L’impact de la Loi 25 (PL64) sur les consentements

Au Québec, la Loi 25 (anciennement projet de loi 64) vient moderniser la règlementation en matière de protection des renseignements personnels. Dans un objectif d’offrir un meilleur contrôle au citoyen sur leurs renseignements personnels, cette loi vient supporter les entreprises dans la collecte et l’utilisation de ces données. Ainsi, plusieurs précisions sont introduites à même la Loi sur le secteur privé pour encadrer le consentement. Il est important de bien comprendre celles-ci et d’être bien préparé pour s’éviter toute sanction.
Marie-Noelle Morin
25 octobre 2022
Loi 64
6 min
Consentement

Au Québec, la Loi 25 (anciennement projet de loi 64) vient moderniser la règlementation en matière de protection des renseignements personnels. Son objectif est d’offrir un meilleur contrôle au citoyen sur leurs renseignements personnels. Pour ce faire, cette loi vient supporter les entreprises dans la collecte et l’utilisation de ces renseignements. Ainsi, plusieurs précisions sont introduites à même la Loi sur le secteur privé (LPRPSP) pour encadrer le consentement. Il est important de bien comprendre celles-ci et d’être bien préparé, pour s’éviter toute sanction.

Qu’est-ce qu’un consentement?

Le consentement est l’action par un individu d’accepter la cueillette de ses renseignements personnels par une organisation dans le but que celle-ci les utilise ou les communique à différentes fins. Selon la Loi, toute personne qui fournit ses renseignements personnels après avoir été informée adéquatement (par exemples, sur les fins auxquelles les renseignements sont recueillis, les moyens utilisés et son droit d’accès et de retrait) consent à leur utilisation et à leur communication aux fins annoncées (art 8.3, LPRPSP).

Quand faut-il obtenir un consentement?

Un consentement doit être explicitement obtenu :

  • Pour utiliser un renseignement personnel sur un individu, au sein de l’entreprise, à d’autres fins pour lesquelles il a été initialement recueilli (art 12, LPRPSP);
  • Pour communiquer à un tiers les renseignements personnels d’un individu (art 13, LPRPSP);
  • Pour utiliser des renseignements personnels à des fins de prospection commerciale ou philanthropique (art 22, LPRPSP)

Qu’est-ce qu’un consentement valide au sens de la Loi?

Les critères

La notion de consentement ne vient pas d’être introduite dans la LPRPSP. En effet, certains critères sont déjà prévus dans cette dernière loi. Toutefois, la Loi 25 vient ajouter de nouveaux critères à respecter pour valider les consentements. Ainsi, pour être valide, un consentement devra maintenant être/avoir :

  • Manifeste : Est évident et certain, il ne laisse pas place à l’ambiguïté
  • Libre : N’a pas été obtenu sous la pression
  • Éclairé : Donné en toute connaissance de cause
  • Donné à des fins spécifiques : Ne peut pas être général
  • Durée : Est échue à la réalisation des fins auxquelles il a été demandé
  • Demandé à chacune de ces fins : Doit être refait pour chaque différente utilisation prévue
  • Termes simples et clairs : Contenu doit être adapté pour être compris par le lecteur ciblé
  • Distincts : Présenté distinctement de toute autre information communiquée par écrit (non dissimulé)

Un consentement ne satisfaisant pas à l’ensemble de ces critères sera considéré non valide et sans effet (art 14, LPRPSP). De plus, un consentement n’étant pas définitif, un individu a le droit de revenir sur son consentement pour le retirer.

 

Personne mineure

Lorsque l’individu est une personne mineure, soit un individu de moins de 14 ans, il est nécessaire d’obtenir le consentement de l’autorité parentale ou d’un tuteur pour recueillir ses renseignements personnels. Le consentement d’un individu mineur étant sans effet. Il n’est toutefois pas nécessaire d’obtenir le consentement de l’autorité parentale, lorsque la collecte est manifestement au bénéfice du mineur (art 4.1, LPRPSP).

Informations sensibles

Un consentement doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible (art 12, LPRPSP). Un renseignement personnel est considéré sensible lorsqu’il a un haut degré d’attente raisonnable en matière de vie privée, tels des renseignements médicaux, biométriques ou intimes (ex : un numéro d’assurance social). Un consentement est dit expresse lorsqu’il s’illustre par un comportement, un écrit ou des paroles qui indiquent clairement la volonté de la personne qui l’exprime.

