La nouvelle disposition québécoise relative à la portabilité des données
Amir Kashdaran
2024-10-08 11:15:20
Le 22 septembre dernier, la nouvelle disposition québécoise relative à la portabilité des données est entrée en vigueur.
Elle impose des obligations supplémentaires aux entreprises assujetties à la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi du Québec sur la protection de la vie privée »).
Cette disposition relative à la portabilité des données a été introduite par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (parfois appelée « Loi 25 »), modifiant la Loi du Québec sur la protection de la vie privée. La Loi 25 a introduit diverses modifications à la Loi du Québec sur la protection de la vie privée qui devaient prendre effet en trois phases.
La première phase concernant les obligations prévues par la Loi 25 a pris effet le 22 septembre 2022. Une deuxième phase a suivi le 22 septembre 2023. Cette année, à compter du 22 septembre 2024, la troisième et dernière phase des modifications à la Loi du Québec sur la protection de la vie privée prévues par la Loi 25, qui portent sur la disposition relative à la portabilité des données, prendra effet.
Dans le présent article, nous vous présenterons les exigences prévues par cette nouvelle disposition imposées au secteur privé par la Loi du Québec sur la protection de la vie privée, ce qui vous permettra de prendre les mesures de conformité appropriées.
Voici ce qu’il en est.
1. Quel est le fondement juridique de la nouvelle disposition relative à la portabilité des données dans le secteur privé?
Voici le texte du nouvel article 27 de la Loi du Québec sur la protection de la vie privée, qui est le fondement juridique de cette nouvelle disposition : Toute personne qui exploite une entreprise et détient un renseignement personnel sur autrui doit, à la demande de la personne concernée, lui en confirmer l’existence et lui donner communication de ce renseignement en lui permettant d’en obtenir une copie.
À la demande du requérant, un renseignement personnel informatisé doit être communiqué sous la forme d’une transcription écrite et intelligible. À moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès du requérant, et non pas créé ou inféré à partir d’un renseignement personnel le concernant, lui est, à sa demande, communiqué dans un format technologique structuré et couramment utilisé.
Ce renseignement est aussi communiqué à sa demande à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement. Lorsque le requérant est une personne handicapée, des mesures d’accommodement raisonnables doivent être prises, sur demande, pour lui permettre d’exercer le droit d’accès prévu par la présente section. Maintenant, décortiquons cette disposition.
2. Qui est assujetti à la disposition relative à la portabilité? La nouvelle disposition relative à la portabilité s’applique à « toute personne qui exploite une entreprise » qui détient un renseignement personnel sur autrui.
La notion de « toute personne qui exploite une entreprise » est définie de façon large dans les lois du Québec. Essentiellement, l’article 1525 du Code civil du Québec stipule que « (c)onstitue l’exploitation d’une entreprise l’exercice, par une ou plusieurs personnes, d’une activité économique organisée, qu’elle soit ou non à caractère commercial, consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de services ».
Autrement dit, si vous faites des affaires au Québec ou que vous y exercez des activités, à caractère commercial ou non, et que vous détenez un renseignement personnel sur une personne, vous devrez vous conformer à la nouvelle disposition relative à la portabilité.
3. Qu’est-ce que le droit à la portabilité des données? Le droit à la portabilité des données signifie que toute personne peut demander à une organisation : de confirmer l’existence de ses renseignements personnels; d’exiger que ses renseignements personnels lui soient communiqués; de lui permettre d’obtenir une copie de ses renseignements personnels.
Le droit à la portabilité des données permet aux personnes d’avoir le contrôle de leurs renseignements personnels, ce qui leur permet de demander qu’ils leur soient communiqués et de les recevoir.
4. Les tiers sont-ils autorisés à recevoir une communication d’un renseignement personnel? L’article 27 de la Loi du Québec sur la protection de la vie privée précise qu’un renseignement personnel sur une personne est communiqué à la demande de celle-ci « à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement ».
Par conséquent, selon une interprétation large, la personne autorisée à recevoir des données comprend des tiers tels que le conjoint ou la conjointe d’une personne, un membre de sa famille ou d’autres personnes qu’elle désigne, ainsi que tout organisme gouvernemental autorisé par la loi à recueillir des renseignements personnels de la personne.
