Lignes directrices préliminaires : Obtention d’un consentement valable en ligne

Avis

Ce document d’orientation préliminaire a été publié à des fins d’examen et de commentaires dans le cadre des travaux que le Commissariat a entrepris dans le but d’améliorer le modèle de consentement actuel en vertu de la LPRPDE. Veuillez visiter nos pages Web sur la Consultation sur le consentement en vertu de la LPRPDE pour plus d’information.

La période de rétroaction est maintenant fermée. Merci à tous ceux qui ont contribué. Nous examinons actuellement les commentaires que nous avons reçus.

Sur la présente page

Le présent document fait fond sur des publications antérieures examinant l’état actuel du consentement, y compris les défis qu’il pose et les solutions possiblesNote de bas de page 1. Il définit une orientation pratique débouchant sur une action en ce qui a trait aux mesures que devraient prendre les organisations pour s’assurer d’obtenir un consentement valable dans l’environnement en ligne.

Le document reflète les principes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui est une loi fédérale, et ceux de la Alberta Personal Information Protection Act et de la British Columbia Personal Information Protection Act (respectivement l’AB PIPA et la BC PIPA). Les deux lois provinciales sont essentiellement similaires à la LPRPDE et reposent sur les mêmes principes sous-jacents, mais il existe quelques différences entre elles. Les organisations doivent comprendre les obligations précises qui leur incombent en vertu de la loi à laquelle elles sont assujettiesNote de bas de page 2.

Les sept principes directeurs pour le consentement en ligne

Au cours de la consultation sur le consentement menée par le Commissariat en 2016, certains intervenants ont suggéré que les organismes de réglementation élaborent des modèles de politique de confidentialité. Nous ne croyons pas que cela soit notre rôle. D’après nous, les organisations sont les mieux placées pour trouver des solutions novatrices et créatives afin d’élaborer un processus de consentement qui respecte les obligations réglementaires particulières leur incombant ainsi que la nature de leurs relations avec leurs clients. Nous nous attendons toutefois à ce que les organisations s’inspirent des principes suivants dans le cadre de leur démarche :

1. Mettre l’accent sur certains éléments clés

Toute l’information fournie sur la collecte, l’utilisation et la communication des renseignements personnels d’individus doit être facilement accessible — mais, pour éviter une surabondance d’information et faciliter la compréhension par les individus, il faut mettre de l’avant certains éléments afin d’obtenir un consentement éclairé.

En vertu des lois sur la protection des renseignements personnels, la personne qui donne son consentement doit comprendre la nature, les fins et les conséquences de ce à quoi elle consentNote de bas de page 3. Or, pour que le consentement soit considéré comme valable, les organisations doivent informer les personnes de leurs pratiques de protection de la vie privée de manière détaillée et en des termes faciles à comprendreNote de bas de page 4. Ainsi, elles doivent fournir toute l’information sur leurs pratiques de gestion des renseignements personnels sous une forme facilement accessible aux personnes intéressées qui veulent en prendre connaissance dans son intégralité.

Toutefois, une information excessive enfouie dans une politique de confidentialité ou des modalités d’utilisation n’est en réalité d’aucune utilité aux personnes pressées. Pour obtenir un consentement valable, les organisations doivent permettre aux individus d’examiner rapidement les éléments clés qui auront une incidence sur leur décision en matière de protection des renseignements personnels au départ lorsqu’ils envisagent d’utiliser le produit ou le service offert, de faire un achat, de télécharger une application, etc. À cette fin, les organisations devraient mettre davantage l’accent sur certains éléments clés :

