Le Commissariat à la protection de la vie privée du Canada (CPVP) a récemment publié un document de discussion intitulé « Consentement et protection de la vie privée » qui explore les améliorations possibles au consentement sous le régime de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Le CPVP a également lancé une consultation et un appel de mémoires afin d'obtenir des avis sur son document de discussion, dans lequel il demande si des modifications législatives sont requises, et de solliciter des observations quant aux solutions qui se révéleraient utiles pour régler les questions épineuses soulevées par le consentement.

Éloïse Gratton, chef du groupe Respect de la vie privée et protection des données de BLG, a présenté au CPVP un document intitulé « Beyond Consent-based Privacy Protection » dans lequel elle expose sa position sur certaines questions soulevées par le CPVP et sur la viabilité du modèle de consentement.

Ce document traite de la façon dont, lorsqu'ils ont été initialement rédigés au début des années 1970, les Fair Information Practice Principles (ou principes encadrant les pratiques équitables en matière d'information) devaient principalement répondre à des préoccupations précises quant aux bases de données informatiques. On considérait que la meilleure façon de traiter les problèmes de protection des données consistait à faire en sorte que les particuliers demeurent maîtres de leurs renseignements personnels. Quarante ans plus tard, ce concept de maîtrise personnelle reste l'une des théories les plus populaires pour ce qui touche la protection de la vie privée et le fondement des lois sur la protection des données partout dans le monde, dont la LPRPDE. Dans le document, on explique de quelle manière l'approche « de l'avis et du choix » n'est plus réaliste : les particuliers sont bombardés de quantité d'informations qu'en toute logique ils ne peuvent traiter ou comprendre. Qui plus est, le fait de donner un avis et un choix dans le contexte des nouvelles technologies peut poser de multiples problèmes en raison de l'omniprésence des appareils, de la pérennité de la collecte des renseignements et des obstacles pratiques que représente la communication de renseignements dans le cas où les appareils n'ont pas d'écran ou d'interface utilisateur explicite.

Me Gratton fait valoir qu'avant de modifier la LPRPDE en ce qui a trait au consentement, il faudrait s'assurer que la modification ne sera ni préjudiciable ni problématique avec l'arrivée de nouvelles technologies. Selon elle, le libellé utilisé pour solliciter le consentement prévu par la LPRPDE est suffisamment adaptable pour accommoder de nouveaux types de technologies et de modèles d'affaires. Autre argument contre la modification de la LPRPDE : il se peut que les normes sociales qui touchent toute nouvelle technologie ou pratique commerciale ne soient pas encore établies.

L'adaptabilité de la notion de consentement a comme point faible de créer de l'incertitude. Des orientations politiques sur la façon d'accroître la transparence et d'obtenir un consentement valide seront donc de plus en plus nécessaires pour calmer en partie cette incertitude et permettre aux organisations d'innover sans courir des risques importants sur le plan juridique. Les entreprises pourraient bien bénéficier d'un plus grand nombre d'orientations du CPVP lorsqu'émergeront de nouveaux types de technologies ou de modèles d'entreprise.

Dans le document, Me Gratton explique qu'il est toujours moins compliqué de donner une solution qui sera intégrée dans le cadre législatif actuel, comme une interprétation envisagée, que de proposer une nouvelle modification à la loi. La notion de « consentement » au sens de la LPRPDE est déjà suffisamment large et neutre sur le plan technologique pour qu'elle soit interprétée en fonction du juste équilibre entre la protection de la vie privée et la nécessité pour une organisation de recueillir, d'utiliser ou de communiquer des renseignements personnels à des fins qu'une personne raisonnable jugerait appropriées dans les circonstances. Du point de vue de Me Gratton, toute interprétation de la notion de consentement devrait prendre en compte les incidences sur l'innovation, de même que certaines questions éthiques qui pourraient, dans une certaine mesure, dépasser l'application actuelle de la LPRPDE.

Me Gratton souligne également le fait qu'une interprétation qui fait place à une approche fondée sur le risque peut aussi permettre aux organisations de simplifier leurs communications avec les particuliers et ainsi réduire le fardeau qui pèse sur les épaules des consommateurs et la confusion qui règne parmi eux. En adoptant cette nouvelle approche, il faudrait certes repenser, dans une certaine mesure, le modèle de consentement actuel de la LPRPDE. Mais pour Me Gratton, cette approche devrait être explorée plus avant dans un avenir rapproché.

Pour accéder au document de Me Gratton, veuillez cliquer sur Beyond Consent-based Privacy Protection.

 

Compétences

Respect de la vie privée et protection des données