La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après « Loi 25 »), qui a été sanctionnée le 22 septembre 2021, vise à modifier, notamment, la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « Loi du secteur privé »).
La première phase a eu lieu le 22 septembre 2022. Quant à la seconde phase, celle-ci s’est déroulée le 22 septembre 2023. La dernière phase, prévue le 22 septembre prochain, marque l’entrée en vigueur du droit à la portabilité dans la Loi du secteur privé. Mais que signifie-t-il?
Sa signification
Le droit à la portabilité permet à une personne d’obtenir, dans un format technologique structuré et couramment utilisé, les renseignements personnels informatisés qu’elle a fournis ou de demander le transfert de ceux-ci à toute personne ou à tout organisme dans ce même format[1]. Ce droit à la portabilité ne vise pas les renseignements personnels collectés sous format papier[2].
Ses objectifs
Les objectifs peuvent se définir comme suit. En premier lieu, permettre à une personne d’avoir un meilleur contrôle à l’égard de ses renseignements personnels. Elle pourra les manipuler, les enregistrer ou les stocker à l’emplacement de son choix. En second lieu, à la demande de cette personne, transférer ses renseignements d’un prestataire de services à un autre pour favoriser la concurrence entre les entreprises[3].
Les vérifications
Lorsqu’il ou elle sera saisi,e d’une demande de portabilité, le ou la responsable de la protection des renseignements personnels devra vérifier si celle-ci est fondée et s’assurer de l’identité de la personne concernée[4]. Si la demande est légitime, ce ou cette responsable devra lui communiquer ses renseignements personnels dans le format requis, et ce, dans un délai de 30 jours à compter de la réception de celle-ci[5].
La notion de « format technologique structuré et couramment utilisé »
Les renseignements personnels devront être transmis dans un « format technologique structuré et couramment utilisé ». Cette notion n’est pas définie par le législateur[6]. Toutefois, on peut penser qu’il s’est inspiré du droit européen et de ses développements en la matière. Le règlement général sur la protection des données, entré en vigueur le 25 mai 2018, encadre le traitement des renseignements personnels d’une personne sur tout le territoire de l’Union européenne. Il traite du droit à la portabilité des données personnelles.
Des formats comme JSON (JavaScript Object Nation), XML (Extensible Markup Language), CSV (Comma Separeted Values) ont été considérés comme étant adaptés à la portabilité. Ceux-ci permettent de structurer des données afin que celles-ci puissent être lues et utilisées via différentes applications (ex. : logiciel Microsoft Excel). En ce sens, on peut affirmer que le format technologique visé par le législateur doit respecter certaines conditions[7]. Parmi celles-ci, on note :
- Le format doit décrire des renseignements personnels (ex. : nom, prénom, adresse courriel, date de naissance, numéro de téléphone, données financières) d’une personne concernée.
- Les renseignements doivent être clairs, lisibles et intelligibles.
- Le format doit présenter les renseignements d’une manière structurée afin que celui-ci puisse être communiqué à une personne concernée. Aussi, à la demande de cette personne, le format doit pouvoir être transféré à une entreprise ou à un organisme afin que les renseignements soient accessibles et traités en fonction du but recherché.
Un format qui serait difficile à traiter comme une image, un PDF ou un fichier dont l’utilisation impliquerait l’achat d’un logiciel ou d’une licence payante pourrait ne pas être considéré comme un « format technologique structuré et couramment utilisé ». Il est possible que la Commission d’accès à l’information émette des lignes directrices pour déterminer le format requis selon le secteur d’activités en cause.
Les responsabilités technologiques d’ici septembre 2024
Au sein d’une entreprise, l’équipe responsable de l’entretien, de la mise à jour ou du développement des systèmes informatiques doit être informée des besoins en lien avec le droit à la portabilité[8], à savoir :
- Que vos systèmes permettent de communiquer, sur demande d’une personne concernée, un renseignement personnel informatisé recueilli auprès d’elle, et ce, dans un format technologique structuré et couramment utilisé.
- Que cette communication puisse également se faire à une personne ou à un organisme autorisé par la loi à recueillir un renseignement personnel informatisé, à la demande de la personne concernée, et ce, dans un format technologique structuré et couramment utilisé.
Conclusion
Le droit à la portabilité n’est pas simple à
circonscrire. Les tribunaux risquent d’être appelés à le préciser considérant
que la notion de « format technologique structuré et couramment
utilisé » n’est pas définie par le législateur. Toutefois, on peut penser
que les objectifs de ce droit visent à permettre à une personne d’avoir un meilleur
contrôle sur ses renseignements personnels et le cas échéant, pouvoir les
transférer d’un prestataire de services à un autre, favorisant ainsi une concurrence
entre les entreprises. Par rapport à ces objectifs, des éléments tels la
sécurité, l’exactitude, l’intégrité et la confidentialité des données risquent
d’être considérées par les tribunaux selon les circonstances[9].
Ces éléments font partie intégrante de la Loi du secteur privé.
[1] Voir le lien: Droit à la portabilité | Gouvernement du Québec (quebec.ca)
[2] Art. 27 Loi du secteur privé
[3] Voir le lien: Le droit à la portabilité : nouvelles obligations pour les entreprises et organismes publics – Langlois avocats
[4] Art. 30 Loi du secteur privé
[5] Art. 32 Loi du secteur privé
[6] Art. 27 (3) Loi du secteur privé
[7] Voir les textes juridiques pertinents: Le droit à la portabilité : nouvelles obligations pour les entreprises et organismes publics – Langlois avocats; Guide sur le droit a la portabilite des donnees | Gowling WLG; Le droit à la portabilité, une réelle portabilité ou une simple modernisation du droit d’accès? | Ressources | Fasken; droit à la portabilité borner gervais ladner – Recherche Google
[8] Voir le texte d’intérêt sur cette question: Protection et gouvernance des données (kpmg.com)
[9] Voir le texte qui traite bien de ces éléments: Dentons – 2024 : L’année du droit à la portabilité des données – le comprendre pour le mettre en œuvre