  • Renseignements personnels qui seront recueillis
    Les individus devraient comprendre quels renseignements personnels les concernant seront recueillis ou susceptibles de l’être.
  • Tiers auxquels les renseignements personnels seront communiqués
    Les individus s’attendent à ce qu’une organisation ne communique pas à un tiers les renseignements personnels qu’ils lui fournissent. Par conséquent, il faut expliquer clairement toute communication à des tiers, en précisant entre autres le type de renseignements communiqués. Les organisations devraient énumérer ces tiers le plus précisément possible. Si ces derniers sont appelés à changer périodiquement ou qu’ils sont trop nombreux pour qu’on les nomme, les organisations doivent à tous le moins préciser le type de tiers auxquels les renseignements seront communiqués, puis utiliser des moyens comme la communication de renseignements par couches pour donner plus de précisions. Elles devraient accorder une attention particulière à toute communication à des tiers susceptibles d’utiliser les renseignements à leurs propres fins plutôt que pour simplement fournir des services à l’individu ayant donné les renseignements personnels. 
  • Fins auxquelles les renseignements personnels seront recueillis, utilisés ou communiqués
    Les personnes devraient être informées de toutes les fins auxquelles les renseignements seront recueillis, utilisés ou communiqués. Il faut énoncer ces fins dans un langage clair, en évitant les formulations vagues comme « améliorer le service ». Les organisations devraient établir une distinction entre les fins qui sont essentielles à la prestation d’un service et celles qui ne le sont pas et expliquer toutes les options offertes. Elles devraient notamment souligner toute fin qui ne serait pas évidente pour la personne ou à laquelle elle pourrait raisonnablement ne pas s’attendre dans le contexte.
  • Risque de préjudice
    Les organisations devraient indiquer clairement aux personnes tout risque de préjudice connu ou prévisible — qu’il s’agisse de dommages matériels ou d’une atteinte à la réputation — découlant de la collecte, de l’utilisation ou de la communication des renseignements personnels.

À l’heure actuelle, il n’existe aucune exigence quant à la forme sous laquelle l’organisation devrait présenter les éléments susmentionnés de façon à les mettre en évidence. Nous encourageons les organisations à envisager l’adoption de mécanismes normalisés, dans la mesure où des pratiques exemplaires se développeront dans différents secteurs.

2. Permettre aux individus de déterminer à quel point et quand ils souhaitent obtenir de l’information détaillée

L’information doit être communiquée aux individus par couches gérables et facilement accessibles, et ceux-ci devraient avoir la possibilité de déterminer à quel point et quand ils souhaitent obtenir de l’information détaillée.

Outre les quatre éléments mentionnés au principe directeur no 1 ci-dessus, le niveau de détail requis pour prendre une décision en matière de consentement variera selon la personne — et la situation — en fonction de son niveau de tolérance au risque. Ainsi, une personne pourra se contenter d’un examen rapide d’information sommaire, tandis qu’une autre voudra un examen approfondi. Une personne voudra examiner attentivement au départ les pratiques de protection de la vie privée d’une organisation, tandis qu’une autre pourra consulter l’information de manière fragmentée, y revenir quand elle aura plus de temps ou selon le service qu’elle utilise et le moment où elle l’utilise. Certains voudront peut-être aussi avoir la possibilité d’examiner en détail l’information sur laquelle ils ont cliqué rapidement au départ pour avoir accès à un service. Les organisations devraient respecter et faciliter toutes les approches visant à obtenir de l’information sur la protection des renseignements personnels.

La présentation de l’information par couchesNote de bas de page 5 aide à comprendre les textes fastidieux et complexes grâce à un résumé des principaux points figurant au début. De plus, l’information devrait toujours être accessible aux individus quand ils font affaire avec une organisation. Le choix en matière de consentement ne se fait pas qu’une seule fois. Les individus devraient pouvoir en tout temps décider s’ils veulent maintenir leur consentement ou le retirer et ils devraient avoir accès à toute l’information pour prendre ces décisions à différents moments.

3. Donner aux individus la possibilité de choisir facilement « oui » ou « non »

Les individus doivent pouvoir choisir facilement « oui » ou « non » quand il s’agit de la collecte, de l’utilisation ou de la communication de renseignements qui ne sont pas essentiels à l’achat d’un produit ou à l’obtention d’un service.

La collecte, l’utilisation et la communication de renseignements personnels sur lesquels un individu ne peut exercer aucun contrôle (si ce n’est de renoncer à utiliser un produit ou un service) sont appelées « conditions de service ». Pour que la collecte, l’utilisation ou la communication constitue une condition de service valide, elle doit être essentielle à la fourniture de ce produit ou ce service, c’est-à-dire qu’elle est nécessaire pour réaliser les fins légitimes précisées explicitement. Les organisations devraient faire preuve de transparence et être préparées à expliquer les raisons pour lesquelles une collecte, une utilisation ou une communication en particulier est une condition de service, surtout si les raisons ne sont pas évidentes.

