Le Canada veut améliorer la façon d’obtenir des consentements valables en matière de renseignements personnels

Suite à la publication (plus tôt cette année) des Lignes directrices pour l’obtention d’un consentement valable, par le Commissariat à la protection de la vie privée du Canada, les entreprises visées par la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») doivent mettre à jour leurs pratiques à ce sujet d’ici la fin de l’année.

Dès 2019, en effet, le Commissariat à la protection de la vie privée appliquera ses nouvelles lignes directrices lorsqu’il examine une plainte contre une entreprise relativement au consentement qu’elle a ou non obtenu d’individus pour avoir le droit de manipuler les renseignements personnels en sa possession.

Ce document fait suite à une consultation de 2016, dans le contexte duquel on avait décelé de sérieuses lacunes dans les pratiques actuelles des entreprises à ce sujet. Les lignes directrices visent donc à tenter de corriger le laxisme généralisé dont font preuve nos entreprises quand vient le temps d’obtenir le consentement d’individus à la collecte, l’usage ou la communication à autrui de leurs renseignements.

Le document suggère notamment aux entreprises de tenter de respecter les principes suivants en obtenant le consentement des individus :

  1. Mettre l’accent sur les éléments clés
  2. Permettre aux individus de déterminer à quel point et quand ils souhaitent obtenir de l’information détaillée
  3. Donner clairement aux individus la possibilité de choisir « oui » ou « non »
  4. Faire preuve d’innovation et de créativité
  5. Prendre en compte la perspective du consommateur
  6. Faire du consentement un processus dynamique et continu
  7. Être responsable : se tenir prêt à démontrer en tout temps sa conformité

Bref, ces lignes directrices visent à augmenter la transparence des entreprises quant à leurs pratiques en matière de renseignements personnels. On vise notamment à tenter d’éliminer les politiques vagues publiées pour donner l’apparence de se conformer à la loi, mais largement inutilisées (et inutilisables) par les individus pour comprendre comment telle ou telle entreprise traite réellement les renseignements en sa possession.

Bien que pas mal de choses qui sont énoncées dans ces lignes directrices s’avèrent relativement abstraites, le document a tout de même un aspect pratique, en fournissant aux entreprises une Liste de contrôle de ce qui doit être fait pour obtenir des consentements valables.

Au-delà ce qu’on doit faire pour respecter le texte de la loi en la matière, le document contient d’ailleurs aussi une seconde liste de contrôle de « meilleures pratiques », à savoir des choses qu’une entreprise peut faire si elle désire améliorer son processus de consentement.

Les nouvelles lignes directrices entrent en vigueur le 1er janvier prochain, date à compter de laquelle le commissaire tiendra pour acquis que toutes les entreprises doivent s’être conformées à ce document pour qu’on estime que les consentements qu’elles prétendraient détenir soient jugés valables.