De récentes modifications à la législation québécoise sur la protection des renseignements personnels ont créé de nouvelles obligations pour les entreprises, notamment en matière de portabilité des données. Les nouvelles dispositions, introduites par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, qui modifie entre autres la Loi sur la protection des renseignements personnels dans le secteur privé, s’inscrivent dans la dernière phase de la réforme du cadre législatif visant à renforcer la protection de la vie privée au Québec. L’une des principales nouveautés concerne le droit à la portabilité des données, en précisant les obligations qui incombent désormais aux entreprises lorsqu’elles traitent des renseignements personnels informatisés.

Principales modifications

L’article 27 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québecprécise de quelle façon les entreprises doivent traiter les demandes des particuliers qui souhaitent accéder à leurs renseignements personnels. En vigueur depuis le 22 septembre 2024, le texte modifié de l’article 27 se lit comme suit :

« Toute personne qui exploite une entreprise et détient un renseignement personnel sur autrui doit, à la demande de la personne concernée, lui en confirmer l’existence et lui donner communication de ce renseignement en lui permettant d’en obtenir une copie.

À la demande du requérant, un renseignement personnel informatisé doit être communiqué sous la forme d’une transcription écrite et intelligible.

À moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès du requérant, et non pas créé ou inféré à partir d’un renseignement personnel le concernant, lui est, à sa demande, communiqué dans un format technologique structuré et couramment utilisé. Ce renseignement est aussi communiqué à sa demande à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement.

Lorsque le requérant est une personne handicapée, des mesures d’accommodement raisonnables doivent être prises, sur demande, pour lui permettre d’exercer le droit d’accès prévu par la présente section. »

Comme c’était le cas auparavant, lorsque les informations sont informatisées, les entreprises doivent les communiquer sous la forme d’une transcription écrite et intelligible. Les modifications apportées à la loi obligent désormais les organisations à communiquer les renseignements personnels informatisés dans un format technologique structuré et couramment utilisé permettant de les partager avec d’autres organisations ou individus, si la personne concernée le demande et si cela ne soulève pas de difficultés pratiques sérieuses. Une personne peut également demander que les renseignements visés soient communiqués à toute personne ou à tout organisme autorisé par la loi à recueillir de tels renseignements.

Ces modifications facilitent l’interopérabilité en exigeant des organisations qu’elles transfèrent les données dans un « format technologique structuré et couramment utilisé », ce qui permet aux individus de mieux contrôler leurs données et de transférer plus facilement leurs renseignements personnels.

Voici quelques considérations clés en lien avec ce qui précède :

  1. Portée du droit à la portabilité des données

Le droit à la portabilité des données n’est pas absolu. Pour que les nouvelles obligations en matière de portabilité s’appliquent, les demandes doivent porter sur des renseignements qui remplissent les critères suivants :

  1. Ils sont informatisés;
  2. Il s’agit de renseignements personnels; et
  3. Ils ont été recueillis directement auprès de la personne concernée.

Les modifications législatives excluent explicitement les renseignements personnels qui sont « créés ou inférés » par l’organisation, limitant ainsi les types de renseignements soumis au droit à la portabilité. Cette exclusion vise probablement à protéger la propriété intellectuelle ou les renseignements exclusifs générés par les entreprises, par exemple, les profils de clients qu’elles créent : ces profils ne seraient pas couverts par le nouveau droit à la portabilité, mais les données sous-jacentes ayant permis de constituer ces profils pourraient bien l’être. Par ailleurs, les renseignements anonymisés, c’est-à-dire rendus anonymes en vertu du règlement d’application de la Loi sur la protection des renseignements personnels dans le secteur privé, ne seront pas soumis au droit à la portabilité.

