Le 31 octobre 2023, la Commission d’accès à l’information (ci-après, la « CAI ») a rendu publique la version finale de ses lignes directrices 2023-1 sur les critères de validité du consentement. Ces dernières ont pour objectif de faciliter l’application de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (ci-après, la « Loi sur l’accès »)[1] ainsi que de la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après, la « LPRPSP »)[2]. Elles visent plus particulièrement à clarifier les obligations des organisations publiques et privées dans l’obtention d’un consentement valide, en tenant compte des lois dans leur ensemble, de la jurisprudence et des bonnes pratiques qui assurent le respect du droit à la vie privée des individus. Ces lignes directrices incluent également les changements apportés par la Loi 64 (également désignée comme étant la « Loi 25 »), dont l’entrée en vigueur progressive s’est amorcée le 22 septembre 2022.
Le projet de lignes directrices qui avait initialement été publié quelques mois plus tôt a été bonifié à la lumière des commentaires reçus dans le cadre d’une consultation publique lancée par la CAI, à l’occasion de laquelle le public général ainsi que certains intervenants ciblés ont été sollicités afin de donner leur opinion. Au total, ce sont 50 personnes et organisations qui ont participé à cette consultation. Un document de rétroaction a d’ailleurs été publié par la CAI en réponse aux principaux commentaires ainsi formulés.
Dans ses lignes directrices, la CAI rappelle que pour obtenir un consentement valide, les organisations doivent s’assurer de respecter huit critères cumulatifs, énumérés à l’article 53.1 de la Loi sur l’accès :
- Le consentement doit être manifeste. Il doit être évident et démontrer la volonté réelle de la personne concernée, et ce, qu’il soit exprès ou implicite;
- Le consentement doit être libre. La personne concernée doit être en mesure d’exercer un contrôle réel et de faire un choix sans contrainte ou pression;
- Le consentement doit être éclairé. La personne concernée doit comprendre ce à quoi elle consent et quelles sont les implications de ce consentement;
- Le consentement doit être donné à des fins spécifiques. L’objectif de l’utilisation ou de la communication de renseignements personnels doit être clairement défini;
- Le consentement doit être granulaire. Il doit être demandé séparément pour chacune des fins visées;
- La demande de consentement doit être compréhensible. Elle doit être présentée en termes simples, clairs et concis;
- Le consentement doit être temporaire. Sa durée de validité se limite à ce qui est nécessaire à la réalisation des fins identifiées;
- Si elle est faite par écrit, la demande de consentement doit être présentée distinctement de toute autre information (conditions d’utilisation, politiques de confidentialité, etc.).
La CAI explique également que, contrairement à d’autres lois canadiennes ou internationales en matière de protection des renseignements personnels, la Loi sur l’accès ne soumet pas la collecte de renseignements personnels à l’obtention du consentement, sauf exception[3]. Un organisme doit plutôt identifier les fins pour lesquelles les renseignements sont recueillis et respecter le critère de nécessité[4], tout en remplissant son obligation de transparence par la transmission de certaines informations énumérées à l’article 65 de la Loi sur l’accès à la personne concernée lorsque la collecte se fait auprès de celle-ci. En ce sens, l’article 65.0.2 de la Loi sur l’accès prévoit que toute personne qui fournit ses renseignements personnels suivant l’article 65 consent à leur utilisation et à leur communication aux fins pour lesquelles ces renseignements sont recueillis[5]. Toutefois, pour utiliser ces derniers à des fins secondaires[6] ou pour les communiquer à un tiers[7], l’organisme devra obtenir un consentement valide, à quelques exceptions près.
Enfin, la CAI insiste sur l’importance pour les organisations de documenter leurs pratiques en matière de consentement. Bien qu’il ne s’agisse pas d’une obligation légale, la CAI estime que les organisations devraient documenter l’obtention du consentement lorsque celui-ci est requis, les éléments permettant d’établir la validité de ce consentement ainsi que les vérifications effectuées concernant l’identité des personnes qui consentent.
[1] Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c. A-2.1, art. 123 (9).
[2] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P-39.1.
[3] COMMISSION D’ACCÈS À L’INFORMATION DU QUÉBEC, Lignes directrices 2023-1 – Consentement : critères de validité, 31 octobre 2023, p. 4.
[4] L’article 64 de la Loi sur l’accès prévoit qu’un organisme public ne peut collecter des renseignements personnels qui ne sont pas nécessaires à l’exercice de ses attributions ou à la mise en œuvre d’un programme dont il a la gestion. On ne peut déroger en aucun cas à ce critère, et ce, même avec le consentement de la personne concernée.
[5] À noter que ce consentement pourrait être retiré ultérieurement.
[6] Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c. A-2.1, art. 65.1.
[7] Id., art. 53, 59 et 88.