Foire aux questions en matière de consentement en ligne

Mai 2014

Q. Faut-il obtenir un consentement lorsque les renseignements sont accessibles au public?

R. Dans l’environnement en ligne, la démarcation entre ce qui est public et ce qui est privé est souvent floue. Nous téléchargeons souvent des renseignements dans le but de les communiquer à un auditoire, qui peut être aussi restreint que les membres de notre famille ou aussi vaste que toute la communauté des internautes. Les organisations pourraient être tentées de recueillir des renseignements personnels qu’elles considèrent comme publics parce qu’ils sont largement accessibles sans obtenir le consentement de la personne visée.

En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), il n’est pas nécessaire d’informer la personne visée et d’obtenir son consentement dans certains cas lorsque le public « a accès à l’information ». Cependant, il ne faudrait pas confondre les renseignements auxquels le public a accès et les renseignements accessibles au public. En fait, la définition des renseignements auxquels le public a accès au sens de la LPRPDE est très restrictive.

Le Règlement d’application de la LPRPDE définit les renseignements auxquels le public a accès comme étant les renseignements qui figurent dans un annuaire téléphonique, un répertoire à caractère professionnel ou d’affaires, un registre gouvernemental ou un dossier ou un document d’un organisme judiciaire ou quasi judiciaire et qui est accessible au public. En règle générale, il ne faut pas obtenir de consentement dans la mesure où la collecte, l’utilisation et la communication des renseignements sont directement liées aux fins pour lesquelles ces derniers ont été rendus publics.

Les renseignements « auxquels le public a accès » comprennent également les renseignements publiés dans les magazines, les livres et les journaux qui sont accessibles au public et qui ont été fournis par la personne intéressée.   

Il faut obtenir le consentement de la personne visée pour tous les renseignements personnels qui ne constituent pas des renseignements auxquels le public a accès en vertu de la définition ci-dessus ou qui ne sont pas visés par les autres exceptions.

Pour obtenir de plus amples renseignements, veuillez consulter notre bulletin d’interprétation sur les renseignements personnels auxquels le public a accès.

Q. Dans quels cas le consentement est-il valable?

R. Le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.

Q.  Dans quels cas le consentement n’est-il pas requis?

R.  La LPRPDE renferme une liste d’exceptions pour lesquelles il n’est pas nécessaire d’obtenir le consentement de la personne intéressée aux fins de la collecte, de l’utilisation ou de la communication de renseignements. Les principales exceptions sont les suivantes :
  • si la collecte du renseignement est manifestement dans l’intérêt de l’intéressé et que le consentement ne peut être obtenu auprès de celui-ci en temps opportun;
  • s’il est raisonnable de s’attendre à ce que la collecte et l’utilisation effectuées au su et avec le consentement de l’intéressé puisse compromettre l’exactitude du renseignement ou l’accès à celui-ci, et que la collecte est raisonnable à des fins liées à une enquête sur la violation d’un accord ou la contravention du droit fédéral ou provincial;
  • si la communication est exigée par assignation, mandat ou ordonnance du tribunal ou des règles de procédure se rapportant à la production de documents;
  • si la communication est faite à une autre organisation et est raisonnable en vue d’une enquête sur la violation d’un accord ou sur la contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait l’enquête;
  • si la communication est faite à une autre organisation et est raisonnable en vue de la détection d’une fraude ou de sa suppression ou en vue de la prévention d’une fraude dont la commission est vraisemblable, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait la capacité de prévenir la fraude, de la détecter ou d’y mettre fin;
  • si la loi l’exige.

Pour obtenir la liste de toutes les exceptions, veuillez consulter les articles 7, 7.2, et 7.3 de la LPRPDE

Q. Qui doit obtenir le consentement lorsque le traitement des renseignements est confié à une tierce partie?

R.  Les organisations doivent assurer la protection des renseignements personnels qui sont transférés en vertu d’ententes d’impartition. Un transfert implique l’utilisation de renseignements personnels par une organisation, comme dans le cas du transfert des renseignements personnels d’un client à un fournisseur de services d’infonuagique aux fins du stockage des données. L’organisation qui transfère les renseignements est responsable de ces derniers même une fois qu’ils sont entre les mains de l’organisation à laquelle ils ont été transférés.

Les organisations devraient faire preuve de transparence en ce qui concerne le transfert de renseignements à des tierces parties, surtout si ces dernières sont situées à l’étranger. Elles devraient expliquer clairement quels renseignements seront communiqués et préciser l’utilisation qui en sera faite par la tierce partie. L’explication devrait être fournie avant la collecte des renseignements ou au moment où ils sont recueillis. Les organisations doivent également faire preuve de transparence au sujet de leurs pratiques de traitement des renseignements personnels. Elles doivent notamment indiquer aux clients que leurs renseignements personnels pourraient être transmis à une tierce partie située dans un pays étranger aux fins de leur traitement et que, le cas échéant, ils seront accessibles aux tribunaux ainsi qu’aux responsables de l’application de la loi et de la sécurité nationale dans le pays visé.

En ce qui a trait au consentement, si la tierce partie utilise les renseignements pour les fins auxquelles ils ont été recueillis au départ, il n’est pas nécessaire d’obtenir un consentement supplémentaire pour le transfert. Une fois qu’ils ont accepté de faire affaire avec une entreprise en particulier, les individus ne peuvent refuser que leurs renseignements soient transférés à une tierce partie aux fins de traitement, dans la mesure où les fins de la collecte demeurent les mêmesNote de bas de page 1. Ils doivent toutefois être informés d’un tel transfert.  

Q. Quand devrait-on mettre à jour une politique de confidentialité en ligne?

R. Les organisations devraient examiner régulièrement leurs politiques de confidentialité pour s’assurer qu’elles reflètent toujours exactement leurs pratiques de traitement des renseignements personnels. Les politiques devraient être mises à jour au besoin. En tant que pratique exemplaire, il faudrait indiquer la date d’entrée en vigueur de chaque politique afin que les utilisateurs puissent savoir si l’organisation fait un effort pour tenir sa politique de confidentialité à jour.

La politique de confidentialité est un mécanisme qui permet d’obtenir le consentement de l’utilisateur à l’égard des pratiques d’une organisation en matière de protection des renseignements personnels. Lorsqu’une organisation prévoit apporter des modifications importantes à cette politique, elle devrait en aviser les utilisateurs à l’avance et envisager de leur demander de confirmer qu’ils y consentent avant l’entrée en vigueur des modifications. Une nouvelle entente de communication des renseignements personnels à une tierce partie ou l’utilisation de renseignements personnels à des fins autres que celles pour lesquelles ils ont été recueillis constituent des exemples de modifications importantes.

En tant que pratique exemplaire, les organisations devraient procéder régulièrement à une vérification de leurs pratiques de gestion de l’information pour s’assurer que les renseignements personnels sont traités de la manière décrite dans leur politique de confidentialité.

Q. Les organisations sont-elles tenues d’adopter des approches originales, dynamiques et interactives pour obtenir le consentement des utilisateurs en ligne?

R.  Il revient à l’organisation de décider comment obtenir un consentement valable de la façon qui lui convient le mieux. Toutefois, des mécanismes de consentement binaires, statiques et uniques ne constituent généralement pas des mécanismes efficaces dans un environnement en ligne, où tout évolue rapidement. Il faudrait envisager des solutions novatrices pour s’assurer que les approches à l’égard du consentement sont adaptées aux circonstances et que les utilisateurs sont en mesure de prendre des décisions valables en ce qui a trait à la protection de leurs renseignements personnels.

Date de modification :