La portée du droit à la portabilité est également restreinte par une disposition permettant à une organisation de refuser de répondre à une demande si la satisfaction de celle-ci soulève des « difficultés pratiques sérieuses ». Cette disposition accorde une certaine souplesse aux entreprises, qui peuvent ainsi évaluer et gérer les demandes au cas par cas. Toutefois, la Loi sur la protection des renseignements personnels dans le secteur privé du Québec ne définit pas précisément ce qui constitue des « difficultés pratiques sérieuses », laissant place à l’interprétation (on peut penser que cela concerne des coûts de traitement trop élevés ou des complexités techniques importantes). En cas de désaccord, si le demandeur dépose une plainte à l’organisme de réglementation, il incombe à l’organisation de démontrer la nature des difficultés et les répercussions que ces dernières lui causent.

2. Comprendre l’obligation de communiquer les renseignements dans un « format technologique structuré et couramment utilisé »

Le cœur de la nouvelle exigence en matière de portabilité des données repose sur l’obligation de fournir les renseignements dans un « format technologique structuré et couramment utilisé ». Des modifications similaires ont été apportées à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (la « Loi sur l’accès ») du Québec, imposant aux organismes publics québécois de communiquer les renseignements personnels informatisés dans un format répondant aux mêmes critères, à moins que cela ne présente des difficultés importantes.

Cette harmonisation entre les secteurs public et privé vise à renforcer le principe d’interopérabilité et à faciliter le transfert des données. Bien que l’expression « format structuré et couramment utilisé » ne soit pas clairement définie, le gouvernement du Québec a publié des lignes directrices à ce sujet, lesquelles encouragent l’utilisation de formats reconnus et compatibles avec les logiciels usuels, tels que CSV, XML ou JSON. À l’inverse, les formats difficiles à traiter, comme un PDF, ou les formats propriétaires impliquant l’acquisition d’un logiciel ou d’une licence ne sont pas jugés conformes[1].

Cette obligation s’inspire des principes de portabilité des données que l’on trouve à l’article 20 du Règlement général sur la protection des données (RGPD) de l’Union européenne, qui accorde aux personnes concernées le droit de recevoir les données à caractère personnel les concernant dans un format structuré, couramment utilisé et lisible par machine. Le RGPD ne définit pas clairement le concept de « données structurées », mais l’Information Commissioner’s Office (ICO) du Royaume-Uni et la Commission nationale de l’informatique et des libertés (CNIL) de France ont publié des lignes directrices qui apportent quelques éclaircissements. Les « données structurées » facilitent le transfert et améliorent la convivialité, car elles sont organisées de manière à permettre aux logiciels d’extraire facilement des éléments précis. Selon l’ICO, les données structurées sont des renseignements organisés de manière à rendre explicites les relations entre les différents éléments, facilitant ainsi leur traitement et leur utilisation par différents systèmes. La CNIL, quant à elle, souligne que les formats de données doivent être adaptés au type de données concernées, en privilégiant les formats ouverts et interopérables.

Les organisations doivent donc tenir compte du droit à la portabilité des données lors de la mise en place de systèmes et de processus. Par exemple, si vous envisagez de mettre en œuvre un nouveau système dans le cadre duquel vous serez appelés à traiter des renseignements personnels, vous devez évaluer les répercussions que cela aura sur la vie privée des personnes concernées, ainsi que la capacité du nouveau système de traiter et de stocker les renseignements dans l’un des « formats technologiques structurés et couramment utilisés ». Si le format de votre système est un format propriétaire ou si le système traite les données d’une manière qui les rend inaccessibles, votre organisation pourrait ne pas être conforme à la législation.

3. Communication à un tiers

Un autre élément clé du droit à la portabilité des données est la possibilité pour la personne concernée de demander que ses renseignements personnels soient communiqués à toute personne ou à tout organisme « autorisé par la loi » à les recueillir (si votre organisation est appelée à transférer des renseignements personnels à un tiers, vous devez vous assurer que le destinataire est légalement autorisé à les recueillir). Au Québec, la législation sur la protection des renseignements personnels impose des exigences juridiques précises que le destinataire doit respecter, comme le stipule le guide du gouvernement du Québec sur le droit à la portabilité[2].

