Passer au contenu principal
Ce site utilise des témoins de connexion (« cookies ») en conformité avec notre politique de vie privée. En continuant à utiliser ce site, vous acceptez notre utilisation des témoins de connexion.
Bulletins

Le consentement fait encore parler de lui : Survol du rapport annuel du Commissariat à la protection de la vie privée du Canada

Fasken
Temps de lecture 13 minutes

Bulletin Protection de l'information et de la vie privée

À la fin du mois de septembre dernier, le Commissariat à la protection de la vie privée du Canada (le « Commissariat ») déposait son rapport annuel au Parlement (PDF) concernant la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDÉ ») sur la protection des renseignements personnels dans le secteur privé au fédéral de même que sur la Loi sur la protection des renseignements personnels (« LPRP ») propre aux pratiques de traitement des renseignements personnels des ministères et organismes fédéraux.

Plus avant, le Commissariat y identifie plusieurs pistes afin d'arrimer les législations sur la protection des renseignements personnels avec les nouvelles technologies de l'information. La conclusion du message introductif du commissaire Daniel Therrien est à cet égard révélatrice : « Le moment est venu de donner aux Canadiens l'assurance que les nouvelles technologies seront mises en œuvre dans leur intérêt et qu'elles ne porteront pas atteinte à leurs droits. Les lois canadiennes sur la protection des renseignements personnels sont extrêmement désuètes, il est grand temps de les moderniser. »

Bien que le rapport annuel du Commissariat comporte une analyse détaillée de la LPRPDÉ et de la LPRP, le présent bulletin se limitera aux développements quant à la question du consentement. Le consentement est généralement reconnu comme étant la « pierre angulaire » des lois canadiennes sur la protection des renseignements personnels. Ainsi, en vertu de la LPRPDÉ et sous réserve de certaines exceptions, les organisations doivent obtenir le consentement d'un individu avant de recueillir, d'utiliser ou de communiquer ses renseignements personnels. Toutefois, les avancées technologiques récentes (mégadonnées, Internet des objets, intelligence artificielle, etc.) complexifient aujourd'hui l'obtention du consentement « libre et éclairé » de la part des individus.

Dans ce contexte, les auteurs (à titre personnel) ont soumis un mémoire intitulé « Consentement et protection de la vie privée : regarder le passé, préparer l'avenir » , en réponse à un document de discussion publié par le Commissariat en mai 2016. Par ailleurs,  nous avons également participé à l'une des cinq tables rondes tenues par le Commissariat afin d'y exprimer nos recommandations.

Le Commissariat a désormais consolidé les résultats de sa vaste consultation et le rapport annuel énonce une position claire quant au consentement. Un grand nombre des positions exposées par le Commissaire sont en droite ligne avec le mémoire préparé par les auteurs, en particulier concernant les points suivants:

Nos recommandations

Position du Commissariat

Politiques de confidentialité simplifiées

Le mémoire que nous avons présenté posait la question, voire le défi, de l'équilibre à atteindre entre la protection de la vie privée et les exigences raisonnables du commerce. Nous faisions le constat que, souvent, les politiques de protection des renseignements personnels pêchaient par excès de précision, de complexité et de longueur. Pour relever ce défi, les soussignés prônaient la «règle des 4 C»: cohérence, clarté, concision et caractère complet. Les soussignés recommandaient alors d'envisager un formulaire type, unique et relativement standardisé. Un document interactif pourrait être envisagé en évitant un langage trop technique et en offrant une présentation calculée et agréable.

Les organisations devraient informer et familiariser les individus à une structure informationnelle qui porterait sur:

  • Quels renseignements personnels sont recueillis;
  • L'utilisation faite des données;
  • La communication des données;
  • Comment les données sont sécurisées;
  • Où sont conservées les données;
  • Les droits d'accès et de rectification.

Le Commissariat appuie la position selon laquelle les individus doivent comprendre la nature, la fin et les conséquences de la collecte, de l'utilisation et de la communication. Les politiques de confidentialité sont de plus en plus longues et complexes. Les organisations doivent trouver des solutions novatrices et créatives pour appuyer le processus de consentement.

Les organisations doivent continuer de rendre accessible aux individus des renseignements complets et compréhensibles, mais, pour obtenir un consentement éclairé, il faut mettre de l'avant les éléments ci-après et les présenter au bon moment dans un format convivial:

  • Quels renseignements personnels sont recueillis;
  • À qui sont-ils communiqués;
  • À quelles fins les renseignements sont recueillis, utilisés ou communiqués, y compris une explication des fins non essentielles à la prestation du service;
  • Quel est le risque de préjudice pour l'individu, le cas échéant.

Zones interdites

Les soussignés ne souhaitaient pas que la loi définisse des zones interdites particulières, sauf pour des cas bien spécifiques (en matière de génétique, par exemple). En effet, au Canada, les lois relatives à la protection des renseignements personnels sont bâties sur le modèle de l'«intérêt légitime» d'une organisation à colliger, utiliser et communiquer des renseignements personnels, en plus d'assujettir la collecte, l'utilisation et la communication au consentement des individus (sauf exceptions précisées dans la loi). L'approche est basée sur la bonne foi des organisations. Ainsi une approche basée sur des zones interdites ou de pré-autorisation serait, selon les soussignés, contraire à la philosophie de la loi.

