Le droit à la portabilité : nouvelles obligations pour les entreprises et organismes publics

22 mai 2024

Le 22 septembre 2024, le droit à la portabilité entrera en vigueur au Québec. Ce nouveau droit, intégré à la Loi sur la protection des renseignements personnels dans le secteur privé et à Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, permet à la personne concernée de demander que lui soient communiqués ses renseignements personnels informatisés dans un format technologique.

Concrètement, que signifie ce droit?

  • Les entreprises et organismes publics devront fournir à la personne qui en fait la demande les renseignements personnels informatisés qu’ils détiennent sur cette personne, et ce, dans un format technologique structuré et couramment utilisé;
  • À la demande de la personne concernée, l’entreprise ou l’organisme public devra communiquer ce fichier de renseignements personnels à une autre entreprise ou à un autre organisme désigné par la personne concernée.

Ce droit vise ainsi à :

  • Permettre à la personne concernée d’avoir un meilleur contrôle sur ses renseignements personnels informatisés;
  • Faciliter les démarches des personnes concernées lorsqu’elles souhaitent faire affaire avec une autre entreprise pour obtenir des services;
  • Favoriser la concurrence entre les entreprises.

Portée du droit à la portabilité et ses exclusions 

Le droit à la portabilité ne s’applique qu’aux renseignements personnels informatisés fournis directement par la personne concernée.

Autrement dit, ce droit ne s’applique pas aux renseignements personnels suivants :

  • Renseignements personnels recueillis ou conservés en format papier;
  • Renseignements personnels recueillis auprès de tiers (par exemple, si vous utilisez une plate-forme tierce pour obtenir des dossiers de candidatures au sein de votre entreprise);
  • Renseignements créés ou inférés (par exemple, un profil utilisateur créé à partir d’un algorithme d’intelligence d’affaires).

Vérifications préalables

La communication d’un fichier informatisé contenant des renseignements personnels à la personne concernée qui en fait la demande est susceptible de poser de nouveaux risques de sécurité. Ces risques se posent tant pour la personne concernée par les renseignements personnels visés par la demande, que pour les entreprises et les organismes publics qui sont susceptibles de révéler des pans de leur architecture technologique interne.

Ainsi, avant de communiquer un fichier de renseignements personnels à la personne concernée ou à une tierce partie identifiée par cette personne, l’entreprise ou l’organisme public doit vérifier l’identité du demandeur et vérifier qu’il est bien en droit d’en faire la demande. Compte tenu des risques de sécurité en jeu, cette validation devrait être rigoureuse et le processus documenté.

Une prudence particulière pourrait être nécessaire dans le cas où la demande de portabilité provient d’un mineur de 14 ans et plus, car la loi autorise l’accès aux renseignements personnels de ces mineurs autant au titulaire de l’autorité parentale qu’au mineur.

Utiliser un format technologique structuré et couramment utilisé

Il n’y a pas de définition ou d’exemple accepté dans la loi quant à ce qui est un « format technologique structuré et couramment utilisé ».

L’essence du droit à la portabilité est de permettre à la personne concernée d’obtenir ses renseignements personnels et de pouvoir les réutiliser auprès d’autres entreprises ou organismes publics. L’exigence relative au format technologique doit donc se lire dans cette optique. Dans le secteur public, le gouvernement du Québec et la CNIL (en France) recommandent des formats comme CSV, XML, JSON, ODT et ODS et déconseillent d’utiliser des formats comme les images ou les PDF. Dans le secteur privé, le format technologique pourra varier selon l’industrie.

La notion de ce qui peut se qualifier de « format structuré » en vertu de la loi reste à circonscrire. Éventuellement, on peut envisager que des entreprises, pour lesquelles la structuration des données et des renseignements personnels est enracinée dans leurs stratégies d’intelligence d’affaires et de marketing, soient tentées de développer des pratiques spécifiques afin de se conformer au droit à la portabilité sans compromettre la confidentialité de leur architecture de données.

