La troisième phase des dispositions de la Loi 25 concernant le droit à la portabilité des données entrera en vigueur le 22 septembre prochain. Ces dispositions s’appliquent-elles à toutes les organisations assujetties à la Loi 25?
Non, ces dispositions ne s’appliqueront pas à toutes les organisations, mais à plusieurs d’entre elles. Le droit à la portabilité des données s’applique à toutes les entreprises privées et aux organismes publics, également sans but lucratif, de toutes tailles, qui ont recueilli électroniquement (via un site web, un formulaire en ligne, un logiciel, une application, un portail) des renseignements personnels de leurs employés et/ou de leurs clients ou usagers qui sont des personnes physiques. La Loi 25, également connue sous le nom de Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, introduit plusieurs changements significatifs à la législation québécoise sur la protection des renseignements personnels, y compris l’intégration du droit à la portabilité.
Qu’est-ce que le droit à la portabilité?
Le droit à la portabilité des données permet aux personnes concernées de récupérer leurs renseignements personnels fournis à une organisation et de les transférer à une autre organisation de leur choix. Elles peuvent aussi demander le transfert direct d’une organisation à l’autre ou vers toute personne. Ce droit donne aux individus un meilleur contrôle sur leurs renseignements personnels et favorise la transparence et la concurrence entre les entreprises. Pour que ce droit soit applicable, les renseignements doivent avoir été fournis directement par l’individu sous une forme informatisée. Cela signifie que les renseignements dérivés ou inférés par l’organisation à partir des informations de base fournies par l’individu, de même que celles recueillies en format papier ne sont pas visés par ce droit.
Les entreprises et les organisations doivent se préparer à répondre aux demandes de portabilité des données, à moins qu’elles soulèvent des difficultés pratiques sérieuses. Cela implique la mise en place de procédures écrites et de systèmes permettant d’extraire et de transférer les données de manière sécurisée et dans un format structuré et couramment utilisé, tel que les formats ouverts de type JSON, CSV et XML ou même ODS et ODT (Open Documents). Les organisations doivent également s’assurer que la transmission des données se fasse de manière sécurisée pour éviter tout risque de violation de la vie privée ou de perte de données.
Pour toute question d’accompagnement dans la conformité de votre entreprise à la Loi 25, nous vous invitons à communiquer avec notre équipe de technologie et gouvernance de l’information, qui saura vous conseiller et vous aider.
Pour toute autre question d’ordre légal, n’hésitez pas à communiquer avec Me Francis Arnaud Marcotte, associé chez Therrien Couture Joli-Cœur.
Par Natacha Boivin, Associée