Consentez vous? - Quatre façons de renforcer la protection des renseignements personnels numériques

Michael Geist (Titulaire de la Chaire de recherche du Canada en droit d’Internet et du commerce électronique, Université d’Ottawa)

Octobre 2016

Remarque : Ce document a été présenté par les auteurs ou auteures au Commissariat à la protection de la vie privée du Canada dans le cadre de la consultation sur le consentement en vertu de la LPRPDE.

Avertissement : Les opinions exprimées dans ce document sont celles des auteurs ou auteures et ne reflètent pas nécessairement celles du Commissariat à la protection de la vie privée du Canada. Comme ce mémoire a été fourni par une entité non assujettie à la Loi sur les langues officielles, il a été traduit de sa langue d’origine par le Commissariat à titre indicatif. En cas de divergence, veuillez consulter la version anglaise. Pour plus d’information sur la politique du Commissariat sur l’offre de contenu dans les deux langues officielles, vous pouvez consulter la page d’Avis importants.


À l’échelle de la planète, les lois sur la protection de la vie privée peuvent être différentes sur certaines questions, mais elles partagent un principe clé : la collecte, l’utilisation et la divulgation des renseignements personnels nécessitent le consentement de l’utilisateur. Dans un monde numérique où les données sont recueillies de façon continue et peuvent être utilisées d’une myriade de façons inimaginables auparavant, le défi consiste à veiller à ce que le modèle de consentement atteigne toujours l’objectif, c’est‑à‑dire donner aux membres du public un contrôle efficace sur leurs renseignements personnels.

Plus tôt cette année, le Commissariat à la protection de la vie privée du Canada a publié un document de travail qui a ouvert la voie à la tenue d’un processus visant à repenser la façon dont le droit canadien traite la question du consentement. Le document propose plusieurs solutions qui pourraient améliorer le consentement (une plus grande transparence dans les politiques sur la protection des renseignements personnels, des mesures de protection propres aux différentes technologies), mais indique également que l’on pourrait accorder moins d’importance au consentement afin de se concentrer davantage sur la suppression des renseignements permettant d’identifier des personnes ou l’établissement de zones « interdites » qui réglementeraient certaines utilisations de renseignements sans consentement.

On s’attend à ce que de nombreuses entreprises demandent des réformes importantes au modèle de consentement actuel, en faisant valoir que celui‑ci est trop coûteux et ne répond pas aux besoins des utilisateurs ou des entreprises. Au lieu de ce modèle, les entreprises pourraient demander un virage vers des codes de pratique qui tiennent compte des normes particulières de l’industrie, accompagnés de règles de base en matière de protection de la vie privée qui créent des restrictions limitées relativement à l’utilisation des renseignements personnels.

Les arguments des entreprises canadiennes selon lesquels l’établissement de règles plus strictes en matière de consentement serait trop difficile ou coûteux n’ont rien de nouveau. Au cours du débat animé concernant la loi antipourriel, le milieu des affaires a soutenu qu’un modèle de consentement à adhésion facultative qui exigerait un accord plus explicite et éclairé de la part des utilisateurs serait coûteux à mettre en œuvre et nuirait énormément au commerce électronique. Or, en réalité, le modèle à adhésion facultative est utilisé dans de nombreux autres pays pour fournir une meilleure protection de la vie privée et améliorer l’efficacité du marketing électronique.

Au lieu d’affaiblir ou d’abandonner les modèles de consentement, le droit canadien doit moderniser son approche en rendant le consentement plus efficace dans l’environnement numérique. Il semble évident que le modèle actuel s’appuie encore trop sur des politiques de consentement présumé, en vertu desquelles les entreprises ont le droit de tenir pour acquis qu’elles peuvent utiliser les renseignements personnels de leurs clients à moins que ceux-ci ne les informent de leur refus. De plus, toute politique de protection des renseignements personnels qui entraîne de la confusion chez les membres du public en ce qui a trait à la façon dont leurs renseignements peuvent être recueillis ou divulgués crée une notion de consentement qui relève souvent de la fiction et non de la réalité.

Comment combler les lacunes du modèle fondé sur le consentement?

Premièrement, le Canada devrait mettre en œuvre un système de consentement à adhésion facultative comme approche par défaut. À l’heure actuelle, l’adhésion facultative n’est utilisée que lorsqu’elle est strictement exigée par la loi ou que des renseignements de nature très délicate (p. ex. renseignements sur la santé ou données financières) sont en cause. En vertu du système actuel, la plupart des renseignements sont recueillis, utilisés et divulgués sans consentement éclairé.

Deuxièmement, comme le consentement éclairé dépend de la compréhension par les membres du public de la façon dont leurs renseignements seront recueillis, utilisés et divulgués, les règles associées à la transparence doivent être améliorées. Les cases à cocher comportant une possibilité de refus, qui entraînent de la confusion chez les membres du public en ce qui a trait à la façon d’exercer leur droit à la vie privée, devraient être rejetées comme forme appropriée de consentement.

De plus, étant donné l’incertitude associée aux données volumineuses et aux transferts transfrontaliers d’information, de nouvelles formes de transparence sont nécessaires dans les politiques de protection des renseignements personnels. À titre d’exemple, la transparence algorithmique exigerait que les moteurs de recherche et les entreprises de médias sociaux divulguent la façon dont l’information est utilisée pour déterminer le contenu affiché à chaque utilisateur. Pour garantir la transparence dans le transfert de données, les entreprises devraient divulguer l’endroit où sont stockés les renseignements personnels et le moment où ceux‑ci peuvent être transférés à l’extérieur du Canada.

Troisièmement, le consentement efficace signifie que l’on doit permettre aux utilisateurs d’exprimer leurs choix en matière de protection de la vie privée. La plupart des politiques sont « à prendre ou à laisser », c’est-à-dire qu’elles offrent peu de marge de manœuvre pour adapter la façon dont les renseignements sont recueillis, utilisés et communiqués. Un consentement réel devrait également signifier un choix réel.

Quatrièmement, les pouvoirs d’application de la loi doivent être renforcés pour permettre une intervention efficace en cas de violation du droit à la vie privée. L’empressement à se conformer à la loi canadienne antipourriel a été alimenté par l’imposition d’importantes sanctions lorsqu’il y a violation des règles. Le droit canadien général en matière de protection de la vie privée est toujours fondé sur la persuasion ou l’humiliation publique, et non sur une application stricte de la loi appuyée par des sanctions. Pour que les règles sur la protection de la vie privée soient prises au sérieux, toute entreprise qui commet une violation à cet égard doit faire face à de graves conséquences.

Date de modification :