Comment votre entreprise peut-elle gérer le consentement?

Comment votre entreprise peut-elle gérer le consentement?

La gestion du consentement est un aspect essentiel des stratégies modernes axées sur l’application des régimes de protection des renseignements personnels. C’est ce qui garantit le traitement responsable et transparent des renseignements personnels de la clientèle et du personnel tout en assurant le respect des préférences des utilisatrices et utilisateurs et la conformité législative de votre organisation.

À quoi ressemble le contexte de la gestion du consentement pour les organisations canadiennes?

Le contexte dans lequel s’inscrit la gestion du consentement est de plus en plus complexe, et ce, tant pour les organisations canadiennes que pour les multinationales actives au pays. Cette complexité tient notamment à la prise en compte croissante des problèmes de confidentialité et au resserrement des exigences réglementaires.  

Les entreprises sont soumises à des pressions jamais vues. Non seulement elles doivent se familiariser avec les exigences réglementaires, mais elles doivent également mettre en œuvre des procédures rigoureuses de gestion du consentement afin de préserver la confiance des clients. Et c’est vrai tant pour les entreprises à vocation commerciale que pour les organismes sans but lucratif.

Voyons quelques-uns des principaux cadres législatifs et réglementaires qui régissent les obligations des organisations canadiennes en matière de gestion du consentement. Cet arsenal législatif exige que les organisations obtiennent le consentement explicite des clients, du personnel, des donatrices et donateurs, des bénévoles et des autres personnes concernées avant de recueillir, de traiter ou de communiquer leurs renseignements personnels. (Notons que la définition de « personne concernée » n’est pas la même dans toutes les lois.) 

• Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) : En vertu de la LPRPDE, les organisations qui recueillent, utilisent ou communiquent des renseignements personnels doivent obtenir le consentement préalable des personnes concernées. La LPRPDE ne prévoit cependant pas de règles strictes entourant la gestion du consentement. Résultat : une majorité d’organisations peuvent utiliser un énoncé passe-partout pour définir les fins primaires et secondaires de la collecte de données. La LPRPDE ne s’applique pas aux organismes sans but lucratif qui n’exercent pas d’activités commerciales au Canada.
• Loi 25 : Cette nouvelle loi promulguée par le gouvernement du Québec impose des règles strictes quant à l’obtention du consentement explicite et éclairé des personnes concernées afin de garantir la validité du consentement recueilli. Le recours à des technologies de surveillance telles que les témoins de connexion (cookies) exige également le consentement explicite des visiteurs de sites Web. Cette loi s’applique tant aux entreprises commerciales qu’aux organismes sans but lucratif.
• Règlement général sur la protection des données (RGPD) : Ce règlement s’applique aux renseignements personnels recueillis auprès des citoyens de l’Union européenne. Il exige que les organisations obtiennent le consentement explicite et éclairé des personnes concernées avant de recueillir et de traiter leurs données à caractère personnel. Il accorde également aux personnes concernées le droit de consulter, de corriger et de supprimer leurs données.
• Loi canadienne anti-pourriel (LCAP) : Cette loi canadienne régit les messages électroniques commerciaux échangés au Canada ou envoyés depuis ou vers le Canada afin de protéger les consommatrices, consommateurs et entreprises contre diverses cybermenaces – le pollupostage, l’hameçonnage et les maliciels, par exemple. Elle oblige les organisations à obtenir le consentement implicite ou explicite des personnes concernées avant de leur envoyer des messages électroniques commerciaux. Le CRTC (Conseil de la radiodiffusion et des télécommunications canadiennes), le CPVP (Commissariat à la protection de la vie privée du Canada) et le Bureau de la concurrence en sont les organismes d’application.

Qu’est-ce que la gestion du consentement?

La gestion du consentement regroupe les processus et mécanismes dont les organisations se servent pour obtenir, suivre et gérer le consentement des utilisatrices et utilisateurs à la collecte, au traitement et à la transmission des données. Elle vise à garantir que les personnes concernées sont pleinement informées de la nature des données recueillies, de l’usage auquel elles sont destinées et des entités auxquelles elles sont transmises.

Voici quelques définitions et concepts clés pour vous aider à vous y retrouver.

• Consentement exprès ou explicite : Type de consentement selon lequel les personnes concernées acceptent activement la collecte et le traitement de leurs données. Ce consentement est fourni au moyen d’un mécanisme d’adhésion facultative ou d’une action concrète (p. ex., cocher une case).
• Consentement implicite : Ce type de consentement peut être déduit de l’action posée par la personne concernée. Par exemple, si celle-ci effectue un achat en ligne en soumettant un formulaire de commande et de paiement, on peut déduire qu’elle consent à ce que ses données soient utilisées aux fins du paiement et du traitement de sa commande.
• Fins primaires : Principale raison de la collecte et de l’utilisation des données fournies par la personne concernée.
• Fins secondaires : Autre raison pour laquelle les données fournies par la personne concernée sont utilisées (p. ex., une campagne de marketing).

La gestion du consentement s’applique aussi bien aux entreprises à vocation commerciale qu’aux organismes sans but lucratif.

Pourquoi concentrer ses efforts sur la gestion du consentement?

Il y a plusieurs raisons pour lesquelles votre organisation doit s’efforcer de mettre en place un cadre de gestion du consentement. En voici quelques-unes.

• Respect des exigences réglementaires : Avec la généralisation des lois sur la protection des renseignements personnels telles que le RGPD et la loi 25, de plus en plus d’organisations vont devoir mettre en place un mécanisme de gestion du consentement, sous peine de lourdes sanctions.
• Gain de confiance des clients : Votre organisation peut gagner la confiance des personnes concernées et rehausser sa réputation en faisant preuve de transparence quant à la manière dont elle utilise les renseignements et en offrant la possibilité aux personnes concernées de ne pas accorder leur consentement.
• Simplification des processus commerciaux : L’adoption d’un programme de gestion du consentement peut aider votre organisation à cerner les lacunes de ses processus opérationnels, à définir les fins premières de la collecte et à trouver des moyens de rationaliser ses façons de faire tout en limitant les données recueillies – et donc les risques.

Quels sont les principaux défis liés à la gestion du consentement?

Au Canada, la gestion du consentement pose plusieurs difficultés qui exigent des solutions créatives. En voici quelques exemples.

• Application de la loi 25 : La loi 25 s’applique aux renseignements personnels des résidentes et résidents du Québec, quel que soit l’endroit où ils se trouvent au Canada. Toutes les organisations qui recueillent ou qui traitent les renseignements personnels de ces personnes sont assujetties à ses dispositions.
• Pluralité des lois : La législation qui régit la gestion du consentement varie d’une province à l’autre. Par ailleurs, les provinces déposent leurs projets de loi sur la protection des renseignements personnels avant que la loi fédérale n’entre en vigueur, ce qui ne fait qu’accroître la complexité.
• Mise en place d’outils de gestion du consentement : De nombreux outils de gestion du consentement ne sont pas conçus pour le Canada. Il en résulte des défis techniques inédits pour les entreprises qui veulent les utiliser.
• Multiplicité des processus : La loi 25 supplante les exigences de la LCSA en ce qui concerne le consentement des résidents du Québec. Ce n’est cependant pas le cas pour les résidants des autres provinces canadiennes, d’où la nécessité d’adopter des processus de gestion différents.
• Renouvellement du consentement : La loi 25 exige que l’on obtienne à nouveau le consentement à des fins secondaires si l’on n’a pas obtenu de consentement explicite au moment de la collecte des renseignements.

Que faut-il prendre en compte lors de l’élaboration d’une solution de gestion du consentement?

La loi 25 du Québec définit clairement ce qu’est un consentement valide. Votre organisation devra prouver qu’elle satisfait à ces exigences si elle est mise en cause par les autorités de réglementation.

Voici quelques critères à respecter qui peuvent vous aider à obtenir un consentement valide.

