Forme de consentement

Mars 2014

L’une des principales fonctions du commissaire consiste à enquêter sur les plaintes en matière de protection de la vie privée déposées contre des organisations et à tenter de les régler. Ses conclusions sur une question donnée peuvent varier en fonction des faits propres à chaque cas et de la position des parties en cause. Au fil du temps, les conclusions au sujet de certaines questions clés ont commencé à former des principes généraux pouvant offrir une orientation utile aux organisations.

Afin de résumer les principes généraux qui se dégagent des décisions judiciaires et des conclusions du commissaire jusqu’à présent, le Commissariat publie des interprétations de certains concepts clés de la LPRPDE. Ces interprétations, qui n’ont pas force exécutoire mais servent plutôt d’orientation à des fins de conformité à la LPRPDE, peuvent évoluer et se préciser à mesure que la commissaire formule d’autres conclusions et que les tribunaux rendent d’autres décisions.

I. Dispositions législatives pertinentes

Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5 (LPRPDE)

Principe 4.3 : Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.

Principe 4.3.4 : La forme du consentement que l’organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements. Si certains renseignements sont presque toujours considérés comme sensibles, par exemple les dossiers médicaux et le revenu, tous les renseignements peuvent devenir sensibles suivant le contexte. Par exemple, les nom et adresse des abonnés d’une revue d’information ne seront généralement pas considérés comme des renseignements sensibles. Toutefois, les nom et adresse des abonnés de certains périodiques spécialisés pourront l’être.

Principe 4.3.5 : Dans l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes. Par exemple, une personne qui s’abonne à un périodique devrait raisonnablement s’attendre à ce que l’entreprise, en plus de se servir de son nom et de son adresse à des fins de postage et de facturation, communique avec elle pour lui demander si elle désire que son abonnement soit renouvelé. Dans ce cas, l’organisation peut présumer que la demande de la personne constitue un consentement à ces fins précises. D’un autre côté, il n’est pas raisonnable qu’une personne s’attende à ce que les renseignements personnels qu’elle fournit à un professionnel de la santé soient donnés sans son consentement à une entreprise qui vend des produits de soins de santé. Le consentement ne doit pas être obtenu par un subterfuge.

Principe 4.3.6 : La façon dont une organisation obtient le consentement peut varier selon les circonstances et la nature des renseignements recueillis. En général, l’organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d’être considérés comme sensibles. Lorsque les renseignements sont moins sensibles, un consentement implicite serait normalement jugé suffisant. Le consentement peut également être donné par un représentant autorisé (détenteur d’une procuration, tuteur).

Principe 4.3.7 : Le consentement peut revêtir différentes formes, par exemple :

  1. a) on peut se servir d’un formulaire de demande de renseignements pour obtenir le consentement, recueillir des renseignements et informer la personne de l’utilisation qui sera faite des renseignements. En remplissant le formulaire et en le signant, la personne donne son consentement à la collecte de renseignements et aux usages précisés;
  2. on peut prévoir une case où la personne pourra indiquer en cochant qu’elle refuse que ses nom et adresse soient communiqués à d’autres organisations. Si la personne ne coche pas la case, il sera présumé qu’elle consent à ce que les renseignements soient communiqués à des tiers;
  3. le consentement peut être donné de vive voix lorsque les renseignements sont recueillis par téléphone; ou
  4. le consentement peut être donné au moment où le produit ou le service est utilisé.

Article 6.1 : Pour l’application de l’article 4.3 de l’annexe 1, le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.

II. Interprétations générales des tribunaux

  1. « La forme du consentement que l’organisation cherche à obtenir et la façon dont elle obtient ce consentement peuvent varier selon les circonstances et la nature des renseignements (articles 4.3.4 et 4.3.6). Dans l’obtention du consentement, les attentes raisonnables de la personne sont pertinentes (article 4.3.5). Lorsque les renseignements sont moins sensibles, un consentement implicite serait normalement jugé suffisant (article 4.3.6). Le consentement peut revêtir différentes formes, pouvant par exemple être donné dans un formulaire de demande de renseignements, en ne cochant pas une case, au téléphone ou au moment de l’utilisation; toutes ces formes impliquent que le consentement est donné au moment de la collecte et avant l’utilisation. »
    (Englander c. Telus Communications Inc., 2004 CAF 387 au paragraphe 60)
  2. Le principe 4.3.4 indique clairement que « les renseignements médicaux sont presque toujours considérés comme sensibles, de sorte que le consentement à leur communication doit être plus explicite que ce n’est le cas pour d’autres catégories de renseignements. » (Townsend c. Sun Life Financial, 2012 CF 550 au paragraphe 25)
  3. « Je conviens avec la défenderesse que [l’information sur la fréquence à laquelle une personne se rend dans un centre de culture physique] fait partie [des renseignements] qui sont les moins sensibles, lorsqu’on les envisage objectivement. Ils ne portaient en effet que sur le nombre de fois par semaine où le demandeur avait fréquenté l’un des centres de culture physique de la défenderesse. Les renseignements divulgués n’indiquaient pas ce qu’il faisait à ces centres de culture physique, le temps qu’il y demeurait, en quoi consistait son programme d’entraînement, sa condition physique ou d’autres renseignements personnels. Dans d’autres circonstances, on pourrait conclure à l’existence d’un consentement tacite à la divulgation de renseignements aussi peu sensibles.