Autrement, pour toutes les autres collectes, utilisations et communications, les individus devraient avoir un choix. En pouvant choisir facilement « oui » ou « non », ils peuvent déterminer s’ils communiqueront certains renseignements personnels ou s’ils en autoriseront l’utilisation ou la communication à une fin non essentielle. Il faut pour cela que les organisations donnent une indication claire lorsqu’il n’est pas nécessaire de recueillir, d’utiliser ou de communiquer certains renseignements personnels pour fournir le produit ou le service voulu et qu’elles leur proposent bien en vue un moyen d’y consentir ou non, sous réserve de ce qu’une personne raisonnable estimerait acceptable dans les circonstances.

4. Faire preuve d’innovation et de créativité

Les organisations devraient concevoir ou adopter des processus de consentement novateurs qui peuvent être mis en œuvre juste à temps et qui sont propres au contexte et appropriés au type d’interface utilisé.

Lorsqu’elles demandent le consentement d’une personne en ligne, les organisations ne peuvent se contenter de transposer en format numérique les politiques imprimées qu’elles utilisent hors ligne. L’environnement numérique est dynamique par nature et il faudrait examiner les possibilités qu’il offre et en tirer parti. On encourage les organisations à utiliser diverses stratégies de communication — y compris les avis « juste-à-temps », les outils interactifs et les interfaces mobiles personnalisées — pour expliquer leurs pratiques de protection de la vie privée, notamment :

 Avis « juste-à-temps »

La vitesse à laquelle les transactions se déroulent constitue un facteur important dans l’obtention d’un consentement valable dans l’environnement en ligne. Comme les utilisateurs veulent avoir rapidement accès aux services et à l’information, ils éprouvent souvent un sentiment d’urgence au moment de décider de fournir ou non des renseignements les concernant. Il est donc important de placer l’information pertinente sur la protection des renseignements personnels au premier plan, où elle est bien visible et facile à consulter et à comprendre. Par exemple, si l’âge d’un utilisateur est requis pour l’inscription à un service en ligne, un avis juste-à-temps expliquant pourquoi ce renseignement est demandé devrait figurer près du champ où l’utilisateur doit saisir l’information. En outre, si la géolocalisation de l’utilisateur est requise pour activer une fonction d’un service, l’avis juste-à-temps donnant l’explication et demandant l’accès pourrait s’afficher au moment où l’utilisateur utilise cette fonction pour la première fois au lieu d’une seule fois au moment où il s’inscrit au départ pour obtenir le service.

Outils interactifs

Les organisations exploitent aussi les propriétés interactives d’Internet pour les aider à présenter de l’information sur la protection de la vie privée. Nous avons vu des exemples où des organisations créaient une revue virtuelle interactive de leurs paramètres de confidentialité (en les présentant aux utilisateurs au moment de l’enregistrement initial, puis de façon périodique à titre de rappel), des vidéos expliquant des concepts clés ou des outils infographiques ou autres outils visuels similaires.

Interfaces mobiles personnalisées

Les appareils mobiles présentent un défi plus grand sur le plan des communications. Les utilisateurs disposent de peu de temps et accordent une attention limitée au message et le support en soi ne se prête pas à de longues explications. Par conséquent, les organisations doivent mettre en évidence les questions de protection de la vie privée à des points de décision marquants dans l’expérience de l’utilisateur où la personne est susceptible d’y prêter attention et où elle a le plus besoin d’orientation. Dans ce contexte, il faudrait optimiser l’information sur la protection de la vie privée pour qu’elle soit efficace en dépit des limites physiques imposées par la taille de l’écran. Notre document d’orientation sur les applications mobiles est une ressource utile au moment de concevoir les communications sur le consentement pour les appareils mobiles.

5. Prendre en compte la perspective du consommateur

Les processus de consentement doivent prendre en compte la perspective du consommateur afin qu’ils soient conviviaux et que l’information fournie soit généralement compréhensible du point de vue du public cible visé par les organisations.

Le consentement n’est valable que si l’individu peut comprendre ce à quoi il consentNote de bas de page 6. Les organisations consacrent des ressources considérables à la conception de l’expérience utilisateur et des interactions avec les utilisateurs. Elles peuvent certainement déployer autant d’efforts pour s’assurer que leur processus de consentement est facile à comprendre, convivial et adapté à la nature du produit ou du service qu’elles offrent et à leur auditoire cible.

