une main qui tient une guitare

Perspectives

25 septembre 2017

Le Commissariat à la protection de la vie privée du Canada publie son rapport sur le consentement

En mai 2016, le Commissariat à la protection de la vie privée du Canada a publié un document de discussion et a mené une consultation sur le consentement sous le régime de la  Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »). Le document visait à déterminer les améliorations possibles à apporter au modèle de consentement et à définir plus clairement le rôle et les responsabilités des divers acteurs susceptibles de les mettre en œuvre. Le 21 septembre 2017, dans le cadre de son rapport annuel 2016-2017, le Commissariat a publié son rapport sur le consentement résultant de cette consultation.

Dans ce rapport, le Commissariat reconnaît que le consentement est un élément fondamental de la LPRPDE, mais qu'il est de plus en plus difficile d'obtenir un consentement valable à l'ère numérique et même très difficile, voire impossible, dans le cas d'initiatives de mégadonnées ou d'appareils de l'Internet des objets. Le Commissariat cite également un sondage révélant que la grande majorité des Canadiens craignent de perdre le contrôle qu'ils exercent sur leurs renseignements personnels et souligne l'importance pour ces derniers d'avoir suffisamment confiance dans l'économie numérique pour favoriser sa croissance.

Le rapport s'articule autour de trois thèmes, à savoir le renforcement de la validité du consentement, les solutions de remplacement du consentement ainsi que la gouvernance et l'application de la loi.

Renforcement de la validité du consentement

Avis de confidentialité

Le rapport indique que les politiques de confidentialité ont été grandement critiquées au cours des consultations parce qu'elles brouillent les pratiques de traitement des données par leur longueur et par la complexité et l'ambiguïté de la terminologie qu'elles utilisent. La plupart des participants aux groupes de discussion ont admis ne pas les lire. Le Commissariat estime discutable le choix qu'ont fait les sociétés d'utiliser une politique de confidentialité comme principal véhicule pour obtenir un consentement éclairé dès le départ; ce problème s'est amplifié lorsque les entreprises ont omis d'adapter leur avis de confidentialité à l'environnement numérique.

Le Commissariat croit que les politiques de confidentialité se sont avérées inefficaces dans la perspective du consentement, mais elles servent néanmoins diverses fins juridiques importantes. Les organismes de réglementation doivent par exemple s'y reporter pour tenir les organisations responsables de leurs pratiques de gestion des renseignements personnels. Le Commissariat a établi sept principes directeurs à l'intention des organisations pour l'élaboration de leur politique de confidentialité. Voici les idées les plus intéressantes :

Il faut mettre de l'avant certains éléments clés afin d'obtenir un consentement éclairé :

    • le type de renseignements personnels recueillis;
    • les personnes à qui ils sont communiqués, dont une énumération des tiers;
    • les fins auxquelles les renseignements sont recueillis, utilisés ou communiqués, y compris une explication des fins non essentielles à la prestation du service;
    • le risque de préjudice pour l'individu, le cas échéant.
  • Les individus doivent pouvoir choisir facilement « oui » ou « non » quand il s'agit de la collecte, de l'utilisation ou de la communication de renseignements qui ne sont pas essentiels à l'achat d'un produit ou à la prestation d'un service.
  • Des processus de consentement novateurs qui peuvent être mis en œuvre juste à temps et qui sont propres au contexte et appropriés au type d'interface utilisé doivent être adoptés.
  • Les processus de consentement doivent être conviviaux et l'information fournie compréhensible. Les organisations doivent pouvoir démontrer qu'elles ont testé les processus.
  • Le consentement éclairé est un processus continu qui change selon les situations; les organisations ne devraient pas s'en tenir à un moment statique dans le temps, mais devraient traiter le consentement comme un processus dynamique et interactif.

Formes de consentement

Selon le Commissariat, la forme de consentement (implicite ou explicite) devrait dépendre des facteurs suivants :

  • le caractère sensible des renseignements;
  • les attentes raisonnables des individus; ces derniers seraient moins enclins à donner leur consentement implicitement pour ce qui touche les renseignements personnels qui ne sont pas essentiels à la prestation d'un service; les organisations doivent faire preuve d'une grande transparence quant aux situations où des renseignements personnels sont essentiels à la prestation du service et quant à celles où ils ne le sont pas;
  • le risque de préjudice découlant d'une activité de traitement de données; le Commissariat compte demander au Parlement de faire du risque de préjudice un facteur explicite à prendre en considération pour déterminer la forme de consentement acceptable.

