Loi 25 : Comprendre la portée du droit à la portabilité des données

20 Sep 2024 10 MIN DE LECTURE

À compter du 22 septembre 2024, les dernières modifications de la Loi 25, la Loi sur la protection des renseignements personnels dans le secteur privé (la Loi sur le privé du Québec) entreront en vigueur et élargiront les droits d’accès des individus. Il est à noter que les individus ont le droit de demander à une organisation de leur fournir les renseignements personnels informatisés, recueillis dans un format technologique structuré et couramment utilisé. Les individus pourront également demander à une organisation de fournir ces renseignements à toute autre personne ou organisation autorisée à les recueillir.

Le groupe national Protection de la vie privée et gestion de l’information d’Osler a rédigé le présent Bulletin d’actualités afin d’aider les organisations à se préparer aux dernières modifications apportées à la Loi 25 en clarifiant des aspects clés de ce nouveau droit à la portabilité des données, tout en tenant compte des récentes directives émises par le gouvernement du Québec sur le droit équivalent à la portabilité des données dans le secteur public et par l’organisme québécois chargé de la protection de la vie privée, la Commission d’accès à l’information (CAI), concernant ce changement législatif dans le secteur privé.

Les modifications apportées à l’article 27 de la Loi sur le privé du Québec qui entrent en vigueur le 22 septembre 2024 sont soulignées :

Toute personne qui exploite une entreprise et détient un renseignement personnel sur autrui doit, à la demande de la personne concernée, lui en confirmer l’existence et lui donner communication de ce renseignement en lui permettant d’en obtenir une copie.

À la demande du requérant, un renseignement personnel informatisé doit être communiqué sous la forme d’une transcription écrite et intelligible.

À moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès du requérant, et non pas créé ou inféré à partir d’un renseignement personnel le concernant, lui est, à sa demande, communiqué dans un format technologique structuré et couramment utilisé. Ce renseignement est aussi communiqué à sa demande à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement.Lorsque le requérant est une personne handicapée, des mesures d’accommodement raisonnables doivent être prises, sur demande, pour lui permettre d’exercer le droit d’accès prévu par la présente section.

Portée d’une demande de portabilité des données

La portée d’une demande de portabilité des données se limite à tout « renseignement personnel informatisé recueilli auprès du requérant ». Cela signifie, entre autres, que les renseignements suivants ne seraient pas visés :

  • les renseignements personnels non informatisés (sur papier);
  • les renseignements personnels recueillis directement auprès de tiers ou de sources autres que le particulier concerné (à noter : la CAI et le gouvernement du Québec considèrent que les renseignements personnels recueillis indirectement auprès des individus sont visés, p. ex., achats ou antécédents de voyage); 
  • les renseignements « créés ou inférés à partir des renseignements personnels concernant » une personne (p. ex., profils d’utilisateur créés à partir d’analyses d’activités sur le Web ou de l’utilisation d’algorithmes)[1].

Conversion en un format « portable » acceptable

En réponse à une demande de portabilité des données, les organisations doivent communiquer les renseignements demandés dans un format technologique structuré et couramment utilisé. Bien que les lois du Québec sur la protection des renseignements personnels ne définissent pas explicitement les termes « technologique », « structuré » et « couramment utilisé », de récentes publications du gouvernement du Québec et de la CAI donnent à penser qu’un format est dit « structuré et couramment utilisé » lorsqu’il est ouvert et interopérable et que des applications logicielles d’usage courant peuvent facilement reconnaître, extraire et traiter les informations qui y sont contenues. Les formats qui sont difficiles à extraire ou qui nécessitent une licence exclusive ou payante sont généralement considérés comme contre-indiqués à des fins de portabilité des données.

Le gouvernement du Québec a expressément recommandé des formats de fichiers comme CSV, XML et JSON comme adaptés à la portabilité des données. En revanche, il a fait savoir que des formats comme les images et les PDF ne répondent pas à ces exigences de portabilité des données.[2]

Il convient de noter que les directives du gouvernement du Québec sont claires : les organisations doivent tenir compte des besoins des personnes qui demandent que leurs renseignements soient fournis dans un format particulier, à moins que cela ne soulève des difficultés pratiques sérieuses.

Communication de renseignements à un tiers autorisé

Les organisations doivent non seulement fournir les renseignements en format portable à la personne elle-même, mais aussi, sur demande, à toute personne ou à tout organisme autorisé par la loi à recueillir ces renseignements. L’expression « autorisé par la loi » indique que le destinataire des données (c.-à-d. l’entité qui reçoit les renseignements en format portable) doit se conformer aux obligations légales qui régissent sa collecte de renseignements personnels, conformément au cadre juridique applicable en matière de protection des renseignements personnels.

D’après le gouvernement du Québec, un destinataire de données n’est considéré comme « autorisé par la loi » à recueillir les renseignements que s’il remplit les conditions suivantes :

  • Organismes publics : Si le destinataire des données est un organisme public au sens de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, la collecte est « nécessaire » à l’exercice de ses attributions ou à la mise en œuvre d’un programme dont il a la gestion[3].
  • Entreprises : Si le destinataire des données est une entreprise en vertu de la Loi sur le privé du Québec, il doit avoir un intérêt « sérieux et légitime » pour recueillir les renseignements nécessaires aux fins déterminées avant la collecte[4].
  • Autres destinataires : Si le destinataire des données n’est ni un organisme public ni une entreprise, il doit avoir un intérêt « sérieux et légitime » pour la collecte, qui doit être « pertinente » à l’objectif déclaré du dossier[5].

Il convient de noter que le gouvernement du Québec précise que l’entité qui traite une demande de transfert de renseignements en format portable a l’obligation de vérifier que le destinataire tiers est autorisé par la loi à recueillir les renseignements avant d’acquiescer à la demande. Cette obligation peut entraîner des étapes supplémentaires, comme l’établissement d’une procédure écrite et l’évaluation des motifs pour lesquels le destinataire recueille des données, afin de garantir qu’il se conforme aux exigences de la loi.

Toutefois, les lignes directrices de la CAI pour le secteur privé n’obligent pas explicitement l’organisation qui communique les renseignements à procéder à une vérification diligente. Elle confie plutôt à l’organisation destinataire la responsabilité d’évaluer la nécessité des renseignements qu’elle reçoit. Ce transfert de responsabilité au destinataire s’harmonise avec l’objectif du droit à la portabilité des données qui consiste à faciliter, pour les individus, la transition entre fournisseurs de services. Par conséquent, les obligations précises du destinataire et de l’organisation qui communique les renseignements demeurent floues.

Néanmoins, la CAI insiste sur le fait que les organisations doivent mettre en œuvre les mesures de sécurité appropriées lorsqu’elles communiquent des renseignements personnels dans un format technologique structuré et couramment utilisé. Même si aucun détail précis n’a été fourni, on peut aisément imaginer que ces mesures peuvent comprendre le chiffrement et les protocoles de transfert de fichiers sécurisés.

Réponse à une demande de portabilité des données

Étant donné que le droit à la portabilité des données est un prolongement du droit d’accès, les organisations qui reçoivent une demande de portabilité des données doivent suivre les règles de la Loi sur le privé du Québec régissant les réponses aux demandes d’accès. Par exemple, l’organisation doit s’assurer que l’auteur de la demande est bien la personne à laquelle se rapportent les renseignements personnels ou qu’elle est son représentant, son héritier ou son successeur, la personne investie de l’autorité parentale ou toute autre personne autorisée par la loi à accéder à l’information, selon le cas[6]. Elle doit aussi répondre dans les 30 jours civils suivant la date de réception de la demande (sous réserve de quelques exceptions)[7]. Dans les cas où une demande est refusée, l’organisation doit aussi aider le demandeur à comprendre son refus, s’il en fait la demande[8].

Il convient de noter que la non-conformité avec les obligations en matière de portabilité des données ne fait pas explicitement l’objet d’amendes ou de sanctions. Toutefois, la CAI dispose de vastes pouvoirs de rendre des ordonnances qui pourraient exiger que l’organisation prenne des mesures correctives si le refus d’acquiescer à la demande de portabilité des données était, en tout ou en partie, jugé non fondé [9]. Le non-respect de ces ordonnances peut mener à d’autres mesures d’application de la loi, dont des sanctions[10].

Refus d’une demande en raison de « difficultés pratiques sérieuses »

Les organisations qui reçoivent une demande valide de portabilité des données concernant des renseignements qui ne sont pas déjà conservés dans un format portable doivent convertir ces renseignements en un format technologique, structuré et couramment utilisé, à moins que cela ne pose des « difficultés pratiques sérieuses ». Selon le gouvernement du Québec, ces difficultés peuvent découler de coûts particulièrement élevés ou de la complexité que nécessite le transfert. Toute organisation qui invoque des « difficultés pratiques sérieuses » doit être en mesure de fournir les justifications nécessaires lors d’une demande de révision devant la CAI.

Projet portant sur le traitement de renseignements personnels

En vertu de la Loi sur le privé du Québec, toute organisation qui lance un nouveau projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services impliquant des renseignements personnels doit réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) et veiller à ce que les renseignements personnels informatisés recueillis auprès de la personne puissent lui être fournis dans un format technologique structuré et couramment utilisé[11]. Par exemple, pour répondre à cette exigence, le gouvernement du Québec propose d’offrir aux individus des fonctionnalités comme la possibilité de télécharger leur information. Intégrer des fonctionnalités d’exportation de données dans les interfaces utilisateur et assurer la compatibilité des systèmes de tiers avec les formats les plus couramment utilisés pour le transfert de données figurent parmi les autres stratégies de conformité.

Principales étapes de la conformité

Principales étapes de la conformité au nouveau droit à la portabilité des données

  • identifier les renseignements visés par le droit à la portabilité des données 
  • veiller à ce que l’information identifiée puisse être communiquée dans un format technologique structuré et couramment utilisé
  • mettre à jour les politiques et procédures internes afin d’y inclure le traitement des demandes de portabilité des données du Québec
  • passer en revue les politiques et les avis externes pour s’assurer que les individus sont informés du droit d’accès et des modalités d’exercice de ce droit
  • mettre à jour les modèles d’EFVP afin d’y inclure une section sur la portabilité des données, s’il y a lieu
  • exposer les raisons précises de tout refus d’une demande de portabilité des données à cause de « difficultés pratiques sérieuses »

Des ressources supplémentaires sur la Loi 25, y compris une liste de vérification détaillée de la portabilité des données, sont offertes aux abonnés d’AccessPrivacy. Pour en savoir plus, consultez AccessPrivacy.


[1] Ces exemples sont tirés des lignes directrices publiées par le gouvernement du Québec et la CAI.

[2] Le Bureau du commissaire à l’information du Royaume-Uni a publié des lignes directrices sur le droit à la portabilité des données dans le cadre du RGPD du Royaume-Uni, qui comprennent des informations utiles sur la signification des formats « structurés » et « couramment utilisés ».

[3] Article 64 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.

[4] Articles 4 et 5 de la Loi sur le privé du Québec.

[5] Article 37 du Code civil du Québec.

[6] Article 30 de la Loi sur le privé du Québec.

[7] Articles 32 et 46 de la Loi sur le privé du Québec.

[8] Article 55 de la Loi sur le privé du Québec.

[9] Article 91 de la Loi sur le privé du Québec.

[10] Article 34 de la Loi sur le privé du Québec.

[11] Article 3.3 de la Loi sur le privé du Québec.