Mémoire reçu dans le cadre de la consultation sur le consentement en vertu de la LPRPDE (PrivacyCheq)

PrivacyCheq

Octobre 2016

Remarque : Ce document a été présenté par les auteurs ou auteures au Commissariat à la protection de la vie privée du Canada dans le cadre de la consultation sur le consentement en vertu de la LPRPDE.

Avertissement : Les opinions exprimées dans ce document sont celles des auteurs ou auteures et ne reflètent pas nécessairement celles du Commissariat à la protection de la vie privée du Canada. Comme ce mémoire a été fourni par une entité non assujettie à la Loi sur les langues officielles, il a été traduit de sa langue d’origine par le Commissariat à titre indicatif. En cas de divergence, veuillez consulter la version anglaise. Pour plus d’information sur la politique du Commissariat sur l’offre de contenu dans les deux langues officielles, vous pouvez consulter la page Conditions d’utilisation.


Membres du Groupe des politiques et de la recherche,

La présente communication vous est soumise au nom de PrivacyCheq, une société américaine spécialisée dans le développement, selon le principe du respect de la vie privée à l’étape de la conception, de technologies logicielles qui améliorent la protection de la vie privée.

Nous donnons suite à votre invitation à « déposer un mémoire sur la viabilité du modèle de consentement et à nous proposer des solutions pour permettre aux individus d’exercer un meilleur contrôle sur leurs renseignements personnels dans le contexte commercial. » Nous avons lu et compris les procédures de consultation qui ont été publiées. Les commentaires qui suivent peuvent concerner l’industrie et les organismes de réglementation.

Sous la rubrique « Solutions possibles », le document de discussion Consentement et protection de la vie privée présente cinq solutions générales qui ont été proposées par différents intervenants pour relever certains des défis en matière de protection de la vie privée découlant des nouvelles technologies et des nouveaux modèles d’affaires. PrivacyCheq estime que la solution préférable est la première : « améliorer le processus de consentement éclairé en expliquant aux personnes de façon plus simple et plus utile les pratiques de gestion de l’information et en leur offrant des moyens plus conviviaux pour exprimer leurs préférences concernant la protection de la vie privée. » Nous soumettons respectueusement les observations, raisonnements et opinions qui suivent à l’appui de cette conclusion :

  1. Le consentement est la pierre angulaire de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). De même, le Règlement général sur la protection des données (RGPD) de l’UE et les principes relatifs aux pratiques équitables de traitement de l’information (FIPP) américaines précisent que le consentement est la pierre d’assise sur laquelle reposent l’utilisation des renseignements personnels sur les consommateurs et l’établissement de la confiance des consommateurs. Selon nous, il est inconcevable de recueillir des renseignements personnels sans consentement.
  2. Dans le contexte de la collecte des renseignements personnels sur les consommateurs, le consentement est inutile sans avis. Dans le contexte actuel où l’on se préoccupe de plus en plus de la protection de la vie privée, le consentement présente une importante faiblesse s’il n’est pas accompagné d’un avis efficace. Nous croyons qu’une bonne première étape pour « corriger » le consentement pourrait consister à « corriger » l’avis d’abord ou simultanément.
  3. La plupart des définitions d’avis efficace comportent des adjectifs comme « explicite », « spécifique », « éclairé », « concis », « transparent », « intelligible », « facile d’accès », « clair » et « simple ». Pourtant, de nombreuses études sur l’efficacité des politiques sur la protection de la vie privée, des avis sur la protection de la vie privée et des conditions d’utilisation révèlent qu’un clivage persiste entre ce que le consommateur a besoin de savoir (et est en mesure de savoir) au moment où il donne son consentement et l’existence d’avis conviviaux (efficaces). Il s’agit d’un problème qui dure depuis de nombreuses années.
  4. Selon nous, personne n’est à blâmer pour cette situation, et tout le monde l’est. De son côté, le consommateur prend rarement le temps de lire et de comprendre un long document juridique avant d’inspirer profondément et de cocher la case « J’accepte » et de donner son consentement. Le responsable du traitement, qui est tenu par la réglementation et la nécessité d’éviter le risque, préfère utiliser un document modèle de plusieurs pages, aride et détaillé sur le plan juridique, ce qui représente une façon défensive, mais bien compréhensible, de donner un avis.
  5. De quelle façon le CPVP pourrait-il régler simplement ce dilemme entre l’information et la confusion? Nous croyons qu’en exploitant l’extraordinaire technologie dont presque tout le monde dispose maintenant, il serait possible d’y arriver grâce à un consensus social plutôt que par la réglementation. Voici quelques suggestions sur la façon de procéder :
    1. Travailler socialement avec les personnes concernées et les responsables du traitement pour redéfinir la notification et le consentement dans un contexte de coopération et non d’opposition pour les deux parties. Aider les personnes visées à comprendre qu’un avis efficace sur la protection de la vie privée est probablement la meilleure source d’information au moment du consentement. De même, aider les entreprises à comprendre qu’une opération positive de notification et d’obtention d’un consentement peut représenter une occasion unique d’amener le consommateur à avoir confiance dans la marque et l’environnement numérique. Idéalement, les deux parties devraient bénéficier de la notification et de l’obtention du consentement, ce qui devrait permettre à leur relation de croître.
    2. Travailler socialement pour changer l’opinion répandue parmi les entreprises selon laquelle chaque expression d’une politique sur la protection de la vie privée, chaque avis de confidentialité et chaque condition d’utilisation représentent une occasion et une invitation qui exposent le responsable du traitement à des recours légaux. Travailler pour montrer aux responsables du traitement que les avis multicouches qui reformulent les politiques de protection de la vie privée d’une organisation de différentes façons sont tous utiles et souhaitables pour communiquer un avis efficace au consommateur au moment du consentement, à condition que la divulgation type complète soit facilement accessible pour le consommateur qui souhaite en savoir davantage. Certaines personnes concernées par les données bénéficient d’une brève politique de protection de la vie privée, tandis que d’autres peuvent préférer une couche sous forme de questions et réponses, ce qui permet de donner des réponses « juste à temps » aux personnes qui souhaitent savoir pour quelle raison certains renseignements personnels sont requis. Les jeunes utilisateurs préfèrent souvent une politique de protection de la vie privée sous forme de vidéo, et il est important que les organisations qui sont actives partout dans le monde publient des avis de confidentialité dans différentes langues. Travailler pour soutenir les efforts des responsables du traitement pour bâtir des relations de confiance mutuelle en mode numérique et favoriser la reconnaissance de la marque chez les consommateurs en enrichissant (en non en obscurcissant) la notification et l’obtention du consentement.
    3. Travailler socialement pour changer une opinion persistante chez les consommateurs selon laquelle toutes les formes d’avis de consentement préalable doivent être évitées ou ignorées. Renseigner les consommateurs (peut-être en donnant l’exemple) sur le fait que des formulaires conviviaux d’avis existent (en particulier des avis de consentement éclairéNote de bas de page 1), qu’ils peuvent être très efficaces pour communiquer juste à temps des renseignements propres à un événement, qui se limitent aux renseignements qui sont nécessaires au moment du consentement.
    4. Travailler à titre d’organismes de réglementation pour inciter les responsables du traitement à offrir des outils de gestion électronique qui donnent aux personnes concernées des méthodes leur permettant d’exercer leur droit de gérer leur consentement.
  6. La technologie actuelle permet de mettre en œuvre bon nombre des suggestions qui précèdent, que ce soit sur ordinateur de bureau, un ordinateur portatif, une tablette ou un téléphone intelligent. Plusieurs exemples types de ces technologies figurent dans les liens qui précèdent.

En résumé, voici les réponses aux questions principales :

  1. Parmi les solutions proposées dans le présent rapport, lesquelles présentent selon vous le plus d’avantages? Selon nous, la solution 1) Amélioration du consentement, est celle qui présente le plus d’avantages.
  2. Avez-vous d’autres solutions à proposer pour relever les défis associés au consentement? Veuillez expliquer. Nous croyons que le fait de reconnaître et de promouvoir des techniques nouvelles, plus efficaces et plus robustes de notification représenterait une étape importante dans l’amélioration et l’enrichissement de l’expérience de consentement des consommateurs.
  3. Quels rôles, responsabilités et pouvoirs devrait-on attribuer aux parties chargées de promouvoir l’élaboration et l’adoption de solutions pour mettre en place le système le plus efficace possible? S.O.
  4. Le cas échéant, quelles modifications devrait-on apporter à la législation? S.O.

Les spécialistes de la protection de la vie privée de PrivacyCheq vous remercient de leur avoir donné l’occasion de formuler des commentaires et seront ravis de poursuivre la discussion et de fournir des explications supplémentaires.

Cordialement,

Dale R. Smith, CIPT
Futuriste
(technologue de l’information)
PrivacyCheq

Date de modification :