Droit à la portabilité : votre organisation est-elle prête?

Qu’est-ce que le droit à la portabilité?

Cette nouvelle obligation s’inspire du Règlement général sur la protection des données (RGPD) adopté en Europe. Elle permet aux personnes concernées par les renseignements personnels détenus par une organisation de recevoir « dans un format technologique structuré et couramment utilisé » les renseignements personnels informatisés qui ont été recueillis par l’organisation auprès de cette personne concernée. 

En exerçant son droit à la portabilité, le requérant peut obtenir dans un format technologique les renseignements personnels qu’une organisation aurait recueillis par voie électronique, notamment pour faciliter ses démarches lorsqu’il désire retenir les services d’une autre organisation et permettre l’interopérabilité des systèmes. À titre d’exemple et sous réserve de l’application des lois sectorielles, une personne pourrait exercer son droit à la portabilité pour la création d’un compte bancaire auprès d’une nouvelle institution financière, en demandant à une ancienne banque de lui fournir tous les renseignements personnels électroniques communiqués lors de la création du premier compte, conformément aux lois provinciales et fédérales applicables. Un candidat à un emploi pourrait également demander à ce que les renseignements personnels qu’il a fournis via un formulaire en ligne lui soient communiqués.  

Le droit à la portabilité existe en complément au mécanisme usuel de demande d’accès aux renseignements personnels prévus par la loi 25. Effectivement, depuis l’entrée en vigueur en septembre 2023 des modifications à la Loi sur la protection des renseignements personnels dans le secteur privé, les personnes concernées peuvent avoir accès à ce type de renseignements personnels sous la forme d’une transcription écrite et intelligible. . 

Quels renseignements personnels peuvent faire l’objet du droit à la portabilité?

Pour faire l’objet du droit à la portabilité, les renseignements personnels doivent : 

• avoir été recueillis auprès de la personne qui exerce son droit à la portabilité;  
• être sur un support informatique. Ainsi, les renseignements personnels qui sont sur un support physique comme un formulaire papier ou des notes manuscrites ne peuvent faire l’objet du droit à la portabilité; 
• exclure les renseignements personnels qui ont été créés ou inférés à partir de renseignements fournis.  . 

À titre d’exemple, des renseignements personnels fournis par un consommateur qui effectue l’achat de vêtements en ligne, comme son adresse de livraison, son adresse courriel, son nom et ses coordonnées bancaires, sont tous des renseignements personnels soumis au droit à la portabilité. Cependant, des renseignements personnels tels que la taille d’une personne ou encore son sexe, qui pourraient être inférés des renseignements personnels fournis pour une commande en ligne de vêtements, ne peuvent faire l’objet du droit à la portabilité. Au même titre, si l’entreprise a conçu un système sophistiqué de catégorisation d’acheteurs, la catégorie à laquelle appartient cet acheteur ne serait pas à communiquer.  

Comment exercer son droit à la portabilité?

Sur demande de la personne concernée, toute organisation qui détient des renseignements personnels informatisés répondant aux critères susmentionnés doit, dans les 30 jours d’une demande écrite de cette personne, les fournir dans un « format technologique structuré et couramment utilisé ». Ce concept n’est pas expressément décrit dans la loi québécoise, mais pourrait être interprété de façon similaire au RGPD et de la même manière que le gouvernement du Québec l’applique pour les organismes publics. Ainsi, le format des données, en l’absence d’une directive claire de la Commission d’accès à l’information (CAI), pourrait être XML, JSON ou CSV, et un « format structuré et couramment utilisé » pourrait permettre à la personne concernée de réutiliser ses renseignements personnels pour un autre service ou de les fournir à une autre organisation. 

Quelle est la limite au droit à la portabilité?

Une organisation pourrait refuser de faire droit à une demande de portabilité dans le cas où celle-ci mènerait à des difficultés pratiques et sérieuses, par exemple si le transfert des renseignements personnels vers un format technologique structuré s’avérait trop complexe. Cette exception n’est pas détaillée dans la loi et pourrait faire l’objet de lignes directrices de la part de la Commission d’accès à l’information. Celle-ci mentionne notamment sur son site Web qu’il s’agit d’une question de cas par cas, et donne l’exemple où la CAI a déjà jugé que les coûts importants engendrés pour donner suite à une demande poseraient une difficulté pratique sérieuse.  

Comment votre organisation peut-elle se conformer au droit à la portabilité?

Afin d’être prêt à répondre aux demandes des personnes concernées faisant valoir le droit à la portabilité de leurs renseignements personnels, il serait avisé:  

• de vous assurer, si ce n’est pas déjà fait, que vos politiques de confidentialité sont à jour, indiquent qui contacter au sein de votre organisation et comprennent les modalités de l’exercice du droit à la portabilité; 
• d’être en mesure de distinguer les renseignements personnels informatisés que vous détenez qui ont été recueillis auprès du requérant de ceux qui sont inférés à partir de renseignements personnels le concernant;  
• d’avoir les outils technologiques requis pour permettre la communication de ces renseignements personnels dans un format technologique structuré et couramment utilisé; 
• le cas échéant, de pouvoir expliquer aux personnes concernées que vous n’êtes pas en mesure de faire droit à leur demande de portabilité pour des raisons de difficultés sérieuses et pratiques. 

Les organisations doivent répondre aux demandes de droit à la portabilité dans les 30 jours suivant leur réception, à défaut de quoi elles seront réputées avoir refusé d’y acquiescer et, possiblement, se verront faire l’objet d’une demande de mésentente auprès de la Commission d’accès à l’information.