Commentaires du Commissariat à la protection des renseignements personnels sur la rétroaction reçue pendant la consultation de 2017 sur l’orientation en matière de consentement

Le 28 septembre 2017, le Commissariat à la protection de la vie privée du Canada (Commissariat) a affiché deux ébauches de document d’orientation afin de recueillir des commentaires :

  • Lignes directrices préliminaires : Obtention d’un consentement valable en ligne (lignes directrices sur le consentement),
  • Document d’orientation préliminaire : Pratiques inacceptables en matière de traitement des données – Interprétation et application du paragraphe 5(3) (orientation sur le paragraphe 5(3)).

Au cours de la période de commentaires, un nombre total de 13 observations ont été reçues :

  • deux provenant de particuliers,
  • une provenant d’une organisation du secteur privé,
  • dix provenant d’associations représentant des organisations du secteur privé.

Grâce au présent document rassemblant les commentaires, nous allons décrire les thèmes des commentaires reçusNote de bas de page 1, et nous examinerons pourquoi certaines modifications ont été ou n’ont pas été apportées aux documents en question.

Bien qu’il y ait des chevauchements entre les commentaires portant sur les deux documents, nous examinerons tour à tour les lignes directrices sur le consentement et l’orientation sur le paragraphe 5(3).

Sur cette page

Rétroaction sur le document intitulé Lignes directrices préliminaires : Obtention d’un consentement valable

Thème no 1 : Nature contraignante de l’orientation (« doit » par rapport à « devrait »)

En général, les commentaires étaient favorables en ce qui concerne l’intention du Commissariat de fournir une orientation et des renseignements additionnels sur la question de l’obtention d’un consentement valable. Toutefois, il était mentionné dans ces commentaires que, à certains endroits, le libellé avait un « ton contraignant » et qu’on pouvait ainsi croire que le document introduisait de nouvelles normes juridiques et/ou de nouvelles obligations.

La réponse du Commissariat

Le Commissariat ne peut pas, bien sûr, se servir de documents d’orientation pour instaurer de nouvelles normes juridiques. Toutefois, nous croyons que notre rôle en tant qu’organisme de réglementation consiste notamment à fournir une orientation qui précise les exigences de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) ou leur donne vie, et qui dit comment la LPRPDE devrait généralement être interprétée et appliquée, sous réserve de décisions individuelles faites dans le cours d’enquêtes et, ultimement, de jugements rendus par des tribunaux. À titre de loi neutre sur le plan technologique et de loi fondée sur des principes, la LPRPDE est, de par sa nature, formulée en termes généraux. Cela comporte des avantages importants, mais cela ne procure pas un degré adéquat de certitude aux particuliers et aux organisations. L’orientation joue un rôle pour ce qui est d’apporter un degré de précision à des comportements auxquels on s’attend normalement.

Dans les lignes directrices sur le consentement, nous avons utilisé les mots « doit » (pour indiquer une exigence découlant d’une obligation imposée par la loi) et « devrait » (pour indiquer une pratique suggérée). À la suite des commentaires reçus, nous avons vérifié et révisé les lignes directrices afin que chaque pratique décrite avec le mot « doit » découle manifestement et directement d’une obligation imposée par la loi, alors que les pratiques qui représentent l’une des nombreuses différentes façons de satisfaire à une obligation (comme l’utilisation de « couches ») sont décrites avec le mot « devrait ». Par exemple, la ligne directrice voulant qu’il faille mettre l’accent sur certains éléments clés dans les politiques de confidentialité est une exigence qui découle directement de l’obligation imposée par la loi d’obtenir un consentement valable. Toutefois, l’idée que les politiques de confidentialité se servent de la communication par couches comme méthode permettant d’équilibrer l’exhaustivité et la facilité de compréhension est une pratique suggérée.

Thème no 2 : Forme de consentement

Dans les commentaires il est mentionné que, dans son libellé initial, le principe no 3 et la section sur la forme de consentement, ensemble, créent un régime de consentement explicite, ce qui va à l’encontre des positions antérieures du Commissariat et des conclusions des tribunaux qui reconnaissent que le consentement implicite peut être acceptable dans certaines circonstances.

La réponse du Commissariat

Nous n’avions pas l’intention de créer une exigence universelle en ce qui concerne le consentement explicite. Nous avons reformulé le principe no 3 afin d’indiquer que celui-ci vise à énoncer que le consentement ne peut pas être exigé relativement à la collecte, à l’utilisation ou à la communication de renseignements personnels qui n’est pas essentielle à la fourniture d’un produit ou d’un service; des choix clairement expliqués et facilement accessibles doivent être offerts.

Toutefois, nous soulignons que l’exigence selon laquelle il faut offrir des choix est une obligation qui figure dans la loi et qui n’est pas créée par ces lignes directrices.

En outre, certains commentaires contenaient des remarques à propos de la section Forme de consentement (en particulier sur l’interprétation qui y est faite de l’arrêt de la Cour suprême BRC c. Trang), mais le Commissariat est d’avis qu’il s’agit d’un portait exact de la jurisprudence actuelle, renforcé par une discussion sur les répercussions des risques de préjudice sur la forme de consentement.

Thème no 3 : Préjudices

Étant donné que c’est dans les lignes directrices sur le consentement qu’il est pour la première fois fait mention explicite de divulgation du « risque de préjudice » dans le cadre de communications sur la vie privée ainsi que d’intégration du risque de préjudice dans les déterminations faites par les organisations quant à la forme appropriée de consentement, il n’est pas étonnant que de nombreux commentaires renferment des propos sur ces mentions.

Les observations sur le « préjudice » peuvent d’une manière générale être séparées en deux groupes : incertitude concernant les renseignements qui doivent être communiqués, et opposition à la nécessité de faire ces communications (observations moins nombreuses sur cette question).

