Le 22 septembre prochain marque l’entrée en vigueur des dernières dispositions de la fameuse loi 25. À la différence des amendements précédents, ces nouvelles dispositions ne font pas qu’imposer de nouvelle obligation en matière de protection des renseignements personnels, mais visent aussi l’implantation d’un nouveau droit « technologique » pour l’entièreté des particuliers au Québec: le droit à la portabilité des données personnelles. Essentiellement, ce nouveau droit offrira la possibilité aux personnes dont les renseignements personnels sont concernés d’obtenir une copie de ces derniers dans un format facilitant leur transfert et leur réutilisation.
L’utilité ou l’objectif du droit à la portabilité
Le premier objectif attribué au droit à la portabilité en est souvent un d’ordre économique, soit favoriser la libre concurrence. En rendant les renseignements personnels facilement réutilisables par leur propriétaire, ce droit simplifie le processus de changement de fournisseurs de services, ce qui bénéficie aux consommateurs[1].
Il s’en dégage aussi un principe « d’autodétermination informationnelle »[2], alors que l’on vient renforcer le contrôle d’un individu sur ses renseignements personnels. Une personne pourrait récupérer ses données dans le but de les stocker et d’en faire un usage personnel ou encore, demander le transfert de ces renseignements à une autre entreprise ou organisme de son choix.
Certains diront que ce dernier principe de contrôle des renseignements personnels se rattache davantage aux objectifs des lois en protection des renseignements personnels que le premier objectif économique de la libre concurrence[3]. Il n’en demeure pas moins qu’il émerge de ces deux principes l’idée d’améliorer l’efficacité et la capacité du requérant à prendre possession de ses renseignements personnels et de les réutiliser comme bon lui semble. On pourrait y avoir un « droit d’accès 2.0 » ou encore, un prolongement davantage opérationnel de ce droit.
Comment un tel processus sera-t-il possible?
Les nouveaux libellés de la Loi sur la protection des renseignements personnels dans le domaine privé et dans le domaine public mentionnent que, sur demande de la personne concernée, les renseignements personnels devront être communiqués dans « un format technologique structuré et couramment utilisé »[4]. C’est ce format spécifique qui permet à une personne d’obtenir en un clic ou un envoi l’entièreté de ses renseignements concernés et de les transférer tout aussi facilement.
Les termes « structuré » et « couramment utilisé » peuvent apparaitre peu précis ou complexes à la première lecture, mais l’idée est simple. Le fichier contenant vos renseignements doit être facilement lisible par un ordinateur. Des logiciels d’usages doivent être en mesure de facilement reconnaitre et extraire les informations qui y sont contenues[5]. Il en ressort donc une idée « d’automatisation » du processus.
Alors concrètement, quels formats seront acceptés?
Pour respecter son obligation légale, une entreprise devrait vous fournir les renseignements personnels sous un format ouvert et interopérable tel que CSV, XML ou JSON[6]. Les données qui y sont contenues apparaissent sous forme de code et, bien qu’ils soient peu lisibles à l’œil nu, ces formats permettent à des systèmes de facilement communiquer entre eux. D’où l’utilité pour une personne d’obtenir les données sous un tel format et d’être en mesure de les stocker ou des transférer sans manipulation additionnelle de sa part.
Imaginons un peu, vous êtes en 2026 et les dispositions sur le droit à la portabilité sont maintenant en vigueur. Vous désirez changer de compagnie d’assurance. Votre nouvelle compagnie vous demande une liste importante de renseignements que vous avez déjà, par le passé, fourni à votre ancienne compagnie. À votre demande, votre ancienne compagnie vous remet la liste de vos renseignements dans un fichier PDF classique. Est-ce que cette dernière respecte ses obligations en matière de portabilité?
La réponse est non ! Un fichier PDF ne sera pas considéré comme un format « structuré » et « couramment » utilisé. Ce format étant trop difficile à traiter[7].
Attention! Vous serez toujours dans votre droit d’obtenir vos informations ou de les consulter dans un format PDF ou autre format de texte qui se prête davantage à la lecture. Le droit à la portabilité n’est qu’une option additionnelle s’offrant à vous.
J’ai une entreprise, quels renseignements sont visés par ce droit ?
Pour les personnes chargées de la mise en application de la loi au sein d’une organisation, une question importante est à se poser : quels sont les renseignements personnels visés par le droit à la portabilité? Bien que cette question apparaisse simple, il ne faut pas minimiser son importance. Bien identifier les renseignements personnels compris dans ce droit est à la base de tout, d’autant plus lorsqu’il est question d’implantation de systèmes informatiques.