    J’accepte la prétention du demandeur suivant laquelle, compte tenu des circonstances de l’espèce, les renseignements étaient sensibles, d’autant plus qu’ils avaient été divulgués à ses collègues de travail lors d’une réunion du personnel et qu’ils encourageaient la rivalité entre lui et ses collègues, ce qui le rendait mal à l’aise. L’employeur aurait dû savoir que certains employés pouvaient ne pas être à l’aise avec la divulgation publique de renseignements à leurs collègues. Dans ces conditions, il ne s’agissait pas de renseignements peu sensibles au point que je considérerais que le consentement à leur divulgation serait implicite. » (Randall c. Nubody’s Fitness Centres, 2010 CF 681 aux paragraphes 42 et 43)
  4. « Le consentement n’est pas éclairé si la personne qui est censée l’avoir donné ne savait pas, au moment où elle l’a donné, qu’elle avait la possibilité de ne pas être inscrite. » (Englander c. Telus Communications Inc., supra au paragraphe 67)

III. Application par le Commissariat dans divers contextes

Considérations générales

Évaluation du degré de sensibilité des renseignements personnels dans différents contextes

Renseignements sur la santé dans le contexte de la publicité ciblée

Adresses électroniques dans le contexte des médias sociaux

Reconnaissance du réseau veineux de la paume de la main dans le contexte d’un processus d’admission

  • Toutes les mesures biométriques portent plus ou moins atteinte à la vie privée étant donné qu’elles supposent la collecte des caractéristiques physiques d’une personne. Cependant, ce ne sont pas tous les usages de la biométrie qui portent gravement atteinte à la vie privée. La représentation binaire du balayage du réseau veineux de la paume de la main d’un candidat, à la lumière de l’utilisation que fait de la technologie l’administrateur de l’examen, n’est pas un renseignement personnel très sensible dans ce cas particulier.

    Par exemple, nous constatons que les balayages du réseau veineux de la paume de la main sont immédiatement transformés en un gabarit binaire chiffré, que le code binaire est irréversible et qu’aucune image biométrique brute n’est conservée. De plus, l’information relative au code binaire conservée à partir du balayage ne peut pas être interprétée facilement par d’autres parties ni utilisée à d’autres fins, et le gabarit est conservé séparément de tous les autres renseignements personnels relatifs au candidat. Dans ce cas-ci, le balayage du réseau veineux de la paume est également considéré comme une méthode biométrique qui ne laisse pas de trace, étant donné qu’il est impossible de laisser des images latentes sur des objets, y compris le système servant au balayage.

    (Résumé de conclusions d’enquête en vertu de la LPRPDE no 2011-012 : Une candidate au GMAT s’oppose à l’utilisation de la technologie de reconnaissance du réseau veineux de la paume de sa main)

Renseignements financiers dans le contexte du marketing secondaire

Habitudes et préférences d’achat dans le contexte d’un programme de fidélisation

Empreintes vocales dans un contexte d’emploi

Tenir compte des attentes raisonnables d’une personne

Exemples d’utilisation appropriée du consentement implicite

Dans un contexte de résolution de litige ou de différend

Dans un contexte d’emploi

  • Le consentement à la collecte de renseignements personnels sur des employés à l’aide de la technologie de systèmes mondiaux de localisation (GPS) dans leur véhicule de travail ne peut être implicite que si elle est utilisée pour des raisons appropriées auxquelles les employés pourraient raisonnablement s’attendre. Par exemple, un consentement implicite est approprié et respecte l’attente raisonnable de la personne si les véhicules équipés duGPS suivant ses déplacements servent à améliorer la productivité de la main-d’œuvre, à assurer la sécurité des conducteurs ou à protéger et à gérer les biens de l’entreprise. On ne peut toutefois pas utiliser le consentement implicite pour évaluer ou gérer régulièrement les employés, autrement que lors de circonstances exceptionnelles où il y a enquête sur une plainte ou un problème clair de rendement, et où une politique claire établissant un processus approprié d’avertissements et de surveillance progressive existe et a été préalablement porté à l’attention des employés.
  • On a considéré qu’un service de transport municipal avait le consentement implicite de ses employés et clients quant à l’utilisation d’un terminal de données mobile, comprenant un système mondial de localisation (GPS), à bord de ses véhicules. Les renseignements recueillis étaient utilisés à des fins appropriées, soit de fournir un service efficace à ses clients. Étant donné que les employés avaient été avisés de l’installation de la technologie, le fait qu’ils continuaient d’utiliser les véhicules constituait un consentement implicite à la collecte et à l’utilisation de leurs renseignements personnels à cette fin. De la même façon, les clients devaient être au courant que le mis en cause et ses chauffeurs ont besoin de leurs nom et points de départ et d’arrivée pour fournir le service de transport demandé.

Conditions d’utilisation appropriée du consentement négatif

Date de modification :