L’impact de la Loi 25 (PL64) sur les consentements

Au Québec, la Loi 25 (anciennement projet de loi 64) vient moderniser la règlementation en matière de protection des renseignements personnels. Dans un objectif d’offrir un meilleur contrôle au citoyen sur leurs renseignements personnels, cette loi vient supporter les entreprises dans la collecte et l’utilisation de ces données. Ainsi, plusieurs précisions sont introduites à même la Loi sur le secteur privé pour encadrer le consentement. Il est important de bien comprendre celles-ci et d’être bien préparé pour s’éviter toute sanction.
Marie-Noelle Morin
25 octobre 2022
Loi 64
6 min
Consentement

Au Québec, la Loi 25 (anciennement projet de loi 64) vient moderniser la règlementation en matière de protection des renseignements personnels. Son objectif est d’offrir un meilleur contrôle au citoyen sur leurs renseignements personnels. Pour ce faire, cette loi vient supporter les entreprises dans la collecte et l’utilisation de ces renseignements. Ainsi, plusieurs précisions sont introduites à même la Loi sur le secteur privé (LPRPSP) pour encadrer le consentement. Il est important de bien comprendre celles-ci et d’être bien préparé, pour s’éviter toute sanction.

Qu’est-ce qu’un consentement?

Le consentement est l’action par un individu d’accepter la cueillette de ses renseignements personnels par une organisation dans le but que celle-ci les utilise ou les communique à différentes fins. Selon la Loi, toute personne qui fournit ses renseignements personnels après avoir été informée adéquatement (par exemples, sur les fins auxquelles les renseignements sont recueillis, les moyens utilisés et son droit d’accès et de retrait) consent à leur utilisation et à leur communication aux fins annoncées (art 8.3, LPRPSP).

Quand faut-il obtenir un consentement?

Un consentement doit être explicitement obtenu :

  • Pour utiliser un renseignement personnel sur un individu, au sein de l’entreprise, à d’autres fins pour lesquelles il a été initialement recueilli (art 12, LPRPSP);
  • Pour communiquer à un tiers les renseignements personnels d’un individu (art 13, LPRPSP);
  • Pour utiliser des renseignements personnels à des fins de prospection commerciale ou philanthropique (art 22, LPRPSP)

Qu’est-ce qu’un consentement valide au sens de la Loi?

Les critères

La notion de consentement ne vient pas d’être introduite dans la LPRPSP. En effet, certains critères sont déjà prévus dans cette dernière loi. Toutefois, la Loi 25 vient ajouter de nouveaux critères à respecter pour valider les consentements. Ainsi, pour être valide, un consentement devra maintenant être/avoir :

  • Manifeste : Est évident et certain, il ne laisse pas place à l’ambiguïté
  • Libre : N’a pas été obtenu sous la pression
  • Éclairé : Donné en toute connaissance de cause
  • Donné à des fins spécifiques : Ne peut pas être général
  • Durée : Est échue à la réalisation des fins auxquelles il a été demandé
  • Demandé à chacune de ces fins : Doit être refait pour chaque différente utilisation prévue
  • Termes simples et clairs : Contenu doit être adapté pour être compris par le lecteur ciblé
  • Distincts : Présenté distinctement de toute autre information communiquée par écrit (non dissimulé)

Un consentement ne satisfaisant pas à l’ensemble de ces critères sera considéré non valide et sans effet (art 14, LPRPSP). De plus, un consentement n’étant pas définitif, un individu a le droit de revenir sur son consentement pour le retirer.

 

Personne mineure

Lorsque l’individu est une personne mineure, soit un individu de moins de 14 ans, il est nécessaire d’obtenir le consentement de l’autorité parentale ou d’un tuteur pour recueillir ses renseignements personnels. Le consentement d’un individu mineur étant sans effet. Il n’est toutefois pas nécessaire d’obtenir le consentement de l’autorité parentale, lorsque la collecte est manifestement au bénéfice du mineur (art 4.1, LPRPSP).

Informations sensibles

Un consentement doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible (art 12, LPRPSP). Un renseignement personnel est considéré sensible lorsqu’il a un haut degré d’attente raisonnable en matière de vie privée, tels des renseignements médicaux, biométriques ou intimes (ex : un numéro d’assurance social). Un consentement est dit expresse lorsqu’il s’illustre par un comportement, un écrit ou des paroles qui indiquent clairement la volonté de la personne qui l’exprime.

