La Loi 25 n’a pas dit son dernier mot : des réponses à vos questions sur le droit à la portabilité des données au Québec

Pour être valide, une demande concernant le droit à la portabilité des données doit viser (i) des renseignements personnels informatisés qui (ii) ont été recueillis par l’organisation auprès de la personne directement concernée.

• Renseignements personnels informatisés

La notion de « renseignement personnel informatisé » désigne les renseignements personnels conservés sur un support faisant appel aux technologies de l’information². On exclut donc les renseignements recueillis exclusivement en format papier.

Cette notion peut viser autant des renseignements qui ont été téléversés par l’individu dans un dossier électronique que des renseignements générés par son activité en ligne, comme un historique d’achats ou de déplacements.

• Renseignements recueillis par l’organisation auprès de la personne directement concernée

Les renseignements recueillis par l’organisation auprès de la personne concernée comprennent des renseignements fournis directement par l’individu ou des renseignements recueillis de façon automatisée à l’aide de certaines technologies, comme des caméras de surveillance et des enregistrements audio. Le droit à la portabilité ne s’applique donc pas aux :

• Renseignements personnels recueillis auprès de tiers, par exemple un partenaire d’affaires, un fournisseur de services, voire une base de données publiques (ex. : Registre des entreprises du Québec).
• Renseignements personnels créés ou inférés par l’organisation à partir de renseignements personnels de l’individu, comme un profil de consommateur ou une cote de crédit. Cette exclusion constitue une protection pour certains actifs informationnels confidentiels, dont la divulgation pourrait entraîner la perte d’un avantage concurrentiel pour l’organisation³.

Pour se conformer au droit à la portabilité, une organisation doit fournir les renseignements personnels informatisés dans un format :

• technologique;
• structuré;
• couramment utilisé.

Une organisation peut donner suite à une demande de portabilité en transmettant directement les renseignements demandés à la personne concernée (ou au tiers autorisé) ou en donnant accès à un outil automatisé qui lui permet d’extraire elle-même les renseignements demandés (pensez au compte en ligne d’un client, par exemple).

La notion de « format technologique, structuré et couramment utilisé » n’est pas explicitement définie dans la législation québécoise. Toutefois, considérant l’influence indéniable sur la Loi 25 du Règlement général sur la protection des données (« RGPD ») de l’Union européenne, l’interprétation du droit à la portabilité des données sous le RGPD peut nous fournir certaines pistes de réflexion.  Ainsi, l’ancien Groupe de travail Article 29 a publié des directives dans lesquelles il définit le droit à la portabilité comme étant une :

« […] série d’exigences minimales qui devraient faciliter l’interopérabilité du format de données fourni par le responsable du traitement. En ce sens, les termes « structuré, couramment utilisé et lisible par machine » donnent des précisions sur les moyens, tandis que l’interopérabilité est le résultat escompté. »

Sur son site Web, l’autorité de la protection des données en France, la Commission nationale de l’informatique et des libertés (« CNIL »), précise que les formats ouverts tels que CSV, XML et JSON sont les mieux adaptés à la portabilité des données, à plus forte raison lorsqu’accompagnés de métadonnées utiles à la compréhension de leur signification. En revanche, un format difficile à traiter, comme une image, un PDF ou un format dont l’utilisation implique l’acquisition d’un logiciel additionnel ou d’une licence payante ne sont pas a priori des formats adaptés pour l’exercice de ce droit.

Le choix du format approprié pour donner suite à une demande de portabilité revient entièrement à l’organisation qui traite la demande.

Oui, ce droit est disponible à toute personne au sujet de laquelle une organisation détient des renseignements personnels, y compris ses propres employés.

Une entreprise doit traiter une demande de portabilité dans les 30 jours suivant sa réception (article 32 Loi sur le secteur privé) tandis qu’un organisme public dispose de 20 jours, sous réserve d’un avis de prolongation de 10 jours maximum (article 98 Loi sur l’accès).

À défaut de répondre à la demande à l’intérieur du délai requis, l’organisation est réputée avoir refusé d’y acquiescer.

Le délai à l’intérieur duquel une organisation doit traiter une demande de portabilité peut être prolongé à condition de soumettre une demande à la CAI avant l’expiration du délai initial (article 46 de la Loi sur le secteur privé / article 137.1 de la Loi sur l’accès). Contrairement à d’autres lois canadiennes en matière de protection des renseignements personnels, aucune limite n’est fixée au Québec concernant le nombre total de jours pour lequel la CAI peut prolonger le délai.

L’organisation doit procéder à la vérification de l’identité du requérant (article 30 Loi sur le secteur privé / article 94 Loi sur l’accès). En effet, selon les exigences du droit d’accès, une demande de portabilité ne peut être considérée que si elle est faite par écrit par une personne justifiant de son identité à titre de :

• personne concernée;
• représentant, héritier ou successible de cette dernière;
• liquidateur de succession;
• bénéficiaire d’assurance-vie ou d’indemnité de décès;
• titulaire de l’autorité parentale, même si l’enfant mineur est décédé;
• conjoint ou proche parent d’une personne décédée.

