Un formulaire de consentement a la collecte de donnees au Quebec est un document juridique par lequel un individu autorise volontairement et en connaissance de cause une organisation a collecter, utiliser, communiquer et conserver ses renseignements personnels a des fins precisees. Au Quebec, la protection des renseignements personnels est regie par la Loi sur la protection des renseignements personnels dans le secteur prive (RLRQ, c. P-39.1), communement appelee Loi 25 ou projet de loi 64, qui a ete substantiellement modernisee et est entree pleinement en vigueur en septembre 2023. Cette legislation, modelee en partie sur le Reglement general sur la protection des donnees (RGPD) europeen, etablit l'un des cadres de protection des donnees personnelles les plus rigoureux en Amerique du Nord.

En vertu de la Loi 25, le consentement a la collecte et a l'utilisation des renseignements personnels doit etre manifeste de maniere claire et libre. Le consentement doit etre sollicite pour chaque fin specifique de collecte, et les organisations ne peuvent pas refuser de fournir un produit ou service parce qu'une personne refuse de consentir a la collecte ou a l'utilisation qui n'est pas necessaire pour ce produit ou service. C'est une rupture fondamentale avec la facon dont le consentement etait souvent obtenu auparavant, ou des dispositions de consentement generales etaient integrees dans des conditions d'utilisation et des politiques de confidentialite que les utilisateurs avaient peu de choix d'accepter.

Les renseignements personnels en vertu de la Loi 25 comprennent toute information relative a une personne physique qui permet de l'identifier, directement ou indirectement. Cela englobe les noms, adresses, numeros d'identification, donnees financieres, informations de sante, donnees de localisation, identificateurs numeriques tels que les adresses IP et les cookies, les donnees biometriques, et toute combinaison d'informations qui, prises ensemble, permettent d'identifier un individu.

La Commission d'acces a l'information (CAI) est l'organisme de reglementation au Quebec responsable de la surveillance de la conformite a la Loi 25. La CAI dispose de larges pouvoirs d'enquete et d'execution, y compris la capacite d'imposer des penalites administratives pecuniaires pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial pour les violations, et des penalites pecuniaires pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial pour les violations plus graves. Ces penalites alignent la Loi 25 sur les niveaux d'application du RGPD.

Les organisations assujetties a la Loi 25 doivent designer une personne responsable de la protection des renseignements personnels, publier et maintenir une politique de confidentialite, realiser des evaluations des facteurs relatifs a la vie privee (EFVP) pour les projets impliquant des tiers ou la collecte de renseignements sensibles, et signaler les incidents de confidentialite impliquant des renseignements personnels sensibles a la fois a la CAI et aux personnes concernees sans delai. Le formulaire de consentement aux donnees est un element fondamental du cadre de conformite, documentant la base sur laquelle les renseignements personnels sont legitimement collectes et traites. Le principe de responsabilisation en vertu de la Loi 25 signifie que les organisations ne peuvent pas simplement obtenir le consentement et ensuite agir a leur guise. Elles doivent mettre en oeuvre des structures de gouvernance, des pratiques de protection de la vie privee des la conception et des mesures techniques et organisationnelles proportionnelles a la sensibilite des informations collectees. La protection de la vie privee doit etre integree dans la conception de tout nouveau systeme ou projet impliquant des renseignements personnels, et non ajoutee apres coup. Les organisations doivent egalement documenter leurs activites de traitement des renseignements personnels, maintenir un registre de leurs evaluations des facteurs relatifs a la vie privee et mettre les informations de gouvernance a la disposition de la CAI sur demande. Le formulaire de consentement aux donnees constitue la composante visible, orientee vers l'individu, de ce cadre de responsabilisation plus large, traduisant des obligations juridiques complexes en un langage clair et comprehensible pour les personnes dont les informations sont collectees.

Un formulaire de consentement a la collecte de donnees est necessaire chaque fois qu'une organisation collecte des renseignements personnels sur des individus a toute fin qui n'est pas evidente compte tenu de la nature de la transaction ou de la relation. En vertu de la Loi 25 (RLRQ, c. P-39.1), le consentement est la base principale pour collecter licitement des renseignements personnels dans le secteur prive du Quebec, et les organisations doivent obtenir un consentement specifique et documente avant de collecter des donnees dans les circonstances suivantes.

Les entreprises de commerce electronique et les detaillants en ligne doivent obtenir le consentement avant de collecter le comportement de navigation, l'historique d'achats, les donnees de localisation ou toute information utilisee pour la publicite ciblee ou le profilage comportemental. L'utilisation de cookies et de technologies de suivi a des fins non essentielles, y compris le marketing et l'analyse, necessite un consentement opt-in explicite en vertu de la Loi 25.

Les prestataires de soins de sante, les cliniques et les praticiens du bien-etre doivent obtenir le consentement avant de collecter des informations sur la sante des patients, des antecedents medicaux, des donnees de traitement ou des resultats de tests. Bien que la collecte de certains renseignements de sante soit autorisee en vertu de la Loi sur les services de sante et les services sociaux (LSSSS) et de la Loi medicale, la collecte de donnees de sante au-dela de ce qui est strictement necessaire aux fins de traitement necessite un consentement eclaire explicite.

Les institutions financieres, les compagnies d'assurance et les bureaux de credit doivent obtenir le consentement avant de collecter des informations financieres, des donnees de credit, l'historique d'emploi ou d'autres informations utilisees pour l'evaluation du credit, la souscription d'assurance ou l'eligibilite aux produits financiers. La LPRPDE federale (ou LPVPC lorsqu'elle sera en vigueur) et la Loi 25 regissent ensemble les informations financieres personnelles collectees au Quebec, et la norme provinciale plus protectrice s'applique generalement aux donnees collectees localement.