5. Quel type de renseignement personnel est assujetti aux droits à la portabilité des données? La nouvelle disposition relative à la portabilité précise qu’un « renseignement personnel informatisé » qui est « recueilli auprès du requérant » et qui n’est « pas créé ou inféré à partir d’un renseignement personnel » de la personne est assujetti aux droits à la portabilité. Penchons-nous sur chacun des éléments requis.
a) Renseignement personnel informatisé Le premier élément dont il faut tenir compte est que les droits à la portabilité concernent un « renseignement personnel informatisé ». Autrement dit, nous pouvons considérer que l’obligation de portabilité vise un renseignement personnel concernant une personne détenu dans des systèmes de technologies de l’information. De plus, puisque la loi utilise expressément le terme « informatisé » pour désigner le support sur lequel l’information est conservée, d’autres supports, comme un « document papier » ou des documents manuscrits contenant un renseignement pourraient être exclus.
b) Renseignement personnel recueilli auprès du requérant Le deuxième élément dont il faut tenir compte est que le renseignement personnel informatisé doit avoir été recueilli « auprès du requérant ». Ainsi, une personne peut présenter une demande relative à la portabilité des données portant sur un renseignement personnel informatisé qu’elle a fourni à l’organisation, soit manuellement, soit par des moyens automatisés.
c) Le renseignement est créé ou inféré par l’organisation Le troisième élément dont il faut tenir compte est que tout renseignement « créé ou inféré » par l’organisation au moyen de renseignements personnels est expressément exclu. Autrement dit, une personne peut seulement demander à une organisation de lui fournir ses renseignements personnels informatisés dans leur état original.
Cette exclusion prévue par la loi vise à protéger les entreprises contre la communication de renseignements qui pourraient être considérés comme des renseignements commerciaux confidentiels, des secrets commerciaux ou, de façon plus générale, leur propriété intellectuelle.
5. Comment une organisation doit-elle communiquer à une personne un renseignement personnel? Le nouvel article 27 de la Loi du Québec sur la protection de la vie privée précise qu’une organisation doit communiquer un renseignement personnel informatisé d’une personne « sous la forme d’une transcription écrite et intelligible ».
Bien que cette loi ne définisse pas explicitement la notion de transcription écrite et intelligible, nous pouvons examiner les articles 19 et 23 de la Loi concernant le cadre juridique des technologies de l’information afin de mieux interpréter ces termes. Ainsi, nous pouvons conclure que le terme « écrit » renvoie à un renseignement accessible au moyen d’un document écrit et le terme « intelligible » renvoie à un renseignement qu’une personne peut comprendre. En somme, la Loi du Québec sur la protection de la vie privée exige que l’organisation communique un renseignement personnel d’une personne par écrit et d’une manière que cette personne peut comprendre.
6. Quel format l’organisation doit-elle utiliser pour communiquer un renseignement personnel d’une personne? La Loi du Québec sur la protection de la vie privée prévoit que les entreprises doivent communiquer un renseignement personnel d’une personne dans un « format technologique structuré » et « couramment utilisé ».
Le droit ne définit pas explicitement les notions de « structuré », de « couramment utilisé » et de « format technologique ». Nous pouvons donc nous tourner vers des lois comparables sur la protection des renseignements personnels pour en interpréter le sens. Voici ce qu’indique l’Information Commissioner’s Office (bureau du commissaire à l’information) du Royaume-Uni : (Traduction) « Lorsqu’aucun format particulier n’est couramment utilisé dans votre industrie ou votre secteur, vous devriez fournir des données personnelles au moyen de formats ouverts comme CSV, XML et JSON. Il se peut également que ces formats soient les plus faciles à utiliser pour répondre aux demandes relatives à la portabilité des données. »
À ce titre, les entreprises pourraient utiliser les formats CSV, XML et JSON à titre de formats généralement accessibles pour communiquer un renseignement personnel d’une personne. La notion de « structuré » pourrait faire référence à un renseignement auquel des personnes ont facilement accès et qu’elles peuvent traiter facilement lorsque des éléments de données sont clairement définis et séparés.
La notion de format « couramment utilisé » pourrait faire référence à un format de fichier auquel le public a facilement accès, qui est largement adopté et qui n’exigerait pas d’outils spécialisés pour y accéder. Nous pouvons également nous inspirer de la notion de format « lisible par machine » utilisée dans le cadre du Règlement général sur la protection des données en Europe, qui fait référence à un format qui peut être facilement analysé par un ordinateur et qui est interopérable avec d’autres systèmes technologiques.
