Consentement : Règles et exigences selon la loi

Art. 8, 9, 12, 13, 14, 15, LPRPSP

Ce que la loi exige

Le consentement est le fondement de la collecte et de l'utilisation des renseignements personnels. Les règles ont été considérablement renforcées pour exiger un consentement manifeste, libre, éclairé et donné à des fins spécifiques.

Consentement manifeste : Le consentement doit résulter d'une action claire de la personne. Les cases pré-cochées, le silence ou l'inaction ne constituent pas un consentement valide.

Consentement éclairé : Avant de recueillir un consentement, vous devez informer la personne : des fins de la collecte, des moyens de collecte, des droits d'accès et de rectification, et de la possibilité de retirer son consentement.

Consentement séparé pour chaque fin : Une demande de consentement doit être présentée distinctement de toute autre information. Chaque finalité secondaire requiert un consentement séparé.

Renseignements sensibles : Pour les renseignements sensibles, notamment ceux concernant la santé, les données biométriques, les opinions politiques ou les informations financières, le consentement doit toujours être explicite.

Texte de référence

Un consentement prévu à la présente loi doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Il est demandé à chacune de ces fins, en termes simples et clairs. Lorsque la demande de consentement est faite par écrit, elle doit être présentée distinctement de toute autre information communiquée à la personne concernée. Lorsque celle-ci le requiert, il lui est prêté assistance afin de l'aider à comprendre la portée du consentement demandé.

Le consentement du mineur de moins de 14 ans est donné par le titulaire de l'autorité parentale ou par le tuteur. Le consentement du mineur de 14 ans et plus est donné par le mineur, par le titulaire de l'autorité parentale ou par le tuteur.

Le consentement ne vaut que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

Un consentement qui n'est pas donné conformément à la présente loi est sans effet.

— Art. 14, Loi sur la protection des renseignements personnels dans le secteur privé

Ce que vous devez faire

La mise en conformité du consentement implique de revoir tous vos points de collecte de renseignements personnels : formulaires web, inscriptions, contrats, témoins (cookies), et communications marketing.

Consentement implicite vs exprès

Consentement implicite acceptable : Lorsque la collecte est manifestement nécessaire à la finalité évidente du service. Par exemple : un client fournit son adresse pour recevoir une livraison. L'utilisation de l'adresse pour la livraison est implicitement consentie.

Consentement explicite requis :

  • Renseignements sensibles (santé, biométrie, finances, opinions)
  • Utilisation à des fins secondaires (marketing, profilage)
  • Communication à des tiers
  • Témoins (cookies) de suivi ou publicitaires
  • Toute collecte non évidente selon le contexte

Formulaires conformes

Pour chaque formulaire collectant des renseignements personnels :

  1. Identifiez clairement chaque finalité. « Nous utilisons votre courriel pour : vous envoyer votre facture, vous informer de nos promotions. »
  2. Séparez les consentements. Une case pour chaque finalité secondaire, non pré-cochée.
  3. Utilisez un langage simple. Évitez le jargon juridique. Soyez précis et concis.
  4. Fournissez un lien vers votre politique de confidentialité. Détails complets accessibles en un clic.

Témoins (cookies) et consentement

Les témoins qui collectent des renseignements personnels ou qui suivent le comportement des utilisateurs à des fins publicitaires requièrent un consentement :

  • Affichez une bannière avant d'activer les témoins non essentiels
  • Expliquez clairement quels témoins sont utilisés et pourquoi
  • Offrez un choix réel : accepter, refuser, ou personnaliser
  • Permettez de modifier le choix à tout moment
  • Les témoins essentiels au fonctionnement du site n'exigent pas de consentement

Retrait du consentement

Toute personne peut retirer son consentement à tout moment. Vous devez :

  • Offrir un moyen simple de retirer le consentement (aussi simple que de le donner)
  • Cesser l'utilisation des renseignements pour la finalité concernée
  • Supprimer les renseignements si aucune autre base légale ne justifie leur conservation
  • Documenter le retrait et sa date

Erreurs courantes

  • Cases pré-cochées. Les cases de consentement pré-cochées ne sont pas valides. Le consentement doit résulter d'une action affirmative de l'utilisateur.
  • Consentement groupé. Demander un seul consentement pour plusieurs finalités différentes (« J'accepte de recevoir mes factures et des offres promotionnelles »). Chaque finalité secondaire doit être séparée.
  • Rendre un service conditionnel au consentement. Refuser de fournir un service si le client ne consent pas à des finalités non nécessaires. Exemple : refuser une vente si le client n'accepte pas l'infolettre.
  • Consentement enfoui. Cacher la demande de consentement dans de longues conditions d'utilisation. Le consentement doit être présenté distinctement.
  • Pas de preuve. Ne pas documenter quand et comment le consentement a été obtenu. En cas de plainte, vous devez pouvoir démontrer le consentement.
  • Oublier le retrait. Ne pas offrir de moyen simple de retirer le consentement, ou ignorer les demandes de retrait.
  • Témoins activés par défaut. Activer les témoins de suivi avant d'obtenir le consentement, puis afficher la bannière.

Questions fréquentes

Quand le consentement explicite est-il obligatoire?

Le consentement explicite est obligatoire pour : (1) les renseignements sensibles (santé, biométrie, finances), (2) la communication à des tiers à des fins commerciales, et (3) toute utilisation à des fins autres que celles pour lesquelles les renseignements ont été collectés.

Le consentement peut-il être implicite?

Oui, mais seulement pour la finalité principale et si cette finalité est évidente compte tenu du contexte. Par exemple, collecter un courriel pour envoyer une facture. Pour toute autre utilisation, le consentement doit être explicite.

Comment obtenir un consentement valide pour les témoins (cookies)?

Pour les témoins qui collectent des renseignements personnels ou suivent le comportement, vous devez : (1) informer clairement l'utilisateur avant l'activation, (2) expliquer l'utilisation, (3) obtenir un consentement affirmatif. Les cases pré-cochées ne sont pas valides.

Un client peut-il retirer son consentement?

Oui, à tout moment et sans justification. Vous devez cesser d'utiliser ses renseignements pour la finalité concernée. Le retrait n'est pas rétroactif. Les utilisations passées restent légitimes.

Le consentement des mineurs est-il différent?

Oui. Pour les mineurs de moins de 14 ans, le consentement doit être donné par le titulaire de l'autorité parentale. Entre 14 et 18 ans, le mineur peut possiblement consentir lui-même, mais cela dépendra de la situation spécifique.

Puis-je refuser un service si le client refuse le consentement?

Seulement si les renseignements sont nécessaires au service. Vous ne pouvez pas conditionner un service à un consentement pour des fins non nécessaires (ex: refuser une vente si le client refuse l'infolettre).

Comment documenter le consentement?

Conservez une preuve : horodatage, case cochée, enregistrement du formulaire soumis. Vous devez pouvoir démontrer que le consentement a été donné, quand, et pour quelles finalités.

Prochaine étape

Une fois vos pratiques de consentement mises à jour, assurez-vous que votre politique de confidentialité reflète fidèlement vos pratiques réelles et que vous avez un processus en place pour gérer les demandes d'accès et de rectification.

← Retour au guide de conformité

Sujets connexes