Les organisations devraient prendre en compte le contenu des communications sur la protection de la vie privée et leur accessibilité du point de vue des utilisateurs. À cette fin, elles devraient notamment fournir des explications claires, utiliser un niveau de langue adapté à un auditoire diversifié et trouver un moyen compréhensible d’afficher ou de communiquer l’information. Les organisations devraient aussi s’assurer que la politique et les avis de confidentialité sont facilement accessibles à partir de tous les appareils qu’une personne pourrait utiliser, y compris les dispositifs numériques en matière de santé, les téléphones intelligents, les tablettes électroniques, les consoles de jeu ainsi que les appareils plus traditionnels comme les ordinateurs personnels ou portatifs. Si les pratiques décrites sont complexes et font intervenir plusieurs parties, l’organisation devrait déployer un effort concerté pour s’assurer que l’utilisateur peut avoir facilement accès à tous les éléments clés du processus et les comprendre.

Pour s’acquitter efficacement de ces tâches, les organisations devraient envisager les mesures suivantes :

  • consulter les utilisateurs et obtenir leur point de vue au cours de l’élaboration du processus de consentement;
  • mettre le processus à l’essai ou avoir recours à des groupes de consultation pour s’assurer que les individus comprennent ce à quoi ils consentent;
  • faire appel à des concepteurs spécialistes de l’interaction avec les utilisateurs et de l’expérience utilisateur au cours de l’élaboration du processus de consentement;
  • consulter des spécialistes de la protection de la vie privée ou des organismes de réglementation dans le domaine au cours de l’élaboration du processus de consentement;
  • suivre une pratique exemplaire, une norme ou d’autres lignes directrices bien établies au cours de l’élaboration du processus de consentement.

Il s’agit de quelques suggestions qui sont censées être adaptables en fonction de la taille et du degré de maturité de l’organisation ainsi que de la quantité et du type de renseignements personnels qu’elle recueille, utilise ou communique.

6. Pouvoir montrer en tout temps son efficacité

Les organisations devraient pouvoir montrer sur demande les mesures qu’elles ont prises pour vérifier si leurs processus de consentement sont vraiment conviviaux et compréhensibles du point de vue du public cible.

Afin de montrer qu’elle a obtenu un consentement valable, il ne suffit pas à une organisation de signaler quelques mots dissimulés dans une politique de confidentialité. Les organisations doivent plutôt être en mesure de montrer — soit à la suite d’une plainte déposée par un individu ou d’une demande de renseignements proactive émanant d’un organisme de réglementation de la protection de la vie privée — qu’elles ont mis en place un processus de consentement qui fonctionne de façon efficace. Il s’agit d’une partie intégrante non seulement du processus de consentement, mais d’un régime de responsabilité efficace.

Entre autres, une organisation pourrait montrer sur demande qu’elle a examiné et mis en application les principes énoncés dans le présent document. En tant que pratique exemplaire, les organisations devraient vérifier périodiquement leurs pratiques de gestion de l’information pour s’assurer que les renseignements personnels sont toujours traités de la façon décrite aux individus. Là encore, la capacité d’une organisation à montrer qu’elle respecte les principes est censée être adaptable en fonction de la taille et du degré maturité ainsi que de la quantité et du type de renseignements personnels qu’elle recueille, utilise ou communique.

Pour obtenir des renseignements généraux sur les pratiques de gestion de la protection des renseignements personnels, veuillez consulter notre document d’orientation intitulé Un programme de gestion de la protection de la vie privée : la clé de la responsabilité.

7. Faire du consentement un processus dynamique et continu

Le consentement éclairé est un processus continu qui change selon les situations; les organisations ne devraient pas s’en tenir à un moment statique dans le temps, mais elles devraient plutôt traiter le consentement comme un processus dynamique et interactif.

L’obtention efficace d’un consentement constitue un processus dynamique qui ne prend pas fin au moment de l’affichage d’une politique ou d’un avis de confidentialité. En effet, le processus se poursuit à mesure que les organisations innovent, prennent de l’essor et évoluent. Lorsque les flux de données sont complexes, comme c’est souvent le cas, les organisations doivent mettre en place un mécanisme interactif et dynamique pour prévoir les questions des utilisateurs et y répondre si l’information fournie n’est pas claire ou qu’elle soulève des questions complémentaires. Dans l’environnement en ligne, où tout va très vite, il n’est peut-être pas réaliste ni pratique d’afficher un numéro sans frais, mais il existe une foule d’autres moyens à la disposition des organisations — par exemple, rédiger une foire aux questions et la mettre à jour régulièrement, utiliser de nouvelles technologies intelligentes ou faire appel à un assistant virtuel.