Les employeurs doivent obtenir le consentement avant de collecter des renseignements personnels des employes au-dela de ce qui est strictement necessaire a la relation d'emploi, y compris les informations de sante, les donnees financieres, les profils de medias sociaux, les donnees de suivi GPS, la surveillance des frappes au clavier ou les donnees de controle d'acces biometrique. Le droit quebecois, eclaire par les decisions de la CAI et de la CDPDJ, impose des limites strictes a la surveillance des employeurs.

Les applications mobiles et les fournisseurs de logiciels doivent divulguer et obtenir le consentement pour toutes les donnees personnelles collectees par l'application, y compris les identifiants d'appareils, les donnees de localisation, les modeles d'utilisation, les contacts et tout partage de donnees avec des tiers. Les lignes directrices de la CAI sur les applications mobiles exigent que le consentement soit granulaire, specifique a chaque type de donnees et d'utilisation, et presente dans un format convivial avant le debut de la collecte.

Les organisations sans but lucratif et les organismes de bienfaisance doivent obtenir le consentement avant de collecter des informations sur les donateurs, les donnees des membres ou les informations sur les beneficiaires a des fins autres que la prestation immediate de services, y compris la collecte de fonds, la distribution de bulletins ou les activites de plaidoyer. Le consentement doit etre renouvele periodiquement et les organisations doivent offrir des mecanismes de desabonnement faciles.

Un formulaire de consentement a la collecte de donnees complet et conforme a la loi au Quebec doit inclure les elements cles suivants pour satisfaire aux exigences de la Loi 25 (RLRQ, c. P-39.1) et aux lignes directrices emises par la Commission d'acces a l'information (CAI) :

**Identite et coordonnees de l'organisation responsable :** Le nom legal complet de l'organisation collectant des renseignements personnels, le nom et les coordonnees de la personne responsable de la protection des renseignements personnels telle qu'exigee par l'article 3.1 de la Loi 25, et l'adresse postale et l'adresse electronique de l'organisation pour les demandes relatives a la vie privee.

**Fins specifiques de la collecte :** Une description claire et precise de chaque fin specifique pour laquelle des renseignements personnels sont collectes. La Loi 25 interdit de collecter des renseignements personnels a des fins qui ne sont pas identifiees a l'avance. Des fins generales ou vagues telles qu'ameliorer les services ou a des fins commerciales sont insuffisantes. Chaque fin doit etre decrite avec suffisamment de precision pour que l'individu comprenne comment ses informations seront utilisees.

**Categories de renseignements personnels collectes :** Une liste detaillee des types specifiques de renseignements personnels a collecter, tels que le nom, l'adresse, la date de naissance, l'adresse electronique, le numero de telephone, l'historique de navigation, les donnees de localisation, les informations financieres ou les donnees de sante. Le formulaire de consentement ne doit pas collecter des informations qui ne sont pas necessaires aux fins declarees (principe de minimisation en vertu de l'article 5 de la Loi 25).

**Communication a des tiers :** Identification explicite de tout tiers a qui des renseignements personnels peuvent etre communiques, y compris les fournisseurs de services, les societes affiliees, les reseaux publicitaires, les organismes gouvernementaux ou les institutions de recherche. Les transferts transfrontaliers de renseignements personnels en dehors du Quebec necessitent une evaluation des facteurs relatifs a la vie privee en vertu de l'article 17 de la Loi 25.

**Duree de conservation :** La periode specifique pendant laquelle les renseignements personnels seront conserves, ou les criteres utilises pour determiner cette periode. Apres l'expiration de la periode de conservation, les renseignements personnels doivent etre detruits ou anonymises conformement a la Loi 25. La conservation indefinie n'est pas permise sans justification specifique.

**Droits de l'individu :** Une declaration claire des droits de l'individu en vertu de la Loi 25, y compris le droit d'acceder a ses renseignements personnels (article 27), le droit de corriger les informations inexactes (article 28), le droit de retirer son consentement a tout moment (avec les consequences du retrait expliquees), le droit de faire detruire les informations lorsqu'elles ne sont plus necessaires a leurs fins, et le droit de deposer une plainte aupres de la CAI.

**Renseignements personnels sensibles :** Si l'organisation collecte des renseignements personnels sensibles, y compris des informations de sante, des informations financieres, des donnees biometriques ou des informations sur la vie privee, le formulaire de consentement doit expressement identifier cela et obtenir un consentement specifique pour la collecte de chaque categorie de renseignements sensibles.

**Consentement pour chaque fin distincte :** Un consentement separe et specifique pour chaque fin distincte de collecte et d'utilisation. Un consentement omnibus couvrant plusieurs fins non liees dans une seule case a cocher ou signature est insuffisant en vertu de la Loi 25. Dans la mesure du possible, le consentement doit etre granulaire, permettant aux individus de consentir a certaines utilisations mais pas a d'autres.

**Retrait du consentement :** Le mecanisme et la procedure de retrait du consentement, y compris la facon de soumettre une demande de retrait, le delai dans lequel l'organisation traitera le retrait, et les consequences pratiques du retrait, telles que l'incapacite d'acceder a certains services.

**Reference a la politique de confidentialite :** Une reference a la politique de confidentialite complete de l'organisation, qui doit etre publiee, facilement accessible et redigee dans un langage clair et simple tel qu'exige par la Loi 25.

**Obligation de bonne foi :** Une reconnaissance expresse que les deux parties agissent de bonne foi (art. 1375 CCQ) et que l'organisation traitera les renseignements personnels avec le soin et le respect auxquels les individus ont droit en vertu du droit quebecois.