Enfants et jeunes

Le Commissariat adopte la position suivante : sauf dans les cas exceptionnels, le consentement à la collecte, à l'utilisation et à la communication de renseignements personnels d'enfants de moins de 13 ans doit être obtenu auprès des parents ou tuteurs. Pour ce qui est des jeunes âgés de 13 à 18 ans, le consentement peut être considéré comme valable uniquement si l'organisation a tenu compte de leur degré de maturité et adapté en conséquence son processus de consentement. Les organisations doivent donc agir avec prudence avant de considérer qu'elles ont obtenu le consentement d'une personne dont l'âge se situe entre 13 et 18 ans, car ce critère semble difficile à appliquer.

Zones interdites même avec l'obtention du consentement

Selon le paragraphe 5(3) de la LPRPDE, l'organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances. Le consentement ne permet pas de contourner cette interdiction. Le Commissariat compte publier un document d'orientation sur ce qui n'est pas considéré comme une utilisation acceptable en vertu du paragraphe susmentionné. Il donne des exemples de fins qu'il juge inacceptables :

  • la collecte, l'utilisation ou la communication de renseignements qui autrement seraient illégales;
  • un profilage ou une catégorisation donnant lieu à un traitement injuste, contraire à l'éthique ou discriminatoire;
  • la publication de renseignements personnels dans le but de réclamer un paiement aux individus pour les retirer;
  • les situations qui risquent de causer un préjudice grave à l'intéressé.

Solutions de remplacement du consentement

Désidentification

Le Commissariat note que la désidentification peut sembler une mesure prometteuse pour renforcer la protection de la vie privée; toutefois, il reconnaît que la réidentification présente un risque réel en raison non seulement de la disponibilité d'ensembles de données pouvant servir à la repersonnalisation des renseignements personnels, mais aussi du manque de rigueur dans les méthodes de désidentification. Le Commissariat a l'intention de publier un document d'orientation sur la désidentification pour aider les organisations à évaluer le risque de réidentification et à le ramener à un niveau assez faible pour que les renseignements puissent être raisonnablement utilisés sans consentement.

Le rapport aborde également l'idée de différents niveaux d'identifiabilité, en notant que le Règlement général sur la protection des données (« RGPD ») de l'Union européenne reconnaît la pseudonymisation comme une mesure de protection qui donne aux organisations une souplesse accrue lors du traitement de renseignements pseudonymisés. Le Commissariat encourage le Parlement à examiner le concept des renseignements pseudonymisés, qui pourraient être soustraits aux exigences relatives au consentement tout en demeurant régis par toutes les autres mesures de protection prévues par la LPRPDE.

Renseignements auxquels le public a accès

Tout en observant que plusieurs intervenants ont suggéré des modifications au Règlement précisant les renseignements auxquels le public a accès, le Commissariat est d'avis que le sujet mérite une étude attentive et un débat du Parlement, car la décision concernant la façon de protéger la vie privée des individus dont les renseignements sont accessibles au public est extrêmement complexe et soulève des questions fondamentales relatives à la liberté d'expression et au droit d'accès à l'information dans l'intérêt public.

Nouvelles exceptions en matière de consentement

Le Commissariat reconnaît que, dans certaines situations, il est pratiquement impossible d'obtenir un consentement et suggère au Parlement d'examiner les situations où ces exceptions seraient justifiées dans une perspective sociale globale, notamment dans les cas suivants :

  • l'indexation des sites Web par les moteurs de recherche et la présentation des résultats de recherche aux internautes, s'il y a lieu;
  • les services de géolocalisation sur lesquels la société compte de plus en plus;
  • certains processus de traitement de données tels que l'analyse des mégadonnées, l'Internet des objets, l'intelligence artificielle ou les applications robotiques lorsqu'il y a concordance des intérêts commerciaux et sociaux.

Une organisation qui souhaite bénéficier d'une telle exception devrait démontrer qu'elle a cherché à obtenir un consentement et qu'il est pratiquement impossible d'y parvenir. Elle devrait également satisfaire à des conditions préalables, par exemple être capable de prouver, sur demande, ce qui suit :

  • il est nécessaire d'utiliser les renseignements personnels;
  • il est pratiquement impossible d'obtenir le consentement;
  • des données pseudonymisées seront utilisées dans la mesure du possible;
  • les avantages sociétaux l'emportent manifestement sur les ingérences dans la vie privée;
  • une évaluation des facteurs relatifs à la vie privée a été réalisée au préalable;
  • l'organisation a avisé le Commissariat au préalable;
  • l'organisation a diffusé un avis public décrivant ses pratiques;
  • les individus conservent le droit de s'opposer.

