Document d’information

Le rapport annuel 2016-2017 du Commissaire souligne les résultats de la consultation sur le consentement

OTTAWA, le 21 septembre 2017 - Les Canadiens (92 %) sont préoccupés par la protection de leur vie privée. Ils craignent que les nouvelles technologies et les nouveaux modèles d’affaires aient entravé leur capacité à contrôler la façon dont les entreprises recueillent, utilisent et communiquent leurs renseignements personnels.

En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada, les organisations doivent généralement obtenir le consentement de l’intéressé pour recueillir, utiliser et communiquer ses renseignements personnels. Le consentement est le principal mécanisme qui permet aux individus d’affirmer leur autonomie et d’exercer un contrôle sur leurs renseignements personnels.

Mais à l’ère numérique, il est de plus en plus difficile d’obtenir un consentement valable du fait qu’il est beaucoup moins évident de déterminer qui traite nos renseignements et à quelles fins. Après avoir consulté des consommateurs, des représentants de l’industrie et des intervenants spécialisés en la matière, nous avons conclu que le consentement demeure au cœur de l’autonomie personnelle, mais qu’il faut ajouter d’autres mécanismes pour l’appuyer et ainsi protéger la vie privée plus efficacement – par exemple, des organismes de réglementation indépendants comme le Commissariat qui renseignent les citoyens, orientent l’industrie, lui demandent des comptes et sanctionnent les comportements inacceptables.

Les mesures que nous avons prévues et nos recommandations peuvent être classées dans trois grandes catégories, à savoir : 1) le renforcement de la validité du consentement; 2) les solutions de remplacement du consentement et 3) la gouvernance (responsabilité des entreprises et application de la loi). Certaines solutions que nous proposons requièrent des modifications législatives, tandis que d’autres n’en exigent aucune et lorsque nous le pourrons, nous prendrons immédiatement des mesures pour améliorer les mécanismes de protection de la vie privée des Canadiens. On trouvera ci-après un résumé des mesures prévues par le Commissariat ainsi que de ses recommandations. Pour obtenir plus de détails, voir le rapport intégral.

1. RENFORCEMENT DE LA VALIDITÉ DU CONSENTEMENT

Bien qu’il soit remis en cause, le consentement devrait continuer de jouer un rôle important dans la protection de la vie privée. Les solutions qui suivent visent à rendre le consentement mieux informé et ainsi renforcer sa validité.

Avis de confidentialité

L’ENJEU

Les politiques de confidentialité et les conditions d’utilisation sont trop longues et sont formulées dans un jargon juridique à peu près incompréhensible pour un grand nombre de Canadiens.

MESURE PRÉVUE PAR LE COMMISSARIAT

Le Commissariat mettra à jour ses lignes directrices en matière de consentement en ligne afin de préciser quatre éléments clés qui doivent être mis en évidence dans les avis de confidentialité et expliqués de manière conviviale, à savoir :

  • quels renseignements personnels sont recueillis;
  • à qui ils sont communiqués;
  • à quelles fins les renseignements sont recueillis, utilisés ou communiqués (y compris une explication des fins non essentielles à la prestation du service);
  • quel est le risque de préjudice pour l’individu, le cas échéant.

Formes de consentement : consentement implicite et explicite

L’ENJEU

Les tribunaux ont affirmé que : 1) le consentement éclairé nécessite généralement un consentement explicite; 2) les organisations doivent tenir compte de la sensibilité des renseignements personnels et des attentes raisonnables de l’individu lorsqu’elles déterminent en fonction du contexte si un consentement implicite est acceptable ou si un consentement explicite (positif) est requis. D’après les intervenants, l’obligation d’obtenir un consentement explicite devrait être indiquée plus clairement dans certaines situations.

MESURES PRÉVUES PAR LE COMMISSARIAT

Le Commissariat publiera un document d’orientation à jour sur le consentement en ligne, dans lequel il précisera que le consentement explicite est généralement exigé lorsqu’il y a un risque de préjudice, lorsque les renseignements personnels sont sensibles ou lorsque les renseignements seront utilisés dans le cadre de pratiques qui ne sont pas fondamentales ou essentielles à la prestation du service. À l’avenir, le Commissariat cherchera à mieux définir le concept d’« attentes raisonnables des individus » dans différents contextes, entre autres afin d’orienter la forme de consentement.

