Important à savoir

  • Depuis le 22 septembre 2024, la loi 25 confère aux salariés et aux consommateurs des secteurs public et privé du Québec le droit à la portabilité des données.
  • Le nouveau droit a été instauré pour permettre aux personnes d’accéder à leurs données et de les communiquer à un autre organisme autorisé de leur choix.
  • Les entreprises du secteur privé ont 30 jours pour répondre aux demandes, et les entités du secteur public, 20 jours (avec une possibilité de prolongation de 10 jours).

Le nouveau droit a été instauré pour permettre aux personnes d’accéder à leurs données et de les communiquer à un autre organisme autorisé de leur choix. L’organisme initial a l’obligation de vérifier que cet autre organisme est légalement autorisé à recevoir ces données. Il devrait aussi s’attarder aux questions de compétence et à la nature des tiers à qui il communique des données.

Applicabilité aux données de salariés et de consommateurs

La loi ne prévoit pas d’exception quant aux personnes qui ont ce droit, ce qui signifie qu’il vise les données des salariés et des consommateurs qui sont au Québec. Les entreprises dont les salariés au Québec sont visés par la loi québécoise sur le secteur privé sont assujetties à cette nouvelle exigence.

Il y a toutefois une exception pour les situations où répondre à la demande causerait des difficultés pratiques sérieuses. Le gouvernement du Québec considère que les « coûts importants » qu’entraîne une demande, de même que sa « complexité », sont des « difficultés pratiques sérieuses ». Les organismes qui souhaitent se prévaloir de cette exception doivent fournir une justification détaillée. Il serait donc judicieux de mettre en place des politiques et un formulaire servant à garder des traces des communications, des refus et des motifs.

Délais et obligations des organismes

Le nouveau droit se veut complémentaire aux droits d’accès existants, et les organismes sont tenus aux mêmes délais de réponse : 30 jours pour les entreprises du secteur privé et 20 jours (avec une possibilité de prolongation de 10 jours) pour les entités publiques. Pour assurer leur conformité, les organismes auraient avantage à se doter de politiques internes qui indiquent clairement comment traiter les demandes et exigent notamment la vérification de l’identité du demandeur. Les lignes directrices ci-après pourraient leur être utiles.

Renseignements informatisés, exigences quant au format

Ce droit s’applique seulement aux renseignements qui sont déjà informatisés; il n’est pas nécessaire de convertir des documents papier. De plus, les renseignements doivent être fournis dans un format technologique structuré et couramment utilisé. La loi ne précise pas quels sont ces formats, mais le gouvernement du Québec recommande ceux de type CSV, XML ou JSON, et déconseille les PDF, les images et les formats exclusifs qui nécessitent un logiciel spécialisé ou une licence payante.

Exactitude et distinction entre les données fournies directement et les données inférées

Les employeurs et les organismes doivent avoir des renseignements exacts et à jour sur leur personnel. Ils peuvent vérifier leur exactitude avant de les communiquer, mais ils ne sont pas tenus d’en évaluer la qualité. Il n’y a d’ailleurs pas d’indication de ce qu’est la « qualité » des renseignements, quoiqu’on peut penser qu’elle concerne le niveau de détail du dossier.

Il est important de souligner que la loi s’applique aux données fournies directement par la personne et aux renseignements obtenus de manière indirecte, comme les dates de début et de fin d’emploi. Elle ne s’applique pas aux données inférées, soit celles qui ont été générées sans apport direct de la part de la personne qu’elles concernent. Sur une page Web destinée aux organismes publics, le gouvernement du Québec donne l’exemple du profil d’utilisateur créé à partir de l’analyse de ses activités sur le Web. Les données inférées ne sont pas visées par le nouveau droit à la portabilité, mais les personnes concernées peuvent toujours y accéder en vertu de leur droit d’accès aux renseignements personnels.

Politiques de conservation et justification des refus

La loi ne change rien aux politiques de conservation. Si des données sont supprimées conformément à une politique de conservation établie (ex. : dossier d’employé supprimé deux ans après la cessation d’emploi), l’employeur peut invoquer cette politique pour justifier un refus de communication. Toutes les communications de renseignements personnels doivent se faire de manière sécurisée, compte tenu du caractère délicat des données.

Politiques et procédures internes

Les employeurs devraient informer leurs salariés de leur droit à la portabilité, par exemple dans un énoncé sur la protection des renseignements personnels leur étant destiné. Une politique claire sur le traitement des demandes d’exercice du droit à la portabilité contiendra entre autres les éléments suivants :

  • Service responsable. Désignation du service ou de la personne au sein de l’organisme à qui les demandes doivent être transmises.
  • Vérification de l’identité. Procédures pour la vérification de l’identité de l’auteur de la demande.
  • Délais de réponse. Présentation des délais de réponse prévus par la loi pour les demandes d’exercice du droit à la portabilité (30 jours pour les entreprises privées et 20 jours, avec possibilité de prolongation de 10 jours, pour les entités publiques).
  • Format sécuritaire. Désignation d’un format numérique structuré, couramment utilisé et sécuritaire (ex. : CSV, XML, JSON) pour la communication des données.
  • Registre des demandes. Maintien d’un registre servant à consigner les demandes, l’évolution de leur traitement et leur résolution (données communiquées ou demande rejetée).
  • Lignes directrices pour le rejet de demandes. Établissement de lignes directrices indiquant clairement quand une demande peut être rejetée (ex. : données supprimées ou difficultés pratiques sérieuses) et exigeant de consigner les raisons du rejet.
  • Politiques de conservation. Établissement et application de périodes de conservation conformes pour les données des salariés et des consommateurs.
  • Optimisation de l’exactitude et de l’actualité des données. Création d’une politique permettant aux personnes d’accéder à leurs renseignements personnels et de les mettre à jour avant une communication, pour assurer leur exactitude.
  • Mise en place de mesures de sécurité. Mise en place de protocoles de sécurité robustes pour protéger les renseignements personnels lors de leur communication à un tiers.
  • Conformité des systèmes de gestion des données. Dispositions informant les personnes responsables du choix de nouvelles technologies au sein de l’organisme que ces technologies doivent être compatibles avec les exigences de portabilité prévues dans la loi 25.

Conclusion

Avec le droit à la portabilité des données, la loi 25 impose de nouvelles obligations aux employeurs et aux organismes. Pour les respecter, il faut de la planification, des politiques bien pensées et de bonnes pratiques de gestion de données.

Le bureau de Montréal et le groupe de pratique en cybersécurité et protection de la vie privée d’Ogletree Deakins continueront de suivre de près la situation et publieront des mises à jour sur les blogues du cabinet concernant les affaires transfrontalières et la cybersécurité et la protection de la vie privée à mesure que de nouvelles informations sont diffusées.

Pour nous suivre ou vous inscrire

LinkedIn | Instagram | Webinaires | Balados

Auteur


Pour aller plus loin

Sign up to receive emails about new developments and upcoming programs.

Sign Up Now