Troisième principe relatif à l’équité dans le traitement de l’information de la LPRPDE – Consentement

Le consentement n’est considéré comme valable que s’il est raisonnable de s’attendre à ce que les clients de votre organisation comprennent la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles ils ont consenti.

Vos responsabilités en tant qu’entreprise

  • Respecter les dix principes énoncés à l’annexe 1.
  • Indiquez clairement à vos clients quels renseignements personnels vous recueillez et à quelles fins.
  • Bien informer la personne concernée des fins de la collecte, de l’utilisation ou de la communication des renseignements personnels.
  • Obtenez le consentement de la personne concernée avant ou pendant la collecte des renseignements de même qu’au moment où une nouvelle utilisation des renseignements personnels est constatée.

Comment vous acquitter de vos responsabilités

  • Obtenez le consentement éclairé de la personne quand vous recueillez, utilisez ou communiquez des renseignements personnels la concernant.
  • Expliquez à la personne la façon dont ces renseignements seront utilisés et à qui ils seront communiqués. Votre explication devrait être claire, détaillée et facile à trouver. Conservez une preuve du consentement reçu.
  • N’ayez jamais recours à des moyens détournés pour obtenir un consentement.
  • Ne refusez pas de fournir un produit ou un service à une personne qui ne consent pas à la collecte, à l’utilisation ou à la communication de renseignements personnels autres que les renseignements requis à des fins explicites et légitimes.
  • Expliquez aux personnes les conséquences du retrait de leur consentement.
  • Assurez-vous que les employés qui recueillent des renseignements personnels sont en mesure de répondre aux questions des clients qui s’interrogent sur les fins auxquelles l’information est recueillie.

Connaissance et consentement

On entend par « connaissance et consentement » l’acceptation éclairée et volontaire de ce qui est fait ou proposé. Le consentement est considéré comme valable s’il est raisonnable de s’attendre à ce qu’un individu comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti. Le consentement peut être explicite ou implicite. Le consentement explicite est expressément donné, verbalement, par écrit ou au moyen d’une action précise en ligne — par exemple, en cliquant sur « J’accepte ». Il s’agit d’un consentement sans équivoque que l’organisation n’a pas besoin de vérifier. Il y a consentement implicite lorsque l’intervention ou la non-intervention de votre client permet raisonnablement de conclure au consentement. Le consentement n’élimine pas les autres responsabilités qui incombent à une organisation en vertu de la LPRPDE, par exemple l’obligation de rendre compte de façon générale, les mesures de sécurité et l’existence de motifs raisonnables pour le traitement des renseignements personnels.

Nous avons entrepris une consultation pour relever les défis que pose le consentement à l’ère numérique. Nous avons publié les résultats de notre consultation dans le Rapport annuel au Parlement 2016-2017 lequel produit un certain nombre de mesures et de recommandations.

Conseils

  • On obtient généralement le consentement de la personne dont les renseignements personnels sont recueillis, utilisés ou communiqués.
  • Dans le cas d’un mineur, d’une personne gravement malade ou d’une personne ayant une incapacité mentale, on peut obtenir le consentement auprès du tuteur ou du détenteur d’une procuration.
  • Pour que les personnes concernées comprennent à quelles fins les renseignements seront utilisés, les organisations devraient faire preuve de transparence à propos de leurs pratiques de gestion de l’information. Les politiques en matière de protection de la vie privée et les formulaires de consentement devraient :
    • être faciles à trouver;
    • être rédigés dans un langage clair et explicite;
    • ne pas s’appuyer sur des catégories générales regroupant les fins, les utilisations et les communications;
    • indiquer de façon aussi précise que possible quelles organisations traitent les renseignements;
    • expliquer toute pratique à laquelle une personne ne pourrait raisonnablement pas s’attendre, par exemple la communication des renseignements à une tierce partie.
  • Les politiques de protection de la vie privée en ligne devraient être accompagnées d’autres types de communications sur la protection de la vie privée, par exemple des avis en temps opportun, et devraient fournir des explications sur la protection de la vie privée à des étapes clés de l’expérience de l’utilisateur.
  • Le consentement peut être obtenu en personne, par téléphone, par la poste ou par Internet.
  • Au moment d’établir la forme de consentement, on devrait tenir compte des éléments suivants :
    • les attentes raisonnables de la personne concernée;
    • les circonstances entourant la collecte;
    • le caractère sensible des renseignements en question.
  • Dans la mesure du possible, on devrait obtenir un consentement explicite — ou consentement positif. Lorsqu’il s’agit de renseignements considérés comme sensibles, on doit toujours obtenir cette forme de consentement. L’obtention du consentement explicite protège la personne et l’organisation.
  • Lorsqu’elle a recours à un consentement implicite — ou consentement négatif —, l’organisation devrait établir une procédure pratique pour le retrait du consentement, et ce retrait devrait entrer en vigueur immédiatement.