RECOMMANDATION

Le Parlement devrait envisager de mentionner le risque de préjudice expressément dans la LPRPDE, par exemple – comme facteur afin d’orienter la forme de consentement.

Enfants et jeunes

L’ENJEU

Les enfants et les jeunes sont de grands utilisateurs de technologie et sont de plus en plus en ligne à un très jeune âge. Leur capacité à donner un consentement valable dépend de leur développement cognitif et social. Or, nous sommes à une ère où même les adultes peuvent avoir de la difficulté à comprendre les flux de données complexes.

MESURE PRÉVUE PAR LE COMMISSARIAT

Notre document d’orientation sur le consentement en ligne abordera aussi des questions touchant expressément les enfants et les jeunes. Selon nous, sauf dans les cas exceptionnels, le consentement à la collecte, à l’utilisation et à la communication de renseignements personnels d’enfants de moins de 13 ans doit être obtenu auprès des parents ou tuteurs. Pour ce qui est des jeunes ayant entre 13 et 18 ans, le consentement peut être considéré comme valable uniquement si l’organisation a adapté ses processus de consentement en fonction du degré de maturité de ses utilisateurs.

Encourager l’utilisation de technologies visant à faciliter le processus de consentement

L’ENJEU

Les nouvelles technologies peuvent rendre très difficile l’obtention d’un consentement valable, mais elles peuvent aussi ouvrir la porte à des possibilités. Les technologies et les bonnes idées pour faciliter ce processus ne manquent pas, mais le milieu des affaires ne semble pas les déployer ou les adopter. Certaines entreprises se font même complices de l’utilisation de technologies qui contournent les choix des individus en matière de protection de la vie privée. Il incombe aux innovateurs de l’industrie de développer et d’adopter des technologies renforçant la protection de la vie privée et d’aider les clients à faire les bons choix en la matière.

MESURES PRÉVUES PAR LE COMMISSARIAT

Le Commissariat informera les personnes des outils technologiques à leur disposition conçus pour mettre en œuvre leurs choix en matière de consentement et il se penchera sur les incidents concernant des choix non respectés. Il financera des activités de recherche et de transfert des connaissances afin de promouvoir le développement et l’adoption de nouvelles technologies visant à améliorer le processus de consentement.

RECOMMANDATION

Le Commissariat encourage le gouvernement à financer les nouvelles technologies, en autant qu’elles intègrent des mesures de protection de la vie privée afin d’aider à créer des incitatifs en vue de leur adoption.

Pratiques inacceptables, malgré le consentement

L’ENJEU

La loi actuelle reconnaît que dans certaines circonstances, il devrait être interdit aux organisations d’utiliser des renseignements personnels même si elles ont obtenu le consentement des intéressés. Mais le libellé de ces dispositions est général et sujet à interprétation.

MESURE PRÉVUE PAR LE COMMISSARIAT

Le Commissariat rédigera un document d’orientation décrivant explicitement certaines situations où la collecte, l’utilisation ou la communication de renseignements personnels est inacceptable et nous demanderons des commentaires sur ce document. Voici quelques exemples d’utilisations inappropriées : les situations qui risquent probablement de causer un préjudice grave à l’intéressé; un profilage donnant lieu à un traitement injuste, contraire à l’éthique ou discriminatoire; ou la publication de renseignements personnels dans le but de réclamer un paiement aux individus pour les retirer.

Orientations à l’intention des individus et des organisations

L’ENJEU

Tous les intervenants ont exprimé le souhait que le Commissariat donne davantage d’orientations aux individus et aux organisations. Les individus ont besoin de plus d’information afin de mieux comprendre les risques d’atteinte à la vie privée et de savoir comment les atténuer. Quant aux entreprises, elles veulent obtenir plus d’information sur leurs obligations en matière de protection de la vie privée et les responsabilités qui leur incombent en vertu de la loi.

MESURES PRÉVUES PAR LE COMMISSARIAT

Le Commissariat publiera plus d’information, d’avis et d’orientations à l’intention des individus et des organisations sur un large éventail de questions. (Le rapport intégral sur le consentement renferme une liste de 30 sujets.)

