Le présent article est une mise à jour de notre article publié le 22 mai 2024.
Le 22 septembre 2024, le droit à la portabilité est entré en vigueur au Québec. Ce nouveau droit, intégré à la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le privé ») et à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (la « Loi sur l’accès »), permet à la personne concernée de demander que lui soient communiqués ses renseignements personnels informatisés dans un format technologique. Le 5 septembre dernier, la Commission d’accès à l’information (la « CAI ») a publié de l’information destinée aux citoyens, aux entreprises et aux organismes publics sur le nouveau droit à la portabilité. Le présent article tient compte de la position de la CAI sur ce sujet.
Concrètement, que signifie ce droit?
- Les entreprises et organismes publics devront fournir à la personne qui en fait la demande les renseignements personnels informatisés qu’ils détiennent sur cette personne, et ce, dans un format technologique structuré et couramment utilisé;
- À la demande de la personne concernée, l’entreprise ou l’organisme public devra communiquer ce fichier de renseignements personnels à une autre entreprise ou à un autre organisme désigné par la personne concernée.
Ce droit vise ainsi à :
- Permettre à la personne concernée d’avoir un meilleur contrôle sur ses renseignements personnels informatisés;
- Faciliter les démarches des personnes concernées lorsqu’elles souhaitent faire affaire avec une autre entreprise pour obtenir des services;
- Favoriser la concurrence entre les entreprises.
Portée du droit à la portabilité et ses exclusions
Le droit à la portabilité ne s’applique qu’aux renseignements personnels informatisés recueillis directement ou indirectement auprès de la personne concernée. Selon la CAI, les renseignements recueillis indirectement sont notamment ceux qui sont générés par les activités de la personne concernée, comme l’historique de ses achats, déplacements, habitudes de conduite, etc..
Autrement dit, ce droit ne s’applique pas aux renseignements personnels suivants :
- Renseignements personnels recueillis ou conservés en format papier;
- Renseignements personnels recueillis auprès de tiers (par exemple, si vous utilisez une plate-forme tierce pour obtenir des dossiers de candidatures au sein de votre entreprise);
- Renseignements créés ou inférés (par exemple, un profil utilisateur créé à partir d’un algorithme d’intelligence d’affaires ou le niveau de risque associé à un individu par sa compagnie d’assurance).
Difficultés pratiques sérieuses
L’exercice du droit à la portabilité ne doit pas entraîner de difficultés pratiques sérieuses pour l’entreprise ou l’organisme public. La Loi sur le privé et la Loi sur l’accès ne définissent pas la notion de « difficultés pratiques sérieuses ». La CAI est d’avis que cette notion requiert une analyse au cas par cas. Elle soulève, à titre d’exemple, avoir déjà conclu que les coûts importants engendrés pour donner suite à une demande ou la complexité que nécessite le transfert dû au choix du demandeur quant à la forme peuvent être considérés comme des « difficultés pratiques sérieuses ».
Vérifications préalables
La communication d’un fichier informatisé contenant des renseignements personnels à la personne concernée qui en fait la demande est susceptible de poser de nouveaux risques de sécurité. Ces risques se posent tant pour la personne concernée par les renseignements personnels visés par la demande que pour les entreprises et les organismes publics qui sont susceptibles de révéler des pans de leur architecture technologique interne.
Ainsi, avant de communiquer un fichier de renseignements personnels à la personne concernée ou à une tierce partie identifiée par cette personne, l’entreprise ou l’organisme public doit vérifier l’identité du demandeur et vérifier qu’il est bien en droit d’en faire la demande. Compte tenu des risques de sécurité en jeu, cette validation devrait être rigoureuse et le processus, documenté.
Une prudence particulière pourrait être nécessaire dans le cas où la demande de portabilité provient d’un mineur de 14 ans et plus, car la loi autorise l’accès aux renseignements personnels de ces mineurs autant au titulaire de l’autorité parentale qu’au mineur.
Utiliser un format technologique structuré et couramment utilisé
Il n’y a pas de définition ou d’exemple accepté dans la loi quant à ce qui est un « format technologique structuré et couramment utilisé ».
L’essence du droit à la portabilité est de permettre à la personne concernée d’obtenir ses renseignements personnels et de pouvoir les réutiliser auprès d’autres entreprises ou organismes publics. L’exigence relative au format technologique doit donc se lire dans cette optique. Conformément aux précisions du gouvernement du Québec, reprises par la CAI, un format est « structuré et couramment utilisé » lorsque des applications logicielles d’usage courant peuvent facilement reconnaître et extraire les informations qui y sont contenues. Dans le secteur public, le gouvernement du Québec et la CNIL (en France) recommandent des formats comme CSV, XML, JSON, ODT et ODS, et déconseillent d’utiliser des formats comme les images ou les PDF. Dans le secteur privé, le format technologique pourra varier selon l’industrie.