Enfin, les soussignés estimaient que le critère de «nécessité» pouvait jouer le rôle de «garde-fou» à chacune des étapes de collecte, d'utilisation ou de communication des renseignements personnels.

Le Commissariat partage cet avis selon lequel il ne serait pas idéal de prévoir dans la loi des zones interdites précises, compte tenu du rythme rapide des changements et de l'innovation. En vertu du paragraphe5 (3) de la LPRPDÉ, les utilisations inacceptables sont déjà interdites et le consentement ne permet pas de contourner l'interdiction.

Il est vrai que ces utilisations sont vastes et sujettes à interprétations. Ainsi, le Commissariat publiera un nouveau document d'orientation en vertu du paragraphe5 (3) indiquant explicitement les cas de collecte, d'utilisation ou de communication de renseignements personnels qui, selon lui, ne correspondent pas à ce qu'une personne raisonnable n'estimerait pas acceptable. Ce document fera d'ailleurs l'objet d'une consultation. Le Commissariat considère, par exemple, que la publication de renseignements personnels dans le but de réclamer un paiement aux individus pour les retirer d'une liste serait une fin qu'une personne raisonnable n'estimerait pas acceptable. Le concept d'attentes raisonnables des individus sera par ailleurs mieux défini par le Commissariat.

L'obligation de se renseigner et de conseiller

Les soussignés émettaient deux constats. Tout d'abord, les technologies de l'information ont modifié la donne, qu'on réfère à l'infonuagique, aux mégadonnées ou à l'Internet des objets. Toutefois, l'évolution des technologies ne dispense pas l'individu de son obligation de se renseigner. De l'autre côté, les organisations doivent aussi fournir de l'information intelligible à l'individu afin que ce dernier donne un consentement éclairé. À cet égard, les soussignés rappelaient que l'obligation d'informer ne recoupe pas celle de conseiller.

Finalement, la position des soussignés vise et appuie la recherche d'un équilibre: les organisations se doivent d'informer de façon cohérente, claire, concise et complète; mais l'individu doit aussi faire les efforts raisonnables pour se renseigner et comprendre.

Le Commissariat fait le constat qu'il ne serait pas juste de demander aux consommateurs d'assumer toute la responsabilité d'avoir à décortiquer des flux complexes de données afin de pouvoir faire un choix éclairé. En ce sens, les organisations doivent faire preuve de transparence à l'égard de leurs pratiques et respecter le droit des individus à faire des choix en matière de confidentialité.

Finalement, le Commissariat partage le point de vue selon lequel il faudrait rechercher un équilibre. Sa position que tout le monde, les individus, les organisations, les organismes de réglementation et les législateurs, doit apporter sa contribution pour que la vie privée soit bien protégée.

Le Commissariat a par ailleurs traité des cas où il serait difficile d'obtenir directement le consentement de l'individu. En effet, la LPRPDÉ a été rédigée à une époque où les modèles d'affaires se limitaient aux relations transactionnelles traditionnelles, souvent de type bilatéral. Toutefois, avec l'apparition de nouvelles technologies telles que l'intelligence artificielle, il devient de plus en plus difficile de savoir comment les renseignements personnels sont gérés, ce qui affaiblit la validité et la pertinence du consentement. À cet égard, trois solutions sont proposées par le Commissariat :

  • Tout d'abord, la désidentification, malgré la crainte de pouvoir réidentifier les données. À cet égard, le Commissariat publiera un document d'orientation sur la désidentification.
  • Ensuite, le Commissariat recommande au Parlement de trouver une façon de moderniser le Règlement précisant les renseignements auxquels le public a accès. En effet, le Commissariat souhaite qu'un juste équilibre soit trouvé entre, d'un côté, les droits fondamentaux de l'individu et, de l'autre, le droit d'accès à l'information dans l'intérêt public.
  • Enfin, le Commissariat étudie les situations où il demeure tout simplement impossible d'obtenir le consentement de l'individu. En ce sens, le Commissariat suggère au Parlement de modifier la LPRPDÉ pour ajouter à la loi de nouvelles exceptions en matière de consentement pour gérer les activités où les avantages pour la société l'emportent manifestement sur les ingérences dans la vie privée, sous réserve de conditions strictes et de pouvoirs d'application de la loi renforcés.

En quelques mots, le consentement demeure central à l'application des lois relatives à la protection des renseignements personnels. Mais le développement rapide des technologies requiert de moderniser ce concept. Sera au cœur de cette modernisation la recherche d'un équilibre entre la protection des renseignements personnels et l'utilisation des technologies : cohérence, clarté et concision, tout en demeurant le plus complet possible, voilà le défi qui attend les organisations en matière de consentement éclairé. De nouvelles exceptions pourraient être suggérées, mais elles seront limitées aux seuls cas où l'intérêt public l'emporte sur la protection de la vie privée et, même, dans ce cas, elles seront strictement encadrées.

    Abonnement

    Recevez des mises à jour de notre équipe

    Soumettre