Par exemple, en vertu de la Loi sur l’accès, les organismes publics ne peuvent recueillir des renseignements personnels que s’ils sont nécessaires à l’exercice de leurs fonctions ou à la mise en œuvre d’un programme dont ils ont la gestion. Ainsi, toute organisation à qui une personne demande de transférer ses renseignements à une entité du secteur public doit s’assurer que cette collecte respecte ces critères (ce principe s’applique également aux entités du secteur public elles-mêmes).

Les organisations, y compris celles du secteur privé, régies par la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, doivent également justifier la collecte de renseignements pour des motifs « sérieux et légitimes » et les données recueillies doivent être nécessaires aux fins identifiées avant la collecte. Lorsqu’une demande de portabilité est effectuée, l’organisation concernée doit vérifier que l’entité destinataire respecte ces conditions.

En outre, les organisations effectuant des transferts de renseignements personnels à la suite d’une demande de portabilité doivent également tenir compte des exigences de l’article 37 du Code civil du Québec, en vertu duquel une personne qui collecte de renseignements sur une autre personne doit avoir un intérêt sérieux et légitime pour le faire et qu’elle ne peut recueillir que les renseignements pertinents à l’objet déclaré.

Concrètement, cela signifie qu’avant de transférer des renseignements personnels à un tiers, l’organisation qui les communique doit s’assurer que le destinataire a légalement le droit de recueillir les données. Toutefois, selon la Commission d’accès à l’information du Québec (la « Commission »), la responsabilité d’évaluer la pertinence et la nécessité des renseignements incombe principalement à l’organisation destinataire[3]. Cet aspect reste ambigu et pourrait faire l’objet de clarifications par les autorités compétentes ou les tribunaux.

4. Traitement des demandes de portabilité des données

Pour traiter efficacement les demandes de portabilité des données, les organisations doivent mettre en place un processus structuré et conforme aux obligations légales en matière de protection des renseignements personnels. Le traitement des demandes d’accès aux renseignements personnels informatisés dans un format technologique structuré et couramment utilisé suit les mêmes règles que pour toute autre demande d’accès ou de rectification. Le délai de réponse est de 30 jours et si la personne concernée n’est pas satisfaite de la réponse, elle peut soumettre une demande de révision à la Commission.

Voici les principales étapes pour traiter les demandes de portabilité des données :

Vérification de l’identité du demandeur

Avant d’entamer le traitement d’une demande de portabilité, il est essentiel de vérifier l’identité du demandeur. Cette étape vise à garantir que les renseignements personnels ne sont communiqués qu’à la personne concernée ou à une personne ou un organisme autorisé par la loi. Les organisations doivent établir des protocoles clairs pour la vérification de l’identité.

Évaluation de la faisabilité et du format

Il est ensuite nécessaire de déterminer si répondre à la demande entraîne des difficultés pratiques sérieuses, telles que des coûts excessifs ou des contraintes techniques. Par ailleurs, il convient de choisir le format structuré et couramment utilisé le plus approprié (p. ex, CSV, XML ou JSON), afin de garantir que les données peuvent être facilement transférées à l’entité désignée par le demandeur.

Mise en œuvre de mesures de sécurité

Tout au long du processus, les organisations doivent prendre des mesures pour garantir la sécurité du traitement et du transfert des données à caractère personnel. Tout risque potentiel en matière de sécurité doit être identifié et atténué afin d’empêcher tout accès non autorisé à des renseignements personnels.

5. Choix du format

Dans le contexte de la portabilité des données, une question importante se pose : le demandeur peut-il exiger un format spécifique pour ses données ou l’organisation est-elle en droit de fournir les renseignements dans un format qui correspond mieux à ses processus internes?

