Favoriser l’innovation grâce à un modèle amélioré de consentement

Kirsten Thompson (Associée et coresponsable, groupe national sur la cybersécurité, la confidentialité et la protection des données de McCarthy Tétrault)

Octobre 2016

Remarque : Ce document a été présenté par les auteurs ou auteures au Commissariat à la protection de la vie privée du Canada dans le cadre de la consultation sur le consentement en vertu de la LPRPDE.

Avertissement : Les opinions exprimées dans ce document sont celles des auteurs ou auteures et ne reflètent pas nécessairement celles du Commissariat à la protection de la vie privée du Canada. Comme ce mémoire a été fourni par une entité non assujettie à la Loi sur les langues officielles, il a été traduit de sa langue d’origine par le Commissariat à titre indicatif. En cas de divergence, veuillez consulter la version anglaise. Pour plus d’information sur la politique du Commissariat sur l’offre de contenu dans les deux langues officielles, vous pouvez consulter la page Conditions d’utilisation.


SommaireNote de bas de page 1

Le modèle de consentement actuel convient à la plupart des contextes, mais doit être étoffé de manière à tenir compte du monde numérique créé du fait que la technologie et l’économie encouragent sans cesse davantage les organisations à mettre l’accent sur les données.

La Loi sur la protection des renseignements personnels et les documents électroniques vise à être neutre sur le plan technologie et souple. Les modifications législatives normatives vont à l’encontre de ces objectifs et en font peu pour veiller à ce que le milieu de la réglementation demeure à jour. Des modifications seront nécessaires, mais il faudrait que leur nature et leur concept soient d’ordre général, et qu’elles appuient des réponses plus nuancées aux défis technologiques par l’intermédiaire des mécanismes de politique et d’orientation.

Les consommateurs sont maintenant plus avertis et leurs attentes ont évolué. Par conséquent, il faut présumer que la collecte et l’utilisation de formes relativement inoffensives de renseignements personnels s’effectuent dans le cadre des activités numériques. Ainsi, les politiques sur la protection de la vie privée doivent en tenir compte, et il faut accorder la priorité aux usages non évidents et complexes, ainsi que minimiser l’importance des usages courants pour éliminer la confusion et réduire la longueur.

Le traitement des renseignements personnels aux fins d’« intérêts légitimes » devrait être comparable au consentement en tant que fondement permettant à une organisation de traiter l’information, en plus d’être intégré à la Loi sur la protection des renseignements personnels et les documents électroniques. Le critère actuel du « caractère raisonnable » est trop restrictif; il entrave les activités opérationnelles légitimes et empêche l’innovation. Étant donné le rythme auquel évoluent la technologie et la nature concurrentielle du milieu des affaires, il faut prendre les mesures qui s’imposent assez rapidement.

Les organisations qui souhaitent tirer parti de cette expansion des usages permis devraient en contrepartie faire preuve de transparence à l’égard de leurs pratiques. Les organisations qui invoquent l’intérêt légitime comme fondement du traitement de l’information pourraient démontrer leur responsabilisation en procédant à une analyse du risque à cet égard, analyse qui pourrait notamment comprendre la nature du recours aux analyses, les types de renseignements utilisés, le risque de préjudice, la proportionnalité, de même que les contrôles d’atténuation applicables (p. ex. anonymisation). À cet égard, l’orientation donnée par le Commissariat à la protection de la vie privée du Canada en ce qui touche les pratiques exemplaires relatives à l’établissement de l’intérêt légitime et de cadres de gouvernance en matière d’analyse constituerait le mécanisme au moyen duquel une organisation pourrait démontrer sa responsabilisation en ce sens.

Enfin, le Commissariat à la protection de la vie privée du Canada devrait prendre rapidement les mesures qui s’imposent pour clarifier que le traitement des renseignements personnels aux fins d’anonymisation ne constitue pas, en soi, une utilisation des renseignements personnels exigeant un consentement. L’anonymisation des renseignements personnels dans les circonstances où il n’existe aucune possibilité importante d’établir l’identité devrait être acceptée comme une utilisation permise (à condition que les renseignements personnels utilisés à une fin secondaire soient employés de manière à ne pas nuire aux personnes concernées).

Le lien vers la mémoire complète sera disponible sous peu.

Date de modification :