En ce qui concerne la première catégorie, parallèlement à une incertitude générale concernant les renseignements qui devraient être communiqués, les répondants se sont demandé ce qui suit : quel est le seuil de probabilité, de prévisibilité et/ou de gravité qui devrait être atteint pour justifier la divulgation d’un préjudice; les préjudices qui peuvent être divulgués se limitent-ils à ceux qui sont sous le contrôle direct de l’organisation (par opposition, par exemple, à des préjudices causés par le comportement d’autres utilisateurs); quelle définition de « préjudiciable » devrait être utilisée, compte tenu de la nature subjective et propre à chaque personne du « préjudice ».

En ce qui concerne l’objection générale à la divulgation de préjudices, certains se sont demandé si la divulgation de tous les préjudices possibles occasionnerait des communications trop longues, et une organisation a dit que de telles divulgations créeraient un degré inacceptable de responsabilité civile.

La réponse du Commissariat

Selon le Commissariat, l’exigence de divulgation des préjudices découle de la définition de « validité du consentement » introduite dans la LPRPDE par la Loi sur la protection des renseignements personnels numériques. Cette définition exige que, pour que le consentement soit valable, il faut qu’il soit raisonnable de s’attendre à ce que la personne comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication auxquelles elle a consenti. Il nous semble que le préjudice possible entre dans la catégorie des « conséquences » qui doivent être comprises par la personne.

De plus, selon nous, le concept de préjudice joue un rôle important de plus en plus reconnu au sein de la protection de la vie privée. Le respect de la vie privée est un droit de la personne, et la protection de la vie privée va au-delà de la prévention du « préjudice », mais cela ne veut pas dire que les préjudices potentiels ne sont pas un facteur important pour les personnes. En fait, un certain nombre d’intervenants qui ont été entendus pendant les consultations que nous avons tenues avant de formuler ces lignes directrices ont expressément demandé que le préjudice soit ajouté aux facteurs relatifs à l’obtention d’un consentement éclairé et à la définition de zones interdites. En outre, le préjudice joue un rôle important dans la protection de la vie privée dans d’autre pays, par exemple les États-Unis.

En ce qui concerne les préjudices qui devraient être divulgués (y compris les seuils s’appliquant à la divulgation), nous soulignons que nous parlons des risques qui restent après qu’une organisation a appliqué des mesures d’atténuation conçues pour minimiser le risque et les répercussions des préjudices potentiels. S’il existe un risque résiduel important de préjudice grave, le Commissariat est d’avis qu’il s’agit d’une conséquence possible dont les personnes doivent être mises au courant. Les seuils applicables (risque important et préjudice grave) sont définis dans les lignes directrices.

Autres changements importants

Compte tenu des observations reçues, des tables rondes et des consultations avec les collègues provinciaux, les modifications importantes suivantes ont également été apportées :

  • Il est entendu que ces lignes directrices sont d’application générale, peu importe le canal par lequel le consentement est obtenu. Par conséquent, nous avons supprimé le mot « en ligne » en ce qui concerne l’obtention du consentement.
  • Le principe no 7 (autrefois le principe no 6) a été révisé afin de mettre l’accent sur la démonstration du respect des lois applicables plutôt que sur la démonstration de l’efficacité du processus de consentement.

Rétroaction sur l’ébauche de Pratiques inacceptables en matière de traitement des données – Interprétation et application du paragraphe 5(3)

En général, la section « interprétation » du document d’orientation, qui décrit le paragraphe 5(3) et ses facteurs d’évaluation, a été bien reçue; aucune modification n’a été proposée. Toutefois, les commentaires étaient plus partagés en ce qui concerne la section « application » qui énumère les zones interdites. Un certain nombre des répondants qui ont formulé des commentaires ont dit que les zones interdites ne sont pas assez souples et ne respectent pas l’approche contextuelle décrite au début du document. D’autres, cependant, ont estimé que les zones interdites énumérées étaient appropriées.

Des commentaires particuliers ont été formulés à propos de quatre des six zones interdites énumérées. De façon générale, un certain nombre de ces commentaires mentionnaient que certaines zones interdites n’étaient pas nécessaires, car la collecte, l’utilisation ou la communication décrite est déjà interdite par d’autres lois et d’autres règlements. D’autres ont proposé des modifications précises ou fait état de préoccupations, comme, par exemple, que la zone interdite no 2 (profilage ou catégorisation qui se traduit par un traitement inéquitable, contraire à l’éthique ou discriminatoire) devrait reconnaître que certaines exceptions, contenues en droit en matière de droits de la personne, permettent de faire des distinctions, qui constitueraient normalement de la discrimination, entre des personnes dans des circonstances bien précises (par exemple, exigences professionnelles justifiées).

La réponse du Commissariat

Nous sommes toujours d’avis qu’il est utile de fournir des exemples précis de pratiques potentiellement inacceptables, à la fois pour que les organisations sachent quand elles approchent d’une zone interdite et à la fois pour que les consommateurs sachent que certaines pratiques sont généralement interdites.

Nous estimons également que le présent document ne limitera pas de façon inacceptable la capacité du Commissariat d’exercer un pouvoir discrétionnaire dans son application du paragraphe 5(3) à des situations de fait particulières. Les zones interdites énumérées ici constituent une forte indication de l’interprétation que fait le Commissariat du paragraphe 5(3), mais ne sont pas nécessairement déterminantes. Toutefois, nous avons modifié le libellé afin de le préciser.

En ce qui concerne les commentaires qui ont été formulés à propos des zones interdites, en particulier les commentaires relatifs au droit en matière de droits de la personne, nous avons apporté les modifications nécessaires.

Contenu connexe

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :