Le 22 septembre 2024, un nouveau droit individuel à la portabilité des données est entré en vigueur en vertu de la législation québécoise sur la protection de la vie privée applicable dans le secteur privé, soit la Loi sur la protection des renseignements personnels dans le secteur privé (la « LPRPSP ») (consultez notre Bulletin Blakes de mai 2024 pour en savoir davantage), et dans le secteur public, soit la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (la « Loi sur l’accès »).
L’entrée en vigueur de ce nouveau droit constitue la dernière étape de la réforme du régime de la protection de la vie privée au Québec à la suite de l’adoption, en 2021, de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (qui avait été présentée dans le projet de loi no 64 et sanctionnée sous la forme de la Loi 25).
Portée
Le droit à la portabilité des données est un prolongement du droit d’accès aux renseignements personnels existant en vertu de la LPRPSP et de la Loi sur l’accès. Il permet aux particuliers d’exiger qu’une organisation communique certains renseignements personnels à une personne physique, ou encore à une personne morale ou une organisation. Il vise à donner un plus grand contrôle aux particuliers quant à leurs renseignements personnels, ainsi qu’à accroître la concurrence entre les entreprises en permettant aux particuliers d’obtenir plus facilement des services auprès d’une nouvelle organisation.
Le droit à la portabilité des données est introduit par l’ajout du nouvel alinéa 3 à l’article 27 de la LPRPSP (ainsi que par l’ajout du nouvel alinéa 3, presque identique, à l’article 84 de la Loi sur l’accès), qui se lit comme suit :
« À moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès du requérant, et non pas créé ou inféré à partir d’un renseignement personnel le concernant, lui est, à sa demande, communiqué dans un format technologique structuré et couramment utilisé. Ce renseignement est aussi communiqué à sa demande à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement ».
Il convient de noter qu’il existe plusieurs limites à la portée du droit à la portabilité des données. Premièrement, il ne s’applique qu’aux « renseignements personnels informatisés ». Selon les indications publiées par la Commission d’accès à l’information du Québec (la « CAI »), ce terme désigne les renseignements personnels organisés et structurés à l’aide de l’informatique. Par exemple, les renseignements personnels recueillis en format papier ne sont pas visés par ce nouveau droit.
Deuxièmement, seul un renseignement personnel qui est recueilli auprès du requérant, et non pas « créé ou inféré à partir d’un renseignement personnel le concernant » est visé. Selon les indications de la CAI, cela comprend les renseignements personnels recueillis directement ou indirectement auprès d’un particulier. Les renseignements recueillis indirectement ont une large portée et peuvent comprendre l’historique d’achat, les habitudes de conduite ou d’autres renseignements générés par les activités d’un particulier. Toutefois, les renseignements créés ou inférés par une organisation au moyen d’une analyse, d’une observation ou d’un algorithme (par exemple, le niveau de risque associé à un particulier, tel qu’il est évalué par sa compagnie d’assurance) seraient exclus. Les renseignements personnels informatisés qu’une organisation obtient d’un tiers seraient également exclus.
Troisièmement, les organisations ne sont pas tenues de répondre aux demandes qui soulèvent des « difficultés pratiques sérieuses ». Pour déterminer si une demande soulève des difficultés pratiques sérieuses, il faut procéder à une analyse au cas par cas : les indications de la CAI laissent néanmoins entendre que les demandes qui entraîneraient des coûts importants pour une organisation ou qui sont très complexes en raison du choix du format du demandeur pourraient soulever de telles difficultés.
Obligations liées au transfert
Lorsqu’une organisation est tenue de communiquer des renseignements personnels informatisés dans le cadre d’une demande en lien avec le droit à la portabilité, elle doit communiquer les renseignements au demandeur et à toute autre personne ou organisation autorisée par la loi à recueillir ces renseignements dans un format technologique dit « structuré et couramment utilisé ». Selon les indications de la CAI, qui font référence à une publication distincte du gouvernement du Québec sur ce point, un format est « structuré et couramment utilisé » lorsque des applications logicielles d’usage courant peuvent facilement reconnaître et extraire les informations qui y sont contenues.
Les organisations sont tenues de répondre à une demande en lien avec le droit à la portabilité dans les délais généralement applicables aux demandes d’accès en vertu de la LPRPSP et de la Loi sur l’accès. Par exemple, en vertu de la LPRPSP, une réponse doit être fournie dans un délai de 30 jours; si une organisation refuse la demande, elle doit fournir les motifs du refus et informer le demandeur des recours dont il dispose en vertu de la LPRPSP.
Les organisations qui reçoivent des renseignements personnels au moyen d’une demande en lien avec le droit à la portabilité (c’est-à-dire celles qui sont identifiées par le demandeur) ne sont pas tenues d’accepter les renseignements personnels. Étant donné que les renseignements transférés ne peuvent être utilisés qu’aux fins pour lesquelles ils ont été recueillis, l’organisation qui reçoit de tels renseignements personnels ne doit pas conserver ni traiter les renseignements qui ne sont pas requis à ces mêmes fins, à moins d’obtenir le consentement du particulier concerné à de nouvelles fins.
Conclusion
L’entrée en vigueur du droit à la portabilité des données harmonise plus étroitement la LPRPSP avec le Règlement général sur la protection des données (le « RGPD ») de l’Union européenne, qui comprend un droit similaire. Bien que les deux régimes soient différents, la CAI pourrait s’inspirer des lignes directrices européennes plus détaillées sur le droit à la portabilité des données au fur et à mesure qu’elle fera respecter les nouvelles obligations en matière de portabilité des données au Québec.
En surveillant la prise d’effet des nouvelles obligations au Québec, les organisations qui exercent des activités dans la province devraient s’assurer de mettre en place des politiques et des pratiques conformes relatives au traitement des demandes en lien avec la portabilité des données. Ces politiques et pratiques devraient notamment encadrer le traitement des demandes liées aux renseignements personnels informatisés qu’elles détiennent, ainsi que les renseignements personnels informatisés détenus par des tiers qui traitent des renseignements pour leur compte.
Pour en savoir davantage, communiquez avec l’un des auteurs du présent bulletin ou un autre membre de notre groupe Protection de la vie privée et des données.
Ressources connexes
Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.
Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse [email protected].
© 2024 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.