À proprement parler, les nouvelles dispositions ne créent pas d’obligation pour les organisations d’adopter des systèmes de traitement techniquement compatibles avec les systèmes des autres organisations. Or, l’idée d’efficacité et d’interopérabilité derrière le droit à la portabilité encourage l’adoption de tels systèmes. On retrouve aussi dans les nouvelles dispositions une obligation pour les organisations de s’assurer que tout projet d’acquisition, de développement ou de refonte de système d’information ou de prestation électronique de services permette la communication d’un renseignement personnel dans un format structuré et couramment utilisé. C’est donc dire que les nouveaux systèmes devront permettent la mise en application du droit à la portabilité, ou du moins, permettre la communication des renseignements dans un format qui s’y conforme. C’est pourquoi il est important de cibler d’ores et déjà les renseignements qui devront être disponibles sous ce format.
Il ressort des nouveaux libellés trois critères :
- il doit s’agir de renseignements personnels qui concernent le demandeur;
- ces renseignements doivent avoir été recueillis auprès de la personne et;
- il doit s’agir de renseignements personnels informatisés.
Renseignement recueillis directement auprès de la personne
Ce deuxième critère requiert quelques précisions. C’est-à-dire qu’il doit s’agir de renseignements recueillis auprès de la personne et non des renseignements inférés ou créés à partir de renseignements personnels qui la concerne[8].
Des renseignements personnels sont recueillis « auprès de la personne » lorsqu’ils proviennent directement de cette dernière. On peut notamment penser à des renseignements fournis dans un formulaire électronique ou encore lors de la création d’un compte utilisateur.
Des renseignements peuvent aussi être recueillis indirectement auprès d’elle. On peut par exemple penser à un historique d’achat ou unhistorique de géolocalisation. Dans ces exemples, par ses activités ou son interaction avec un service, une personne fournit des renseignements personnels, mais sans nécessairement les avoir entrées d’elle-même dans l’application ou la plateforme. Ces renseignements proviennent tout de même directement de cette personne.
Par opposition, les renseignements personnels créés ou inférés à partir d’autres renseignements personnels ne proviennent pas directement de la personne et sont donc exclus du droit à la portabilité. Reprenons l’exemple de l’historique d’achats. Une personne achète un crayon et une règle à mesurer de la marque Staedtler. Un algorithme du site web détermine alors qu’elle est susceptible d’aimer un compas de la marque Staedtler. Cet algorithme détermine aussi que cette personne a un profil d’acheteur étudiant.
Son historique d’achat constitué de deux items achetés est un renseignement provenant directement de cette personne et est donc visé par le droit à la portabilité. Au contraire, le fait qu’elle soit susceptible d’aimer un compas de la marque Staedtler ou qu’elle soit identifiée comme étudiant ne sont pas des renseignements visés par le droit à la portabilité. Ces derniers étant inférés de son historique d’achat, il ne provienne pas directement de la personne.
Des renseignements personnels informatisés
Ce troisième critère des renseignements personnels informatisés est simple, mais demeure tout de même imprécis. Il est clair que des renseignements personnels collectés sur papier sont exclus de l’application du droit à la portabilité puisque ces derniers ne sont pas informatisés[9]. Mais qu’en est-il de ces renseignements une fois le document numérisé? Est-ce que tous ces renseignements qu’une entreprise détient en format numérisé seront visés par le droit à la portabilité? À la lecture de l’article, il apparaît que ce renseignement doit initialement être collecté sous un format informatisé.
À ce sujet, deux remarques supplémentaires s’imposent. La première étant que le droit à la portabilité n’impose pas à une organisation de conserver les renseignements personnels plus longtemps que ce que prévoit leur calendrier de conservation. Les vieux renseignements détenus par l’organisation qui peuvent être détruits selon leur calendrier de conservation n’ont donc pas à être inclus dans le droit à la portabilité. Deuxièmement, une exception importante est prévue pour les cas où le droit à la portabilité pose des difficultés de pratiques sérieuses.
L’entièreté de ces renseignements devront donc être disponibles dans ce format structuré et couramment utilisé?
Une exception importante est prévue à même les nouveaux articles sur le droit à la portabilité. C’est-à-dire qu’une organisation pourrait refuser de communiquer un renseignement personnel dans un format structuré et couramment utilisé si cela « soulève des difficultés pratiques sérieuses ». C’est donc dire que si pour une raison ou une autre, des renseignements dont l’entreprise à possession sont sous un format qui pose des difficultés sérieuses lors de leur transfert vers un format couramment utilisé et structuré, ou que ce transfert engendre des coûts importants, cette dernière pourra refuser une telle demande de communication.
En pratique, une telle limite est nécessaire pour assurer une mise en place effective du droit à la portabilité. Il ne faut pas ignorer les défis qui se dressent devant les entreprises et les organismes qui chercheront à se conformer. Sachant en plus qu’en Europe, l’implantation de ce droit s’est avérée plutôt ardue[10].
Bien que le droit à la portabilité ne soit pas exclusivement limité aux données considérées comme utile et pertinente aux services offerts par les compétiteurs de l’entreprise détentrice des renseignements personnels[11], il demeure l’idée que ces données doivent être utiles au requérant. Les renseignements personnels communiqués sous un format spécifique le sont dans un but d’extraire automatiquement ces données et dans un but d’efficacité. Ainsi, demander à une entreprise de rendre disponible l’entièreté des renseignements personnels qu’elle détient sur un individu est en pratique irréaliste, sans le recours à l’exception des « difficultés sérieuses » pour certains d’entre eux.
Cette exception prend aussi tout son sens lorsque nous replaçons le droit à la portabilité dans le contexte législatif de la protection des renseignements au Québec, plus précisément lorsqu’il est analysé en parallèle au droit d’accès aux renseignements personnels. Que l’on qualifie le droit à la portabilité de « Droit d’accès 2.0 » ou de prolongement de ce droit d’accès, il n’en demeure pas moins que leur fonction finale diffère. Le droit à la portabilité met l’emphase sur des principes d’efficacité, d’automatisation et de réutilisation des renseignements. Ce faisant, il vise une gestion davantage dynamique et opérationnelle. Il n’est donc pas choquant que le bassin de renseignement disponibles sous ce format spécifique soit davantage circonscrit que ceux visés par le droit d’accès qui, pour sa part, vise à assurer le principe de transparence d’une organisation[12].
Une entreprise devrait donc prioritairement viser à rendre disponible dans un format « structuré et couramment utilisé » les renseignements utiles et pertinents à son service ou produit. Après tout, l’automatisation de ce processus présente aussi des avantages pour les entreprises, qui réduisent ainsi le besoin d’interventions manuelles pour répondre aux demandes de leurs clients.
Sources:
[1] Pellegrini, F. (2018). La portabilité des données et des services. Revue française d’administration publique, 167, 513-523. https://doi.org/10.3917/rfap.167.0513, par. 15.; et BLG Avocats (2022, octobre). Réforme des lois québécoises en matière de protection des renseignements personnels : Guide de conformité pour les entreprises. https://www.blg.com/fr/insights/2021/11/quebec-privacy-law-reform-a-compliance-guide-for-organizations, p. 35.
[2] Pellegrini, F. (2018). La portabilité des données et des services. Revue française d’administration publique, 167, 513-523. https://doi.org/10.3917/rfap.167.0513, par. 2.
[3] Terwangne, C. de, Rosier, K., Poullet, Y., Centre de recherche Information, droit et société, & Groupe Larcier. (2018). Le règlement général sur la protection des données (rgpd/gdpr) : analyse approfondie (Ser. Collection du crids, 44). Éditions Larcier. Retrieved 2023, Récupéré de https://www.stradalex.com/fr/sl_mono/toc/REGEPRODO/doc/REGEPRODO_001., p. 17
[4] Loi modernisant des Dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c 25, art 30 et 120.
[5] Gouvernement du Québec (2023, 22 juin). Droit à la portabilité. Quebec.ca. https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/acces-aux-renseignements-personnels/titre-par-defaut. Et; Commission Nationale de l’Informatique et des Libertés (CNIL). (2018, 25 mai). Le droit à la portabilité : obtenir et réutiliser une copie de vos données. Récupéré de https://www.cnil.fr/fr/le-droit-la-portabilite-obtenir-et-reutiliser-une-copie-de-vos-donnees
[6] Préc., Droit à la portabilité. Quebec.ca.
[7] Préc., Droit à la portabilité. Quebec.ca. et; Préc., le droit à la portabilité : obtenir et réutiliser une copie de vos données, CNIL.
[8] Loi modernisant des Dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c 25, art 30 et 120.
[9] Préc., Droit à la portabilité. Quebec.ca.
[10] Comptables Professionnels Agréés Canada (2021), Mise en œuvre de la portabilité des données : Leçons servant à l’élaboration d’un modèle canadien, https://www.cpacanada.ca/-/media/site/operational/sc-strategic-communications/docs/02702-sc-portabilite-donnees.pdf, p. 23 et 24.
[11] À la lecture des nouveaux libellés du droit à la portabilité et par analogie avec le droit à la portabilité européen voir notamment : Groupe de l’Article 29, Lignes directrices sur le droit à la portabilité des données, 5 avril 2017, WP 242 rev. 01, p. 6.
[12] Griguer, M. (2018). Droit d’accès, droit à la portabilité : quelles différences ? Communication Commerce électronique, (4), Dossier 13