Le droit à la portabilité entrera en vigueur au Canada le 22 septembre 2024 par l'entremise de la Loi 25 du gouvernement du Québec modifiant la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (Loi du Québec). Le droit demeure à l'horizon au fédéral en raison du projet de loi C-27, qui comprend des modifications à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), principalement par l'entremise du projet de Loi sur la protection de la vie privée des consommateurs (LPVPC), qui est toujours à l'étude au Comité permanent de l'industrie et de la technologie de la Chambre des communes.

Alors que les organisations se préparent à se conformer à leurs obligations en vertu de ce nouveau droit à la vie privée au Canada, nous examinons comment le droit à la portabilité des données a été interprété en Europe en vertu du Règlement général sur la protection des données (RGPD) puisque les commissaires canadiens, à commencer par la Commission d'accès à l'information du Québec, sont susceptibles de suivre cette voie pour faire respecter le droit à la portabilité des données au Canada.

Nous comparons les textes législatifs en Europe et au Canada et nous décrivons la portée reconnue du droit à la portabilité des données en vertu du RGPD ainsi que l'interprétation des obligations de l'organisation émettrice et de l'organisation réceptrice.

1. Un regard comparatif sur les textes législatifs

Le premier texte législatif qui entrera en vigueur au Canada, en septembre 2024, pour créer le droit à la portabilité des données est le nouvel article 27 de la Loi du Québec qui l'encadre comme une obligation de l'organisation :

« [...] À moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès du requérant, et non pas créé ou déduit à partir d’un renseignement personnel le concernant, lui est, à sa demande, communiqué dans un format technologique structuré et couramment utilisé. Ce renseignement est aussi communiqué, à sa demande à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement. »

À titre de comparaison, l'article 20 du RGPD, dont s'inspire la Loi du Québec, présente la portabilité comme un droit de l'individu :

« 1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque :

1. le traitement est fondé sur le consentement […] ou sur un contrat […]; et
2. le traitement est effectué à l'aide de procédés automatisés.

2. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible.

3. L'exercice du droit, […] s'entend sans préjudice [au droit à l’oubli]. […]. »

4. Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers.

Le projet de LPVPC, sous la rubrique « Mobilité des renseignements personnels », laisse les détails à la réglementation et créerait pour les organisations, à l'article 72, l'obligation de communiquer :

« [...] dès que possible, les renseignements personnels qu’elle a recueillis auprès de lui à l’organisation que ce dernier désigne si ces deux organisations sont assujetties à un cadre de mobilité des données. ».

Laissant de côté la laconique LPVPC, les distinctions et similitudes suivantes apparaissent entre les textes législatifs québécois et européens créant le droit à la portabilité des données :

• Dans les deux cas, le droit est limité
• Aux données informatisées;
• Fournies par l'individu, plutôt que créées ou déduites par l'organisation au sujet de l'individu;
• Avec des limitations;
• Dans un délai de 30 jours, applicable à tous les droits individuels.
• Les limitations sont formulées différemment dans la Loi du Québec et dans le RGPD : la Loi du Québec crée une exception lorsque cela « soulève des difficultés pratiques sérieuses », tandis que le RGPD la restreint à « lorsque cela est techniquement possible », et la Loi du Québec exclut expressément un renseignement « créé ou déduit », tandis que le RGPD exclut la catégorie plus large des demandes qui porteraient « atteinte aux droits et libertés de tiers. »
• Les deux assurent l'interopérabilité en exigeant des organisations qu'elles transfèrent les données dansun« format technologique structuré et couramment utilisé »(Loi du Québec) ou dans un « format couramment utilisé et lisible par machine » (RGPD).
• Les obligations des organisations sont formulées différemment : alors que la Loi du Québec crée simplement l'obligation de transférer les données sur demande, le RGPD ajoute « sans [que l’organisation] y fasse obstacle ».

Plusieurs applications du droit à la portabilité en vertu du RGPD indiquent son champ d'application potentiel au Canada.

2. Champ d'application du droit à la portabilité

Les organismes de réglementation canadiens peuvent se tourner vers les Lignes directrices sur le droit à la portabilité des données, endossées par le Comité européen de la protection des données (Lignes directrices), pour définir la portée du droit à la portabilité au Canada. Les lignes directrices affirment son objectif de responsabiliser les personnes concernées en ce qui concerne leurs propres données personnelles et de maintenir la concurrence grâce aux données ouvertes, afin d'éviter la dépendance vis-à-vis d'un fournisseur.