Exceptions

Malgré l’importance accordée au consentement, certaines situations ne nécessitent pas l’obtention préalable d’un consentement. En effet, un renseignement personnel peut être utilisé à une autre fin sans le consentement de la personne concernée (art 12, LPRPSP), lorsque son utilisation est :

  • à des fins compatibles avec celles pour lesquelles il a été recueilli (exclu la prospection commerciale ou philanthropique);
  • au bénéfice de la personne concernée;
  • à des fins de prévention et de détection de la fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité;
  • à des fins de fourniture ou de livraison d’un produit ou de prestation d’un service demandé par la personne concernée;
  • à des fins d’études, de recherche ou de production de statistiques et qu’il est dépersonnalisé.

De plus, une personne qui exploite une entreprise peut, sans le consentement de la personne concernée, communiquer un renseignement personnel à toute personne ou à tout organisme si cette communication est nécessaire :

  • à l’exercice d’un mandat ou à l’exécution d’un contrat de service (art. 18.3, LPRPSP),
  • aux fins de la conclusion d’une transaction commerciale (art. 18.4, LPRPSP)
  • à des fins d’études et de recherche ou par la production de statistiques (art. 21, LPRPSP)

Les renseignements doivent être utilisés pour ces fins uniquement et devront être détruits par la suite.

Mesures à prendre

Pour vous aider à vous préparer à ces nouvelles exigences, voici quelques mesures à mettre en place dès maintenant :

  1. Révisez le processus actuel en matière de cueillette du consentement et mettez à jour vos formulaires d’abonnement en ligne pour vous assurer qu’ils respectent pleinement le droit au consentement (droit de modifier/retirer son consentement) et qu’ils informent des raisons motivant la collecte;
  2. Prévoyez un formulaire de consentement détaillé avec des cases à cocher pour permettre à la personne concernée de choisir chaque fin spécifique à laquelle elle consent et sollicitez à nouveau le consentement lorsque celui-ci est arrivée à échéance ou que les fins ont été modifiées;
  3. Assurez-vous d’obtenir le consentement express des visiteurs de votre site internet, lorsqu’un dispositif de collecte de données est activé. Par exemple, en utilisant une fenêtre d’avertissement de cookie (style pop-up);
  4. Adaptez vos procédures de collecte et de traitement de l’information pour tenir compte des situations de collecte de renseignements dits sensibles ou relatifs à des individus de moins de 14 ans;
  5. Conservez toutes preuves de consentements obtenus.

Pour voir comment Dialog Insight peut vous aider à vous conformer, entre autres, pour la gestion de vos consentements, rendez-vous sur notre page Conformité à la Loi 25.

Découvrez comment votre entreprise peut bénéficier de Dialog Insight.

À lire aussi

Blogue

8 conseils pour un message Black Friday captivant et efficace

Découvrez comment créer un message Black Friday captivant avec 8 conseils pratiques pour capter l’attention, personnaliser l’expérience et maximiser les conversions. Des stratégies d’hyper-personnalisation aux preuves sociales, ces conseils vous aideront à transformer vos visiteurs en clients fidèles pendant cette période de forte demande.

Blogue, 25 ans

25 ans d’innovation : Comment Dialog Insight continue de surfer sur la vague des technologies émergentes

Découvrez les innovations clés qui ont façonné le succès de Dialog Insight et de sa plateforme de marketing relationnel SaaS depuis 1999 et explorez les tendances émergentes qui transformeront le marketing dans les 25 prochaines années.

Blogue

L’importance stratégique du CSM dans la satisfaction et la croissance client chez Dialog Insight

Découvrez l'importance stratégique des Gestionnaires Succès Client (CSM) chez Dialog Insight, des partenaires clés dans la satisfaction client, la croissance et l'optimisation du ROI à travers des solutions marketing performantes et personnalisées.

Campagnes marketing et omnicanal

8 trucs pour booster les conversions de votre page de destination

Comment transformer un visiteur en prospect ou client? Une page de destination unique à chacune de vos offres fournit une expérience complète et facilite la conversion grâce à un message précis et ciblé.

Customer Data Platform

CDP vs CRM 

Comprendre les différences entre CDP et CRM est essentiel pour toute entreprise cherchant à améliorer son engagement client.

Gestion des donnees clients

5 règles d’or pour sécuriser votre liste de contacts

Les révélations d’Edouard Snowden quant à la surveillance américaine et la nouvelle loi canadienne anti-pourriel sont d’excellentes raisons pour évaluer vos politiques de confidentialité des données.