Aller au contenu
découvrez Hilo Intelligence
Guide Loi 25

Consentement

Les règles québécoises du consentement à la Loi 25 — qu'est-ce qu'un consentement valable, comment l'obtenir, comment le documenter, comment le retirer, et le cas particulier des renseignements sensibles et des mineurs.

Mis à jour le 20 avril 20266 min de lectureRédigé par Pascal Dupuisconsentementart. 12-14CAILPRPSP

Le consentement est la pierre angulaire de la Loi 25. Sans consentement valable, la collecte, l'utilisation et la communication de renseignements personnels sont illégales — sauf dans les exceptions prévues par la loi (autorisation légale expresse, intérêt public, obligation légale, urgence).

Ce chapitre explique ce que la CAI et la LPRPSP exigent concrètement, avec des exemples applicables à une PME québécoise.

Les cinq qualités d'un consentement valable

L'article 14 de la LPRPSP énumère cinq qualités cumulatives — un consentement qui échoue à l'une d'elles est invalide et expose l'entreprise à une sanction.

Qualité Ce que ça veut dire
Manifeste Clair, sans ambiguïté. Le silence, l'inaction ou les cases pré-cochées ne constituent pas un consentement.
Libre Donné sans pression, sans conséquence négative disproportionnée en cas de refus. Conditionner un service essentiel à un consentement non nécessaire = consentement vicié.
Éclairé La personne comprend pourquoi, par qui et dans quel contexte. Les fins doivent être énoncées dans un langage simple.
Donné à des fins spécifiques Un consentement couvre une fin précise et doit être redemandé pour toute fin distincte.
Formulé en termes simples et clairs Pas de jargon juridique, pas de clauses enfouies dans 30 pages de conditions générales.

Le test pratique

Posez-vous ces trois questions avant de considérer qu'un consentement est obtenu :

  1. La personne a-t-elle posé un geste positif explicite (clic, signature, coche non pré-cochée)?
  2. La personne sait-elle à quoi elle consent, qui utilisera l'information et pendant combien de temps?
  3. La personne peut-elle refuser sans perdre l'accès au service principal?

Si une réponse est « non », le consentement n'est pas valable au sens de la Loi 25.

La règle du consentement séparé (art. 14 al. 2)

Le consentement doit être demandé à chacune des fins en termes simples et clairs. Il doit être présenté distinctement de toute autre information communiquée à la personne concernée.

Traduction concrète :

  • Non conforme : une phrase « En créant votre compte, vous consentez à nos conditions d'utilisation et à notre politique de confidentialité » avec un seul bouton Accepter.
  • Conforme : le bouton Créer un compte est séparé d'une case à cocher explicite « J'accepte que Hilo Tech communique mes renseignements à [partenaire] à des fins de [finalité] » — non pré-cochée.

La CAI a clairement indiqué que le consentement groupé par défaut (un seul OK pour plusieurs finalités) ne rencontre pas l'exigence de consentement par finalité.

Consentement pour renseignements sensibles (art. 12)

Les renseignements sensibles — santé, biométrie, financiers détaillés, vie intime, opinions politiques ou religieuses — exigent un consentement exprès. Cela signifie :

  • Un geste positif spécifiquement lié à ces renseignements (case à cocher dédiée, signature séparée).
  • Une mention explicite que les renseignements sont de nature sensible.
  • Une durée de conservation clairement indiquée.

En pratique, un formulaire d'admission médicale ou un dossier RH contenant des renseignements de santé doit inclure une clause séparée de consentement exprès pour cette catégorie — distincte du consentement général à la politique de confidentialité.

Consentement des mineurs (art. 4.1)

Depuis septembre 2023 :

  • Moins de 14 ans : le consentement doit être donné par le titulaire de l'autorité parentale ou le tuteur.
  • 14 ans et plus : le mineur peut consentir lui-même, avec certaines nuances pour les renseignements de santé (qui relèvent aussi de la Loi sur les services de santé et les services sociaux).

Pour une PME qui collecte des inscriptions à un camp d'été, un service de tutorat en ligne ou un programme de formation pour jeunes, cette règle change tout : la case « J'ai plus de 13 ans » n'est plus suffisante — il faut un mécanisme de validation parentale.

Retrait du consentement (art. 8.3)

Toute personne peut retirer son consentement en tout temps, avec effet pour l'avenir. L'entreprise doit :

  1. Fournir un moyen simple et gratuit de retirer le consentement (lien de désabonnement, formulaire en ligne, courriel dédié).
  2. Informer la personne des conséquences du retrait — par exemple, si le retrait empêche la fourniture du service principal.
  3. Cesser la collecte et l'utilisation dès réception du retrait.
  4. Ne pas supprimer rétroactivement les données déjà utilisées avec consentement valide — le retrait est prospectif, pas rétroactif.