Lorsqu’elle prévoit modifier considérablement ses pratiques de protection de la vie privée, une organisation devrait en aviser les utilisateurs à l’avance et demander leur consentement avant l’entrée en vigueur des modifications. Au nombre des modifications substantielles, mentionnons l’utilisation de renseignements personnels à une fin nouvelle non prévue à l’origine ou la communication de renseignements personnels à un tiers à des fins autres que le traitement d’un élément essentiel à la prestation du service.

En outre, les organisations devraient envisager de rappeler périodiquement aux individus les options qui s’offrent à eux en matière de protection de la vie privée et de les inviter à revoir celles qu’ils ont choisies.

Déterminer la forme de consentement appropriée

Au-delà des principes susmentionnés, il est important que les organisations examinent la forme de consentement (explicite ou implicite) qui convient pour la collecte, l’utilisation ou la communication de renseignements personnels nécessitant l’obtention d’un consentement. Le consentement devrait généralement être explicite, mais un consentement implicite peut être suffisant dans des circonstances strictement définiesNote de bas de page 7. Dans un arrêt récent, la Cour suprême a confirmé que pour déterminer le type de consentement requis, les organisations doivent prendre en compte le caractère sensible des renseignements et les attentes raisonnables de la personne, qui sont tous deux fonction du contexteNote de bas de page 8.

En règle générale, les organisations doivent obtenir un consentement explicite de l’intéressé dans les cas suivants :

  • les renseignements recueillis, utilisés ou communiqués sont sensibles;
  • la collecte, l’utilisation ou la communication de l’information ne répond pas aux attentes raisonnables de l’intéressé;
  • la collecte, l’utilisation ou la communication de l’information accroît le risque de préjudice pour l’intéressé.

Sensibilité

Il n’y a pas de ligne de démarcation nette pour déterminer si un renseignement est sensible ou non. Certaines catégories de renseignements (par exemple ceux sur la santé ou les renseignements financiers) sont généralement considérées comme extrêmement sensibles, mais même des renseignements non sensibles peuvent le devenir dans certaines circonstances. Par exemple, un élément d’information peut ne pas être sensible lorsqu’il est pris isolément, mais le devenir selon ce qu’il peut révéler lorsqu’on le combine à d’autres renseignements personnels concernant un individuNote de bas de page 9. À l’inverse, des renseignements personnels généralement considérés comme très sensibles peuvent l’être  moins lorsque des renseignements connexes sont déjà du domaine public, selon la raison pour laquelle ces renseignements ont été rendus publics et la nature des relations entre les parties concernéesNote de bas de page 10.

Attentes raisonnables

Au moment de déterminer la forme de consentement appropriée, les organisations devraient aussi tenir compte des attentes raisonnables de l’intéressé dans les circonstances. Par exemple, en cas d’utilisation ou de communication à laquelle l’utilisateur ne peut raisonnablement pas s’attendre — entre autres la communication de certains renseignements à un tiers, le téléchargement de photos ou de listes de contacts ou le suivi de géolocalisation —, un consentement explicite peut être exigé.

Dans certains cas, d’autres facteurs contextuels peuvent entrer en jeu. Par exemple, lorsqu’une organisation envisage de communiquer des renseignements à un tiers, l’identité de ce dernier et les fins auxquelles il souhaite obtenir l’information peuvent être pertinentes. Selon la situation, une personne pourrait raisonnablement s’attendre à ce que les renseignements soient communiqués à un tiers autorisé par la loi à y avoir accès, mais non à des personnes mues seulement par la curiosité ou cherchant à obtenir les renseignements à des fins nuisiblesNote de bas de page 11.

Risque de préjudice

Le risque de préjudice pour l’intéressé est à la base de l’analyse contextuelle de la sensibilité des renseignements et des attentes raisonnables. Le terme « préjudice » devrait être interprété dans son sens large; il peut s’agir, entre autres, de dommages matériels, d’une atteinte à la réputation ou d’une restriction de l’autonomie. Un risque de préjudice élevé accroît généralement la sensibilité de l’information ou dépasse ce à quoi un individu pourrait normalement et raisonnablement s’attendre. En pareil cas, il faudra généralement obtenir un consentement explicite de l’intéressé — en supposant que le risque n’a pas atteint un seuil qui contrevient à l’exigence des « fins acceptables » définie ci-après (par exemple lorsqu’il y a un risque connu ou probable de préjudice grave), auquel cas on considérerait que les fins ne relèvent pas du paragraphe 5(3) de la Loi.

