La Loi 25 et le droit à la portabilité au Québec
Pierre E. Moreau Et Tomas Vazquez
2024-09-11 11:15:30
Qu’est-ce que les organisations québécoises doivent savoir concernant la Loi 25 et le droit à la portabilité?
Le 22 septembre 2024 marquera le début d’une nouvelle étape en matière de protection de renseignements personnels, la dernière série de modifications apportées à la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le privé ») entre alors en vigueur.
La Loi sur le privé, qui suit de près le modèle européen du Règlement général sur la protection des données (RGPD), représente un développement significatif dans la législation québécoise relative au droit à la vie privée.
Consacré à l’article 27 de la Loi sur le privé, le droit à la portabilité fait désormais partie du paysage juridique québécois.
1. Ce que vous devez retenir
1.1. Qu’est-ce que le droit à la portabilité?
Accès et contrôle. Le droit à la portabilité est une extension du droit à l’accès. Il permet aux individus d’obtenir leurs renseignements personnels auprès d’un organisme afin de les transmettre à un autre. Ce droit vise à investir les citoyens d’un plus grand contrôle sur leurs renseignements personnels et à simplifier le changement d’un prestataire de services à un autre, contribuant ainsi à l’essor d’une saine concurrence.
1.2. Dispositions importantes de la Loi sur le privé :
Portée du droit à la portabilité. Le droit à la portabilité s’applique uniquement aux renseignements informatiques récoltés directement auprès de l’individu. Afin de protéger les intérêts commerciaux des entreprises, le droit à la portabilité ne couvre pas l’information créée ou inférée par une organisation à partir d’un renseignement personnel.
De plus, il ne s’applique pas aux renseignements autrement exclus par la portée du droit à l’accès, tels que ceux qui pourraient révéler des renseignements personnels d’une tierce personne.
Transfert. À sa demande, le renseignement personnel informatisé recueilli auprès d’une personne lui est communiqué. Le renseignement peut aussi être communiqué à une autre personne ou à un organisme autorisé par la loi à recevoir une telle communication, si la personne à l’origine de la requête en fait la demande.
Format. Les organisations devront communiquer les données « dans un format technologique structuré et couramment utilisé ». Suivant l’exemple européen, cette expression devrait être interprétée comme désignant un format conforme aux exigences minimales requises pour assurer l’interopérabilité des données fournies.
Frais. Contrairement au RGPD, la Loi sur le privé n’interdit pas explicitement l’imposition de frais pour le traitement d’une demande.
Destruction. L’exercice par un individu de son droit à la portabilité n’encourt pas la destruction des renseignements communiqués. Ceux-ci doivent être conservés par les organismes pour assurer le respect de leurs obligations légales ou contractuelles.
2. Ce que vous devez faire
2.1. Considérations pratiques pour les organismes Alors que les organismes se préparent à se conformer aux nouvelles exigences de la Loi sur le privé, plusieurs questions demeurent en suspens. Davantage de lignes directrices seront requises afin de saisir pleinement les nouvelles exigences en vigueur au Québec.
Néanmoins, voici certaines démarches à considérer :
Mettez à jour vos politiques. Assurez-vous que vos politiques concernant la vie privée informent, dans un langage clair, les individus de leur droit à la portabilité des données et des façons qu’ils peuvent l’exercer.
Formez et conscientisez le personnel. Former vos employés au sujet des nouvelles exigences et de la manière de répondre aux demandes relevant de la Loi sur le privé.
Assurez-vous que vos processus sont conçus pour traiter ces demandes efficacement et en conformité avec le nouveau régime légal.
Adoptez des mécanismes de transfert. Développez des processus et des outils qui permettent un transfert sécuritaire et efficace de l’information. Concrètement, cela peut se traduire par l’adoption de formats interopérables ou par l’utilisation de systèmes de messagerie sécuritaires.
Pensez aux solutions technologiques. Envisagez de faire appel à des outils technologiques qui peuvent faciliter la portabilité des renseignements, comme des interfaces de programmations d’applications (couramment désignés par leur acronyme anglais, « API »). Vous pouvez aussi considérer l’instauration de points d’accès aux renseignements destinés aux usagers ou d’autres systèmes de gestion des renseignements personnels.
À propos des auteurs
Pierre E. Moreau est associé au sein du groupe droit du travail et de l’emploi chez RSS. Sa pratique porte sur l’ensemble des aspects des relations de travail, régies tant par le droit québécois que par le droit fédéral.
Tomas Vazquez est avocat au sein des groupes droit du travail et de l’emploi et droit des transports chez RSS.