En outre, nous encouragerons l’industrie à élaborer des codes de pratiques, en commençant par un code sur les véhicules connectés et un autre sur les applications juridiques.

RECOMMANDATION

Afin de s’assurer que la prochaine génération de Canadiens est bien au courant de ses droits en matière de protection de la vie privée, le commissaire, en collaboration avec ses homologues de tout le Canada, enjoindra aux gouvernements provinciaux et territoriaux d’intégrer l’éducation à la protection de la vie privée dans leurs programmes scolaires.

2. SOLUTIONS DE REMPLACEMENT DU CONSENTEMENT

La plupart de nos solutions mettent l’accent sur la protection des consommateurs, mais nous reconnaissons qu’il faut aussi encourager l’innovation et que les renseignements personnels constituent un volet important de l’économie axée sur les données. Au XXIe siècle, il peut y avoir des circonstances exceptionnelles où il n’est tout simplement pas possible d’obtenir un consentement. Les solutions qui suivent visent à faire face à ces situations.

Désidentification

L’ENJEU

Il y a encore un débat sur les mérites et les risques associés à la désidentification – processus au cours duquel on élimine l’association entre les données d’identification et l’individu. Le Commissariat demeure d’un optimisme prudent et estime que la désidentification pourrait être une solution viable pourvu qu’elle soit gérée correctement.

MESURE PRÉVUE PAR LE COMMISSARIAT

Le Commissariat publiera un document d’orientation dans lequel il proposera des méthodes de désidentification respectueuses de la vie privée. Il présentera des facteurs à prendre en compte pour déterminer quand le risque de réidentification est suffisamment faible pour que les renseignements puissent être utilisés sans consentement.

RECOMMANDATION

Nous encourageons le Parlement à examiner le concept des renseignements pseudonymisés, qui pourraient être soustraits aux exigences relatives au consentement tout en demeurant assujettis aux autres mesures de protection prévues par la LPRPDE.

Renseignements auxquels le public a accès

L’ENJEU

Selon les intervenants de l’industrie qui souhaitent un assouplissement des exigences concernant le consentement, il y a lieu de modifier le Règlement précisant les renseignements auxquels le public a accès de la LPRPDE pour qu’il reflète mieux l’environnement d’aujourd’hui où les renseignements personnels peuvent être facilement accessibles dans les « espaces ouverts » comme Internet. Ceci dit, on croit souvent à tort que les renseignements personnels ne présentent aucun intérêt sur le plan de la protection de la vie privée simplement parce qu’ils sont généralement accessibles en ligne. La décision concernant la façon de protéger la vie privée des personnes concernées est extrêmement complexe et exige que l’on prenne en compte les droits individuels et ceux de la société.

RECOMMANDATION

Le Commissariat encourage le Parlement à déterminer la meilleure façon de moderniser les règles régissant les renseignements auxquels le public a accèsen prenant en compte la nécessité d’assurer un équilibre entre des droits constitutionnels potentiellement concurrents.

Nouvelles exceptions lorsqu’il est pratiquement impossible d’obtenir un consentement

L’ENJEU

Il existe des situations où l’obtention du consentement est difficile, voire pratiquement impossible. Le contexte des mégadonnées est un bon exemple : d’énormes quantités de données sont recueillies en continu et ces données sont utilisées à de nouvelles fins déterminées après leur collecte. L’intelligence artificielle repose sur ces méthodes de traitement des données. En Europe, ces utilisations sont autorisées en vertu du concept des « intérêts légitimes ». D’après nous, une exception au titre des « intérêts légitimes » serait trop générale mais on pourrait envisager des exceptions plus précises et ciblées.

RECOMMANDATION

Le Commissariat recommande au Parlement d’examiner la possibilité de prévoir de nouvelles exceptions en matière de consentement pour gérer les activités où l’obtention du consentement pourrait être pratiquement impossible et où les avantages pour la société l’emportent manifestement sur les ingérences dans la vie privée, sous réserve de conditions strictes et de pouvoirs d’application de la loi renforcés.

3. GOUVERNANCE

Les solutions qui suivent portent sur les mécanismes de gouvernance qui permettront de s’assurer que les entreprises mettent en œuvre et respectent leurs obligations en matière de protection de la vie privée.

Responsabilité

L’ENJEU

La responsabilité est un principe fondamental énoncé dans la LPRPDE qui oblige les organisations à mettre en œuvre des politiques, des pratiques et des procédures de protection de la vie privée pour appliquer la loi. Lors de nos consultations, les intervenants ont souvent indiqué que la responsabilité devait occuper une place plus importante dans la protection de la vie privée, puisque à l’ère moderne les flux de données et les modèles d’affaires deviennent de plus en plus complexes, ce qui crée des difficultés pour l’application du modèle de consentement.

MESURES PRÉVUES PAR LE COMMISSARIAT

Tout en considérant que le consentement joue toujours un rôle important, nous convenons qu’il faudrait accroître l’importance accordée au principe de responsabilité. Par conséquent, les organisations devraient avoir à démontrer sur demande qu’elles respectent ce principe et ainsi qu’elles respectent le droit à la vie privée. Nous chercherons des moyens d’appliquer ce principe de manière proactive, par exemple en déposant des plaintes à l’initiative du commissaire. Nous continuerons d’appliquer le principe du respect de la vie privée dès la conception d’un produit ou d’un service – notion selon laquelle des mesures de protection de la vie privée devraient être intégrées dès les premiers stades de la conception même d’un produit ou d’un service – grâce à nos lignes directrices en matière de responsabilité et au principe de responsabilité énoncé dans la LPRPDE. Nous adapterons aussi notre cadre de responsabilité pour qu’il puisse être davantage adapté aux besoins des petites et moyennes entreprises de sorte que ces dernières soient mieux outillées pour s’acquitter des obligations qui leur incombent.

RECOMMANDATION

Nous encourageons le Parlement à modifier la LPRPDE pour légiférer l’obligation de démontrer le respect du principe de la responsabilité et conférer au commissaire le pouvoir d’effectuer des examens de conformité sur demande, sans avoir de motifs de croire qu’une infraction à la LPRPDE a été commise, comme c’est souvent le cas dans d’autres régimes réglementaires.

Application de la loi

L’ENJEU

Les Canadiens sont très préoccupés par la protection de leur vie privée et ils ne se sentent pas protégés par une loi qui n’a pas de mordant et des entreprises qui peuvent choisir de suivre ou non les recommandations. Le Commissariat doit être investi de pouvoirs d’intervention comparables à ceux d’organisations d’autres pays et proportionnels au risque croissant d’atteinte à la vie privée que présentent les nouvelles technologies révolutionnaires. Le moment est aussi venu pour le Canada de s’orienter vers une application plus proactive de la loi étant donné que le modèle actuel de l’ombudsman, fondé sur les plaintes, ne permet pas de détecter tous les problèmes de protection de la vie privée. À l’ère des mégadonnées et de l’Internet des objets, il est difficile de comprendre ce qu’il advient des renseignements personnels d’un individu et les gens sont peu susceptibles de déposer une plainte à propos d’un fait dont ils ignorent l’existence.

MESURE PRÉVUE PAR LE COMMISSARIAT

Le Commissariat utilisera davantage et de manière plus stratégique son pouvoir d’ouvrir une enquête, en mettant l’accent sur les problèmes chroniques ou sectoriels ou d’autres problèmes liés à la protection de la vie privée touchant les modèles d’affaires et les utilisations des renseignements personnels qui manquent de transparence.

RECOMMANDATIONS

Le Parlement devrait modifier la LPRPDE afin qu’elle confère au commissaire à la protection de la vie privée le pouvoir de rendre des ordonnances et la possibilité d’imposer des sanctions administratives pécuniaires.

Le commissaire devrait également avoir le choix de faire enquête ou non sur les plaintes individuelles. Cette mesure lui permettrait de canaliser les ressources limitées vers les questions qui posent le risque le plus élevé pour les Canadiens ou qui peuvent avoir la plus grande incidence sur eux. Pour régler les plaintes qui ne seraient pas entendues par le Commissariat, nous recommandons d’adopter une législation qui accorderait aux personnes un droit privé d’intenter une action en justice en cas d’infraction à la LPRPDE.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :