Mémoire : Consultations sur les lignes directrices 2023-1 sur les critères de validité du consentement (Loi 25)

Dans le cadre des consultations sur les lignes directrices menées par la Commission d’accès à l’information, la LDL affirme que le consentement doit être toujours manifeste et explicite, pour ne laisser aucun doute quant à la volonté qui est exprimée. La CAI devrait abandonner le concept de « consentement implicite » dans ces lignes directrices. Le public doit être clairement informé de tous les renseignements personnels qui pourraient être utilisés et à quelles fins.

Consultations sur les lignes directrices 2023-1 sur les critères de validité du consentement (protection des renseignements personnels)

Mémoire présenté par la
Ligue des droits et libertés

LIRE EN PDF

Devant la Commission d’accès à l’information du Québec

22 juin 2023

Table des matières

  1. PRÉSENTATION DE LA LIGUE DES DROITS ET LIBERTÉS
  2. INTRODUCTION
  3. VALIDITÉ JURIDIQUE ET COHÉRENCE
  4. PORTÉE DES LIGNES DIRECTRICES
  5. APPLICATION DES LIGNES DIRECTRICES
  6. EXEMPLES UTILISÉS POUR ILLUSTRER LES ORIENTATIONS
  7. FORMAT DES LIGNES DIRECTRICES

1) PRÉSENTATION DE LA LIGUE DES DROITS ET LIBERTÉS

La Ligue des droits et libertés (LDL) est une organisation indépendante, non partisane et sans but lucratif, qui vise à défendre et à promouvoir l’universalité, l’indivisibilité et l’interdépendance des droits humains. Depuis sa création 1963, la LDL a influencé plusieurs politiques gouvernementales et projets de loi, en plus de contribuer à la création d’instruments voués à la défense et la promotion des droits humains, tels que la Charte des droits de la personne du Québec.

Son travail d’analyse, de sensibilisation et de promotion est primordial pour que les droits humains deviennent la voie à suivre vers une société juste et inclusive, pour tous et toutes.

2) INTRODUCTION

La LDL se penche depuis de nombreuses années sur les enjeux de surveillance des populations, de l’intelligence artificielle et des nouvelles technologies à la lumière des droits humains. Dans ce contexte, elle porte une attention particulière à la protection de la vie privée et à la protection des renseignements personnels.

Nous remercions la Commission d’accès à l’information (CAI) de cette invitation à participer aux consultations sur les lignes directrices 2023-1 sur les critères de validité du consentement en matière de protection des renseignements personnels. Le présent mémoire est structuré suivant la plupart des questions proposées dans le document de consultation qui a été fourni à la LDL.

3) VALIDITÉ JURIDIQUE ET COHÉRENCE

Question : Les lignes directrices vous paraissent-elles valides du point de vue juridique? Les orientations qu’elles donnent sont-elles cohérentes entre elles?

La LDL souscrit généralement à l’interprétation proposée par la Commission d’accès à l’information (CAI) quant aux critères de validité du consentement, sauf en ce qui concerne le consentement manifeste.

La CAI accepte l’idée qu’un consentement manifeste puisse être implicite, tel qu’indiqué aux paragraphe 29 et 36 du document de consultation :

29. Caractère manifeste. Un consentement doit d’abord être manifeste, c’est-à-dire évident, et donné d’une façon qui démontre la volonté réelle de la personne concernée. Le plus souvent, cette volonté devrait prendre une forme expresse, ou explicite, mais elle peut être implicite dans certaines circonstances.

36. Possibilité de consentement implicite. Dans certaines circonstances, la forme du consentement peut être implicite (ou tacite), notamment si ces critères supplémentaires sont réunis :

a. S’il ne vise pas des renseignements sensibles;
b. S’il ne va pas à l’encontre des attentes raisonnables des personnes selon le contexte;
c. Si aucun risque de préjudice grave n’émerge de l’utilisation ou de la communication prévue.

Dans ce cas, le consentement n’est pas formulé explicitement. L’organisation le déduit en raison du silence ou de l’inactivité de la personne concernée ou d’une autre action qu’elle pose, sans lien direct avec le consentement. (Nos soulignés)

Au paragraphe 34 sont précisées les situations relevant du consentement implicite:

a. Recours à des cases déjà cochées;
b. Simple possibilité de refus ultérieur (opt-out);
c. Déduction liée au silence ou à l’inactivité de la personne;
d. Déduction liée à un autre geste posé par la personne.

Nous estimons qu’un consentement manifeste ne saurait être implicite. Ni la Loi sur l’accès, ni la Loi privée, ni la Loi 25 n’utilisent ce concept de « consentement implicite ».

Il semble que ce soit la CAI elle-même qui, dans son rapport quinquennal de 2016, a introduit ce concept[1] en mentionnant :

En vertu de la Loi sur le privé, le consentement doit être « manifeste », ce qui signifie qu’il ne doit laisser aucun doute quant à la volonté qui y est exprimée, et ce, quel que soit le moyen utilisé pour l’exprimer. Il peut donc être explicite ou implicite[2]. (Nos soulignés)

Avec égard, cette interprétation ne ressort nullement du texte de la Loi québécoise. Les auteurs Guilmain et Gratton rapportent :

Force est donc d’admettre que le consentement implicite n’existe pas formellement sous la Loi sur le secteur privé, et ce, bien que le mécanisme de consentement par retrait soit prévu dans le cas précis des listes nominatives. Toutefois, de façon assez inédite, la Commission a récemment admis que le consentement peut être « explicite ou implicite » dans la mesure où le consentement manifeste au sens de la Loi sur le secteur privé « signifie qu’il ne doit laisser aucun doute quant à la volonté qui y est exprimée, et ce, quel que soit le moyen utilisé pour l’exprimer ». Une telle interprétation doit être saluée puisqu’elle s’inscrit dans la continuité des autres lois canadiennes qui autorisent le consentement implicite (…)[3] (Nos soulignés)

La CAI adhère de fait à l’interprétation du Commissariat à la protection de la vie privée du Canada (CPVP) qui, dans ses lignes directrices sur le consentement, indique :

Le consentement devrait généralement être explicite, mais un consentement implicite peut être suffisant dans des circonstances strictement définies[4].

Mais les directives du commissariat concernent l’interprétation de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ), une loi reconnaissant clairement la possibilité d’un consentement implicite. L’article 4.3.6 de l’annexe 1 de la loi fédérale stipule en effet :

En général, l’organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d’être considérés comme sensibles. Lorsque les renseignements sont moins sensibles, un consentement implicite serait normalement jugé suffisant[5].

Rien de tel dans les lois québécoises.

L’idée qu’un consentement manifeste puisse être implicite a soulevé beaucoup d’interrogations et semé certaines inquiétudes chez les parlementaires, tel qu’il ressort de l’Étude article par article de la Loi 25.[6]

Le ministre Caire a d’abord indiqué qu’un consentement manifeste nécessitait un geste actif[7] pour ensuite hésiter, au vu de l’interprétation exprimée par la CAI dans son rapport quinquennal. Le ministre a toutefois écarté la possibilité qu’un consentement valable puisse résulter du silence (au sens de « Qui ne dit mot consent ») :

Caire: Mais, juste pour vraiment répondre précisément à votre question, pour ce qui requiert un consentement manifeste, moi, je pense que, dans les organismes publics, effectivement, on pourrait s’assurer que qui ne dit mot consent n’est pas la règle qu’on devrait suivre.

Tanguay: Qui ne dit mot consent ne devrait, en aucun cas d’espèce, se qualifier sous 53.1.

Caire: On s’entend.

Tanguay: Bon, ça, c’est clair

(…)

Puis c’est important, ce qu’on se dit là, qui ne dit mot >consent. <Est-ce que… >Parce que ce qu’on fait là, c’est important, ça a une implication, entre autres, à l’article 102 de la loi qui va introduire un nouvel article 14, c’est copier-coller. Est-ce que ça serait donc aussi le même étalon de mesure, le même nom, qui ne dit mot consent, dans le secteur privé?

Caire: Je ne vois pas de raison qu’il y ait une différence entre les deux[8].

Ces propos se concilient mal avec l’énoncé du paragraphe 36 des Lignes directrices, voulant qu’un consentement puisse résulter du silence ou de l’inactivité de la personne.

Le consentement implicite est source de confusion. Il entre en contradiction avec le principe de consentement manifeste. Il repose sur la tenue d’un test laborieux et subjectif en vue d’évaluer les attentes raisonnables de vie privée et le risque de préjudice. La CAI devrait profiter du présent exercice pour rajuster le tir et abandonner ce concept : au mieux inutile puisqu’il fait double emploi avec le consentement présumé (finalités primaires) ou avec les nombreuses exceptions permettant de passer outre au consentement (fins compatibles, bénéfice manifeste etc.); et au pire un concept préjudiciable car il offre une échappatoire commode à l’obligation d’obtenir le consentement. Le consentement implicite se conjugue aussi mal avec l’obligation qu’impose la loi de demander le consentement et non de le déduire.

L’utilisation de cases déjà cochées pour faire valoir le consentement devrait aussi être écartée. Un tel procédé n’est pas plus acceptable selon nous que la déduction résultant du silence. De nombreux sites internet et plateformes numériques demandent l’accès à des renseignements personnels pour une multitude de fins. Avec le consentement implicite, il leur suffira de pré-cocher « J’accepte » à tous les items, forçant du coup la personne concernée – qui ne veut pas consentir – à devoir tout dé-cocher.  Nous croyons que cela ne respecte ni la lettre ni l’esprit de la loi.

Le consentement implicite pervertit le sens de la loi. Il déplace le fardeau sur l’individu. Ce n’est plus à l’organisation d’obtenir un consentement manifeste, mais à la personne concernée de manifester son non-consentement.

Consentement exprès obligatoire

Dans le cas des renseignements sensibles (médicaux, biométriques, financiers, intimes etc.) la loi oblige l’organisation à obtenir un consentement non seulement manifeste mais exprès. La CAI propose certains mécanismes au paragraphe 32 du document de consultation :

La signature d’un document, l’activation d’une case ou la réponse affirmative à une question sont des façons de manifester un consentement exprès (gestes actifs et positifs, sans équivoque), mais ne sont pas les seules options possibles.

La simple activation d’une case ou encore un clic sur le bouton « OUI » ou « J’accepte » sont des modalités d’expression bien faibles, selon nous, compte tenu de l’importance des renseignements en cause. Consentir à l’utilisation de données génétiques ou médicales, à la transmission de données financières ou relatives à l’orientation sexuelle et à d’autres renseignements intimes : tout cela n’est pas anodin et commande de recourir à des méthodes plus formelles qu’un simple clic en ligne. Sans imposer de mécanisme unique, la CAI devrait imposer plus de formalités dans l’obtention d’un consentement exprès.

À cet égard les mécanismes proposés par la Commission nationale de l’informatique et des libertés (CNIL) pour l’obtention d’un consentement « explicite » au sens du RGPD sont à signaler, à savoir :

  • prévoir une case de recueil du consentement spécifiquement dédiée au traitement des données sensibles;
  • demander une déclaration écrite et signée par la personne concernée ou l’envoi d’un courriel indiquant que la personne accepte expressément le traitement de certaines catégories de données;
  • recueillir le consentement en deux étapes : envoi d’un courriel à la personne concernée qui doit ensuite confirmer sa première action de consentement[9].

 

4) PORTÉE DES LIGNES DIRECTRICES

Question : Les lignes directrices ont-elles une portée adéquate, compte tenu de leur objectif (clarifier les critères de validité du consentement)? Sont-elles complètes?

La Loi sur l’accès et la Loi privée comportent de très (trop) nombreuses exceptions permettant d’utiliser ou de communiquer un renseignement personnel (RP) sans consentement. Les personnes devraient être informées de ces exceptions pour bien comprendre que leurs données pourront servir à bien d’autres fins que celles identifiées par l’organisme. Cela participe d’un consentement éclairé.

Nous souscrivons donc entièrement à la règle formulée au paragraphe 10 à l’effet qu’une organisation « devrait ainsi décrire clairement les actions qu’elle pose sans consentement dans une politique de confidentialité ».  Cela devrait inclure les actions qu’elle pourrait poser dans l’avenir.

Autres conditions d’un consentement éclairé; les informations à fournir à la personne et décrites au paragraphe 49 : a) Qui? b) Pourquoi? c) À qui? d) Auprès de qui? e) Quoi? f) Accessibles à qui? g) Jusqu’à quand? h) Et sinon? i) Avec quels risques? j) Comment? k) Où? l) Quels droits ?

Pour éviter un trop-plein de renseignements affectant la qualité du consentement, la CAI propose de structurer l’information en plusieurs niveaux : premier niveau accessible immédiatement (éléments a) à e)) et un deuxième niveau (les autres informations) accessibles par des efforts minimaux dans une politique de confidentialité, une annexe à un formulaire, une icône « En savoir plus ».

Nous comprenons la préoccupation de la CAI de ne pas noyer le consentement dans une mer d’informations. Mais le renvoi à une politique de confidentialité souvent longue et fastidieuse pourrait en dissuader plusieurs de s’informer plus avant.

Il importe selon nous que les personnes soient informées d’entrée de jeu de tous les items sur lesquels l’organisation est tenue de leur fournir des précisions; un peu comme le fait le paragraphe 49. Quitte pour elles à repérer ensuite l’information qui les intéresse dans la politique de confidentialité ou encore en ligne par l’activation d’une icône.

L’organisation devrait en outre informer les personnes concernées qu’elle ne peut recueillir, utiliser ou transmettre que les renseignements nécessaires aux fins identifiées, et que même avec leur consentement, elle ne peut recueillir des renseignements non-nécessaires.

5) APPLICATION DES LIGNES DIRECTRICES

Question : En tenant compte de vos activités, de celles des personnes ou des organisations que vous représentez (le cas échéant) et de votre expertise, pensez-vous que ces lignes directrices peuvent être appliquées concrètement et qu’elles sont réalistes? Anticipez-vous des conséquences négatives découlant des orientations présentées, et, si oui, lesquelles?

Nous entretenons quelques doutes sur la capacité de la CAI (sur le plan des ressources) de pouvoir faire respecter ces directives, particulièrement par les entreprises multinationales (notamment les GAFAM) diffusant de l’extérieur du Québec. À tout le moins, un système de plaintes devrait être établi permettant de signaler aisément les contraventions.

6) EXEMPLES UTILISÉS POUR ILLUSTRER LES ORIENTATIONS

Question : Les exemples illustrant les lignes directrices sont-ils utiles pour illustrer les orientations de la Commission? Sont-ils crédibles?

Les lignes directrices « représentent les attentes de la CAI envers les organisations concernant l’obtention d’un consentement valide et significatif »[10]. Même si elles n’ont pas force de loi, elles surpassent en importance les simples documents d’orientation[11]. Pourtant les lignes proposées semblent hésiter entre directive obligatoires et guide de bonnes pratiques.

Ainsi, plusieurs exemples[12] de comportements sont décrits comme « pouvant ne pas » ou « susceptibles de ne pas » respecter la loi alors qu’à notre avis, ils l’enfreignent clairement[13]. Dans d’autres cas, on suggère que l’organisme « pourrait plutôt » faire ceci ou cela. Ou encore, on propose une alternative pouvant « améliorer la clarté » d’une pratique en réalité contraire à la loi, et qu’il faut donc plus qu’améliorer[14]!

Bref, les exemples mis de l’avant sont équivoques sur la légalité de plusieurs pratiques. Pour la LDL, les lignes directrices devraient distinguer clairement ce qui est permis de ce qui ne l’est pas.

7) FORMAT DES LIGNES DIRECTRICES

Question : Le format des lignes directrices est-il adapté et en facilite-t-il la consultation? Le texte est-il suffisamment clair?

Le document à l’étude fait plus de trente pages; pour le spécialiste, il s’agit d’un outil essentiel. En revanche, il est dense, exhaustif, truffé d’exemples et vise à couvrir tous les angles, le rendant difficile d’accès pour bien des lecteurs. Nous craignons que les citoyen-ne-s et les petites organisations qui devront appliquer la Loi s’y retrouvent peu.

Un outil plus convivial devrait être élaboré par la CAI afin de permettre une application simple des règles de consentement. La CAI pourrait élaborer des capsules vidéo, notamment sur le consentement. Une foire aux questions sur la nouvelle loi serait sans doute utile, de même qu’un service téléphonique ou en ligne assurant un accompagnement pour son application. D’autres outils devraient aussi être élaborés pour faciliter la mise en œuvre de l’ensemble des changements apportés par la Loi 25.