Délais de réponse

Le responsable de la protection des renseignements personnels devra répondre par écrit à l’intérieur du délai prévu par la loi, à savoir 30 jours suivant la date de réception de la demande portant sur le droit à la portabilité des renseignements personnels pour une entreprise et 20 jours (ou 30 jours si un délai supplémentaire de 10 jours est demandé) pour un organisme public.

À l’instar de toute autre demande, un organisme public ou une entreprise pourra demander à la Commission d’accès à l’information de l’autoriser « à ne pas tenir compte de demandes manifestement abusives par leur nombre, leur caractère répétitif ou systématique ou de demandes qui, de l’avis de la Commission, ne sont pas conformes à l’objet de la loi ». Cette exception pourrait connaître un essor considérable advenant que le droit à la portabilité soit exercé à mauvais escient (par exemple, dans le cadre d’une stratégie concertée d’employés d’une entreprise cherchant à connaître la structuration des données chez un concurrent).

Transmission du fichier de renseignements personnels

La transmission du fichier contenant les renseignements personnels de la personne concernée devra s’effectuer d’une manière sécuritaire, en tenant compte notamment de la sensibilité des renseignements transmis.

Au surplus, la transmission devra être conforme aux exigences de sécurité prévues dans les lois, règlements et directives applicables, notamment les règles édictées par certains ordres professionnels.

Projets d’acquisition, de développement et de refonte du système d’information ou de prestation électronique de services

La loi exige de prendre en compte le droit à la portabilité lors de tout projet d’acquisition, de développement et de refonte du système d’information ou de prestation électronique de services. Ainsi, il faudra vérifier que les systèmes informatiques visés comportent une fonction permettant l’extraction des renseignements personnels recueillis directement auprès de la personne concernée.

Les modalités pratiques liées à la mise en œuvre du droit à la portabilité devront également être considérées et analysées dans le cadre de tels projets.

Droit à l’accès vs Droit à la portabilité

Le droit à la portabilité n’a pas pour effet d’élargir la portée des droits d’accès de la personne concernée à recevoir la communication d’un document ou d’un renseignement personnel.

La personne concernée conserve également le droit d’exiger une transcription écrite et intelligible de ses renseignements personnels informatisés. On peut penser ici à la communication d’une liste de renseignements personnels informatisés au moyen d’une lettre envoyée à la personne concernée.

Comment se préparer à l’entrée en vigueur du droit à la portabilité?

 Voici quelques bonnes pratiques afin de vous préparer à l’entrée en vigueur du droit à la portabilité.

Procéder à l’inventaire des renseignements personnels

  • S’assurer d’avoir une cartographie à jour des renseignements personnels recueillis et conservés par votre organisation.
  • Faire en sorte que votre cartographie identifie les moyens de collecte des renseignements personnels afin d’être en mesure d’identifier ceux qui sont informatisés et que votre cartographie identifie les systèmes/serveurs qui hébergent ces renseignements personnels.
  • Revoir, le cas échéant, le mode de structuration des renseignements personnels dans votre architecture technologique et considérer la possibilité de mettre des mesures en place afin de permettre la communication de renseignements personnels dans un format structuré et sans compromettre la confidentialité de votre architecture technologique.
  • Revoir la nécessité de recueillir ou de conserver certains renseignements personnels.
  • Considérer la possibilité de conserver certains renseignements personnels dans une forme papier exclusivement.

Définir les processus de portabilité

  • Définir les processus TI et RH requis afin d’opérationnaliser les réponses aux demandes de portabilité.
  • Déterminer les formats de données qui seront utilisés pour fournir les renseignements personnels aux personnes concernées.
  • Adopter un processus robuste de vérification d’identité.
  • Documenter les réponses aux demandes de portabilité.
  • Implanter des mesures de sécurité pour protéger les renseignements personnels pendant le transfert.

Mettre à jour les politiques externes et les procédures internes

  • S’assurer que la politique de confidentialité de votre entreprise informe vos clients de leur droit à la portabilité des données et comment ils peuvent en faire la demande.
  • Décrire dans vos procédures internes comment traiter une demande de portabilité, en portant une attention particulière au délai de réponse applicable.
  • Sensibiliser vos employés au droit à la portabilité.