Exceptions

Malgré l’importance accordée au consentement, certaines situations ne nécessitent pas l’obtention préalable d’un consentement. En effet, un renseignement personnel peut être utilisé à une autre fin sans le consentement de la personne concernée (art 12, LPRPSP), lorsque son utilisation est :

  • à des fins compatibles avec celles pour lesquelles il a été recueilli (exclu la prospection commerciale ou philanthropique);
  • au bénéfice de la personne concernée;
  • à des fins de prévention et de détection de la fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité;
  • à des fins de fourniture ou de livraison d’un produit ou de prestation d’un service demandé par la personne concernée;
  • à des fins d’études, de recherche ou de production de statistiques et qu’il est dépersonnalisé.

De plus, une personne qui exploite une entreprise peut, sans le consentement de la personne concernée, communiquer un renseignement personnel à toute personne ou à tout organisme si cette communication est nécessaire :

  • à l’exercice d’un mandat ou à l’exécution d’un contrat de service (art. 18.3, LPRPSP),
  • aux fins de la conclusion d’une transaction commerciale (art. 18.4, LPRPSP)
  • à des fins d’études et de recherche ou par la production de statistiques (art. 21, LPRPSP)

Les renseignements doivent être utilisés pour ces fins uniquement et devront être détruits par la suite.

Mesures à prendre

Pour vous aider à vous préparer à ces nouvelles exigences, voici quelques mesures à mettre en place dès maintenant :

  1. Révisez le processus actuel en matière de cueillette du consentement et mettez à jour vos formulaires d’abonnement en ligne pour vous assurer qu’ils respectent pleinement le droit au consentement (droit de modifier/retirer son consentement) et qu’ils informent des raisons motivant la collecte;
  2. Prévoyez un formulaire de consentement détaillé avec des cases à cocher pour permettre à la personne concernée de choisir chaque fin spécifique à laquelle elle consent et sollicitez à nouveau le consentement lorsque celui-ci est arrivée à échéance ou que les fins ont été modifiées;
  3. Assurez-vous d’obtenir le consentement express des visiteurs de votre site internet, lorsqu’un dispositif de collecte de données est activé. Par exemple, en utilisant une fenêtre d’avertissement de cookie (style pop-up);
  4. Adaptez vos procédures de collecte et de traitement de l’information pour tenir compte des situations de collecte de renseignements dits sensibles ou relatifs à des individus de moins de 14 ans;
  5. Conservez toutes preuves de consentements obtenus.

Pour voir comment Dialog Insight peut vous aider à vous conformer, entre autres, pour la gestion de vos consentements, rendez-vous sur notre page Conformité à la Loi 25.

Découvrez comment votre entreprise peut bénéficier de Dialog Insight.

À lire aussi

Campagnes marketing et omnicanal

Au-delà des courriels automatisés : le marketing multicanal

Comprenez-vous l'urgence de lancer des projets d'automatisation au niveau marketing? Cette transformation a de nombreux objectifs, tout comme plusieurs avantages.

Campagnes marketing et omnicanal

Détaillants : Nos meilleures stratégies pour la réouverture de vos magasins

Le 4 mai était une date importante pour tous les détaillants ayant pignon sur rue au Québec qui ont fait leur réouverture officielle (sauf à Montréal). Pour cette occasion, nous offrons, à nos amis détaillants, des idées de stratégies à mettre en place pour faciliter leur retour. Cadeau!

Campagnes marketing et omnicanal

Réactivez vos contacts grâce au drip marketing

Avez-vous une stratégie en place pour réveiller vos contacts endormis et regagner leurs cœurs de consommateurs? Voici comment vous y prendre en utilisant le drip marketing. 

Analytique

Tests en marketing : quelques concepts et astuces basiques

Dans un monde où nous cherchons constamment à optimiser les résultats de nos campagnes et leur ROI… tester est impératif pour le marketing!

Gestion des donnees clients

RGPD : Les impacts du règlement européen sur la protection des données

Après avoir jonglé avec la Loi C-28, nous devons maintenant nous pencher sur le RGPD. Si celle-ci s’applique à vous, voici les étapes pour vous assurer d’être en conformité.

Gestion des donnees clients

SSO (Single Sign-On) : Pourquoi l’authentification unique est-elle importante ?

Nous sommes dans une ère où les outils informatiques à connexions uniques se multiplient et le roulement de personnel s'accentue. Sans oublier le partage de données de plus en plus sensibles. La gestion des accès et des permissions peut donc devenir un processus long et complexe. C’est pourquoi Dialog Insight souhaite simplifier et sécuriser le tout en proposant un SSO à ses clients. En effet, il est possible d’ajouter l’authentification unique (SSO) pour la connexion à la plateforme DI.