Note : Cet article a d’abord paru en anglais dans Canadian Privacy Law Review version 15 parution 9 (© LexisNexis Canada Inc., 2018)
Par Alex Cameron, Daniel Fabiano et Robin Spillette
Le 24 mai 2018, le Commissariat Ă la protection de la vie privĂ©e a publiĂ© deux documents d’orientation importants relativement aux activitĂ©s assujetties Ă la Loi sur la protection des renseignements personnels et les documents Ă©lectroniques.
La publication des documents d’orientation mentionnĂ©s ci-dessus s’inscrit dans la foulĂ©e des consultations du Commissariat en matière de consentement et de la rĂ©cente mise Ă jour des lignes directrices relatives Ă l’enregistrement des appels tĂ©lĂ©phoniques des clients. Dans le prĂ©sent bulletin, nous examinerons ces deux documents d’orientation et ferons Ă©tat des consĂ©quences de ces lignes directrices pour les entreprises assujetties Ă la LPRPDE.
Les lignes directrices pour l’obtention d’un consentement valable
Selon les lignes directrices relatives au consentement, les entreprises doivent respecter sept principes directeurs pour obtenir un consentement valable en vertu de la LPRPDE. Voici les sept principes en question :
1. Mettre l’accent sur les Ă©lĂ©ments clĂ©s
Le fait de mettre de l’avant des Ă©lĂ©ments clĂ©s relatifs au consentement (et Ă toute politique de confidentialitĂ© destinĂ©e au public) est susceptible d’aider la personne Ă comprendre les consĂ©quences de donner son consentement et donc contribuer Ă obtenir un consentement valable. Selon les lignes directrices relatives au consentement, les organisations doivent, de façon gĂ©nĂ©rale, mettre davantage l’accent sur les Ă©lĂ©ments suivants :
- Les renseignements personnels qui seront recueillis, utilisĂ©s et divulguĂ©s : Les organisations doivent indiquer aux personnes les renseignements personnels les concernant qui seront recueillis ou qui sont susceptibles de l’ĂŞtre. L’information Ă ce sujet doit ĂŞtre suffisamment prĂ©cise pour permettre aux personnes de bien comprendre ce Ă quoi ils consentent.
- Les fins auxquelles les renseignements personnels seront recueillis, utilisĂ©s ou divulguĂ©s : Les organisations doivent dĂ©crire ces fins avec suffisamment de dĂ©tails pour que les personnes puissent bien comprendre ce Ă quoi on leur demande de consentir. Les descriptions vagues doivent ĂŞtre Ă©vitĂ©es. Toute fin n’Ă©tant pas essentielle Ă la prestation d’un service ou au produit offert et toute utilisation Ă laquelle on ne s’attendrait pas raisonnablement compte tenu du contexte devraient ĂŞtre soulignĂ©es.
- Les tiers auxquels les renseignements personnels seront communiquĂ©s : Lorsque les organisations communiquent des renseignements Ă un nombre important de tiers, ou lorsque les parties sont susceptibles de changer au fil du temps, ces organisations doivent indiquer les types d’organisations auxquelles elles communiqueront des renseignements et offrir la possibilitĂ© aux utilisateurs d’obtenir plus d’information Ă cet Ă©gard. Une attention particulière doit ĂŞtre accordĂ©e Ă toute communication Ă des tiers susceptibles d’utiliser les renseignements Ă leurs propres fins plutĂ´t que pour simplement fournir des services de la part de l’organisation ayant originalement recueilli les renseignements.
- Le risque de prĂ©judice liĂ© Ă la collecte, Ă l’utilisation et Ă la divulgation de renseignements personnels : Les organisations devraient envisager de souligner les prĂ©judices, tant direct qu’indirects (p. ex., l’utilisation non autorisĂ©e des renseignements) risquant de dĂ©couler de l’activitĂ© pour laquelle le consentement est requis. Le risque de prĂ©judice fait rĂ©fĂ©rence Ă tout risque de prĂ©judice important (qui est supĂ©rieur Ă une possibilitĂ© minimale ou Ă une simple possibilitĂ©) en tenant compte des efforts d’attĂ©nuation de l’organisation. Les personnes doivent ĂŞtre au fait des consĂ©quences de donner leur consentement pour que ce consentement soit valable. Cela comprend les risques indirects, comme la possibilitĂ© qu’un tiers utilise les renseignements de façon non autorisĂ©e.