Gouvernance et application de la loi

Dans un rapport de 2013, le Commissariat a plaidé en faveur de plus grands pouvoirs en matière d'application de la loi. Il croit aujourd'hui que ce besoin s'est accru et que, tout comme aux États‑Unis, au sein de l'Union européenne et ailleurs, les organismes de réglementation canadiens doivent protéger efficacement le droit à la vie privée des citoyens en étant dotés de pouvoirs d'intervention importants et proportionnels au risque croissant d'atteinte à la vie privée que présentent les nouvelles technologies révolutionnaires.

Amendes ou les règlements financiers

Le Commissariat note que d'autres organismes de réglementation canadiens ont le pouvoir d'imposer des sanctions administratives pécuniaires (en vertu de la Loi sur la concurrence, par exemple). Il mentionne également que les amendes (comme celles prévues dans le cadre du RGPD) ou les règlements financiers (comme ceux obtenus par la Federal Trade Commission des États-Unis) deviennent la norme sur la scène internationale. Selon le Commissariat, les lacunes en matière de pouvoirs de réglementation et d'application de la loi pourraient être un facteur déterminant au moment de l'examen, par l'Union européenne, du statut du Canada concernant le caractère adéquat de la protection en vertu du RGPD. Quant aux facteurs qui entrent en jeu dans l'imposition d'une sanction, il pense qu'ils devraient être examinés avec soin, avec pour but d'améliorer la conformité plutôt que de sévir. Une diligence raisonnable, soit la preuve qu'une organisation a pris toutes les mesures raisonnables pour éviter l'infraction, constituerait une défense complète.

Pouvoir de vérification de la conformité sur demande

Le Commissariat est d'avis que le modèle de l'ombudsman, en tant que système fondé sur les plaintes, comporte des lacunes. Par exemple, il y a peu de chance que les gens déposent une plainte à propos d'un fait dont ils ignorent l'existence et il devient de plus en plus compliqué de comprendre de quelle façon les organisations traitent nos renseignements personnels à l'ère des mégadonnées et de l'Internet des objets. Un modèle réglementaire proactif permettrait au Commissariat de vérifier la conformité sur demande et d'obliger les organisations à montrer qu'elles respectent le principe de responsabilité en l'absence d'un motif de croire qu'il y a eu infraction (motif qui est actuellement requis en vertu de la LPRPDE.

Qu'il obtienne ou non un pouvoir législatif d'enquête élargi, le Commissariat entend recourir plus fréquemment et de façon plus stratégique à ses pouvoirs actuels pour mener des enquêtes axées sur des problèmes récurrents ou sectoriels, ou d'autres problèmes liés à la protection de la vie privée touchant des modèles d'affaires ou des utilisations de renseignements personnels non transparents.

Droit privé d'intenter une action en justice

Le Commissariat suggère au Parlement d'envisager la mise en place d'un droit privé d'intenter une action en justice dans les cas d'infraction à la LPRPDE en remplacement du modèle actuel fondé sur les plaintes, plutôt que de s'appuyer sur une longue période de développement du droit de la responsabilité délictuelle appliquée à la protection de la vie privée.

Prochaines étapes

Le commissaire à la protection de la vie privée du Canada, Daniel Therrien, a également recommandé des modifications législatives à la LPRPDE qui lui conféreraient le pouvoir de rendre des ordonnances d'imposer des sanctions administratives pécuniaires afin de répondre à ses craintes que les Canadiens ne sentent pas protégés par une loi qui manque de mordant et des organisations qui peuvent choisir de suivre ou non les recommandations.

Cela étant dit, M. Therrien a mentionné que le Commissariat n'attendrait pas que la loi soit modifiée, mais agirait immédiatement pour améliorer les mécanismes de protection de la vie privée des Canadiens. Pour ce faire, il prendra les mesures suivantes : faire passer le modèle actuel de l'ombudsman, fondé sur les plaintes, à un modèle de protection de la vie privée axé sur une application de la loi et une conformité proactives, ce qui pourra s'avérer utile lorsque le Commissariat détectera des problèmes de protection de la vie privée associés aux nouvelles technologies complexes; préciser les éléments clés qui doivent être mis en évidence dans les avis de confidentialité et expliqués en termes simples pour améliorer le mécanisme de consentement en ligne; élaborer de nouvelles orientations précisant les cas où la collecte, l'utilisation et la communication de renseignements personnels sont interdites, par exemple lorsque l'on sait qu'elles porteront ou sont susceptibles de porter un préjudice grave à la personne concernée.