Le Projet de Loi n°64[1] propose plusieurs modifications[2] à la Loi sur le secteur privé[3] et vise à renforcer et à moderniser la protection des renseignements personnels détenus par les entreprises et à assurer un meilleur contrôle des renseignements personnels par les individus.
Dans ce contexte, il crée le droit à la portabilité, inspiré du considérant 68 et de l'article 20 du Règlement général sur la protection des données de l'Union européenne (ci-après désigné « RGPD »)[4] ainsi que du California Consumer Privacy Act (« CCPA »)[5] qui prévoit lui aussi le droit à la portabilité. Il s'inscrit donc dans une tendance internationale de donner plus de contrôle aux individus sur leurs renseignements personnels.
La raison d'être du droit à la portabilité
Comme au niveau européen et au niveau californien, le droit à la portabilité prévu par le Projet de Loi n°64 semble viser un double objectif :
- augmenter le contrôle du citoyen sur ses renseignements personnels;
- stimuler la concurrence en facilitant le transfert des renseignements et donc la possibilité, pour le citoyen, de changer plus aisément de fournisseur.
C'est dans ce contexte qu'il a été proposé d'ajouter ce droit à la Loi sur le secteur privé.
Le droit à la portabilité, qui peut être vu comme une extension du droit à la communication ou au droit d'accès, permet ainsi aux personnes d'obtenir les renseignements personnels qu'ils ont fournis sur un support technologique structuré et couramment utilisé. À la demande de la personne, ces renseignements seront communiqués à toute autre personne ou tout organisme autorisé par la loi à recueillir un tel renseignement[6].
Le mécanisme prévu par le Projet de Loi n°64 relatif au droit à la portabilité
L'article 112 du Projet de Loi n°64 introduit le droit à la portabilité à l'article 27 de la Loi sur le secteur privé relatif au droit d'accès. Ce faisant, il en fait une modalité particulière du droit d'accès, à savoir un droit d'accès sous format technologique.
Plus particulièrement, il dispose que toute personne a le droit de recevoir ses informations personnelles dans les conditions suivantes :
Toute personne qui exploite une entreprise et détient un renseignement personnel sur autrui doit, à la demande de la personne concernée, lui en confirmer l'existence et lui donner communication de ce renseignement en lui permettant d'en obtenir une copie.
À la demande du requérant, un renseignement personnel informatisé doit être communiqué sous la forme d'une transcription écrite et intelligible.
À moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès du requérant lui est, à sa demande, communiqué dans un format technologique structuré et couramment utilisé. Ce renseignement est aussi communiqué à sa demande à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement.
Ce nouveau droit vise tous les renseignements personnels qu'une entreprise détient sur une personne, à l'exception, semble-t-il, des renseignements créés, dérivés, calculés ou inférés à partir des renseignements fournis par la personne concernée (ex. : profil d'un utilisateur), lesquels peuvent avoir une valeur commerciale pour les entreprises[7]. Ce nouveau droit ne concerne donc que les renseignements personnels fournis par la personne concernée à l'entreprise. Précisons, par ailleurs, que les nouveaux systèmes d'information ou de prestation électronique de service devront permettre la portabilité.
Concernant les renseignements personnels informatisés, ils doivent être communiqués sous la forme « d'une transcription écrite et intelligible », dans « un format technologique structuré et couramment utilisé », cette dernière expression faisant écho à celle du RGPD[8].
Enfin, il convient de relever que les renseignements faisant l'objet de la demande de portabilité peuvent être transmis à « toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement ».
Ce droit n'est pas absolu puisque l'entreprise qui détient les renseignements personnels peut refuser de les communiquer. En effet, de la même façon que le RGPD qui, dans son article 12, permet de refuser la portabilité (ainsi que l'exercice des autres droits) si les demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, la version actuelle et inchangée sur ce point de la Loi sur le secteur privé prévoit que :
46. Une personne qui exploite une entreprise et détient des renseignements personnels sur autrui peut demander à la Commission de l'autoriser à ne pas tenir compte de demandes manifestement abusives par leur nombre, leur caractère répétitif ou systématique ou de demandes qui, de l'avis de la Commission, ne sont pas conformes à l'objet de la présente loi.
Mais, contrairement au RGPD, l'entreprise qui ne souhaite pas faire droit à la demande doit s'en référer à la Commission d'accès à l'information.
Aussi, si ce droit à la portabilité s'apparente plus à une modalité particulière du droit d'accès qu'à un réel nouveau droit, tel qu'il est actuellement rédigé, des questions restent en suspens et le droit à la portabilité mériterait d'être précisé.
Les questions en suspens
Tout d'abord, se pose la question de l'existence d'une limite au droit à la portabilité. En effet, en l'état, l'article 112 du Projet de Loi n°64 indique que l'individu a le droit de recevoir ses renseignements personnels. Mais, si le RGPD précise que dans un pareil cas, l'individu a le droit de les transmettre à un autre responsable de traitement, le Projet de Loi ne prévoit rien de tel. Il précise juste que la transmission peut être effectuée à toute personne ou à tout organisme autorisé par la loi, ce qui souligne le fait que le droit à la portabilité n'est qu'une modalité du droit d'accès.
Se pose également la question de savoir si tous les renseignements personnels peuvent faire l'objet de la demande de la portabilité ou s'ils doivent être limités à un volume particulier, à une finalité particulière ou à une demande dans un temps donné. Par exemple, les renseignements faisant l'objet de la portabilité sont-ils strictement limités à ceux qui sont nécessaires ou utiles pour le changement de prestataire de services souhaité par la personne concernée?
Ensuite, qu'est-ce qu'un « format technologique structuré et couramment utilisé »? Rien n'est prévu par le Projet de Loi n°64. Bien que le RGPD ne le définisse pas non plus, le Groupe article 29[9], prédécesseur du Comité européen à la protection des données, le fait et le définit comme étant une « série d'exigences minimales qui devraient faciliter l'interopérabilité du format de données fourni par le responsable du traitement. En ce sens, les termes «structuré, couramment utilisé et lisible par machine» donnent des précisions sur les moyens, tandis que l'interopérabilité est le résultat escompté »[10]. L'autorité de protection des données française, la Commission Nationale Informatique et Libertés (« CNIL ») précise même que le format le plus approprié peut ainsi différer selon les secteurs d'activité. Des formats adaptés peuvent d'ores et déjà exister et peuvent être utilisés dès lors qu'ils sont interprétables et sans restriction d'usage. Sur des jeux de données plus spécifiques, où il n'existe pas de standard de fait pour leur fourniture, les organismes peuvent fournir les données personnelles dans un format ouvert (XML, JSON, CSV, etc.), complété par toute métadonnée utile à leur interprétation, et documenté[11].
Il conviendrait enfin de préciser ce que deviennent les renseignements personnels qui ont été transmis à un individu exerçant son droit à la portabilité, comme cela est le cas avec l'article 20(3) du RGPD : en effet, l'entreprise faisant l'objet de la demande ne doit pas nécessairement les effacer. En d'autres termes, l'exercice du droit à la portabilité n'implique pas pour l'entreprise qui en fait l'objet de les supprimer, celle-ci devant les conserver notamment pour respecter ses obligations contractuelles.
Conclusion
En conclusion, le droit à la portabilité tel qu'envisagé par le Projet de Loi n°64 s'apparente plus à une modalité du droit d'accès plus moderne, adaptée à notre époque, c'est-à-dire un accès sous format technologique, qu'un réel droit à la portabilité tel que celui prévu par le RGPD. Il semble aller moins loin que le RGPD en ce qui concerne notamment l'interopérabilité avec les autres entreprises, ce qui est certainement judicieux au regard des difficultés engendrées par la mise en œuvre du droit à la portabilité du RGPD.
En tout état de cause, le droit à la portabilité, prévu par le Projet de Loi n°64, mériterait d'être précisé. L'exercice de ce droit à la portabilité s'est avéré déjà assez difficile dans l'Union Européenne. Il risque de l'être encore plus au Québec et au Canada en l'absence de directives techniques détaillées des autorités de protection des données, ou encore de normes ou codes technologiques partagés par les entreprises. En effet, il y a beaucoup de défis à surmonter pour rendre ses données à l'individu dans un format que celui-ci trouve facile à utiliser[12].
En tout état de cause, son inscription dans une loi s'inscrit dans un processus plus large présent dans l'ensemble du Canada. C'est ainsi qu'en Ontario une consultation a été lancée afin d'introduire une loi relative à la protection des renseignements personnels dans le secteur privé, étant précisé que cette consultation prévoit qu'une telle loi instituerait de nouveaux droits pour les individus, à l'instar du droit à la portabilité[13]. Au niveau fédéral, la tendance est similaire[14]. Avec pour but, inavoué ou non, de s'aligner avec le RGPD…
|
CENTRE DE RESSOURCES PL64 - Découvrez notre centre de ressources dédié au Projet de Loi 64regroupant toutes les informations que vous devez savoir pour faire face aux changements qui pourraient être apportés à la législation. INSTITUT FASKEN - Inscrivez-vous à notre formation qui fera la lumière sur les principales modifications à la loi 64 et les impacts à prévoir dans la gestion de vos affaires. LISTE DE DISTRIBUTION - Pour ne pas manquer nos prochains bulletins, notre webinaire de formation et toutes autres informations pertinentes à ce sujet, inscrivez-vous dès maintenant sur notre liste de distribution. |
[1] Projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels
[2] Pour des études approfondies de l'ensemble des modifications envisagées par le Projet de Loi n°64, se reporter au Centre de ressources de Fasken.
[3] Loi sur la protection des renseignements personnels dans le secteur privé, P-39.1.
[4] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (« RGPD »), 2016/679.
[5] Title 1.81.5. California Consumer Privacy Act of 2018, [Cal. Civ. Code §§ 1798.100–1798.199].
[6] Gouvernement du Québec, Analyse d'impact réglementaire, 30 juillet 2020, page 4.
[7] Gouvernement du Québec, Analyse d'impact réglementaire, 30 juillet 2020, page 4.
[8][8] Pour un parallèle entre le Projet de Loi n°64 et le RGPD, voir notamment : J. Uzan-Naulin, Le PL 64: à la recherche du RGPD?, Bulletin Fasken.
[9] Groupe de l'Article 29, Lignes directrices sur le droit à la portabilité des données, 5 avril 2017, WP 242 rev. 01.
[10] Ibid., p.20.
[11] CNIL, Le droit à la portabilité en questions. Voir également le site de l'Information Commissioner's Office britannique, Right to data portability.
[12] Voir notamment Janis Wong, Tristan Henderson, The right to data portability in practice: exploring the implications of the technologically neutral GDPR, International Data Privacy Law, Volume 9, Issue 3, August 2019, Pages 173–191.
[13] Public Consultation - Reforming Privacy in Ontario's Private Sector. Voir notamment Daniel Fabiano et Christopher Ferguson, A New Privacy Law for Ontario? Towards a "Made-in-Ontario" Response to Global Developments, Bulletin Fasken.
[14] Voir CPVP, Réforme des lois sur la vie privée, Rapport annuel 2018-2019, p. 20.
