Écrit par Caroline Poirier

Au Québec, à compter du 22 septembre 2024, le droit à la portabilité des données entrera en vigueur, marquant ainsi la dernière phase de la mise en œuvre des modifications à la Loi sur la protection des renseignements personnels dans le secteur privé (Loi) introduites dans la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25), mise en œuvre commencée en septembre 2022¹. Ce nouveau droit s’aligne sur les tendances mondiales qui mettent l’accent sur le contrôle individuel des renseignements personnels. Pour les entreprises qui exercent des activités au Québec, la compréhension du droit à la portabilité des données est essentielle, car ce droit impose des obligations importantes et sa compréhension est essentielle tant en matière de conformité que pour maintenir la confiance des clients.

Qu’est-ce que la portabilité des données?

En termes généraux, la portabilité des données permet aux personnes concernées de demander le transfert de leurs renseignements personnels, soit à elles-mêmes, soit à une autre organisation à leur demande. Ce droit permet aux consommateurs d’exercer un plus grand contrôle sur leurs données et facilite le changement de fournisseurs de services.

Voici les principaux facteurs à prendre en considération :

Quelles sont les exigences pour invoquer le droit à la portabilité des données?

1. Les renseignements personnels doivent être informatisés : les renseignements en format non numérique comme les dossiers papier ne sont pas visés par le droit à la portabilité. Bien que la loi ne définisse pas explicitement la notion de « renseignement personnel informatisé », la Commission d’accès à l’information les décrit comme étant des renseignements personnels organisés et structurés au moyen d’une technologie de l’information. 
2. Les renseignements personnels doivent avoir été recueillis auprès de la personne concernée : les données doivent être obtenues directement ou indirectement auprès de la personne concernée. Cela comprend les renseignements recueillis dans le cadre des activités d’une personne, comme son historique d’achats ou de déplacements et ses habitudes de conduite².

Qu’est-ce qui est exclu de la portabilité?

Certains types de renseignements ne sont pas visés par le droit à la portabilité :

• Les renseignements personnels inférés ou créés à partir de renseignements personnels, comme les profils utilisateur créés à partir de l’analyse de l’activité d’une personne sur le Web³ et le niveau de risque associé à une personne par sa compagnie d’assurance⁴.
• Information de tiers : Les renseignements personnels obtenus de sources tierces ne sont pas non plus visés par l’étendue de la portabilité.

Quelles sont les nouvelles obligations des fournisseurs de services en date du 22 septembre 2024?

À la demande d’une personne concernée, les fournisseurs de services doivent communiquer les renseignements personnels informatisés dans un format technologique structuré et couramment utilisé.

• Bien que cette notion ne soit pas explicitement définie dans la Loi, le gouvernement du Québec précise qu’un format est considéré comme étant « structuré et couramment utilisé » lorsque des applications logicielles d’usage courant peuvent facilement reconnaître et extraire l’information qui y est contenue. Les formats tels que CSV, XML et JSON sont considérés comme adaptés à la portabilité, tandis que les formats tels que les images, les PDF ou ceux dont l’utilisation implique l’acquisition d’un logiciel ou d’une licence payante ne le sont pas⁵.

Comment les fournisseurs de services peuvent-ils se préparer?

Pour se conformer aux exigences relatives à la portabilité des données, les fournisseurs de services devraient prendre les mesures suivantes :

• Inventorier leurs données : Comprendre quels renseignements personnels sont recueillis, comment ils sont stockés et s’ils sont visés par la portabilité. Cela permettra de simplifier les réponses aux demandes en vertu du droit à la portabilité.
• Élaborer un processus de transfert des données : Établir des procédures pour gérer les demandes en vertu du droit à la portabilité des données.
• Mettre en œuvre des mesures de sécurité : Le transfert de données peut exposer des renseignements sensibles à des risques. S’assurer que des protocoles rigoureux sont en place pour vérifier l’identité du destinataire et protéger les données pendant le processus de transfert.
• Former leur personnel : S’assurer que leurs employés connaissent bien les exigences relatives à la portabilité des données et qu’ils sont formés pour traiter les demandes conformément à la loi.

En comprenant les exigences relatives à la portabilité des données et en élaborant des processus robustes, les entreprises peuvent non seulement demeurer conformes à la législation, mais aussi établir des relations plus solides avec leurs clients, accroissant ainsi la confiance et la loyauté.

Nous remercions Alexia Armstrong, étudiante en droit, pour son aide dans la préparation de cet article.

Télécharger le PDF