Exceptions au principe du consentement

Il existe un certain nombre d’exceptions précises à l’obligation d’assurer la connaissance et d’obtenir le consentement pour la collecte, l’utilisation et la communication de renseignements personnels.

Une organisation n’est autorisée à recueillir des renseignements personnels à l’insu d’une personne et sans son consentement que dans les cas suivants :

  • la collecte de renseignements est manifestement dans l’intérêt de la personne et le consentement ne peut être obtenu en temps opportun auprès de celle-ci;
  • la collecte effectuée au su ou avec le consentement de la personne pourrait compromettre l’exactitude des renseignements ou l’accès à ceux-ci, et la collecte est nécessaire à des fins liées à une enquête sur la violation d’un accord ou une infraction à une loi fédérale ou provinciale;
  • la collecte est faite uniquement à des fins journalistiques, artistiques ou littéraires;
  • il s’agit de renseignements accessibles au public en vertu des règlements;
  • il s’agit de renseignements contenus dans la déclaration d’un témoin et dont la collecte est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement;
  • il s’agit de renseignements produits par l’intéressé dans le cadre de son emploi, de son entreprise ou de sa profession – pourvu que la collecte soit compatible avec les fins auxquelles ils ont été produits;
  • la personne est un employé d’une entreprise fédérale et la collecte est nécessaire pour établir, gérer ou terminer une relation d’emploi. L’employeur doit toutefois au préalable informer l’intéressé que ses renseignements personnels pourraient être recueillis à ces fins.

Une organisation n’est autorisée à utiliser des renseignements personnels à l’insu d’une personne et sans son consentement que dans les cas suivants :

  • l’organisation a des motifs raisonnables de croire que les renseignements pourraient être utiles à une enquête sur la contravention à une loi fédérale, provinciale ou étrangère et les renseignements sont utilisés dans le cadre de cette enquête;
  • les renseignements sont utilisés dans une situation d’urgence mettant en péril la vie, la santé ou la sécurité d’une personne;
  • les renseignements sont utilisés à des fins statistiques ou à des fins d’étude ou de recherches érudites (l’organisation doit informer le commissaire à la protection de la vie privée du Canada avant d’utiliser les renseignements);
  • il s’agit de renseignements accessibles au public en vertu des règlements;
  • l’utilisation des renseignements est manifestement dans l’intérêt de la personne et le consentement ne peut être obtenu en temps opportun auprès de celle-ci;
  • il s’agit de renseignements contenus dans la déclaration d’un témoin et dont l’utilisation est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement;
  • il s’agit de renseignements produits par l’intéressé dans le cadre de son emploi, de son entreprise ou de sa profession – pourvu que l’utilisation soit compatible avec les fins auxquelles ils ont été produits;
  • la collecte effectuée au su ou avec le consentement de la personne pourrait compromettre l’exactitude des renseignements ou l’accès à ceux-ci et la collecte est nécessaire à des fins liées à une enquête sur la violation d’un accord ou la contravention au droit fédéral ou provincial;
  • l’organisation est une entreprise fédérale et l’utilisation est nécessaire pour établir, gérer ou terminer une relation d’emploi. L’organisation doit toutefois au préalable informer l’intéressé que ses renseignements personnels peuvent être recueillis à ces fins.