La notion de ce qui peut se qualifier de « format structuré » en vertu de la loi reste à circonscrire. Éventuellement, on peut envisager que des entreprises, pour lesquelles la structuration des données et des renseignements personnels est enracinée dans leurs stratégies d’intelligence d’affaires et de marketing, soient tentées de développer des pratiques spécifiques afin de se conformer au droit à la portabilité sans compromettre la confidentialité de leur architecture de données.
La CAI souligne par ailleurs que bien qu’aucune exigence législative n’impose aux entreprises l’obligation de se doter de systèmes interopérables, l’interopérabilité constitue un élément crucial pour favoriser un transfert efficace des renseignements personnels, et pour que les personnes concernées puissent pleinement bénéficier du droit à la portabilité.
Délais de réponse
Le responsable de la protection des renseignements personnels devra répondre par écrit à l’intérieur du délai prévu par la loi, à savoir 30 jours suivant la date de réception de la demande portant sur le droit à la portabilité des renseignements personnels pour une entreprise et 20 jours (ou 30 jours si un délai supplémentaire de 10 jours est demandé) pour un organisme public. Une personne insatisfaite de la réponse pourra déposer une demande d’examen de mésentente de la CAI.
À l’instar de toute autre demande, un organisme public ou une entreprise pourra demander à la CAI de l’autoriser « à ne pas tenir compte de demandes manifestement abusives par leur nombre, leur caractère répétitif ou systématique ou de demandes qui, de l’avis de la CAI, ne sont pas conformes à l’objet de la loi ». Cette exception pourrait connaître un essor considérable advenant que le droit à la portabilité soit exercé à mauvais escient (par exemple, dans le cadre d’une stratégie concertée d’employés d’une entreprise cherchant à connaître la structuration des données chez un concurrent).
Transmission du fichier de renseignements personnels
La transmission du fichier contenant les renseignements personnels de la personne concernée devra s’effectuer d’une manière sécuritaire, en tenant compte notamment de la sensibilité des renseignements transmis.
Au surplus, la transmission devra être conforme aux exigences de sécurité prévues dans les lois, règlements et directives applicables, notamment les règles édictées par certains ordres professionnels.
Projets d’acquisition, de développement et de refonte du système d’information ou de prestation électronique de services
La loi exige de prendre en compte le droit à la portabilité lors de tout projet d’acquisition, de développement et de refonte du système d’information ou de prestation électronique de services. Ainsi, il faudra vérifier que les systèmes informatiques visés comportent une fonction permettant l’extraction des renseignements personnels recueillis directement auprès de la personne concernée.
Les modalités pratiques liées à la mise en œuvre du droit à la portabilité devront également être considérées et analysées dans le cadre de tels projets.
Droit à l’accès vs Droit à la portabilité
Le droit à la portabilité n’a pas pour effet d’élargir la portée des droits d’accès de la personne concernée à recevoir la communication d’un document ou d’un renseignement personnel.
La personne concernée conserve également le droit d’exiger une transcription écrite et intelligible de ses renseignements personnels informatisés. On peut penser ici à la communication d’une liste de renseignements personnels informatisés au moyen d’une lettre envoyée à la personne concernée.
Comment se préparer à l’entrée en vigueur du droit à la portabilité?
Voici quelques bonnes pratiques afin de vous préparer à l’entrée en vigueur du droit à la portabilité.
Procéder à l’inventaire des renseignements personnels
- S’assurer d’avoir une cartographie à jour des renseignements personnels recueillis et conservés par votre organisation.
- Faire en sorte que votre cartographie identifie les moyens de collecte des renseignements personnels afin d’être en mesure d’identifier ceux qui sont informatisés et que votre cartographie identifie les systèmes/serveurs qui hébergent ces renseignements personnels.
- Revoir, le cas échéant, le mode de structuration des renseignements personnels dans votre architecture technologique et considérer la possibilité de mettre des mesures en place afin de permettre la communication de renseignements personnels dans un format structuré et sans compromettre la confidentialité de votre architecture technologique.
- Revoir la nécessité de recueillir ou de conserver certains renseignements personnels.
- Considérer la possibilité de conserver certains renseignements personnels dans une forme papier exclusivement.
Définir les processus de portabilité
- Définir les processus TI et RH requis afin d’opérationnaliser les réponses aux demandes de portabilité.
- Déterminer les formats de données qui seront utilisés pour fournir les renseignements personnels aux personnes concernées.
- Adopter un processus robuste de vérification d’identité.
- Documenter les réponses aux demandes de portabilité.
- Implanter des mesures de sécurité pour protéger les renseignements personnels pendant le transfert.
Mettre à jour les politiques externes et les procédures internes
- S’assurer que la politique de confidentialité de votre entreprise informe vos clients de leur droit à la portabilité des données et comment ils peuvent en faire la demande.
- Décrire dans vos procédures internes comment traiter une demande de portabilité, en portant une attention particulière au délai de réponse applicable.
- Sensibiliser vos employés au droit à la portabilité.