Insights Header image
Insights Header image
Insights Header image

Les cinq principales mesures que vous n’appliquez probablement pas (mais que vous devriez) pour vous conformer aux lois canadiennes sur la protection de la vie privée Mesure nº1 : obtention d’un consentement valide

20 août 2024 Bulletin sur la protection de la vie privée et des données Lecture de 4 min

Les lois canadiennes sur la protection de la vie privée et des données sont fondées sur le consentement. Dans le secteur privé, à l’exception de celui de la santé, le consentement exprès ou tacite est toujours requis pour la collecte, l’utilisation ou la communication de renseignements personnels, sous réserve de quelques exceptions qui varient selon la province. Contrairement à d’autres pays, la plupart des lois canadiennes ne reconnaissent pas les « intérêts légitimes », ni même l’« exécution du contrat », comme des fondements légitimes de l’utilisation des renseignements personnels sans obtenir un consentement préalable.

Beaucoup d’organisations savent qu’elles doivent demander le consentement des Canadiens pour traiter leurs renseignements personnels, mais elles ne connaissent pas toutes les règles et restrictions qui doivent être respectées.

Par exemple, aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques LPRPDE »), le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels. Selon l’interprétation du Commissariat à la protection de la vie privée du Canada (le « CPVP »), la LPRPDE interdit aux organisations de se fier à des renseignements « dissimulés » dans une politique de confidentialité ou dans des conditions d’utilisation. Toutefois, certains éléments clés doivent plutôt être portés à l’attention des personnes concernées, notamment 1) la nature des renseignements personnels collectés, 2) les parties auxquelles ils seront communiqués, 3) les fins auxquelles ils seront collectés, utilisés et communiqués ainsi que 4) le risque de préjudice et d’autres conséquences.

Certains équivalents provinciaux à la LPRPDE prévoient également des exigences de validité applicables au consentement. Notamment, la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la « Loi du Québec ») prévoit i) que le consentement doit être manifeste, libre, éclairé et être donné à des fins spécifiques, ii) qu’il est demandé à chacune de ces fins, en termes simples et clairs, iii) que lorsque la demande de consentement est faite par écrit, elle doit être présentée distinctement de toute autre information communiquée à la personne concernée, et iv) que le consentement ne vaut que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé. Tout comme le CPVP, la Commission d’accès à l’information du Québec (« CAI ») a publié des lignes directrices détaillées sur l’obtention d’un consentement valide. Entre autres choses, la CAI a indiqué que le consentement doit être « granulaire ». Par conséquent, si l’utilisation et la communication des renseignements personnels visent plusieurs fins, le consentement doit être demandé séparément pour chacune d’elles (c’est-à-dire qu’on ne peut proposer comme seul choix d’accepter ou de refuser en bloc toutes les utilisations et communications).

Les lignes directrices publiées par le CPVP et la CAI énoncent d’autres critères d’obtention du consentement obligatoires et recommandés que les organisations doivent prendre en compte lorsqu’elles élaborent leurs stratégies canadiennes de consentement.

Les exigences de base relatives à la validité du consentement ne sont que la pointe de l’iceberg. Voici d’autres éléments que vous ne savez peut-être pas au sujet du consentement :

  • Bien que ce dernier puisse parfois être présumé ou tacite, les circonstances dans lesquelles il est permis varient d’un territoire à l’autre. Le consentement tacite doit toujours être « éclairé », de sorte qu’un avis sur la protection des renseignements personnels conforme à la loi demeure habituellement requis.
  • Le consentement ne peut pas rectifier un traitement déraisonnable des données. Les organisations doivent recueillir, utiliser ou communiquer des renseignements personnels à des fins raisonnables (ou, au Québec, à des fins sérieuses et légitimes), que le consentement ait été obtenu ou non.
  • Les organisations ne peuvent exiger le consentement à toute collecte, utilisation ou communication non essentielle de renseignements personnels comme condition à la fourniture d’un produit ou de services.
  • Elles doivent s’assurer de la validité et du caractère suffisant du consentement d’une personne, même si une autre organisation obtient le consentement en leur nom. Cet élément est particulièrement pertinent pour les fournisseurs de services, qui confient souvent par contrat la responsabilité de l’obtention du consentement à leurs clients qui ont établi une relation directe avec les personnes concernées (voir le Rapport de conclusions d’enquête en vertu de la LPRPDE nº 2019-004).