Pourtant, le droit à la portabilité a des limites. Les Lignes directrices soulignent ces limites en les décrivant comme un droit de la personne concernée de recevoir un « sous-ensemble » de ses données à caractère personnel traitées par une organisation.

2.1 Limitation aux données « concernant l'individu »

L'exigence que les informations personnelles concernent l'individu s'applique aux données anonymes, aux données pseudonymes et aux données sur des tiers fournies par l'individu :

• Les données anonymes ne concernent pas un individu et ne sont donc pas soumises à la portabilité.
• Cependant, les données pseudonymes, puisqu'elles peuvent toujours être liées à un individu par le biais d'une source secondaire, restent des informations personnelles et sont soumises à la portabilité.
• Les données de tiers fournies par l'individu peuvent faire l'objet d'une portabilité. Les Lignes directrices donnent des exemples d'enregistrements téléphoniques, de messagerie interpersonnelle ou de VoIP inclus dans l'historique du compte d'un abonné.

2.2 Limitation aux données « fournies par l'individu »

Un concept clé à clarifier pour définir l'étendue du droit à la portabilité est la notion de données « fournies par » l'individu. Les Lignes directrices et les décisions des autorités de protection des données (APD) fournissent des exemples de données exclues de cette notion et donc du droit à la portabilité :

• Assurabilité : Dans la décision 45/2023, l'Autorité de protection des données (APD) belge précise que, étant donné que l'assurabilité d'un individu résulte d'une analyse par l'organisme, selon ses propres critères, de diverses données fournies par le particulier, elle ne constitue pas des données fournies par le particulier. 
• Profil : Les directives de l’APD finlandaise indiquent clairement que les données créées par l'organisation, tel le profilage, ne sont pas soumises à la portabilité.
• Blanchiment d’argent et autres données de prévention de la criminalité : Les données de prévention de la criminalité, telles que la prévention de la fraude ou la détection du blanchiment d'argent et d'autres crimes financiers ou liées à des enquêtes pénales, ne sont pas couvertes par le droit à la portabilité.
• Évaluations : L'évaluation de l'état de santé d'un utilisateur, les données de gestion des risques, le profil financier ou la cote de crédit émanent de l'organisation, et non de l'individu, et ne sont pas des données portables.
• Archives publiques : La portabilité exclut également les archives publiques telles que les déclarations de revenus ou l'enregistrement immobilier.

Toutefois, les éléments suivants ont été inclus :

• Données d'utilisation : Les données générées par l'utilisation, telles que l'historique des visites sur le site Web, les données de trafic et de localisation ou l'historique des achats, sont considérées comme « fournies indirectement » par la personne et sont soumises à la portabilité. Les Lignes directrices, ainsi que les orientations des APD néerlandaise, estonienne, française, slovène et espagnole fournissent des exemples concrets. Les « données fournies indirectement », assujetties à la portabilité des données, comprennent :
• Journaux d'activité;
• Historique des recherches;
• Données de localisation;
• Les données brutes, telles que la fréquence cardiaque d'une personne enregistrée via un traqueur de forme physique;
• Données des compteurs intelligents;
• Données de l'Internet des objets;
• Titres de livres achetés sur une boutique en ligne;
• Chansons écoutées sur un service de diffusion en continu (streaming);
• Données relatives aux transactions financières;
• Métadonnées telles que l'heure du message, l'expéditeur ou le destinataire.
• Données créées par l'individu : Un répertoire créé par l'individu de contacts, qu'il s'agisse d'amis, de parents ou d'autres individus, est portable.
• Certaines données de tiers : Les appels entrants et sortants ainsi que les messages et les paiements ont été inclus dans le droit à la portabilité.

Le principe sous-jacent est que la notion de « données fournies par l'individu » devrait s'appliquer de manière large à toutes les données personnelles concernant l'individu qui n'ont pas été créées par l'organisation.

