Le consentement, pilier de la Loi 25
Avant la Loi 25, la notion de consentement existait déjà dans la législation québécoise, mais elle était souvent appliquée de façon générale, voire implicite. Depuis l'entrée en vigueur complète de la loi en septembre 2023, les exigences sont plus précises. Une case à cocher en bas d'un formulaire ou une clause enfouie dans des conditions générales ne suffit plus.
Le consentement doit maintenant être manifeste, libre, éclairé et donné à des fins spécifiques. Ces quatre critères ne sont pas décoratifs : ils redéfinissent ce qu'une organisation peut légalement faire avec les renseignements qu'elle collecte.
Les quatre critères d'un consentement valide
Manifeste : le consentement doit être une action positive et claire. Une case pré-cochée ne constitue pas un consentement valide. La personne doit faire quelque chose pour exprimer son accord.
Libre : la personne ne doit pas subir de pression ou de désavantage si elle refuse. Conditionner l'accès à un service à l'acceptation d'une collecte de renseignements non nécessaire pose un problème de conformité.
Éclairé : la personne doit comprendre ce qu'elle accepte. Cela implique d'expliquer, en langage clair, quels renseignements sont collectés, pourquoi, qui y aura accès et combien de temps ils seront conservés.
Pour des fins spécifiques : c'est ici que la granularité entre en jeu. Si vous collectez un courriel pour envoyer une facture et que vous souhaitez aussi l'utiliser pour des communications marketing, vous avez besoin de deux consentements distincts. Un seul formulaire "tout inclus" n'est plus acceptable.
Le droit de retrait
La Loi 25 renforce le droit des personnes de retirer leur consentement en tout temps. Ce retrait doit être aussi simple que l'octroi du consentement. Si une personne a pu s'inscrire en deux clics, elle ne devrait pas avoir à envoyer un courriel et attendre une réponse manuelle pour se désinscrire.
Concrètement, cela signifie que vous devez prévoir un mécanisme de retrait accessible, et que votre organisation doit être en mesure de traiter ces demandes dans un délai raisonnable. Après le retrait, vous ne pouvez plus utiliser les renseignements pour la finalité concernée.
Quand le consentement n'est pas requis
La loi prévoit des exceptions. Vous n'avez pas besoin de consentement dans les situations suivantes :
- Obligation légale : la loi vous impose de collecter ou de communiquer les renseignements (par exemple, une obligation de déclaration fiscale).
- Exécution d'un contrat : les renseignements sont nécessaires pour réaliser la prestation convenue avec la personne. Un transporteur n'a pas besoin d'un consentement séparé pour utiliser l'adresse de livraison.
- Intérêt légitime (dans certaines conditions) : cette exception est encadrée et ne couvre pas des finalités commerciales larges.
Ces exceptions ne sont pas des portes de sortie générales. Si vous les invoquez, assurez-vous de pouvoir documenter la justification.
Exemples concrets
Formulaire de contact sur un site web : collecter un nom et un courriel pour répondre à une demande d'information est raisonnable dans le cadre d'une relation précontractuelle. Si vous souhaitez ensuite envoyer une infolettre, vous avez besoin d'un consentement distinct pour cette finalité.
Contexte d'emploi : un employeur peut collecter les renseignements nécessaires à la gestion de la relation de travail sans consentement explicite pour chaque finalité, car la loi de travail crée un cadre légal. En revanche, utiliser les renseignements d'un employé à d'autres fins nécessite un consentement valide.
Programme de fidélité : l'inscription à un programme de points implique souvent la collecte de données d'achat, d'habitudes et parfois de préférences. Chaque finalité d'utilisation de ces données doit être clairement énoncée et faire l'objet d'un consentement distinct si elle dépasse la gestion du programme lui-même.
Comment documenter le consentement
Obtenir le consentement ne suffit pas : il faut être en mesure de le prouver. Votre organisation doit conserver une trace de :
- la version du formulaire ou de l'avis présenté à la personne au moment du consentement
- la date et l'heure du consentement
- les finalités acceptées
- les retraits de consentement et leur date
Cette documentation devient essentielle en cas d'incident ou d'enquête de la Commission d'accès à l'information (CAI). Un registre clair protège aussi votre organisation en interne, lorsque plusieurs équipes utilisent les mêmes données.
Un point de départ pratique
Faites l'inventaire de vos formulaires de collecte actuels. Pour chacun, posez-vous trois questions : est-ce que la personne comprend vraiment ce qu'elle accepte? Est-ce que le consentement couvre toutes les utilisations que nous en faisons? Est-ce que nous sommes capables de prouver qu'il a été donné?
Les réponses vous indiqueront où concentrer vos efforts de mise à jour.
Observantia inclut un module de gestion du consentement qui vous permet de documenter, suivre et archiver les consentements recueillis, et de gérer les demandes de retrait de façon structurée.
Ce contenu est fourni à titre informatif seulement et ne constitue pas un avis juridique. Pour des questions spécifiques à votre situation, consultez un conseiller juridique qualifié.