Mesures à prendre

Le consentement est une question complexe. Pour obtenir un consentement adéquat, votre organisation doit 1) confirmer que le consentement est obtenu pour chaque collecte, utilisation et communication de renseignements personnels et qu’un consentement actualisé sera recueilli pour toute nouvelle utilisation ou communication de tels renseignements après la collecte ou vérifier qu’il existe une exception autorisée dans tous les territoires concernés; 2) examiner le caractère suffisant des modalités contractuelles et des activités de surveillance lorsqu’elle fait appel à une autre organisation pour demander le consentement; 3) examiner et mettre à jour les processus de consentement pour qu’ils soient conformes aux récentes modifications législatives et aux indications réglementaires; 4) mettre en œuvre un processus de documentation et de conservation des données de consentement, y compris des périodes de conservation définies pour ces données; 5) élaborer un processus de réponse à tout retrait de consentement; 6) établir une politique et des procédures de gestion des consentements; et 7) former les employés aux exigences en la matière et aux processus de consentement.

L’équipe du groupe Protection de la vie privée et des données de McMillan peut aider votre organisation à adopter les mesures ci-dessus. Communiquez avec votre représentant de McMillan pour obtenir le soutien dont votre organisation a besoin pour respecter ces exigences essentielles de la législation sur la protection de la vie privée.

par Lyndsay Wasser et Kristen Pennington

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2024

Perspectives (5 Posts)Voir Plus

Featured Insight

Le délai de mise en conformité applicable aux cryptoactifs arrimés à une valeur est à nouveau prolongé : les derniers développements en matière de réglementation des cryptomonnaies stables

Le 26 septembre 2024, les ACVM ont annoncé une nouvelle prolongation du délai de mise en conformité applicable aux cryptomonnaies stables et autres cryptoactifs.

Lire plus
8 Nov, 2024
Featured Insight

Le Canada propose des exigences plus strictes en matière de chaîne d’approvisionnement pour lutter contre le travail forcé et le travail des enfants

Le gouvernement du Canada a lancé des consultations publiques sur l’élargissement de l’interdiction d’importation de marchandises produites par le travail forcé.

Lire plus
5 Nov, 2024
Featured Insight

Une nouvelle éco-taxe à Mont-Tremblant vise la construction immobilière

Une municipalité québécoise vient d'adopter une écotaxe applicable à la construction de nouveaux bâtiments pour compenser l'impact sur le stockage de carbone

Lire plus
5 Nov, 2024
Featured Insight

Webinaires de FPC pour les conseillers/conseillères juridiques d’entreprise 2024: La solidarité en action : promouvoir une culture inclusive en milieu de travail (traduction libre)

Au cours de ce webinaire, Sonia Kang, Ph. D., Rotman School of Management, s’appuiera sur son expertise dans l’étude du comportement organisationnel pour explorer des mesures et des stratégies pratiques qui permettront aux participant.e.s d’établir des liens solidaires significatifs et de créer une culture inclusive en milieu de travail.

Détails
Le 9 décembre 2024
Featured Insight

Les mécanismes d’ajustement carbone aux frontières — l’avenir de la politique mondiale en matière de carbone ?

En ajoutant aux marchés des considérations relatives à l’intensité du carbone, les MACF introduisent des complications dans le secteur de l’énergie, ce qui a une incidence sur la conformité à l’échelle nationale et la compétitivité internationale.

Lire plus
4 Nov, 2024