliser ou communiquer des renseignements personnels à des fins secondaires.

De même, une organisation devrait obtenir un consentement qui satisfait à ces critères pour recueillir des renseignements personnels d’un mineur de moins de 14 ans à des fins qui ne sont pas manifestement dans son intérêt et lorsqu’elle veut recueillir des renseignements personnels auprès d’une personne autre que la personne concernée, sans qu’une exception de la loi ne l’autorise[10].

2. La forme du consentement

Dans certaines situations ou selon le contexte, la loi requiert d’obtenir un consentement exprès. Dans les autres cas, une organisation peut donc avoir recours à un consentement implicite.

Consentement exprès

Le consentement est exprès lorsqu’une personne pose un geste actif qui manifeste clairement son accord, par exemple, cocher une case, remplir un formulaire, répondre par l’affirmative à une question, apposer sa signature, effectuer une déclaration devant témoin[11].

Consentement implicite

À l’inverse, un consentement est implicite s’il n’est pas formulé expressément. L’organisation l’infère d’une autre action que pose la personne concernée, de son inaction ou de son silence : par exemple, lorsqu’elle continue d’utiliser les services d’un fournisseur ou qu’elle effectue un achat après avoir été informée d’un changement aux modalités de traitement des renseignements personnels. Une organisation doit informer la personne concernée au préalable qu’elle interprétera cette action, ce silence ou cette inaction comme un consentement. La personne concernée devrait aussi avoir une occasion valable de refuser de consentir ou de retirer son consentement.

Déterminer la forme de consentement appropriée : exprès ou implicite?

À moins de pouvoir s’appuyer sur une exception au consentement, une organisation doit obtenir un consentement exprès dans les cas suivants :

  • Lorsqu’elle souhaite utiliser ou communiquer des renseignements personnels sensibles à une fin secondaire.
  • Lorsqu’elle souhaite utiliser ou communiquer des renseignements personnels à une fin qui dépasse les attentes raisonnables des personnes concernées, selon le contexte.
  • Lorsqu’elle souhaite utiliser ou communiquer des renseignements personnels à une fin qui pourrait présenter un risque de préjudice grave pour la personne concernée.

Si la loi est silencieuse à ce sujet, les notions d’attentes raisonnables et de risque de préjudice découleraient d’un jugement de la Cour suprême du Canada[12].

Dans les autres cas, une organisation peut s’appuyer sur un consentement implicite. Cela dit, la CAI précise que les cas pour lesquels le consentement implicite à une finalité secondaire est réellement opportun sont susceptibles d’être plus rares[13].

3. Les critères de validité du consentement

Lorsque la loi exige d’obtenir un consentement et que les lignes directrices s’appliquent, le consentement doit satisfaire aux huit critères suivants, sans quoi il ne sera pas valide. Le consentement doit ainsi être :

Manifeste

Il doit être évident et donné d’une façon qui démontre la volonté réelle de la personne concernée.

Libre

Une personne doit être en mesure de faire un choix sans contrainte ou pression. Donner son consentement devrait être aussi facile que ne pas le donner. Les organisations doivent donc permettre aux personnes de refuser les finalités secondaires sans influence sur l’entente initiale qui accorde l’accès à un produit ou un service. Dans le cadre d’une relation d’emploi, la CAI suggère qu’une organisation adopte des mesures appropriées à son contexte pour atténuer ce problème si elle doit s’appuyer sur un consentement.

Éclairé

La personne concernée doit comprendre à quoi elle consent et ce que cela implique. L’organisation qui demande le consentement doit lui fournir des informations précises. La CAI recommande de présenter l’information en plusieurs niveaux[14].

Donné à des fins spécifiques

Les buts de l’utilisation ou de la communication de renseignements personnels doivent être définis le plus précisément possible.

Granulaire

Il doit être demandé pour chacune des fins visées. S’il y a plusieurs finalités, le consentement doit être demandé séparément pour chacune d’elles. Dans le cas d’une communication, il faut dresser la liste des tiers ou catégories de tiers qui recevront les renseignements, afin que la personne puisse manifester son accord.

