Bien que le consentement demeure au cœur de la Loi sur la protection de la vie privée des consommateurs (la « LPVPC ») présentée par le projet de loi C-27 qui vise à réformer la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la LPVPC prévoit une nouvelle exception à l’exigence d’obtenir un consentement : l’« intérêt légitime ». Cette nouvelle exception rappelle la base légale du même nom que l’on retrouve dans le Règlement général sur la protection des données (le « RGPD ») en Europe depuis son entrée en vigueur en 2018. En faisant un bref survol du concept d’intérêt légitime en Europe, où il évolue depuis plusieurs années, nous tenterons de faire la lumière sur les tenants et aboutissants de cette exception proposée à l’obligation de consentement au Canada.
1. Au Canada : l’intérêt légitime comme exception à l’obligation d’obtenir un consentement
La LPVPC proposée par le gouvernement fédéral maintient le consentement comme règle de base pour la collecte, l’utilisation et la communication de renseignements personnels et prévoit une longue liste d’exceptions à cette règle générale [1].
Cette liste élargie d’exceptions comprend une exception à l’obligation d’obtenir un consentement dans les cas où un intérêt légitime l’emporte sur tout effet négatif potentiel que la collecte ou l’utilisation peut avoir pour l’individu [2], pourvu que :
a. la personne s’attendrait à la collecte ou à l’utilisation; et
b. les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu (p. ex., à des fins de marketing comportemental) [3].
Le recours à l’exception relative à l’intérêt légitime est toutefois assujetti à la réalisation d’une évaluation préalable au cours de laquelle l’organisation :
1. décèle tout effet négatif potentiel que la collecte ou l’utilisation est susceptible d’avoir pour l’individu;
2. trouve des moyens raisonnables pour réduire la probabilité que ces effets se produisent ou pour les atténuer ou les éliminer, et consigne la manière dont elle les prend; et
3. consigne la manière dont elle se conforme à toute autre exigence réglementaire [4].
L’organisation consigne les éléments ci-dessus et, sur demande, remet une copie de l’évaluation au commissaire à la protection de la vie privée du Canada [5]. Dans ses politiques et ses pratiques, l’organisation doit également rendre facilement accessibles des renseignements expliquant comment elle utilise les renseignements personnels et comment elle applique les exceptions à l’obligation d’obtenir le consentement d’un individu, y compris une description de toute activité dans laquelle elle a un « intérêt légitime » [6].
Par conséquent, l’« intérêt légitime » proposé dans le projet de loi C-27 est une alternative au consentement qui, lorsqu’autorisée, doit être rigoureusement étayée par des documents justificatifs, et dont l’utilisation doit être communiquée de façon transparente dans les politiques de l’organisation. Ainsi, l’obtention du consentement à la collecte, à l’utilisation et à la communication des renseignements personnels demeure la meilleure pratique et la plus simple à mettre en œuvre.
2. Comparaison avec la base légale de l’intérêt légitime selon le RGPD
En vertu du RGPD, et contrairement aux lois canadiennes sur la protection des renseignements personnels, six bases légales existent, lesquelles découlent de l’article 6 du RGPD :
6(1). Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions. […]
Si cette base légale figure au bas de la liste prévue à l’article 6, cela ne signifie pas qu’elle est moins importante que les autres ni qu’elle constitue une exception à une règle générale. Au contraire, c’est l’une des bases possibles du traitement, comme le consentement. Il n’y a pas de hiérarchie entre l’intérêt légitime et le consentement [7].
En effet, selon le comité européen de la protection des données (le « CEPD ») :
[...] aucune hiérarchie spécifique n’est établie entre les différentes bases légales du RGPD : le responsable du traitement doit s’assurer que la base juridique retenue correspond à l’objectif et au contexte de l’opération de traitement en question. La détermination de la base juridique appropriée est liée aux principes de loyauté et de limitation de la finalité [8].
Afin d’invoquer la base légale de l’intérêt légitime, le responsable du traitement doit d’abord vérifier si les trois critères suivants sont remplis :
1. l’intérêt poursuivi par le responsable du traitement ou par le tiers ou les tiers à qui les renseignements personnels sont communiqués est « légitime » (critère de la finalité);
2. le traitement des renseignements personnels est nécessaire à la réalisation de l’intérêt légitime poursuivi (critère de nécessité); et
3. les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant, ne prévalent pas sur les intérêts légitimes du responsable du traitement (critère de mise en balance).
Ce test, généralement appelé « évaluation de l’intérêt légitime » (l’« EIL »), n’est pas expressément mentionné à l’article 6 du RGPD. Cela dit, les organisations européennes peuvent s’appuyer sur les indications et les modèles fournis par le bureau du commissaire à l’information (l’« ICO » pour Information Commissioner’s Office) du Royaume-Uni pour mener leur EIL en Europe. L’ICO explique en détail la marche à suivre que nous avons rapportée ci-dessus [9].
Contrairement à la LPVPC qui fait mention d’un « effet négatif potentiel », le RGPD souligne « les intérêts ou les libertés et droits fondamentaux de la personne concernée ». En vertu du RGPD, afin d’évaluer si les intérêts ou les libertés et droits fondamentaux de la personne concernée prévalent ou ne prévalent pas sur les intérêts légitimes du responsable du traitement (critère de mise en balance), le responsable du traitement doit tenir compte des attentes raisonnables de la personne concernée fondées sur leur relation mutuelle. En effet, selon le considérant 47 du RGPD :
(47) Les intérêts légitimes d’un responsable du traitement, y compris ceux d’un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d’un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur. [...]
