Pour être valide, le consentement d’une personne doit être :
- Manifeste : évident et donné d’une façon qui démontre la volonté réelle de la personne concernée;
- Libre : impliquant un réel choix et donné sans contraintes et sans pression indue;
- Éclairé : précis, donné en toute connaissance de cause et avec toutes les informations nécessaires pour comprendre la portée du consentement;
- Spécifique : donné dans un objectif précis et clairement circonscrit;
- Temporaire : valide seulement pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé;
- Granulaire : demandé pour chaque fin spécifique;
- Compréhensible : demandé en termes simples et clairs;
- Distinct : demandé distinctement de toute autre information, lorsque la demande est faite par écrit.
La Loi précise également les règles applicables pour les renseignements personnels sensibles de la façon suivante :
- Un renseignement est considéré comme sensible s’il est de nature médicale, biométrique ou autrement intime, ou dont le contexte d’utilisation ou de communication suscite un haut degré́ d’attente raisonnable en matière de vie privée;
- Le consentement concernant un renseignement sensible doit être manifesté de façon expresse, c’est-à-dire être explicitement exprimé par un geste ou une déclaration (orale ou écrite) témoignant de l’acceptation par la personne concernée. Un consentement exprès ne laisse aucun doute sur la volonté réelle de la personne;
- Le consentement exprès des personnes concernées est déjà obligatoire si vous utilisez des technologies de biométrie (PDF, 821 Ko) pour vérifier ou confirmer l'identité des personnes.
La Commission a élaboré des lignes directrices sur les critères de validité du consentement (PDF, 1 713 Ko), qui ont fait l’objet d’une consultation publique.