2.3 Limitation relative à la propriété intellectuelle

La Loi du Québec exclut expressément les données « créées ou inférées », vraisemblablement, sans le préciser, pour protéger les droits de propriété intellectuelle résultant d'une invention ou d'une création. La même limitation est interprétée dans l'article 20(4) du RGPD garantissant la protection des « droits et libertés de tiers ». Les Lignes directrices expliquent que cela doit « s’entendre comme incluant ‘le secret des affaires ou […] la propriété intellectuelle, notamment, le droit d'auteur protégeant le logiciel’ ». Les considérations suivantes sont proposées sur la conciliation des droits de propriété intellectuelle et du droit à la portabilité :

• Les droits de propriété intellectuelle ne doivent pas avoir pour effet de nier la portabilité de toutes les données de l'individu;
• Le droit à la portabilité des données ne peut pas être utilisé pour violer les droits de propriété intellectuelle;
• Un risque commercial potentiel ne peut pas, en soi, servir de base pour refuser une demande de portabilité.

L'affaire Ola Cabs devant le tribunal d'Amsterdam, opposant les chauffeurs de taxi Ola à Ola, y compris en ce qui concerne leur droit à la portabilité, clarifie la limitation de l'article 20, paragraphe 4, du RGPD. Elle interprète la limitation aux « droits et libertés de tiers » comme incluant la protection des droits de l'organisation.

En fin de compte, le droit à la portabilité existe sur une échelle mobile de droits concurrents à la vie privée et à la propriété intellectuelle : selon le niveau de transformation appliqué aux données personnelles, elles sont portables, sans droits concurrents de propriété intellectuelle, ou non transférables, lorsque le niveau de transformation est tel que les droits de propriété intellectuelle prévalent.

3. Obligations des organisations

Les APD européennes ont publié des décisions et des orientations qui définissent les obligations respectives de l'organisation qui envoie les données en vertu du droit à la portabilité et de l'organisation qui les reçoit.

3.1 Toutes les organisations

Les APD européennes, telles que la Commission nationale de l'information et des libertés (CNIL) française, insistent sur des descriptions claires et complètes du droit à la portabilité, dans une politique de confidentialité facilement accessible. La Commission irlandaise de protection des données appelle les organisations à veiller à ce qu'il n'y ait pas de confusion entre le droit d'accès, c'est-à-dire le droit d'accéder à ses données, qu'elles soient fournies par l'individu ou créées par l'organisation, et le droit à la portabilité, qui ne s'étend pas aux données créées par l'organisation.

Le Contrôleur européen de la protection des données (CEPD) souligne également l'obligation de développer des mesures techniques pour permettre la réalisation du droit à la portabilité. Cela étant dit, les Lignes directrices citent le considérant 68 du RGPD pour préciser que le droit à la portabilité « ne devrait pas créer, pour les responsables du traitement, d’obligation d’adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles », insistant sur le fait que « la portabilité vise à produire des systèmes interopérables, et non des systèmes compatibles ».

3.2 Obligations de l'organisme qui envoie les données

Les Lignes directrices servent à délimiter les obligations des organisations lorsqu'elles reçoivent une demande de portabilité des données. Il s'agit notamment de l'obligation pour l'organisme émetteur des données de :

• Transférer sans faire « obstacle », qui interdit des mesures telles que la facturation d'une redevance, sauf si la demande est manifestement infondée et excessive, bien que le coût global ne puisse justifier à lui seul un refus de portabilité, l'utilisation d'un format compliqué, ou l'exigence d'un format spécifique pour demander un transfert de données, sans justification, ni des signatures obligatoires.
• Vérifier la demande, pour s'assurer qu'elle est bien comprise, en particulier en ce qui concerne les données que la personne souhaite transférer.
• Transférer en toute sécurité, notamment en veillant à ce qu'aucune personne non autorisée n'accède aux données par le biais du transfert.
• Justifier le refus, le cas échéant, dans un délai d'un mois à compter de la réception de la demande et informer la personne de son droit de déposer une plainte auprès de l'APD.

Il ne comprend pas de :

• Vérifier la conformité de l'organisme destinataire à la réglementation applicable.
• Fournir les données dans un format spécifique, à condition qu'elles soient structurées, couramment utilisées et lisibles par machine.
• Vérifier la qualité des données, au-delà de leurs obligations générales de maintenir les informations personnelles exactes et à jour.
• Conserver les renseignements personnels à des fins de portabilité.

Le principe directeur est que le droit à la portabilité ne peut pas porter atteinte aux droits légaux de l'organisation.