Compréhensible

La demande de consentement doit être présentée en des termes simples et clairs, tant pour les informations fournies que pour la question ou l’énoncé d’acceptation ou de refus.

Temporaire

Il doit être valable pour une durée limitée, soit seulement la durée nécessaire pour accomplir les fins visées par la demande. La limite de durée peut être liée à un délai (par exemple, six mois ou trois ans) ou à un événement (par exemple, dès qu’un paiement est complété). La CAI rappelle que la durée de validité du consentement diffère du délai de conservation des renseignements. Ainsi, la fin de la validité d’un consentement ne coïncide pas toujours avec la destruction du renseignement[15].

 

Pour chaque critère de validité, la CAI a préparé des exemples[16]. Ces derniers sont présentés comme des outils, mais ne « doivent pas être considérés comme la seule solution possible ». Enfin, rappelons qu’en cas de doute ou de conflit avec les lignes directrices, les lois et règlements ont toujours priorité.

Pour plus d'information, vous pouvez consulter notre Centre de ressources Loi 25.


[1] Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ, c A-2.1, art. 123 par. 9.

[2] Voir Sommaire des lignes directrices, p. 2. À noter que les lignes directrices n’expliquent pas les situations qui permettent d’utiliser ou de communiquer des renseignements personnels sans consentement.

[3] La CAI mentionne s’être notamment inspirée des lignes directrices du Commissariat à la protection de la vie privée du Canada et du Comité européen de la protection des données pour rédiger ses propres lignes directrices.

[4] CAI, « Lignes directrices 2023-1 – Consentement : critères de validité », en ligne : https://www.cai.gouv.qc.ca/documents/CAI_LD_Criteres_validite_consentement.pdf , p. 4 (les « Lignes directrices »).

[5] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1 (« Loi sur le privé »), art. 8; Loi sur l’accès, supra note 1, art. 65.

[6] CAI, « La collecte des renseignements », en ligne : https://www.cai.gouv.qc.ca/entreprises/collecte-renseignements/.

[7] Voir Loi sur le privé, supra note 5, art. 8 et suiv., Loi sur l’accès, supra note 1, art. 65 et s.

[8] Lignes directrices, supra note 4, p. 4 et 5 (sections B.3 et B.5) et p. 12, par. 2.3.

[9] Lignes directrices, supra note 4, p. 12 (section 2.3).

[10] Lignes directrices, supra note 4, p. 4 (sections B.5 et B.8).

[11] Voir aussi Secrétariat à la réforme des institutions démocratiques, à l'accès à l'information et à la laïcité, « Consentement exprès : renseignements personnels sensibles », en ligne : https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/consentement/renseignements-personnels-sensibles.

[12] Banque Royale du Canada c. Trang, 2016 CSC 50, en ligne : https://scc-csc.lexum.com/scc-csc/scc-csc/fr/item/16242/index.do?site_preference=normal. Voir aussi les « Lignes directrices pour l’obtention d’un consentement valables », publiées conjointement par le Commissariat à la protection de la vie privée du Canada et les Commissariat à l’information et à la protection de la vie privée de l’Alberta et de la Colombie-Britannique, en ligne : https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/collecte-de-renseignements-personnels/consentement/gl_omc_201805/.

[13] Lignes directrices, supra note 4, p. 11 (section 1.6).

[14] Ibid., p. 15 (section 3.5).

[15] Ibid., p. 20 (section 7.3).

[16] Ibid., p. 23 et s.

Contactez les auteures

Pour plus d'informations ou pour discuter d'un sujet, veuillez nous contacter.

Contactez les auteures

Auteures

  • Kateri-Anne Grenier, Associée | COCHEFFE, PROTECTION DES RENSEIGNEMENTS CONFIDENTIELS, VIE PRIVÉE ET CYBERSÉCURITÉ, Québec, QC, +1 418 640 2040, kgrenier@fasken.com
  • Soleïca Monnier, Avocate, Montréal, QC, +1 514 397 5281, smonnier@fasken.com
  • Iara Griffith, Avocate, Montréal, QC, +1 514 397 7596, igriffith@fasken.com

    Abonnement

    Recevez des mises à jour de notre équipe

    S'inscrire