2. Permettre aux personnes de dĂ©terminer Ă quel point elles souhaitent obtenir de l’information dĂ©taillĂ©e
Les organisations doivent communiquer les informations de façon plus gĂ©rable et accessible, et les personnes devraient avoir la possibilitĂ© de dĂ©terminer comment, Ă quel point et quand elles souhaitent obtenir de l’information dĂ©taillĂ©e sur les pratiques de l’organisation en matière de protection de la vie privĂ©e auxquelles elles auraient accès Ă tout moment. L’une des façons de procĂ©der consiste Ă structurer les informations donnĂ©es en couches. Lorsque les informations sont donnĂ©es par couches, les premières informations sont d’ordre plus abstrait, soit de l’information gĂ©nĂ©rale. La personne peut ensuite obtenir plus de dĂ©tails sur des sujets de son choix. En outre, les informations sur la protection des renseignements personnels devraient ĂŞtre facilement accessibles afin que les personnes puissent les consulter Ă nouveau. Cette approche soutient le consentement valable parce qu’elle donne le choix Ă la personne de rĂ©examiner le consentement donnĂ© et possiblement le retirer si elle s’oppose aux pratiques de l’organisation.
3. Donner clairement aux personnes la possibilitĂ© de choisir « oui » ou « non »
Les organisations ne doivent pas exiger des personnes qu’elles consentent Ă la collecte, Ă l’utilisation ou Ă la divulgation de renseignements personnels au-delĂ de ce qui est nĂ©cessaire pour fournir le produit ou le service. Pour que la collecte, l’utilisation ou la divulgation constitue une condition de service valide, elle doit ĂŞtre essentielle Ă la fourniture de ce produit ou de ce service (c’est-Ă -dire qu’elle est nĂ©cessaire pour rĂ©aliser les fins lĂ©gitimes prĂ©cisĂ©es explicitement). Dans les cas oĂą d’autres informations doivent ĂŞtre recueillies en obtenant le consentement (explicite ou implicite), les personnes doivent pouvoir choisir de donner ou non leur consentement Ă la collecte de ces renseignements supplĂ©mentaires, et ce choix doit ĂŞtre clair et accessible, sauf si une exception s’applique au consentement.
4. Faire preuve d’innovation et de crĂ©ativitĂ©
Les organisations ne devraient pas se contenter de simplement transposer en format numĂ©rique les politiques imprimĂ©es qu’elles utilisent hors ligne; elles devraient plutĂ´t faire preuve d’innovation en ce qui a trait Ă l’obtention du consentement. Par exemple, les avis « juste-Ă -temps » constituent une autre façon permettant d’obtenir le consentement « d’emblĂ©e ». Par exemple, si, plutĂ´t que de demander l’accès Ă la gĂ©olocalisation dès son installation, une application de tĂ©lĂ©phone cellulaire demande ce consentement la première fois que l’utilisateur tente d’utiliser l’application d’une façon pour laquelle la gĂ©olocalisation est requise, cela donne plus de contexte Ă l’utilisateur, qui aura une meilleure idĂ©e des renseignements recueillis et de la raison de cette collecte de donnĂ©es. D’autres outils interactifs tels que les vidĂ©os ou des prĂ©sentations sur lesquelles cliquer qui expliquent les politiques relatives Ă la protection des renseignements personnels, ainsi que les interfaces mobiles, peuvent Ă©galement ĂŞtre utilisĂ©s. Des renseignements supplĂ©mentaires relatifs aux applications mobiles se trouvent dans le document d’orientation du Commissariat intitulĂ© : Une occasion Ă saisir : DĂ©velopper des applis mobiles dans le respect du droit Ă la vie privĂ©e.
5. Prendre en compte la perspective du consommateur
Afin de s’assurer que les consentements et les informations concernant la protection de la vie privĂ©e sont conviviaux et comprĂ©hensibles, les organisations doivent prendre en compte la perspective du consommateur visĂ©. Ă€ cet Ă©gard, il est opportun d’utiliser le niveau de langage appropriĂ©, et de fournir des explications claires dans un format accessible, selon le type d’appareil qu’utilise le consommateur visĂ© (ordinateurs portables, tĂ©lĂ©phones mobiles, tablettes, etc.). Il est possible pour les organisations de cerner la perspective des consommateurs visĂ©s en consultant ces derniers, en mettant le processus Ă l’essai, en formant des groupes de consultation, en consultant des spĂ©cialistes de la protection de la vie privĂ©e et en suivant les pratiques exemplaires dans ce domaine.
6. Faire du consentement un processus dynamique et continu
Le processus de consentement est continu, dynamique et interactif (et non simplement ponctuel). Des rappels pĂ©riodiques et des occasions de revoir les options offertes quant aux pratiques relatives Ă la protection de la vie privĂ©e, ainsi que des moyens pratiques durables pour les personnes d’obtenir plus d’information devraient ĂŞtre mis en place.
