Ce que l'article 14 de la Loi 25 exige d'un formulaire de consentement, les défauts qui l'invalident, et des formulations types pour quatre cas courants.

La plupart des formulaires de consentement qu'on croise sur les sites de PME québécoises ont un point commun : ils ont été copiés d'un modèle européen ou rédigés pour rassurer l'entreprise, pas pour informer le client. Résultat, ils échouent au test de l'article 14 de la Loi sur la protection des renseignements personnels dans le secteur privé, celle que tout le monde appelle la Loi 25. Si vous partez de zéro, commencez par notre résumé des obligations de la Loi 25 pour les PME ; ici, on se concentre sur une seule pièce du dossier : la demande de consentement.
Le cœur du texte tient en une phrase : un consentement doit être « manifeste, libre, éclairé et être donné à des fins spécifiques ». Quatre conditions, et une sanction discrète à la fin du même article : un consentement non conforme est « sans effet ». Pas amendable, pas négociable : nul. L'entreprise qui s'appuie dessus utilise des renseignements personnels sans base valide.
Cet article décortique ce que ces quatre mots exigent, les deux défauts qui invalident la majorité des formulaires, le cas où demander un consentement est carrément une erreur, puis des formulations réutilisables pour quatre situations courantes.
Un consentement valide au sens de la Loi 25 doit être manifeste, libre, éclairé et donné à des fins spécifiques : c'est l'article 14 de la Loi sur la protection des renseignements personnels dans le secteur privé. Il doit être demandé pour chaque finalité, en termes simples et clairs, et, s'il est écrit, présenté distinctement de toute autre information. La Commission d'accès à l'information en tire huit critères dans ses Lignes directrices 2023-1 : manifeste, libre, éclairé, spécifique, granulaire, compréhensible, temporaire et distinct. Concrètement, une case précochée n'est pas un consentement exprès, une acceptation en bloc n'est pas granulaire, et exiger un consentement marketing pour livrer le service rend le consentement non libre. Les renseignements sensibles, de nature médicale, biométrique ou autrement intime, exigent un consentement exprès. Un consentement non conforme est « sans effet », et les sanctions administratives peuvent atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial.
L'article 14 pose quatre conditions de fond. Manifeste : le consentement doit être évident, donné d'une façon qui ne laisse aucun doute sur la volonté de la personne. Libre : donné avec un choix réel, sans pression, ce qui interdit d'en faire une condition d'accès au service quand la finalité n'est pas nécessaire. Éclairé : la personne sait quels renseignements sont visés, pour quoi faire, et qui les recevra. Spécifique : pas de consentement général « à l'utilisation de mes renseignements », mais un accord pour une finalité nommée.
Le même article ajoute des exigences de forme. Le consentement est demandé pour chacune des finalités, en termes simples et clairs. Lorsqu'elle est faite par écrit, la demande doit être présentée distinctement de toute autre information communiquée à la personne : une phrase noyée dans les conditions d'utilisation ne compte pas. C'est aussi pourquoi votre politique de confidentialité ne remplace pas une demande de consentement : elle informe, elle ne demande rien. Enfin, le consentement ne vaut que pour la durée nécessaire à la réalisation des fins visées.
La Commission d'accès à l'information (CAI) a traduit tout cela en huit critères dans ses Lignes directrices 2023-1 sur la validité du consentement, publiées en octobre 2023 : manifeste, libre, éclairé, spécifique, granulaire, compréhensible, temporaire et distinct. C'est le document de référence quand la CAI évalue un formulaire, et l'enjeu n'a rien de théorique : les sanctions administratives pécuniaires peuvent atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial, et les amendes pénales montent plus haut encore.
Le premier défaut est le regroupement. Une seule case du type « J'accepte la politique de confidentialité et je consens à recevoir des communications » mélange trois choses : la prise de connaissance d'un document, l'exécution du service et le marketing. La CAI est explicite : le consentement doit être granulaire, c'est-à-dire demandé pour chacune des fins visées, et si la personne ne peut qu'accepter ou refuser en bloc, il n'est pas libre non plus. La règle pratique : une case par finalité, et aucune finalité de marketing accrochée à l'achat ou à la demande de soumission.
Le second est la case précochée. Dans les lignes directrices de la CAI, la case déjà cochée qu'on peut décocher relève du consentement implicite, jamais du consentement exprès. Or l'exprès est obligatoire pour les renseignements sensibles et recommandé partout ailleurs, parce qu'il est plus facile à documenter et ne laisse aucun doute sur la volonté réelle de la personne. La CAI ajoute une règle d'équité qui condamne la plupart des interfaces importées du web anglophone : il doit être aussi facile de refuser que d'accepter. Un bouton « Accepter » bien en évidence et un lien « Refuser » gris pâle en petits caractères, c'est un consentement contestable, peu importe ce que dit le texte.
