Droit à la portabilité des renseignements personnels – Vos données, sur le pouce!

Le 22 septembre 2024 marque le troisième anniversaire du régime modernisé du Québec en matière de vie privée et de renseignements personnels, qui est entré progressivement en vigueur suite à l’adoption de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25), qui a reçu la Sanction royale le 22 septembre 2022.

Cet anniversaire marque l’entrée en vigueur des dernières modifications apportées à la Loi sur la protection des renseignements personnels dans le secteur privé et à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels par la Loi 25, soit le droit à la portabilité des données. Les individus ont désormais le droit d’obtenir d’une entreprise qui détient des renseignements personnels la concernant qu’elle lui transmette une copie de ces renseignements dans un format technologique structuré et couramment utilisé. Elle peut également demander que l’entreprise communique ces renseignements à toute personne ou à tout organisme autorisé à recueillir ceux-ci.

Les entités du secteur privé doivent répondre à toute demande relative à la portabilité des données au plus tard dans les 30 jours suivant la réception de celle-ci. À défaut de répondre à une demande à l’intérieur de ce délai, l’entité sera réputée avoir refusé d’y donner suite. Ce nouveau droit vient donc rappeler aux entreprises l’importance de bien comprendre où et comment elles conservent les renseignements sous leur contrôle et de s’assurer que leurs pratiques et procédures en matière de conservation des données sont conformes et à jour.

Ces amendements font du Québec la première et, à ce jour, la seule juridiction au Canada a offrir un droit à la portabilité des données. Ce droit existe pourtant déjà depuis plusieurs années dans certaines lois phares en matière de protection des renseignements personnels telles que le Règlement général sur la protection des données européen et le California Consumer Privacy Act de la Californie.

Au niveau fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques, actuellement en vigueur, ne prévoit pas de droit équivalent. Le Projet de loi C-27, qui vise à réformer le droit fédéral canadien en matière de protection des renseignements personnels, prévoit un doit à la mobilité des données qui reprend des aspects du droit à la portabilité des données en permettant aux individus d’obtenir le transfert de leurs données vers une organisation qu’ils désignent. Le Projet de loi C-27 ne contient toutefois aucune disposition expresse qui permettrait aux personnes d’exiger la communication de leurs renseignements dans un format technologique couramment utilisé comme le permettent les lois québécoises, européennes et californiennes.

L’entrée en vigueur du droit à la portabilité des données vient parachever, pour le moment, la réforme des lois québécoises en matière de protection des renseignements personnels. Disposant désormais d’un cadre législatif et réglementaire robuste et forte de nouveau pouvoirs et attributions pour faire appliquer celui-ci, il est vraisemblable de s’attendre à un niveau d’activité accru de la Commission d’accès à l’information du Québec en matière de surveillance et d’application de la loi. Les entreprises qui opèrent au Québec ou peuvent être amenées à traiter des renseignements sujets aux lois québécoises devront donc demeurer vigilantes et poursuivre leurs efforts de conformité afin d’éviter de se voir confronté au régime de pénalités draconiennes amené par la Loi 25, lesquelles peuvent s’élever jusqu’à 25,000,000$ CA ou 4% du chiffre d’affaires mondial pour l’année précédente.