3.3 Obligations de l'organisme qui reçoit les données

À partir des mêmes documents d'orientation, les obligations des organismes qui reçoivent les données sont définies. Il s'agit notamment de :

• Utilisation compatible : Les renseignements transférés ne peuvent être utilisés qu'aux mêmes fins que celles de l'organisation d'origine.
• Minimisation : Aucune donnée ne peut être transférée ou conservée plus que ce qui est nécessaire pour le nouveau traitement. Les données qui ne sont pas nécessaires aux nouvelles finalités ne doivent pas être conservées ou traitées, mais plutôt renvoyées ou supprimées.
• Protection : L'organisme qui reçoit les données assume l'entière responsabilité de leur protection, y compris :
• Annoncer clairement et directement la finalité du nouveau traitement avant que la demande de transfert ne soit faite à l'organisation d'envoi, que la demande soit faite par la personne ou par l'organisation qui reçoit les données;
• Garantir la licéité du traitement, la limitation des finalités, la minimisation des données, l'exactitude, l'intégrité et la confidentialité, la limitation du stockage et la responsabilité.

Les obligations ne comprennent pas :

• Accepter les données personnelles transmises par le biais d'une demande de portabilité. L’organisation qui reçoit peut refuser les données.

3.4 Portabilité des données et prestataires de services

Le RGPD exige que les sous-traitants (prestataires de services) soient tenus d'aider les responsables du traitement des données (l'organisation responsable des données) à répondre aux demandes de droits individuels. De même, la Loi du Québec et la LPRPDE tiennent une organisation responsable du respect des droits et obligations rattachés aux renseignements personnels, « que leur conservation soit assurée par l’entreprise ou par un tiers » (article 1 de la Loi du Québec)ou « y compris les renseignements confiés à une tierce partie aux fins de traitement » (article 4.1.3 de l'annexe 1 de la LPRPDE).

Selon les Lignes directrices, les organisations doivent mettre en œuvre des procédures spécifiques de coopération de la part des fournisseurs de services pour répondre aux demandes de portabilité des données. Le principe de responsabilité au Canada mènerait à la même conclusion.

4. D'autres leçons à tirer de l'Europe

Il est intéressant de noter que les avocats experts sur la portabilité des données interrogés par l'Association internationale des professionnels de la protection de la vie privée (IAPP) en 2022, ont déclaré que la portabilité des données semble rarement être utilisée par les personnes concernées, ce qui contraste fortement avec le droit d'accès. Bien que ce constat puisse apporter une certaine forme de réconfort, le respect de la Loi du Québec et l'adoption éventuelle de la LPVPC maintiennent la pression pour élaborer, dès maintenant, les processus qui permettront de se conformer au droit à la portabilité au Canada. Le Comité européen de la protection des données (EDPB) propose quelques mesures opérationnelles concrètes à envisager, le cas échéant :

• Mettre à jour les avis de confidentialité pour informer les individus de leur droit à la portabilité, distinct des autres droits individuels.
• Informer les personnes de leur droit à la portabilité lorsqu'elles ferment un compte.
• Adopter des mécanismes de réponse dédiés aux demandes de portabilité, y compris l'authentification de la personne, qui peuvent déjà exister par rapport à d'autres droits.
• Demander confirmation de la demande à la personne concernée avant de transmettre les renseignements personnels.
• Identifier des moyens alternatifs de transférer des données pour répondre à des demandes variées. 
• Envisagez des outils pour faciliter la portabilité, tels que des outils de téléchargement ou de transmission directe, des interfaces de programmation d'applications, des outils d'extraction automatique des données pertinentes, une messagerie sécurisée ou la possibilité pour les individus d'accéder à un « magasin de données personnelles » ou à d'autres systèmes de gestion des informations personnelles.
• Adoptez des outils de sécurité des données tels que la suspension ou le gel de la transmission en cas de transfert suspect de données.
• Développer des formats interopérables.
• Adopter un mécanisme de réception pour s'assurer que les données portées sont limitées à ce qui est nécessaire pour la nouvelle finalité, ainsi que des mécanismes de retour ou de suppression pour les données inutiles.

Pour obtenir de plus amples renseignements à ce sujet, communiquez avec un membre du Cybersécurité et protection de la vie privée et des renseignements personnels au Canada.