Comme mentionné, l’évaluation doit documenter le respect de ce qui précède [10]. L’organisation doit également prendre les mesures appropriées pour fournir aux individus des renseignements en ce qui concerne le recours à l’exception relative à un intérêt légitime [11].
En somme, les critères canadiens et européens comprennent tous deux un critère de mise en balance des intérêts légitimes de l’organisation par rapport aux intérêts ou les libertés et droits fondamentaux de la personne concernée en Europe ou aux effets négatifs potentiels sur l’individu au Canada. La question se pose quant à l’interprétation de l’expression « effet négatif potentiel », puisque la portée de cette expression semble vaste, alors que le critère au Canada ne devrait pas être plus permissif que celui du RGPD. Les critères utilisés en Europe pourraient être utilisés comme source de référence au Canada si le texte du projet de loi C-27 était adopté tel quel, jusqu’à ce que le Canada fournisse une documentation canadienne similaire à celle fournie par l’ICO, ce qui serait certainement bien accueilli par l’industrie.
Conclusion
L’introduction de la notion d’« intérêt légitime » au Canada constitue un vent d’air frais dans le domaine de la protection des renseignements personnels, qui réclame depuis longtemps l’uniformisation des concepts et des règles juridiques en raison des nombreux transferts internationaux de renseignements personnels. À défaut de plus d’indications sur le concept introduit dans le projet de loi C-27, nous estimons que les critères et la documentation utilisés de l’autre côté de l’Atlantique pourraient être utiles aux organisations assujetties à la LPVPC proposée au Canada.
Toutefois, pour éviter que des organisations ne recourent à cette exception dès qu’elles auront du mal à obtenir un consentement, le gouvernement du Canada devra s’assurer de mettre à leur disposition des outils et des procédures pour objectiver le concept, son évaluation et ses critères d’application qui vont au-delà du seuil établi dans la LPVPC, similairement aux initiatives de l’ICO au Royaume-Uni. Ainsi, il pourra éviter de reproduire la confusion qui émane de cette notion en Europe [12].
[1] LPVPC, art. 15.
[2] L’exception ne s’applique donc pas à la communication de renseignements personnels.
[3] LPVPC, art. 18(3).
[4] LPVPC, art. 18(4).
[5] LPVPC, art. 18(5).
[6] LPVPC, art. 62(2)b).
[7] Les droits de l’individu doivent toujours être respectés. Cela dit, si le responsable du traitement s’appuie sur la base légale de l’intérêt légitime en vertu du RGPD, l’individu ne pourra pas exercer son droit à l’effacement (RGPD, art. 17) ni son droit à la portabilité des données (RGPD, art. 20). Les autres droits pourront toutefois être exercés, soit le droit d’accès (RGPD, art. 15), le droit de rectification (RGPD, art. 16), le droit à la limitation du traitement (RGPD, art. 18), le droit d’opposition (RGPD, art. 21), ainsi que le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques concernant l’individu ou l’affectant de manière significative de façon similaire (RGPD, art. 22).
[8] CEPD, Lignes directrices 8/2020 sur le ciblage des utilisateurs de médias sociaux, par. 48. Voir également l’avis du prédécesseur du CEPD, le groupe de travail « article 29 », sur l’article 29 de l’ancienne directive 95/46, intitulé Avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE, p. 11 : [traduction] « [L]e libellé de la directive n’établit pas de distinction juridique entre les six motifs et n’indique aucunement qu’il existe entre eux une hiérarchie. Rien n’indique que l’article 7, point f), ne doive être appliqué que dans des cas exceptionnels, et aucun autre élément dans le libellé ne suggère que l’ordre spécifique des six fondements juridiques ait un quelconque effet juridiquement pertinent. »
[9] ICO, « Sample LIA template », accessible en ligne (en anglais seulement) : https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fico.org.uk%2Fmedia%2Ffor-organisations%2Fforms%2F2258435%2Fgdpr-guidance-legitimate-interests-sample-lia-template.docx&wdOrigin=BROWSELINK
[10] RGPD, consid. 47.
[11] RGPD, art. 12; 13(1)d); 14(2)b).
[12] OneTrust DataGuidance, « EU: IAB Europe’s guide on legitimate interests assessments for digital advertising—Highlights and concerns », accessible en ligne en anglais : https://www.dataguidance.com/opinion/eu-iab-europes-guide-legitimate-interests : [traduction] « Des six fondements juridiques de traitement énoncés à l’article 6 du Règlement général sur la protection des données (règlement [UE] 2016/679) (RGPD), aucun n’a entraîné plus de confusion que celui des intérêts légitimes. [...] Le concept de l’intérêt légitime permet de bénéficier d’une souplesse considérable et semble offrir une solution de rechange aux défis techniques liés à l’obtention du consentement, particulièrement au sein de l’écosystème complexe des technologies publicitaires. Il présente donc un grand intérêt pour les responsables du traitement. Toutefois, il n’est pas toujours aisé de déterminer dans quelles circonstances le recours au concept de l’intérêt légitime est approprié. »