Le retrait du consentement ne doit pas être plus compliqué que son obtention. Si l'inscription se fait en un clic, le désabonnement doit se faire en un clic.

Les exceptions — quand le consentement n'est pas requis

La LPRPSP prévoit plusieurs situations où un renseignement peut être collecté, utilisé ou communiqué sans consentement :

  • Obligation légale (art. 18 al. 1 par. 1) : lois fiscales, Code du travail, ordre professionnel, mandats judiciaires.
  • Exécution d'un contrat (art. 13) : données nécessaires à l'exécution du service convenu (livrer un colis = adresse; facturer = coordonnées).
  • Intérêt sérieux et légitime (art. 12 al. 3) : usage compatible avec la fin initiale, sans effet disproportionné sur la vie privée.
  • Protection de la vie (art. 18 al. 2) : urgence médicale, sécurité publique.
  • Étude, recherche, statistique (art. 21) : à condition de respecter les exigences d'anonymisation et d'approbation.

Ces exceptions sont d'interprétation restrictive. En cas de doute, demandez l'avis de votre avocat.

Documentation du consentement

La CAI peut exiger, en cas d'enquête, la preuve qu'un consentement valable a été obtenu. En pratique, votre système doit conserver :

  • La date et l'heure du consentement.
  • Le texte exact affiché à la personne (pas un lien vers un document qui pourrait changer).
  • Le mécanisme utilisé (case cochée, signature, enregistrement vocal, etc.).
  • L'identifiant de l'utilisateur (courriel, UUID) et, si pertinent, l'adresse IP.
  • La version de la politique en vigueur au moment du consentement.

Un simple « l'utilisateur a accepté » dans un champ booléen ne suffit pas — vous devez être capable de reconstituer ce que la personne a vu et approuvé.

Notre rôle côté TI

Dans un projet de conformité, Hilo Tech configure les outils qui journalisent ces éléments (plateformes de consentement type Cookiebot, OneTrust; bandeaux maison; systèmes CRM avec champs d'audit; Microsoft 365 audit log). Le libellé du consentement lui-même est rédigé par l'avocat du client — nous intégrons la formulation qu'il approuve.

Liste de contrôle rapide

  • Chaque finalité de collecte a son propre consentement (pas de cases groupées).
  • Les cases à cocher sont non pré-cochées par défaut.
  • Le texte du consentement est rédigé en français clair, sans jargon.
  • Un consentement exprès séparé est obtenu pour les renseignements sensibles.
  • Les mineurs de moins de 14 ans ont un mécanisme de validation parentale.
  • Un mécanisme de retrait simple et gratuit est publié.
  • Chaque consentement est horodaté et archivé avec le texte exact affiché.

Erreurs fréquentes

  • Le consent wall européen collé tel quel. — Beaucoup de PME copient un bandeau RGPD anglais sans adapter. Le français manque, le lien vers la politique pointe vers la version anglaise, et les catégories ne correspondent pas à ce que la CAI attend.
  • Le consentement obtenu une fois pour toutes. — Un consentement valable à l'inscription ne couvre pas une nouvelle finalité (ex. transfert à un partenaire commercial non mentionné à l'origine). Il faut redemander.
  • La case pré-cochée « J'accepte de recevoir des communications marketing ». — Invalide depuis septembre 2023. L'utilisateur doit poser un geste actif.
  • Pas d'archivage. — Le consentement n'est démontrable qu'en cas d'enquête. Si votre système ne conserve pas l'horodatage + le texte affiché, c'est votre parole contre la plainte.

Questions à poser à votre conseiller juridique

  • Nos bandeaux de cookies respectent-ils les exigences québécoises spécifiques, distinctes du RGPD?
  • Quelle formulation de consentement exprès utiliser pour nos données de santé (si cabinet médical, pharmacie, service de télémédecine)?
  • Avons-nous une base légale autre que le consentement pour certaines finalités (intérêt légitime, exécution de contrat)?
  • Quelle est la durée de conservation raisonnable des preuves de consentement elles-mêmes?
PrécédentPortée et définitionsSuivantNotification des incidents de confidentialité
Retour au sommaire de la collection Guide Loi 25

Une question sur ce guide?

Pascal et Jérémie peuvent répondre directement par courriel ou lors d'un appel de découverte.

Nous écrire