Avez-vous un consentement valable vous permettant de manipuler des renseignements personnels? Le CPVP doit appliquer des Lignes directrices sur le consentement à compter de janvier 2019

Le consentement valable est une des pierres angulaires des lois canadiennes sur la protection de la vie privée dans le secteur privé. Le consentement valable à la collecte, à l’utilisation et à la communication de renseignements personnels est l’un des concepts unificateurs, voire le concept unificateur, de nos lois sur la protection de la vie privée dans le secteur privé. L’obtention d’un consentement valable peut présenter des défis dans le monde numérique de nos jours, et ce, en raison des petits écrans et du recours de plus en plus courant à des politiques de longue haleine en matière de protection de la vie privée et des renseignements personnels. Pour aider les organisations à relever le défi, le Commissariat à la protection de la vie privée (le « CPVP »), de concert avec les commissariats à l’information et à la protection de la vie privée de l’Alberta et de la Colombie-Britannique, a publié les Lignes directrices pour l’obtention d’un consentement valable (les « Lignes directrices sur le consentement »). Les Lignes directrices sur le consentement visent à donner une orientation pratique débouchant sur une action aux organisations, leur permettant d’obtenir un consentement valable en vertu de la loi fédérale encadrant le secteur privé, soit la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDÉ »).

Les Lignes directrices sur le consentement encouragent les entreprises à faire preuve de créativité et d’innovation lorsqu’elle élaborent un processus d’obtention du consentement et elles énoncent les sept principes directeurs suivants.

1. Mettre l’accent sur les éléments clés. Assurez-vous que votre politique de confidentialité soit facilement accessible dans son intégralité, mais aussi de fournir aux personnes une façon d’examiner rapidement les éléments clés ayant une incidence sur leurs décisions en matière de protection des renseignements personnels, et ce, en mettant l’accent sur ce qui suit :

• Les renseignements personnels qui seront recueillis.
• Les tiers auxquels les renseignements personnels seront communiqués,
• Les fins auxquelles les renseignements personnels sont recueillis, utilisés ou communiqués,
• Le risque de préjudice et autres conséquences.

2. Permettre aux individus de déterminer à quel point et quand ils souhaitent obtenir de l’information détaillée. Fournissez aux personnes des renseignements de façons gérables et facilement accessibles qui leur donnent la possibilité de déterminer à quel point et quand elles souhaitent obtenir de l’information plus détaillée. 
3. Donner clairement aux individus la possibilité de choisir « oui » ou « non ». Souvenez-vous qu’on ne peut pas exiger des personnes qu’elles consentent à la collecte, à l’utilisation ou à la communication de renseignements personnels au-delà de ce qui est nécessaire pour fournir le produit ou le service.
   Sauf si une exception s’applique, pour toute autre collecte, utilisation ou communication, les personnes doivent avoir un choix.
   Les organisations devraient évaluer si un consentement explicite ou implicite convient en l’occurrence. Dans les Lignes directrices sur le consentement, le CPVP apporte des précisions supplémentaires permettant de déterminer la forme de consentement appropriée et il invite les organisations, dans le cadre de cette détermination, à prendre en compte le caractère délicat des renseignements, les attentes raisonnables de la personne et le risque de préjudice grave.
4. Faire preuve d’innovation et de créativité. Les organisations ne devraient pas se contenter seulement d’afficher en ligne leurs politiques imprimées sur support papier. Elles devraient également envisager diverses stratégies de communication, comme les avis « juste-à-temps », des outils interactifs et des interfaces mobiles personnalisées, afin de mettre en évidence les questions de protection de la vie privée à des points de décision marquants dans l’expérience de l’utilisateur où la personne est susceptible d’y prêter attention et d’avoir besoin d’orientation.
5. Prendre en compte la perspective du consommateur. Le consentement n’est valable que si la personne peut comprendre ce à quoi elle consent. Les organisations devraient fournir des explications claires et utiliser un niveau de langue adapté à un auditoire diversifié. Assurez-vous que votre politique et vos avis en matière de confidentialité sont accessibles à partir d’une gamme diversifiée d’appareils.
6. Faire du consentement un processus dynamique et continu. Le consentement éclairé est un processus continu qui évolue selon les circonstances.
   Lorsqu’elles modifient de façon importante leurs pratiques de protection de la vie privée, les organisations devraient en aviser les utilisateurs et obtenir leur consentement avant l’entrée en vigueur des changements.
7. Être responsable : Se tenir prêt à démontrer en tout temps sa conformité. Les organisations devraient être en mesure de démontrer — soit à la suite d’une plainte déposée par une personne soit en raison d’une demande de renseignements proactive émanant d’un organisme de réglementation de la protection de la vie privée — qu’elles ont mis en place un processus pour obtenir le consentement et que ce processus est conforme à la loi.

Les Lignes directrices sur le consentement renferment également une liste de contrôle afin d’aider les organisations dans leurs efforts de conformité. Les organisations devraient porter une attention particulière à la liste de « ce qui doit être fait ».

Le moment est venu de prendre connaissance des Lignes directrices sur le consentement et de veiller à ce que vos pratiques soient conformes, puisque le CPVP commencera à appliquer ces Lignes directrices dès le 1^er janvier 2019.

Pour de plus amples renseignements, veuillez communiquer avec notre groupe Vie privée, cybersécurité et protection des données.