Le Règlement général sur la protection des données (RGPD) de l’Union européenne est entré en vigueur le 25 mai 2018. Afin d’aider les organisations canadiennes dans leurs efforts potentiels de conformité à l’égard de cette loi, ce qui suit vise à fournir une comparaison non exhaustive et de haut niveau entre les dispositions relatives au consentement suivantes :
Bien qu’il y ait d’importantes nuances à chacun de ces cadres réglementaires, ils s’appuient largement sur des pratiques équitables en matière d’information qui se traduisent par des points communs importants entre eux. En fait, un certain nombre d’éléments de la loi canadienne sur la protection des renseignements personnels dans le secteur privé, en particulier dans les PIPA, ont anticipé certaines dispositions du RGPD.
Les commissaires à la protection de la vie privée de l’Alberta et de la Colombie-Britannique ont statué que le consentement doit être « valable » (c.-à-d. qu’une personne doit comprendre ce qu’une organisation fait de ses renseignements).
Au plus tard à la collecte de renseignements personnels sur une personne, une organisation doit généralement divulguer à la personne verbalement ou par écrit : (i) les fins de la collecte des renseignements; et (ii) le nom ou le titre du poste et les coordonnées d’une personne qui est en mesure de répondre aux questions de la personne au sujet de la collecte. Le consentement peut également être implicite ou réputé dans certaines circonstances.
Les PIPA prévoient qu’une organisation ne doit pas, comme condition de la fourniture d’un produit ou d’un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements personnels sur une personne au-delà de ce qui est nécessaire pour fournir le produit ou le service.
Les organismes de réglementation de la protection de la vie privée du Canada prévoient adopter de nouvelles lignes directrices applicables au consentement valable à compter du 1er janvier 2019.
|
GDPR |
PIPAs |
Express consent is generally required to control or process personal data, except in certain circumstances. Consentement signifie toute indication librement donnée, spécifique, informée et sans ambiguïté des souhaits d’une personne qui, par une déclaration ou par une action positive claire, signifie un accord pour le traitement de ses données personnelles. Le RGPD prévoit que, lors de l’évaluation de la liberté de consentement, « il est dû tenir le plus grand compte de la question de savoir si, entre autres, l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution de ce contrat ». |
Les commissaires à la protection de la vie privée de l’Alberta et de la Colombie-Britannique ont statué que le consentement doit être « valable » (c.-à-d. qu’une personne doit comprendre ce qu’une organisation fait de ses renseignements). Au plus tard à la collecte de renseignements personnels au sujet d’une personne, une organisation doit généralement communiquer à la personne verbalement ou par écrit : (i) les fins de la collecte des renseignements; et (ii) le nom ou le titre du poste et les coordonnées d’une personne qui est en mesure de répondre aux questions de la personne au sujet de la collection. Le consentement peut également être implicite ou jugé dans certaines circonstances. Les PIPA prévoient qu’une organisation ne doit pas, comme condition de fourniture d’un produit ou d’un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements personnels sur une personne au-delà de ce qui est nécessaire pour fournir le produit ou le service. Les organismes de réglementation de la protection de la vie privée du Canada prévoient adopter de nouvelles lignes directrices applicables au consentement valable à compter du 1er janvier 2019. |
La LCAP prévoit qu’un expéditeur doit détenir le consentement d’un destinataire afin de lui envoyer un message électronique commercial (MEC), à moins que le MEC ne soit exempté. Le consentement peut être explicite ou implicite/réputé en vertu de la LCAP. Contrairement aux formes de consentement exprès fondées sur des principes en vertu des lois sur la protection des renseignements personnels, la LCAP établit diverses formalités qui doivent être respectées pour qu’un consentement exprès soit valide, y compris certaines divulgations d’information qui doivent être faites au moment où le consentement est recueilli. L’objectif pour lequel une organisation demande le consentement doit être clairement énoncé, le consentement étant limité à cette fin. Le consentement exprès en vertu de la LCAP peut être obtenu oralement ou par écrit. La LCAP impose le fardeau de la preuve à une organisation alléguant qu’elle détient un consentement exprès, obligeant une organisation à présenter des éléments de preuve en sa faveur sous peine de subir des conséquences réglementaires. La LCAP prévoit qu’une demande de consentement exprès est une MEC et ne peut donc pas être envoyée sans consentement. |
|
GDPR |
PIPAs |
Le RGPD prévoit que le contrôle ou le traitement des données personnelles est légal en l’absence d’un consentement exprès dans certaines circonstances analogues au consentement implicite/réputé en vertu de la LPRPDE et des PIPA. Par exemple, lorsque le traitement des données personnelles est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie, ce traitement est légal même en l’absence d’un consentement exprès. |
Les PIPAs reconnaissent que le consentement peut être implicite ou réputé dans certains cas. En vertu des PIPA, une personne est réputée consentir à l’utilisation, à la collecte ou à la communication de renseignements personnels à une fin particulière lorsqu’elle fournit volontairement des renseignements à une organisation à cette fin, et il est raisonnable qu’elle le fasse volontairement, entre autres situations. Les PIPA reconnaissent le consentement implicite dans diverses situations, y compris certaines situations où une organisation donne un avis individuel d’une intention de recueillir, d’utiliser ou de communiquer des renseignements personnels, et la personne ne s’oppose pas après avoir eu une occasion raisonnable de le faire. |
Unindant les formes de consentement exprès fondées sur des principes en vertu des lois sur la protection de la vie privée, la LCAP ne reconnaît le consentement implicite/réputé que dans certains cas prescrits limités. Composant la LCAP, le consentement implicite survient lorsqu’un expéditeur et un destinataire ont une relation d’affaires existante ou une relation non commerciale existante. CASL prévoit que des circonstances factuelles spécifiques doivent exister pour que l’une ou l’autre de ces relations se forme. La LCAP reconnaît une forme limitée de consentement implicite lorsqu’une personne divulgue ou publie une adresse électronique sans avis de non-responsabilité – notez que ce type de consentement implicite est assujetti à certaines restrictions sur le contenu. CASL reconnaît une forme limitée de consentement réputé dans des circonstances spécifiques liées aux renvois. Ce consentement ne peut être utilisé qu’une seule fois avant son expiration. CASL permet au titulaire d’un consentement exprès de le partager avec des tiers dans certaines circonstances. |
|
GDPR |
PIPAs |
Le RGPD prévoit qu’il existe des exceptions à l’exigence de consentement dans certaines circonstances, y compris le respect des obligations légales et pour l’exercice de fonctions officielles. |
Les PIPA prévoient également qu’il existe des exceptions à l’exigence de consentement dans certaines circonstances, y compris le respect des obligations légales et à des fins d’application de la loi. |
CASL et ses règlements créent une variété d’exceptions à l’exigence de consentement, y compris pour les MEC envoyés par un organisme de bienfaisance enregistré dans le but principal de collecter des fonds. |
Pour une comparaison plus générale entre le RGPD, la LPRPDE et les PIPA, veuillez consulter notre article précédent sur ce sujet:
Si vous souhaitez en savoir plus sur l’impact potentiel du RGPD sur votre entreprise, les membres de notre