7. Être responsable : Se tenir prêt à démontrer en tout temps sa conformité
Les organisations doivent ĂŞtre en mesure de dĂ©montrer qu’elles ont obtenu un consentement valable, notamment montrer que leur processus liĂ© au consentement est comprĂ©hensible et accessible. Les organisations peuvent le faire en Ă©tant au courant des prĂ©sentes lignes directrices et de celles contenues dans le document d’orientation du Commissariat intitulĂ© Un programme de gestion de la protection de la vie privĂ©e : la clĂ© de la responsabilitĂ© et en dĂ©montrant qu’elles les respectent.
D’autres Ă©lĂ©ments abordĂ©s dans les lignes directrices
Déterminer la forme de consentement appropriée
En plus des sept principes directeurs susmentionnĂ©s, le Commissariat rappelle que les organisations doivent examiner la forme de consentement qui convient compte tenu des circonstances. Bien que le consentement implicite puisse convenir dans certains cas, d’autres circonstances, dont les suivantes, requièrent le consentement explicite : a) les renseignements recueillis, utilisĂ©s ou divulguĂ©s sont sensibles; b) la collecte, l’utilisation ou la divulgation de l’information ne rĂ©pond pas aux attentes raisonnables de l’intĂ©ressĂ©; c) la collecte, l’utilisation ou la divulgation de l’information crĂ©e un risque rĂ©siduel important de prĂ©judice grave.
Le consentement et les enfants
Un autre facteur contextuel est le fait que le groupe de personnes visĂ©es comprenne des enfants. Dans un tel cas, les organisations doivent prendre en compte le fait que les capacitĂ©s de comprĂ©hension des enfants sont diffĂ©rentes sur le plan Ă©motionnel et cognitif de celles des adultes. Les enfants comprennent donc moins bien la façon dont leurs renseignements personnels sont utilisĂ©s, ce qui a une incidence sur leur capacitĂ© de donner un consentement valable. Selon le Commissariat, un parent ou un tuteur doit donner le consentement pour un enfant de 13 ans ou moins. Lorsque le groupe de personnes visĂ©es comprend des mineurs qui sont capables de fournir un consentement valable, les organisations doivent prendre en compte leur degrĂ© de maturitĂ© et ĂŞtre en mesure de dĂ©montrer qu’elles l’ont fait.
Ă€ la fin de ces lignes directrices, le Commissariat fournit une liste de contrĂ´le utile de ce que les organisations « doivent faire » et de ce qu’elles « devraient prendre en compte » lorsqu’elles cherchent Ă obtenir un consentement valable aux termes de la LPRPDE.
Le document d’orientation sur les pratiques inacceptables du traitement des donnĂ©es
Conjointement Ă la publication de ses lignes directrices, le Commissariat a publiĂ© les lignes directrices relatives aux donnĂ©es dans lesquelles figurent les divers Ă©lĂ©ments que les organisations devraient garder Ă l’esprit lorsqu’elles tentent de dĂ©terminer si une pratique est contraire au paragraphe 5(3) de la LPRPDE.
Le libellĂ© du paragraphe 5(3), qui est un principe directeur, est le suivant : « L’organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’Ă des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. » Autrement dit, mĂŞme si le consentement de la personne a Ă©tĂ© obtenu, certaines fins sont inacceptables en vertu de la LPRPDE parce qu’une personne raisonnable ne les estimerait pas acceptables dans les circonstances.
Comme c’est le cas pour le consentement valable, le caractère acceptable d’une fin ne peut ĂŞtre dĂ©terminĂ© que selon une approche contextuelle. Le document d’orientation contient un rĂ©sumĂ© des facteurs suivants qui ont Ă©tĂ© appliquĂ©s par le Commissariat et les tribunaux :
- le besoin lĂ©gitime ou les intĂ©rĂŞts commerciaux vĂ©ritables des fins visĂ©es par l’organisation;
- l’efficacitĂ© de la collecte, de l’utilisation et de la divulgation pour rĂ©pondre au besoin de l’organisation;
- l’existence de moyens portant moins atteinte Ă la vie privĂ©e qui permettent d’atteindre les mĂŞmes fins pour un coĂ»t et des avantages comparables;
- la proportionnalitĂ© de l’atteinte Ă la vie privĂ©e par rapport aux avantages (ce qui comprend la considĂ©ration du caractère sensible des renseignements personnels en question).