En somme, nous pourrions dire qu’une organisation doit communiquer un renseignement personnel d’une personne au moyen d’un format de fichier facilement accessible au grand public, dans lequel les éléments de données sont structurés et qui permet aux personnes d’accéder à leurs renseignements personnels sans avoir besoin d’utiliser des logiciels ou des outils spécialisés.
7. Les organisations peuvent-elles refuser de communiquer un renseignement personnel à la suite d’une demande relative à la portabilité des données? Dans certaines circonstances, les organisations peuvent refuser de répondre à la demande relative à la portabilité des données d’une personne, en particulier lorsque cela « soulève de graves difficultés pratiques ».
Ainsi, si une organisation devait engager des coûts importants ou si d’importantes complexités lui étaient posées pour la communication du renseignement personnel d’une personne dans un format technologique structuré et couramment utilisé, elle pourrait refuser de répondre à la demande relative à la portabilité des données. Toutefois, en cas de plainte, il incombera aux organisations de démontrer que les coûts ou les complexités étaient une justification suffisante de leur décision de refuser de répondre à la demande relative à la portabilité des données d’une personne.
Les organisations pourraient également s’appuyer sur toute exception applicable au droit d’une personne d’accéder à son renseignement. Par exemple, une organisation pourrait refuser l’accès à un renseignement dont la communication révélerait vraisemblablement l’identité d’un tiers qui n’y a pas consenti, lui causerait un préjudice grave, aurait une incidence sur des procédures judiciaires en cours ou lorsque la demande est manifestement infondée, excessive ou abusive.
9. Y a-t-il des restrictions qui pourraient s’appliquer aux droits à la portabilité? Nous pourrions raisonnablement relever quelques cas où des restrictions peuvent s’appliquer à l’exercice par une personne de ses droits à la portabilité des données, particulièrement lorsqu’il s’agit de données anonymes et de renseignements qui relèvent du domaine des renseignements exclusifs d’une société.
En ce qui concerne les données anonymes, puisque les renseignements ne permettent plus d’identifier une personne ou ne sont plus liés à une personne identifiable, ils ne sont plus portables. De plus, un renseignement qui a été considérablement transformé ou créé d’une manière qui fait intervenir des droits de propriété intellectuelle peut être exclu du droit à la portabilité pour protéger les droits de l’entreprise.
Les organisations doivent veiller à équilibrer leurs obligations en matière de protection de la vie privée et la protection de leurs intérêts à titre de propriétaire en gardant à l’esprit que l’existence de droits de propriété intellectuelle pourrait être insuffisante à titre d’argument « général » pour priver une personne de ses droits à la portabilité. La loi exempte expressément les organisations de la communication d’un renseignement qui a été « créé » ou « inféré » à partir des renseignements personnels d’une personne.
Toutefois, l’exclusion ne s’étend pas nécessairement aux renseignements personnels qui sous-tendent le renseignement créé ou inféré. Conclusion En conclusion, la nouvelle disposition québécoise relative à la portabilité des données marque un changement important dans la façon dont les renseignements personnels sont traités dans la province.
En donnant aux personnes le droit d’accéder à leurs données et de les transférer, la Loi du Québec sur la protection de la vie privée renforce l’importance de la transparence et du contrôle des renseignements personnels. Pour les entreprises, cette loi impose de nouvelles obligations qu’elles ne doivent pas négliger. Le respect de cette législation est non seulement une nécessité juridique, mais aussi une étape cruciale pour établir un lien de confiance avec vos clients.
Les organisations qui exercent leurs activités au Québec ou qui sont assujetties à la Loi du Québec sur la protection de la vie privée devraient prendre le temps de comprendre leurs nouvelles obligations en matière de portabilité des données et de mettre à jour leurs pratiques de gestion des données en conséquence.
Cela leur permettra non seulement de respecter leurs obligations légales, mais aussi de renforcer leur position en matière de protection de la vie privée en tant que gardiens responsables des renseignements personnels.
À propos de l’auteur
Amir Kashdaran est associé chez McMillan, il possède plus de 17 ans d’expérience et offre une gamme complète de services-conseils juridiques à des sociétés nationales et internationales, et ce, dans divers domaines, dont : technologies, propriété intellectuelle, vie privée et protection des données, ainsi que droit commercial.