Voici le point que même les entreprises de bonne foi ratent : le consentement n'est pas la base de tout. Les renseignements nécessaires pour fournir le produit ou le service demandé n'ont pas besoin d'une case à cocher. Si un client vous donne son adresse pour être livré, vous n'avez pas à lui demander la permission de l'utiliser pour le livrer. La CAI le formule clairement : en fournissant ses renseignements pour une finalité primaire annoncée, la personne consent à l'utilisation nécessaire à cette fin. Votre obligation ici est la transparence au moment de la collecte, pas un formulaire.
Demander un consentement quand il n'en faut pas n'est pas de la prudence, c'est une erreur de conception. D'abord parce qu'un consentement se retire : que répondez-vous au client qui « retire son consentement » à une utilisation indispensable à l'exécution du contrat ? Vous venez de lui laisser croire à un choix qui n'existe pas. Ensuite parce que chaque case inutile dilue les cases qui comptent : la CAI parle de lassitude de consentement, et recommande justement de ne pas solliciter la personne pour rien.
Attention toutefois à la tentation inverse. L'article 12 de la loi énumère les cas où un renseignement peut être utilisé sans nouveau consentement, notamment à des « fins compatibles » avec la collecte initiale. Et il précise noir sur blanc que la prospection commerciale ou philanthropique ne peut jamais être une fin compatible. Le marketing exige donc toujours son propre consentement. Le client qui a acheté chez vous ne vous a pas donné le droit de lui écrire chaque semaine.
Une case décochée, à côté du formulaire mais séparée du bouton d'envoi, avec un texte comme : « Je veux recevoir l'infolettre mensuelle de [entreprise] : conseils et nouveautés. Désabonnement en un clic, en tout temps. » Une seule finalité, un langage courant, une fréquence annoncée et une porte de sortie visible. Bonus non négociable : la loi fédérale anti-pourriel (LCAP) exige de toute façon un consentement d'adhésion pour les messages électroniques commerciaux, avec identification de l'expéditeur et mécanisme de désabonnement. Un formulaire conçu pour la Loi 25 vous met aussi en règle de ce côté.
Les témoins nécessaires au fonctionnement du site ne demandent pas de consentement. Tout le reste, mesure d'audience nominative, publicité, reciblage, doit être désactivé par défaut et proposé par finalité, avec « Tout refuser » aussi accessible que « Tout accepter ». Une formulation qui tient la route : « Nous utilisons des témoins nécessaires au fonctionnement du site. Avec votre accord, nous en utilisons aussi pour mesurer l'audience et pour la publicité. Vous pouvez accepter ou refuser chaque usage, et changer d'avis en tout temps. »
Une photographie est un renseignement personnel, la CAI le cite d'ailleurs en exemple dans ses lignes directrices. Publier la photo ou le témoignage d'un client à des fins promotionnelles est une finalité distincte du service rendu : il faut un consentement dédié, avec les supports et la durée. Par exemple : « J'autorise [entreprise] à publier ma photo et mon témoignage sur son site web et ses réseaux sociaux, à des fins promotionnelles, pour deux ans. Je peux retirer mon autorisation en tout temps en écrivant à [courriel]. » La durée limitée vient de la loi elle-même : le consentement ne vaut que pour le temps nécessaire à la finalité.
La loi qualifie de sensible un renseignement qui, par sa nature médicale, biométrique ou autrement intime, ou par le contexte de son utilisation, suscite un haut degré d'attente en matière de vie privée. Pour l'utiliser ou le communiquer, le consentement doit être exprès : un geste actif et sans ambiguïté, comme une case dédiée ou une signature, jamais une déduction. Une clinique qui recueille un historique de santé, un courtier qui manipule des documents financiers, une entreprise qui déploie un agent conversationnel susceptible de recevoir des confidences : tous devraient isoler cette demande dans son propre paragraphe, nommer qui aura accès aux renseignements et pourquoi. Si un système automatisé entre en jeu, notre article sur les agents IA et la Loi 25 couvre les obligations supplémentaires.
Un formulaire de consentement conforme est le signe d'une conception saine : l'entreprise sait quelles finalités elle poursuit, ne collecte que le nécessaire, et n'a donc qu'une ou deux cases à faire cocher. Si votre formulaire a besoin de six cases, le problème n'est pas la rédaction, c'est la collecte. C'est le genre de question qu'on règle en amont quand on conçoit un site dans le cadre de nos services web, plutôt qu'en collant un bandeau par-dessus à la fin.
Si vous voulez un deuxième regard sur vos formulaires actuels, écrivez-nous. On vous dira ce qui passe le test et ce qui ne le passe pas.
Ce texte vulgarise des obligations légales pour aider une PME à poser les bonnes questions ; il ne constitue pas un avis juridique. Les textes officiels, la Loi sur la protection des renseignements personnels dans le secteur privé (LégisQuébec) et les Lignes directrices 2023-1 de la Commission d'accès à l'information, font foi. Pour une situation particulière, consultez un juriste.
Écrit par