Consentement et enfants

La capacité des enfants et des jeunes de fournir un consentement valable à la communication de leurs renseignements personnels en ligne dépend grandement de leur développement cognitif et affectif. Comme les adultes ont eux-mêmes de la difficulté à comprendre ce qu’il advient de leurs renseignements personnels dans un environnement en ligne complexe, il serait irréaliste de s’attendre à ce que les enfants saisissent parfaitement les complexités de la communication de leurs renseignements personnels en ligne et les risques en découlant. Dès lors, la législation sur la protection des renseignements personnels dans le secteur privé autorise le consentement par l’intermédiaire d’une personne autorisée, comme un parent ou le tuteur légal.

Nous reconnaissons que la maturité est un processus de développement en évolution. Les jeunes découvrent — et, par conséquent, commencent à comprendre — de plus en plus tôt les services en ligne. La capacité de donner un consentement valable peut varier d’un enfant à l’autre, mais nous estimons qu’il y a un âge minimum sous lequel les jeunes enfants ne sont probablement pas en mesure de comprendre pleinement les conséquences de leurs choix concernant la protection de la vie privée, surtout à une époque où les flux de données sont complexes. C’est pourquoi, selon nous, sauf dans les cas exceptionnels, le consentement à la collecte, à l’utilisation et à la communication de renseignements personnels d’enfants de moins de 13 ans doit être obtenu auprès des parents ou tuteurs. Pour ce qui est des jeunes ayant entre 13 ans et l’âge de la majorité en vigueur dans leur province ou leur territoire, le consentement peut être considéré comme valable uniquement si l’organisation a pris en compte leur degré de maturité et adapté en conséquence son processus de consentement. Les organisations qui recueillent, utilisent ou communiquent les renseignements d’enfants ou de jeunes devraient porter une attention particulière au principe directeur no 6 et être prêtes à montrer sur demande que le processus choisi leur permettra d’obtenir un consentement valable.

Autres éléments que les organisations devraient connaître à propos du consentement

Enfin, les organisations devraient aussi prendre en compte quelques autres éléments au cours de l’élaboration des processus de consentement en ligne.

Fins acceptables

Il importe de se rappeler que les fins auxquelles une organisation recueille et utilise les renseignements personnels doivent être raisonnables et définies. Même si l’intéressé a donné son consentement, les lois sur la protection des renseignements personnels obligent les organisations à limiter la collecte, l’utilisation et la communication des renseignements personnels aux fins qu’une personne raisonnable estimerait acceptables dans les circonstancesNote de bas de page 12. Autrement dit, le consentement de l’intéressé ne donne pas carte blanche à l’organisation pour recueillir et utiliser sans discernement les renseignements personnels comme bon lui semble.

Retrait du consentement

En vertu des lois sur la protection des renseignements personnels dans le secteur privé, les individus ont le droit de retirer leur consentement, sous réserve des restrictions légales ou contractuelles. Le retrait du consentement devrait être respecté et mettre fin à toute collecte ou utilisation ultérieure des renseignements personnels de l’individu. Dans certains cas, ce retrait peut également entraîner la suppression des données sur la personne concernée qui sont détenues par l’organisation. Par exemple, si un utilisateur supprime son compte sur le site d’un réseau social, l’organisation devrait effacer ses renseignements personnels du site, dans la mesure où cela est possible sur le plan technique. Dans certains cas bien précis, toutefois, une organisation peut être obligée de conserver une partie des renseignements sur un individu qui a retiré son consentement. Par exemple, la liste des adresses de courriel des personnes qui ont demandé à ce qu’un service en ligne ne les contacte plus peut être conservée. Par ailleurs, d’autres lois peuvent exiger la conservation de ces renseignements. Par exemple, la législation et la réglementation applicables au secteur financier obligent les organisations à conserver des données comme le dossier de crédit de leurs clients et leurs demandes de carte de crédit pendant cinq ans à partir du jour de la fermeture du compte auquel elles se rapportentNote de bas de page 13.

Le consentement n’est pas une solution miracle

Enfin, il est important de noter que le consentement ne libère pas l’organisation de ses autres obligations en vertu des lois sur la protection des renseignements personnels, par exemple la responsabilité générale, les limites de la collecte et les mesures de sécurité. En d’autres termes, si un individu consent à ce que ses renseignements personnels soient traités contrairement aux dispositions de la loi, l’organisation n’en sera pas moins considérée comme enfreignant ces dispositions.

Date de modification :