• Clarté et concision : Il importe d’utiliser un libellé clair et simple pour indiquer l’usage auquel les données sont destinées, en évitant le jargon et les termes difficiles à comprendre.
• Expiration du consentement : Le consentement doit être temporaire et prendre fin aussitôt les objectifs de la demande remplis. Veillez à ce que vos politiques soient adéquates en ce qui concerne la conservation des données relatives au consentement.
• Retrait du consentement : Il doit être aussi facile de retirer son consentement que de le donner.
• Consentement granulaire : Le consentement doit être demandé pour chacune des fins visées. S’il y a plusieurs finalités, le consentement doit être demandé séparément pour chacune d’elles.
• Consentement éclairé : Les personnes concernées doivent comprendre ce à quoi elles consentent et donner leur consentement d’une manière qui atteste de leur réelle volonté, et non d’une forme quelconque de contrainte.
• Fins secondaires : Les personnes concernées doivent pouvoir choisir de ne pas fournir des données à des fins secondaires si celles-ci ne sont pas nécessaires à la réalisation des fins premières de la collecte de données. Les organisations ne peuvent pas refuser de fournir des services aux personnes concernées sous prétexte qu’elles n’ont pas donné leur consentement à des fins secondaires.
• Préférences d’utilisation : Il convient de gérer les préférences des utilisatrices et utilisateurs de pair avec le consentement. Ainsi, ces derniers peuvent donner et retirer leur consentement tout en personnalisant les moyens de communication et les types de messages qu’ils souhaitent recevoir de la part de votre organisation.

Quels modèles de gestion du consentement mon organisation peut-elle appliquer?

Il existe plusieurs modèles de gestion du consentement que les organisations peuvent adopter, chacun ayant ses avantages et ses inconvénients.

• Modèle de consentement explicite pour l’ensemble du Canada : Ce modèle est le plus simple à appliquer, car il n’exige qu’un ensemble de processus opérationnels et prépare le terrain pour l’avenir. Cependant, il peut réduire la portée des campagnes promotionnelles de votre organisation, dans la mesure où tous les clients doivent consentir expressément à toutes vos opérations de marketing.
• Différents modèles de consentement selon les provinces : Le fait de traiter chaque province différemment peut permettre aux organisations de maintenir la portée de leurs campagnes promotionnelles en tirant parti de la notion de consentement implicite telle que définie dans la LCSA. Ce modèle est toutefois beaucoup plus complexe à gérer.
• Différents modèles de consentement selon les processus opérationnels : Ce modèle est le plus complexe à élaborer et à gérer. Il peut néanmoins être utile si vos services ne sont pas tous destinés aux résidents du Québec.

Les conclusions de MNP

Nos conseillères et conseillers ont tiré des renseignements précieux de la mise en œuvre de programmes de gestion du consentement pour des entreprises et des organismes sans but lucratif du Canada. Voici quelques-unes de leurs constatations pour vous aider à y voir plus clair au moment de mettre en place un cadre interne de gestion du consentement.

• Un grand nombre d’organisations ne sont pas prêtes à affronter la quantité de changements qu’exige le respect des exigences de gestion du consentement.
• Les organisations qui recourent au consentement implicite auront beaucoup de mal à s’adapter aux exigences de la loi 25.
• Bien des organisations ignorent qu’il est plus que temps de se conformer aux exigences de la loi 25. Elles sont en défaut de conformité et s’exposent à de lourdes sanctions. Les autorités de réglementation ont déjà commencé leur surveillance, et pourraient donc bientôt faire enquête et sévir.
• La loi 25 obligera de nombreuses organisations à revoir leur approche stratégique du marketing afin de maintenir leur contact avec la clientèle.
• Certaines organisations pourraient devoir évaluer leurs processus opérationnels afin de déterminer leurs fins premières ainsi que les fins secondaires qui nécessiteront un consentement supplémentaire.
• Il convient de soupeser minutieusement les conséquences de la gestion du consentement pour l’organisation et la manière d’obtenir un consentement éclairé.