La personne concernée peut demander que ses renseignements personnels informatisés soient communiqués à toute personne ou organisme autorisé par la loi à recueillir ces renseignements. Or, la loi ne précise pas si le tiers doit s’appuyer sur une disposition particulière d’une loi l’autorisant à recueillir lesdits renseignements ou si le consentement du requérant suffit. Jusqu’à preuve du contraire, la notion de « tiers autorisés » doit donc être interprétée largement.

En outre, l’étendue de l’obligation de l’organisation qui traite la demande de portabilité quant à la licéité de la collecte des renseignements par le tiers indiqué par le requérant demeure incertaine. À notre avis, l’organisation doit faire preuve d’un minimum de diligence afin de s’assurer que les renseignements ne seront pas utilisés à des fins malveillantes. Il convient de rappeler que l’organisation demeure responsable des renseignements personnels sous sa garde ou son contrôle. Cette dernière pourrait ainsi enfreindre la loi et être tenue responsable si elle transmet les renseignements personnels à un tiers non autorisé, notamment s’il y a fraude ou usurpation d’identité.

Le droit à la portabilité, comme le droit d’accès qu’il complète, n’est pas absolu.

L’organisation saisie d’une demande en vertu de ce droit peut refuser de les communiquer pour les raisons suivantes :

• En présence de difficultés pratiques sérieuses

Lorsque la fourniture des renseignements dans un format technologique structuré et couramment utilisé soulève des difficultés pratiques sérieuses pour l’organisation qui reçoit la demande, cette dernière peut être exemptée de l’obligation de se conformer à cette exigence. De telles difficultés peuvent notamment résulter des coûts importants et/ou de la complexité que nécessite le transfert des renseignements vers le format approprié ou à un tiers. Une organisation qui invoque un tel motif doit être en mesure de faire la preuve de telles difficultés si jamais la demande devait être révisée par la CAI.

• Si une restriction au droit d’accès s’applique

Comme la portabilité constitue une extension du droit d’accès, les dispositions qui autorisent l’organisation à refuser l’accès à certains renseignements (art. 37 à 41 Loi sur le secteur privé / art. 86 à 88.1 Loi sur l’accès) sont applicables. Ce sera le cas, par exemple, lorsque la divulgation des renseignements est susceptible de révéler l’identité et de nuire sérieusement à un tiers n’y ayant pas consenti⁴ ou d’avoir une incidence sur une procédure judiciaire en cours⁵.

• Si la demande est manifestement abusive

La version actuelle et inchangée de l’article 46 de la Loi sur le secteur privé (article 137.1 Loi sur l’accès) permet aux organisations de refuser la portabilité si les demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, systématique ou non conforme à l’objet de la loi, à condition d’obtenir une autorisation de la CAI.Lorsque la demande est refusée, le responsable de la protection des renseignements personnels de l’organisation doit répondre par écrit, motiver le refus, indiquer la disposition sur laquelle le refus est fondé (le cas échéant), et informer la personne requérante des recours qui lui sont disponibles et du délai pour les exercer (article 34 Loi sur le secteur privé / article 50 Loi sur l’accès). Sur ce dernier point, l’entreprise doit informer le requérant de son droit de soumettre une demande d’examen de mésentente à la CAI dans les 30 jours suivant le refus d’accéder à la demande. Sur demande, le responsable de la protection des renseignements personnels doit également aider la personne requérante à comprendre les motifs du refus.

L’organisation qui refuse de faire droit à une demande de portabilité doit également conserver les renseignements visés le temps requis pour permettre à la personne concernée d’épuiser les recours prévus par la loi (article 36 Loi sur le secteur privé / article 52.1 Loi sur l’accès).

Si la demande de portabilité a été refusée ou si elle n’a pas été traitée dans le délai prescrit par la loi, la personne requérante peut déposer une demande d’examen de mésentente ou une demande de révision à la CAI (article 42  Loi sur le secteur privé / art. 135 Loi sur l’accès).

Il est possible de charger des frais raisonnables pour la transcription, la reproduction ou la transmission des renseignements (article 33 Loi sur le secteur privé / article 85 Loi sur l’accès). À noter que les frais exigés peuvent toutefois être contestés devant la CAI. L’organisation qui entend exiger des frais doit informer la personne requérante du montant approximatif exigible avant de procéder à la transcription, la reproduction ou la transmission de ces renseignements.

¹ Voir par exemple l’art. 20 du Règlement général sur la protection des données au sein de l’Union européenne et l’art. 1798.130(3)(b)(iii) du California Consumer Privacy Act aux États-Unis. Dans le projet de loi fédéral C-27, la Loi sur la protection de la vie privée des consommateurs (C-27), le droit à la « mobilité des renseignements personnels » est prévu à l’art. 72.

² Un rapprochement peut selon nous être fait entre la notion de renseignement personnel informatisé et celle de document technologique prévue par la Loi concernant le cadre juridique des technologies de l'information, RLRQ c. C-1.1, art. 3 al. 4.

³ Voir les échanges lors des débats parlementaires sur le projet de loi n° 64 à ce sujet.

⁴ Art. 40 Loi sur le secteur privé et art. 88 Loi sur l’accès.

⁵ À ce sujet, voir BLG, Gestion de demandes d’accès : une décision de la Commission d’accès à l’information riche en enseignements pour les entreprises.