En vertu de certaines lois québécoises, telles que la Loi concernant le cadre juridique des technologies de l’information et la Loi sur l’accès, la personne exerçant son droit d’accès à l’information peut généralement obtenir une copie des documents dans le format de son choix. En effet, l’article 23 de la Loi concernant le cadre juridique des technologies de l’information reprend essentiellement la règle énoncée à l’article 10 de la Loi sur l’accès, précisant que les désirs du demandeur en matière de format ou de technologie doivent être pris en compte, sauf si cela entraîne des difficultés pratiques sérieuses, telles que des coûts élevés ou des contraintes liées au transfert d’information.

Bien que l’article 27 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québecne soit pas exactement équivalent aux dispositions mentionnées ci-dessus concernant le choix du format, et que les tribunaux québécois n’aient pas encore clarifié leur position sur ce point en particulier, il est probable que des règles similaires s’appliquent. Le choix du format par la personne pourrait donc être limité par des critères de faisabilité pratique. Ce principe a été établi par le législateur pour éviter les situations où le format demandé pourrait causer une charge disproportionnée pour l’organisation.

Implications pratiques pour les entreprises

Si votre entreprise exerce des activités au Québec, il est recommandé de revoir vos pratiques actuelles en matière de gestion des données et de vous assurer de respecter les nouvelles obligations en matière de portabilité des données de la province. Voici les éléments clés à prendre en compte :

  • Privilégier les formats ouverts : Les entreprises devraient privilégier des formats ouverts et interopérables de types CSV, XML et JSON pour le stockage et le transfert des données. Il convient d’éviter les formats propriétaires dont l’utilisation implique l’acquisition d’un logiciel ou d’une licence payante.
  • Faire l’inventaire des données personnelles détenues ou collectées : Évaluez les types de données personnelles que votre organisation détient ou collecte, ainsi que la manière dont ces données sont stockées, et établissez si elles sont visées par les critères de portabilité des données. Cet exercice vous permettra ainsi d’établir comment répondre rapidement aux demandes en vertu du droit à la portabilité.
  • Évaluer les difficultés pratiques que l’exercice du droit à la portabilité pourrait soulever : Bien que votre organisation peut refuser de répondre à une demande qui présente des difficultés pratiques sérieuses, l’invocation d’un tel motif doit être clairement documentée et les difficultés pratiques soulevées doivent être justifiables au regard de la loi.
  • Respecter les délais : Comme pour les autres droits individuels prévus par la Loi sur la protection des renseignements personnels du Québec, les entreprises doivent répondre aux demandes de portabilité des données dans un délai de 30 jours. Ce délai ne peut pas être prolongé.

Pour obtenir de plus amples renseignements au sujet de ce qui précède, veuillez communiquer avec les auteures, Kirsten Thompson et Jaime Cardy, ou avec un membre du groupe Protection des renseignements personnels et cybersécurité de Dentons. Les auteures tiennent à remercier Charles Giroux, stagiaire en droit au bureau de Montréal, qui a grandement contribué à la rédaction de cet article.

[1] Gouvernement du Québec (2024), Droit à la portabilité [En ligne] : https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/acces-aux-renseignements-personnels/droit-portabilite. Consulté le 3 septembre 2024.

[2] Ibid.

[3] Commission d’accès à l’information, Responsabilité des entreprises : Communiquer des renseignements dans un format technologique [En ligne] : https://www.cai.gouv.qc.ca/protection-renseignements-personnels/information-entreprises-privees/responsable-protection-renseignements-personnels-entreprise#portabilite. Consulté le 3 septembre 2024.

Subscribe and stay updated
Receive our latest blog posts by email.
Stay in Touch
Kirsten Thompson

About Kirsten Thompson

Kirsten Thompson is a partner and the national lead of Dentons’ Privacy and Cybersecurity group. She has both an advisory and advocacy practice, and provides privacy, data security and data management advice to clients in a wide variety of industries.

Full bio

Jaime Cardy

About Jaime Cardy

Jaime Cardy is a senior associate in the Privacy and Cybersecurity group in Dentons’ Toronto office. She has particular expertise in providing risk management and compliance advice under various legislative privacy regimes, including in both the public and healthcare sectors.

Full bio

RELATED POSTS