CAN/DGSI 133, Gestion du consentement en matière de données – Approche fondée sur le consentement pour l'accès aux données, l'interopérabilité et la mobilité

Le présent document définit les exigences organisationnelles relatives à la gestion du consentement des personnes concernées en matière de collecte, d'utilisation et de communication de leurs données. Il établit des processus visant à informer les personnes concernées, à les aider à faire leurs choix, à maintenir à jour et exactes les informations relatives à leur consentement, et à permettre la mise à jour ou le retrait de ce consentement, en reconnaissant que les préférences en matière de consentement évoluent au fil du temps et nécessitent un engagement continu, adapté à l'évolution du contexte, des attentes, de la confiance et des normes culturelles. Les exigences spécifiées s'appliquent aussi bien dans les environnements conventionnels que dans les environnements à forte intensité technologique, y compris ceux qui utilisent l'intelligence artificielle (IA) et d'autres technologies émergentes susceptibles d'introduire des pratiques nouvelles ou modifiées en matière de données.

Ce document n'a pas pour objectif de prescrire la manière dont une organisation doit mettre en œuvre des contrôles. La norme vise plutôt à guider les organisations en proposant des approches indépendantes de toute juridiction ou technologie, compte tenu des différences entre les secteurs d'activité. L'IA et la prise de décision automatisée constituent des formes de traitement des données susceptibles d'évoluer au fil du temps. Le cadre de consentement doit garantir que les utilisateurs comprennent les catégories de traitements liés à l'IA, les finalités pour lesquelles leurs données peuvent être utilisées, ainsi que leurs éventuelles répercussions. Un consentement centré sur l'utilisateur devrait favoriser une transparence permanente, le choix de l'utilisateur et la possibilité de modifier ses préférences, même lorsque les modèles sous-jacents changent.

Le présent document s'applique à tous les secteurs d'activité, y compris les entreprises publiques et privées, les organismes gouvernementaux et les organisations à but non lucratif. Il est neutre sur le plan technologique et peut être utilisé avec des normes connexes telles que ISO/IEC 27560, ISO/IEC 29184, CAN/DGSI 103-1, Kantara Consent Receipt, W3C DPV, W3C ODRL, HL7 FHIR Consent, IAB TCF 2.2, OASIS UMA 2.0 et IEEE 7002.

Le présent document ne définit pas de structures de données, de reçus de consentement, de mécanismes de signalisation, de terminologies relatives à la protection de la vie privée, de modèles de consentement spécifiques à un domaine ou de méthodes d'ingénierie ; il ne détermine pas non plus la validité juridique du consentement et ne prescrit pas de mises en œuvre techniques spécifiques.

REMARQUE : La protection de la vie privée dans le domaine privé repose sur un modèle fondé sur le consentement, tandis que celle dans le domaine public repose sur un modèle fondé sur la transparence ; il convient donc de reconnaître que le modèle fondé sur le consentement n'est pas universellement applicable et qu'il existe des exceptions à ce principe.

DATE DE PUBLICATION :21 avril 2026

DATE LIMITE POUR LES COMMENTAIRES :5 juin2026