Au Québec, la Loi 25 (anciennement projet de loi 64) vient moderniser la règlementation en matière de protection des renseignements personnels. Son objectif est d’offrir un meilleur contrôle au citoyen sur leurs renseignements personnels. Pour ce faire, cette loi vient supporter les entreprises dans la collecte et l’utilisation de ces renseignements. Ainsi, plusieurs précisions sont introduites à même la Loi sur le secteur privé (LPRPSP) pour encadrer le consentement. Il est important de bien comprendre celles-ci et d’être bien préparé, pour s’éviter toute sanction.
Qu’est-ce qu’un consentement?
Le consentement est l’action par un individu d’accepter la cueillette de ses renseignements personnels par une organisation dans le but que celle-ci les utilise ou les communique à différentes fins. Selon la Loi, toute personne qui fournit ses renseignements personnels après avoir été informée adéquatement (par exemples, sur les fins auxquelles les renseignements sont recueillis, les moyens utilisés et son droit d’accès et de retrait) consent à leur utilisation et à leur communication aux fins annoncées (art 8.3, LPRPSP).
Quand faut-il obtenir un consentement?
Un consentement doit être explicitement obtenu :
- Pour utiliser un renseignement personnel sur un individu, au sein de l’entreprise, à d’autres fins pour lesquelles il a été initialement recueilli (art 12, LPRPSP);
- Pour communiquer à un tiers les renseignements personnels d’un individu (art 13, LPRPSP);
- Pour utiliser des renseignements personnels à des fins de prospection commerciale ou philanthropique (art 22, LPRPSP)
Qu’est-ce qu’un consentement valide au sens de la Loi?
Les critères
La notion de consentement ne vient pas d’être introduite dans la LPRPSP. En effet, certains critères sont déjà prévus dans cette dernière loi. Toutefois, la Loi 25 vient ajouter de nouveaux critères à respecter pour valider les consentements. Ainsi, pour être valide, un consentement devra maintenant être/avoir :
- Manifeste : Est évident et certain, il ne laisse pas place à l’ambiguïté
- Libre : N’a pas été obtenu sous la pression
- Éclairé : Donné en toute connaissance de cause
- Donné à des fins spécifiques : Ne peut pas être général
- Durée : Est échue à la réalisation des fins auxquelles il a été demandé
- Demandé à chacune de ces fins : Doit être refait pour chaque différente utilisation prévue
- Termes simples et clairs : Contenu doit être adapté pour être compris par le lecteur ciblé
- Distincts : Présenté distinctement de toute autre information communiquée par écrit (non dissimulé)
Un consentement ne satisfaisant pas à l’ensemble de ces critères sera considéré non valide et sans effet (art 14, LPRPSP). De plus, un consentement n’étant pas définitif, un individu a le droit de revenir sur son consentement pour le retirer.
Personne mineure
Lorsque l’individu est une personne mineure, soit un individu de moins de 14 ans, il est nécessaire d’obtenir le consentement de l’autorité parentale ou d’un tuteur pour recueillir ses renseignements personnels. Le consentement d’un individu mineur étant sans effet. Il n’est toutefois pas nécessaire d’obtenir le consentement de l’autorité parentale, lorsque la collecte est manifestement au bénéfice du mineur (art 4.1, LPRPSP).
Informations sensibles
Un consentement doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible (art 12, LPRPSP). Un renseignement personnel est considéré sensible lorsqu’il a un haut degré d’attente raisonnable en matière de vie privée, tels des renseignements médicaux, biométriques ou intimes (ex : un numéro d’assurance social). Un consentement est dit expresse lorsqu’il s’illustre par un comportement, un écrit ou des paroles qui indiquent clairement la volonté de la personne qui l’exprime.
Exceptions
Malgré l’importance accordée au consentement, certaines situations ne nécessitent pas l’obtention préalable d’un consentement. En effet, un renseignement personnel peut être utilisé à une autre fin sans le consentement de la personne concernée (art 12, LPRPSP), lorsque son utilisation est :
- à des fins compatibles avec celles pour lesquelles il a été recueilli (exclu la prospection commerciale ou philanthropique);
- au bénéfice de la personne concernée;
- à des fins de prévention et de détection de la fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité;
- à des fins de fourniture ou de livraison d’un produit ou de prestation d’un service demandé par la personne concernée;
- à des fins d’études, de recherche ou de production de statistiques et qu’il est dépersonnalisé.
De plus, une personne qui exploite une entreprise peut, sans le consentement de la personne concernée, communiquer un renseignement personnel à toute personne ou à tout organisme si cette communication est nécessaire :
- à l’exercice d’un mandat ou à l’exécution d’un contrat de service (art. 18.3, LPRPSP),
- aux fins de la conclusion d’une transaction commerciale (art. 18.4, LPRPSP)
- à des fins d’études et de recherche ou par la production de statistiques (art. 21, LPRPSP)
Les renseignements doivent être utilisés pour ces fins uniquement et devront être détruits par la suite.
Mesures à prendre
Pour vous aider à vous préparer à ces nouvelles exigences, voici quelques mesures à mettre en place dès maintenant :
- Révisez le processus actuel en matière de cueillette du consentement et mettez à jour vos formulaires d’abonnement en ligne pour vous assurer qu’ils respectent pleinement le droit au consentement (droit de modifier/retirer son consentement) et qu’ils informent des raisons motivant la collecte;
- Prévoyez un formulaire de consentement détaillé avec des cases à cocher pour permettre à la personne concernée de choisir chaque fin spécifique à laquelle elle consent et sollicitez à nouveau le consentement lorsque celui-ci est arrivée à échéance ou que les fins ont été modifiées;
- Assurez-vous d’obtenir le consentement express des visiteurs de votre site internet, lorsqu’un dispositif de collecte de données est activé. Par exemple, en utilisant une fenêtre d’avertissement de cookie (style pop-up);
- Adaptez vos procédures de collecte et de traitement de l’information pour tenir compte des situations de collecte de renseignements dits sensibles ou relatifs à des individus de moins de 14 ans;
- Conservez toutes preuves de consentements obtenus.
Pour voir comment Dialog Insight peut vous aider à vous conformer, entre autres, pour la gestion de vos consentements, rendez-vous sur notre page Conformité à la Loi 25.