Consentement en matière de renseignements personnels | Commission d'accès à l'information du Québec

ORGANISMES PUBLICS ET ENTREPRISES

Principes généraux du consentement relatif aux renseignements personnels

Les renseignements personnels sont confidentiels. Leur confidentialité découle du droit à la vie privée, permettant au citoyen d’exercer un contrôle sur l’utilisation et la circulation de ses renseignements. C’est pourquoi le consentement est une notion importante dans les lois applicables en matière de protection des renseignements personnels.

À titre de représentant d’un organisme public ou d’une entreprise, votre vigilance quant au consentement contribue à la préservation du droit à la vie privée.

Obtention d’un consentement

Vous devez obtenir le consentement valide des personnes pour utiliser ou communiquer leurs renseignements personnels ou, dans certains cas plus rares, pour les recueillir.
Des exceptions à cette obligation sont prévues par les lois, tant pour les organismes publics que pour les entreprises. Consultez les pages des sections qui vous concernent, en tant que représentant d’organisme ou d’entreprise, pour en apprendre davantage sur ces exceptions.
Les exceptions relatives au consentement doivent être interprétées restrictivement. Quand la situation le permet, la Commission vous invite à privilégier l’obtention du consentement plutôt que le recours à l’exception.

Consentement et critère de nécessité

Le critère de nécessité (entreprises privées et organismes publics) est un principe fondamental ayant pour objectif de réduire les atteintes à la vie privée des personnes concernées par les renseignements personnels recueillis par les entreprises privées et les organismes publics. Ce critère doit prédominer en toute circonstance.

La nécessité de collecter, d’utiliser ou de communiquer des renseignements personnels pour atteindre vos objectifs doit être évaluée avant même d’obtenir un consentement valide.
La collecte d’un renseignement personnel est nécessaire, selon les lois applicables, si l’objectif poursuivi est légitime, important et réel et que l’atteinte à la vie privée est proportionnelle à cet objectif.
La collecte, l’utilisation ou la communication du renseignement peut être faite si elle est nettement plus utile à l’organisme ou à l’entreprise que préjudiciable à la personne concernée.

Critères de validité du consentement

Pour être valide, le consentement d’une personne doit être :

Manifeste: évident et donné d’une façon qui démontre la volonté réelle de la personne concernée;
Libre: impliquant un réel choix et donné sans contraintes ou pression indue;
Éclairé : précis, donné en toute connaissance de cause et avec toutes les informations nécessaires pour comprendre la portée du consentement;
Spécifique: donné dans un objectif précis et clairement circonscrit;
Temporaire : valide seulement pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

À compter du 22 septembre 2023, un consentement valide devra aussi être :

Granulaire: demandé pour chaque fin spécifique;
Compréhensible : demandé en termes simples et clairs;
Distinct : demandé distinctement de toute autre information, lorsque la demande est faite par écrit.

Dès le 22 septembre 2023, la Loi précisera les règles applicables pour les renseignements personnels sensibles :

Un renseignement est considéré comme sensible s’il est de nature médicale, biométrique ou autrement intime, ou dont le contexte d’utilisation ou de communication suscite un haut degré́ d’attente raisonnable en matière de vie privée.
Le consentement devra être manifesté de façon expresse, c’est-à-dire être explicitement exprimé par un geste ou une déclaration (orale ou écrite) témoignant de l’acceptation par la personne concernée. Un consentement exprès ne laisse aucun doute sur la volonté réelle de la personne.
Le consentement exprès des personnes concernées est déjà obligatoire si vous utilisez des technologies de biométrie pour vérifier ou confirmer leur identité.

La Commission a élaboré des lignes directrices sur les critères de validité du consentement, qui ont fait l’objet d’une consultation publique. La version définitive du document devrait être disponible en octobre 2023.

Collecte, transparence et consentement présumé

À compter du 22 septembre prochain, de nouvelles obligations en matière de transparence seront en vigueur, notamment avant la collecte de renseignements personnels. Ces obligations pourraient avoir un effet sur l’obligation d’obtenir un consentement.

Consentement des mineurs

Dès le 22 septembre prochain, de nouvelles règles s’appliqueront quant au consentement des jeunes :

Si le mineur a moins de 14 ans, le consentement à l’utilisation ou à la communication de ses renseignements personnels devra être donné par le parent ou le titulaire de l’autorité parentale;
Si le mineur a 14 ans ou plus, le consentement pourra être donné par le mineur lui-même ou par le parent ou le titulaire de l’autorité parentale;
Si cette collecte est manifestement au bénéfice du mineur, les organismes et les entreprises pourront toutefois procéder à cette collecte sans consentement parental.

Quelques exceptions en matière de consentement

Les lois applicables prévoient certaines exceptions en matière de consentement, autant pour les organismes publics que les entreprises. Prenez-en connaissance :

Exceptions communes (organismes publics et entreprises privées) :
Exceptions pour les organismes publics :

Exceptions pour les entreprises privées :
- Communiquer des renseignements personnels sans le consentement de la personne concernée
- Utiliser des renseignements sans le consentement de la personne concernée

Mise à jour : 24 juillet 2023