Une organisation n’est autorisée à communiquer des renseignements personnels à l’insu d’une personne et sans son consentement que dans les cas suivants :

  • les renseignements sont communiqués à un avocat qui représente l’organisation;
  • les renseignements sont communiqués en vue du recouvrement d’une créance que l’organisation a contre la personne;
  • la communication des renseignements est exigée par assignation à comparaître, mandat ou ordonnance d’un tribunal ou d’un organisme investi des pouvoirs requis;
  • les renseignements sont communiqués au Centre d’analyse des opérations et déclarations financières du Canada comme l’exige la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes;
  • les renseignements sont communiqués à une institution gouvernementale qui a demandé à les obtenir, qui a indiqué quelle était la source de l’autorité légitime étayant son droit de les obtenir et qui désire les obtenir aux fins de l’application de la loi, de la tenue d’enquêtes ou de la collecte de renseignements liés à l’application d’une loi canadienne, provinciale ou étrangère, ou qui soupçonne que les renseignements visés se rapportent à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales, ou aux fins de l’application d’une loi canadienne ou provinciale;
  • les renseignements sont communiqués à une institution gouvernementale, au plus proche parent de l’intéressé ou à son représentant autorisé s’il y a des motifs raisonnables de croire que l’intéressé a été, est ou pourrait être victime d’exploitation financière. Toutefois, les organisations peuvent les communiquer uniquement à des fins liées à la prévention de l’exploitation ou à une enquête y ayant trait et s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait la capacité de prévenir l’exploitation ou d’enquêter sur celle-ci;
  • les renseignements sont communiqués à une autre organisation si la communication est raisonnable :
    • en vue d’une enquête sur la violation d’un accord ou sur la contravention au droit provincial ou fédéral qui a été commise ou est en train ou sur le point de l’être; ou
    • en vue de la détection d’une fraude ou de sa suppression ou en vue de la prévention d’une fraude dont la commission est vraisemblable. (Toutefois, il doit être raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait l’enquête sur la violation d’un accord ou la contravention au droit ou la capacité de prévenir la fraude, de la détecter ou d’y mettre fin.)
  • les renseignements se rapportent à une transaction commerciale (par exemple la vente ou la fusion d’une entreprise ou la location d’éléments d’actif d’une entreprise), pourvu que certaines conditions soient respectées, notamment la protection des renseignements et la limitation de leur utilisation;
  • les renseignements sont contenus dans la déclaration d’un témoin et la communication est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement;
  • les renseignements sont produits par l’intéressé dans le cadre de son emploi, de son entreprise ou de sa profession – pourvu que la communication soit compatible avec les fins auxquelles ils ont été produits;
  • l’organisation est une entreprise fédérale (par exemple une société de télécommunications, de radiodiffusion ou de télédiffusion, un transporteur aérien ou une banque) et la communication est nécessaire pour établir, gérer ou terminer une relation d’emploi. L’organisation doit toutefois au préalable informer l’intéressé que ses renseignements personnels pourraient être communiqués à ces fins;
  • les renseignements sont communiqués dans une situation d’urgence mettant en péril la vie, la santé ou la sécurité d’une personne (l’organisation doit informer la personne de la communication des renseignements);
  • les renseignements sont communiqués à une institution gouvernementale, à un proche parent de l’intéressé ou à son représentant autorisé s’ils sont nécessaires aux fins d’identification de l’intéressé qui est blessé, malade ou décédé (si l’intéressé est vivant, il doit en être informé par écrit);
  • les renseignements sont communiqués à des fins statistiques ou à des fins d’étude ou de recherches érudites (l’organisation doit informer le commissaire à la protection de la vie privée du Canada avant de communiquer les renseignements);
  • les renseignements sont communiqués à une institution vouée à l’archivage;
  • les renseignements sont communiqués 20 ans après le décès de la personne ou 100 ans après la création du document dans lequel ils figurent;
  • il s’agit de renseignements accessibles au public en vertu des règlements;
  • la communication est exigée par la loi.
Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :