En raison de la grève de Postes Canada, il y aura un délai dans la livraison des livres.

Devenez membre gratuitement Se connecter

JavaScript n'est pas actif sur votre navigateur.

Afin de pouvoir visualiser le contenu de cette page, veuillez l'activer en suivant ces étape.

La portabilité des renseignements informatisés pourrait coûter cher

par Alain Thériault | 5 novembre 2024 10:55

Photo: Adobe Stock

Dernier volet de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé (Loi 25), le droit à la portabilité des données est entré en vigueur au Québec le 22 septembre 2024.

Une personne a maintenant le droit d’obtenir dans un format technologique structuré et couramment utilisé tout renseignement personnel informatisé qu’elle a fourni à un organisme public ou une entreprise. Elle peut aussi demander qu’il soit transmis à un tiers, selon le site sur l’accès aux renseignements personnels du gouvernement du Québec.

Le législateur québécois a ainsi ajouté un nouvel alinéa à l’article 84 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (Loi sur l’accès) qui précise ce droit. Le site du gouvernement du Québec donne des exemples de ce qu’il qualifie de logiciels d’usage courant qui peuvent facilement reconnaître et extraire les informations qui y sont contenues : « C’est le cas des formats ouverts de type CSV, XML ou JSON, mais pas des images ou des PDF », précise-t-il.

Le droit à la portabilité se limite aux renseignements informatisés recueillis auprès d’une personne. Les renseignements personnels créés ou inférés à partir des renseignements personnels, comme un profil d’utilisateur créé à partir de l’analyse d’activités sur le Web, en sont exclus. L’organisme public ou l’entreprise doit se conformer à ce nouveau droit, à moins qu’une force majeure l’en empêche (par exemple, des coûts particulièrement élevés ou la complexité que nécessite le transfert).

Une fusion ne sera pas une raison valable pour y échapper. Le troisième alinéa de l’article 63.5 de la Loi sur l’accès prévoit qu’une entreprise doit s’assurer que ce droit soit possible même après un projet de transformation, qu’il s’agisse d’une fusion d’une acquisition, du développement et de la refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels.

Gratuit… en principe

Il pourra y avoir des frais à assumer pour la personne qui demande l’accès à ses données numériques personnelles, selon les informations disponibles sur le site de la Commission d’accès à l’information (CAI). « En principe, l’accès à vos renseignements personnels est gratuit. Cependant, des frais n’excédant pas le coût de la transcription, de la reproduction ou de la transmission peuvent être exigés par l’organisme public ou l’entreprise qui doit préalablement vous en indiquer le montant approximatif », peut-on lire.

Le montant et les modalités de paiement sont prévus dans le Règlement sur les frais, ajoute la CAI. Selon l’article 3 de ce règlement, une personne à qui le droit d’accès à un document ou à un renseignement personnel est reconnu sera exemptée du paiement des frais de transcription, de reproduction et de transmission de celui-ci, jusqu’à concurrence de 9,30 $.

Fin de la clémence

Selon la firme d’avocats BLG, la date du 22 septembre signifie plus que l’entrée en vigueur du droit à la portabilité. « Cette date correspond également à la fin de la période de clémence d’un an qui suivait l’entrée en vigueur des principaux éléments de cette grande réforme législative », peut-on lire dans un bulletin de BLG intitulé La Loi 25 n’a pas dit son dernier mot.

Le 22 septembre 2023, la Loi 25 a modifié quatre articles de la Loi sur la protection des renseignements personnels dans le secteur privé, pour permettre au consommateur de comprendre pourquoi et jusqu’à quand les entreprises comptent utiliser leurs données.

En ce qui touche le droit à la portabilité, BLG signale à ses clients que la première étape consiste à revoir leurs processus de traitement des demandes d’accès pour que les nouvelles exigences y soient bien intégrées. « Par exemple, vos politiques et normes internes devraient donner des exemples des renseignements informatisés qui peuvent être visés, préciser les formats qui peuvent être utilisés, établir les critères permettant de déterminer qu’un tiers est autorisé à recevoir des renseignements, etc. », énumère la firme d’avocats.

Son bulletin précise les délais pour répondre. « Une entreprise doit traiter une demande de portabilité dans les 30 jours suivant sa réception (article 32 de la Loi sur le secteur privé) tandis qu’un organisme public dispose de 20 jours, sous réserve d’un avis de prolongation de 10 jours maximum (article 98 de la Loi sur l’accès). »

Les PME demandent de l’aide

De passage à l’Assemblée nationale du Québec le 22 octobre, une délégation de la Fédération des chambres de commerce du Québec (FCCQ) a exhorté le gouvernement québécois à présenter rapidement des mesures qui permettront de donner un véritable souffle aux petites et moyennes entreprises (PME), invoquant le contexte économique défavorable.

La délégation a insisté sur le fardeau administratif et réglementaire qui plombe la productivité des PME, et qui représente selon elle une forme de taxation indirecte. Ses membres ont fait savoir que la Loi 25 sur la protection des renseignements personnels mobilise démesurément les ressources limitées des PME.

Parmi les déléguées, Manon Champagne, présidente et co-fondatrice de A + Transition inc., a plaidé pour « une aide dédiée aux PME et applicable aux investissements considérables nécessaires aux efforts de conformité à la Loi 25 ». Son entreprise offre des services-conseils en gestion de la transformation et du changement et en développement organisationnel.

Manon Champagne serrant la main de Christine Fréchette, ministre de l'Économie, de l'Innovation et de l'Énergie du gouvernement du Québec.

Demander n’importe quoi

« Cette nouvelle exigence vise à permettre à n’importe qui de demander à n’importe quelle entreprise de lui transmettre les renseignements personnels que celle-ci aurait recueillis auprès de lui. La loi précise que ces renseignements doivent être fournis dans un format structuré et couramment utilisé, dans un délai de 30 jours », a répondu par courriel au Portail de l’assurance Mathieu Lavigne, directeur affaires publiques et économiques à la FCCQ.

M. Lavigne estime que le droit à la portabilité ne tient pas compte du fait que les PME « n’ont souvent pas l’expertise interne pour savoir si leurs systèmes informatiques permettent de répondre aux exigences de la loi, pas le temps de répondre une par une aux éventuelles demandes liées au droit à la portabilité et pas la marge de manœuvre financière pour faire appel à des consultants externes ».

Il ajoute que faire analyser ses systèmes, acheter des outils technologiques et former son personnel a un coût, qui s’ajoute aux coûts qu’entraînent déjà les autres dispositions de la Loi 25. « Aucune autre juridiction en Amérique du Nord n’impose de telles exigences. La moindre des choses serait d’aider nos PME québécoises afin de ne pas les désavantager face à leurs concurrents canadiens et américains », dit Mathieu Lavigne.

Le fédéral tarde à encadrer l’intelligence artificielle

Le projet de loi C-27 du gouvernement du Canada peine à aboutir, empêtré dans les débats politiques.

Examiné depuis deux ans par un comité permanent de la Chambre des communes, ce projet introduirait des dispositions législatives à l’égard de la protection de la vie privée et de la protection des données, en plus d’encadrer l’usage de l’intelligence artificielle.

Le projet de loi C-27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois, est aussi appelé Loi de 2022 sur la mise en œuvre de la Charte du numérique.

Première partie du projet de loi, la Loi sur la protection de la vie privée des consommateurs remplacerait certaines parties de la Loi sur la protection des renseignements personnels et les documents électroniques, selon l’information disponible sur le site du ministère de la Justice du Canada. Elle imposerait de nouvelles règles aux organisations du secteur privé, à l’égard de l’utilisation et la communication de renseignements personnels à des fins commerciales.

Toujours selon l’information du gouvernement fédéral, la partie 2 de la Loi sur l’intelligence artificielle et les données érigerait en infraction générale le fait de posséder ou d’utiliser des renseignements personnels « en sachant ou en se doutant qu’ils ont été obtenus illégalement ».

Un bulletin récemment publié par le cabinet d’avocats Gowling WLG indique que le Comité permanent de l’industrie et de la technologie de la Chambre des communes devait reprendre son étude du projet de loi C-27 le 16 septembre 2024, après avoir ajourné ses travaux le 29 mai pour la période de l’été.

Depuis, peu d’échos parviennent de la suite des choses au sujet du projet de loi C-27. À part une sortie de François-Philippe Champagne dans les médias. Dans un article paru au journal Le Devoir le 25 septembre 2024, le ministre fédéral de l’Innovation, des Sciences et de l’Industrie, qui parraine le projet de loi C-27, a déploré que « les partis d’opposition ont, depuis plus d’un an, tout fait pour ralentir le processus législatif », lit-on.

Le journal des témoignages prononcés lors des travaux du Comité le 3 octobre fait écho à de brefs propos sur le projet de loi C-27, sans révéler d’avancées concrètes.

Les plus populaires en Société

De nouvelles menaces pourraient rendre certains risques plus concrets