On ne saurait minimiser la difficulté que représentera l’implantation de la Loi 25 pour de nombreuses associations et groupes communautaires fonctionnant sans permanence et avec bien peu de budget. Certaines exigences administratives des gouvernements à l’égard des OSBL sont susceptibles de devenir un obstacle à la liberté d’association et à la réalisation du droit d’association. Tant la Ligue des droits et libertés[15] que la Rapporteur spécial des Nations-Unies sur le droit de réunion pacifique et sur la liberté d’expression[16] ont contribué à documenter ce potentiel impact.

Ainsi, la CAI et le législateur devraient évaluer la possibilité d’ajuster les exigences administratives imposées aux OSBL, tant dans les lignes directrices que dans la Loi 25, pour tenir compte de leurs réalités et de l’utilisation qui est faite des renseignements personnels qu’elles recueillent dans le cadre de leurs activités.

Dans le cadre des consultations, la Ligue des droits et libertés formule quatre propositions de sujets pour les lignes directrices.

Consulter les propositions

[1] C’est ce que signale Me Jean-Philippe Miville-Deschênes lors de l’Étude détaillée du PL 64 : « D’ailleurs, la Commission d’accès à l’information, dans son dernier rapport quinquennal, pour la première fois reconnaissait que… parce que les critères de manifeste, libre, éclairé, ça se retrouve déjà dans la loi sur le secteur privé, l’article 14 contient déjà ces trois critères-là. Puis la commission a reconnu, dans son rapport quinquennal, que, oui, «manifeste», ça veut dire qu’il faut que ça soit certain, là, qu’il n’y ait pas de doute, mais ce n’est pas nécessairement un consentement qui est exprès ou explicite ». Journal des débats de la Commission des institutions, 10 février 2021.

[2] Commission d’accès à l’information, Rapport quinquennal 2016, à la page 89.

[3] Antoine Guilmain et Éloïse Gratton, La protection des renseignements personnels dans le secteur privé au Québec : rétrospectives et perspectives. Développements récents en droit à la vie privée (2019) – Volume 465 à la page 88.

[4] Commissariat à la protection de la vie privée du Canada. Lignes directrices pour l’obtention d’un consentement valable. Voir :  https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/collecte-de-renseignements-personnels/consentement/gl_omc_201805/#fn14

[5] Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ). Annexe 1, article 4.3.6. https://laws-lois.justice.gc.ca/fra/lois/P-8.6/page-7.html#h-407817

[6] Journal des débats de la Commission des institutions. Le mercredi 10 février 2021 – Vol. 45 N° 117 Voir :

https://www.assnat.qc.ca/fr/travaux-parlementaires/commissions/ci-42-1/journal-debats/CI-210210.html

[7] M. Caire : Alors, toujours sous réserve que Me Miville-Deschênes peut corriger mes propos, si tant est qu’il le juge nécessaire, «manifeste» s’entend par opposition à «implicite». Donc, il faut qu’il y ait un geste qui soit posé qui équivaut à demander et octroyer son consentement. Journal des débats. Ibidem.

[8] Journal des débats. Ibidem

[9] CNIL. Conformité RGPD : comment recueillir le consentement des personnes ? 03 août 2018. Voir : https://www.cnil.fr/fr/les-bases-legales/consentement

[10] Paragraphe 18 du document de consultation.

[11]Paragraphe 19 du document de consultation.

[12] Voir Exemples 23.1, 23.2, 36.3, 36.4, 49.2, 62.1, 63.1

[13] Notamment : publication sur le site web du conseil municipal des noms et adresses de citoyens ayant adressé des questions (36.3); moissonnage de photos d’individus sur des sites web, à l’insu et sans le consentement des personnes concernées, le tout en contravention de la décision Clearview AI (36.4); clause de consentement excessivement vague (49.2)

[14] Exemple 62.1

[15] LDL, La surveillance et le contrôle technocratique des organismes sans but lucratif (OSBL) : un enjeu de droits collectifs, 2017 https://liguedesdroits.ca/wp-content/fichiers/rapport_droit_association.pdf

[16] Report of the Special Rapporteur on the rights to freedom of peaceful assembly and of association, Doc off HRC NU, 32e sess, Do NU A/HRC/32/36 (31 mai 2016) à la p 8.