De plus, dans ses lignes directrices relatives aux donnĂ©es, le Commissariat a dressĂ© une liste de fins interdites en vertu de la LPRPDE qu’il a qualifiĂ©es de « zones interdites ». Selon le Commissariat, une personne raisonnable n’estimerait pas acceptable la collecte, l’utilisation ou la divulgation de renseignements personnels dans certaines circonstances. Voici un rĂ©sumĂ© des « zones interdites » actuelles :
- La collecte, l’utilisation ou la divulgation qui est autrement illĂ©gale (p. ex. violation d’une autre loi);
- La collecte, l’utilisation ou la divulgation qui mènerait au profilage ou Ă la catĂ©gorisation donnant lieu Ă un traitement injuste, contraire Ă l’Ă©thique ou discriminatoire interdit en vertu de la lĂ©gislation sur les droits de la personne;
- La collecte, l’utilisation ou la divulgation de renseignements personnels Ă des fins qui causent ou sont susceptibles de causer (selon la prĂ©pondĂ©rance des probabilitĂ©s) un prĂ©judice grave Ă la personne (lĂ©sion corporelle, humiliation, dommage Ă la rĂ©putation ou aux relations, perte financière, vol d’identitĂ©, effet nĂ©gatif sur le dossier de crĂ©dit, dommage aux biens ou leur perte, et perte de possibilitĂ©s d’emploi, d’occasions d’affaires ou d’activitĂ©s professionnelles);
- la publication de renseignements personnels dans le but de réclamer un paiement aux personnes pour retirer ces renseignements (c.-à -d., du chantage);
- l’obligation de communiquer le mot de passe des comptes de mĂ©dias sociaux aux fins de la sĂ©lection des employĂ©s;
- la surveillance exercĂ©e par une organisation au moyen de fonctions informatiques (p. ex., enregistreur de frappe) ou des fonctions audio ou vidĂ©o de l’appareil appartenant Ă la personne.
Bien que ces « zones interdites » soient importantes, les organisations ne doivent pas oublier que cette liste n’est ni contraignante ni dĂ©terminante ou exhaustive, et qu’une analyse contextuelle est nĂ©cessaire aux fins de l’application du paragraphe 5(3). Ce qu’une personne raisonnable considère comme acceptable est un concept souple qui Ă©volue et fera de temps Ă autre l’objet d’un examen du Commissariat.
Les conséquences pour les organisations assujetties à la LPRPDE
Les documents d’orientation du Commissariat n’ont pas force de loi et ne sont pas contraignants pour les organisations. Toutefois, ils contiennent les attentes claires du Commissariat, les points de rĂ©fĂ©rence selon lesquels le Commissariat Ă©valuera les pratiques dans le contexte d’une plainte, d’un audit ou d’une enquĂŞte, et se veut une rĂ©fĂ©rence pour les organisations souhaitant se conformer Ă la LPRPDE.
Il est Ă©galement important de noter qu’au fil du temps, les documents d’orientation prĂ©cĂ©dents du Commissariat, notamment les lignes directrices contenues dans le document intitulĂ© « Communication transfrontalière de renseignements personnels » ont, de fait, Ă©tabli la norme et les pratiques en vertu de la LPRPDE. Les organisations devraient prendre connaissance des nouveaux documents d’orientation et envisager de prendre les mesures qui s’imposent pour modifier leurs pratiques, au besoin. Par exemple, les organisations qui utilisent des interfaces mobiles et en ligne peuvent se rĂ©fĂ©rer au travail dĂ©jĂ accompli relativement Ă la mise en place d’icĂ´nes et de tableaux de bord de confidentialitĂ© pour l’obtention de consentements valables. Ces solutions, ainsi que d’autres solutions potentielles, figurent dans le document de discussion du Commissariat intitulĂ© « Consentement et protection de la vie privĂ©e ».
Enfin, les organisations qui souhaitent se conformer aux nouvelles lignes directrices dont il est question dans le prĂ©sent bulletin ne doivent pas oublier les consĂ©quences de ne pas avoir obtenu un consentement valable ou traitĂ© l’information de façon acceptable conformĂ©ment Ă la LPRPDE. Par exemple, le fait de ne pas avoir obtenu un consentement valable auprès d’un nombre Ă©levĂ© de personnes pourrait miner les bases sur lesquelles sont fondĂ©es les principales activitĂ©s commerciales de l’organisation. De ce fait, les activitĂ©s de l’organisation risqueraient de devenir non conformes Ă la LPRPDE en plus de risquer de donner lieu Ă une action collective pour cause d’atteinte Ă la vie privĂ©e (p. ex. traiter des renseignements personnels Ă des fins commerciales sans avoir obtenu un consentement valable).
Alex Cameron et Daniel Fabiano sont des associĂ©s et Robin Spillette a effectuĂ© son stage d’Ă©tĂ© 2018 auprès du cabinet Fasken Martineau.