Le 22 septembre 2024 marquait l’entrée en vigueur au Québec de la troisième et dernière partie de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels1 (ci-après la « Loi 25 »). Cette dernière partie introduit le droit à la portabilité; mais qu’est-ce vraiment que ce droit?

En bref, c’est le droit pour un individu concerné, à sa demande, d’obtenir dans un format technologique structuré et couramment utilisé les renseignements informatisés recueillis auprès de lui et détenus, selon le cas, par un organisme public ou par toute personne exploitant une entreprise.

Ce droit devra être pris en compte à la fois parmi les politiques et pratiques encadrant sa gouvernance à l’égard des renseignements personnels que cette organisation doit établir et mettre en œuvre ainsi que dans tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.

Cinq choses à retenir

Voici cinq choses à retenir en lien avec ce droit à la portabilité:

1- Extension du droit à l’accès et à la communication

Le droit à la portabilité est en quelque sorte une extension du droit existant d’un individu à l’accès et la communication de renseignements détenus sur lui. L’ancienne version de l’article 27 de la Loi sur la protection des renseignements personnels dans le secteur privé2 (Loi sur le privé) et celle de l’article 84 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels3 (Loi sur l’accès), faisaient déjà en sorte qu’à la demande du requérant, un renseignement personnel informatisé lui soit communiqué sous la forme d’une transcription écrite et intelligible.

Dorénavant, un tel renseignement recueilli auprès du requérant doit être communiqué dans un format technologique structuré et couramment utilisé à ce requérant ou, à sa demande, à toute personne ou tout organisme autorisé par la loi à recueillir un tel renseignement. Il en va par ailleurs de même pour les renseignements de santé et de services sociaux visés par la nouvelle Loi sur les renseignements de santé et de services sociaux4.

Ainsi, pour se conformer à cette nouvelle obligation, il faut avant tout s’assurer d’être conforme aux modalités du droit d’accès et de fournir aux individus concernés la possibilité de demander l’accès à leurs renseignements personnels détenus par l’organisation.

2- Inclusions et exclusions

Ce droit à la portabilité concerne les renseignements personnels précédemment fournis par le requérant ou recueillis auprès de lui, incluant ceux générés par son activité, comme l’historique ou la journalisation de l’utilisation d’un service en ligne. Par contre, il ne couvre pas les renseignements personnels créés ou inférés à partir d’un renseignement personnel le concernant.

De plus, il doit s’agir de renseignements informatisés, si bien que ceux sur des supports analogiques ou physiques comme le papier sont exclus. Les renseignements visés doivent ainsi être avoir été stockés électroniquement, ce qui inclut, par exemple, ceux consistant en des renseignements financiers numériques, des publications via des médias sociaux, des renseignements relatifs à des recherches web et ceux conservés dans des registres ou bases de données organisés et structurés à l’aide de l’informatique.

Enfin, une organisation pourrait refuser de fournir les renseignements personnels demandés dans un tel format si cela soulevait des « difficultés pratiques sérieuses », notamment en raison de la complexité de l’opération ou des coûts excessifs.

3- Ce que signifie « structuré et couramment utilisé »

Selon les précisions du gouvernement du Québec relatives à la Loi sur l’accès5, un format est dit « structuré et couramment utilisé » lorsque des applications logicielles d’usage courant peuvent facilement reconnaître et extraire les informations qui y sont contenues. Alors que l’expression n’est pas définie par la Loi 25, on peut se référer au sens ordinaire des termes employés pour mieux comprendre leur portée et leur raison d’être.

Un format « structuré » implique d’éviter les formats qui rendent les renseignements difficiles à exporter vers d’autres systèmes sans effort excessif ou sans perte des relations entre les différentes parties de l’ensemble. Un format « couramment utilisé » devrait exclure ceux qui sont spécifiques à un logiciel nécessitant une licence payante et consister plutôt en ceux conçus pour être ouverts et interopérables, comme le sont notamment les formats CSV, XML ou JSON.

4- Sanctions

Tout comme pour d’autres manquements aux lois sur la protection des renseignements personnels, les sanctions administratives pécuniaires que la Commission d’accès à l’information du Québec (CAI) peut imposer (tout en tenant compte de son cadre général d’application des telles sanctions) peuvent être très sévères. Ainsi, en cas de non-respect du droit à la portabilité, une personne qui exploite une entreprise s’expose à des amendes pouvant atteindre jusqu’à 50 000 $ dans le cas d’une personne physique et 10 000 000 $ ou 2% du chiffre d’affaires mondial dans les autres cas.

5- Équivalents en dehors du Québec

L’ensemble des lois protégeant la vie privée à travers le monde basées sur les lignes directrices de l’OCDE, incluant la Loi sur le privé et la Loi sur l’accès au Québec, visent à faire respecter la vie privée comme condition préalable fondamentale à la libre circulation transfrontière des renseignements personnels dans un climat de confiance.

Reconnaissant que les flux constants de renseignements personnels sur les réseaux mondiaux amplifient le besoin d’une meilleure interopérabilité pour éviter la création d’obstacles injustifiés au développement des relations économiques et sociales, d’autres juridictions ont adopté ou prévoient adopter un droit à la portabilité ou un devoir d’interopérabilité.

Par exemple, au niveau fédéral canadien, cette mobilité des renseignements personnels figure à l’article 72 du projet de loi C-27, selon lequel, à certaines conditions, une organisation serait tenue de communiquer les renseignements personnels qu’elle a recueillis auprès d’un individu à l’organisation que ce dernier désigne si ces deux organisations sont assujetties à un cadre de mobilité des données.

Plus récemment, le projet de loi C-72, Loi concernant l’interopérabilité des technologies de l’information sur la santé et visant à interdire le blocage de données par les fournisseurs de technologies de l’information sur la santé, forcerait les fournisseurs de technologies de l’information sur la santé à rendre interopérable ce qu’ils vendent, fournissent ou rendent disponible par licence. En Europe, l’article 20 du règlement général sur la protection des données6 (RGPD) donne aux individus concernés le droit à la fois de recevoir leurs renseignements personnels dans un format structuré, couramment utilisé et lisible par machine et d’obtenir que les renseignements personnels soient transmis d’une organisation à une autre.

Conclusion

L’entrée en vigueur du droit à la portabilité des renseignements personnels au Québec impose aux entreprises de revoir leurs pratiques et leurs systèmes pour se conformer à cette nouvelle exigence. Ce droit, qui permet aux individus d’obtenir et de transférer certains de leurs renseignements personnels dans un format structuré et couramment utilisé, constitue une extension significative du droit d’accès et de communication déjà en vigueur.

Les entreprises et organismes publics doivent non seulement s’assurer d’adopter des formats interopérables mais aussi de pouvoir répondre aux demandes impliquant de la portabilité de renseignements personnels. Cette évolution législative s’inscrit dans une tendance à travers divers territoires visant à améliorer l’interopérabilité des systèmes tout en renforçant la protection des renseignements personnels.

Les auteurs veulent remercier M. Anas Bennaoum pour son aide dans la rédaction du présent article.

Cain Lamarre peut vous accompagner dans vos démarches de conformité en matière de protection des renseignements personnels.

—————————————————

[1] Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c 25, <https://canlii.ca/t/6d6s0>

[2] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1, art 27, <https://canlii.ca/t/19sz#art27>.

[3] Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c A-2.1, art 84, <https://canlii.ca/t/19xm#art84>.

[4] Loi sur les renseignements de santé et de services sociaux, RLRQ c R-22.1, art 66, <https://canlii.ca/t/gq2x#art66>.

[6] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. [Document 32016R0679].