loading
x
Les problématiques de la portabilité des données

Cette image a été générée par une intelligence artificielle

Nawal Sassi (Le présent billet a été rédigé dans le cadre du cours DRT 6903)

Le 22 septembre 2024 marque l’entrée en vigueur d’un nouveau droit pour les Québécois, bien qu’il soit légitime de s’interroger sur sa réelle portée. Le droit à la portabilité des données confère à toute personne la possibilité de demander et d’obtenir ses renseignements personnels informatisés dans un format technologique structuré et couramment utilisé. Autrement dit, il facilite la communication de ces renseignements d’une entreprise à une autre, par exemple lors d’un changement de fournisseur de services. Ce droit, qui constitue en réalité une extension numérique du droit d’accès, est prévu à même la disposition relative aux demandes d’accès, l’article 27 al. 3 de la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le secteur privé ») et l’article 84 al. 3 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (la « Loi sur l’accès »).

« 27. Toute personne qui exploite une entreprise et détient un renseignement personnel sur autrui doit, à la demande de la personne concernée, lui en confirmer l’existence et lui donner communication de ce renseignement en lui permettant d’en obtenir une copie.

À la demande du requérant, un renseignement personnel informatisé doit être communiqué sous la forme d’une transcription écrite et intelligible.

À moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès du requérant, et non pas créé ou inféré à partir d’un renseignement personnel le concernant lui est, à sa demande, communiqué dans un format technologique structuré et couramment utilisé. Ce renseignement est aussi communiqué à sa demande à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement.

Lorsque le requérant est une personne handicapée, des mesures d’accommodement raisonnables doivent être prises, sur demande, pour lui permettre d’exercer le droit d’accès prévu par la présente section. »

Cependant, malgré sa formulation concise et ses quelques lignes, l’alinéa 3 soulève de nombreuses problématiques.

Problématique numéro 1 : la notion de renseignement personnel informatisé

L’article 2 de la Loi sur le secteur privé propose une interprétation étendue des renseignements personnels, dans le but de demeurer technologiquement neutre. Ainsi, la loi s’applique aux renseignements « quelle que soit la nature de leur support et quelle que soit la forme sous laquelle ils sont accessibles : écrite, graphique, sonore, visuelle, informatisée ou autre. » Toutefois, cette neutralité semble compromise en ce qui concerne le droit à la portabilité des données, qui se limite aux seuls renseignements personnels informatisés. En consultant les lignes directrices publiées sur le site de la Commission d’accès à l’information (la « CAI »), on peut lire que « le droit à la portabilité est limité aux renseignements personnels informatisés, c’est-à-dire organisés et structurés à l’aide de l’informatique. » Cette limitation du droit à la portabilité des données aux seuls renseignements personnels informatisés crée donc une discordance avec l’esprit de neutralité technologique inscrit à l’article 2 de la Loi sur le secteur privé. Alors que la loi vise à s’appliquer à toutes les formes de support, la portabilité exclut les données non informatisées, limitant ainsi l’universalité du droit d’accès. Cette contradiction soulève des questions quant à l’égalité de traitement des informations, selon leur format. Par exemple, la question se pose de savoir si un enregistrement sonore, une fois transcrit et « organisé et structuré à l’aide de l’informatique », pourrait être considéré comme un renseignement personnel informatisé et entrer dans le champ du droit à la portabilité.

Problématique numéro 2 : Renseignement recueilli auprès du requérant

La notion de collecte auprès du requérant soulève également certaines interrogations, notamment en ce qui concerne la manière dont les renseignements doivent être obtenus. Est-il nécessaire que ces renseignements aient été fournis directement par la personne concernée, par exemple par le biais d’un formulaire en ligne, ou bien est-ce que des renseignements observés, tels qu’un historique de recherche, pourraient également être visés par une demande de portabilité ? La CAI semble adopter une interprétation plus large, en faisant référence, dans ses lignes directrices, à des renseignements recueillis de manière « directe ou indirecte ». Cela inclut les renseignements générés par l’activité en ligne, tels que les historiques d’achats, les déplacements, et même les habitudes de conduite. Ce dernier exemple proposé par la CAI suscite des interrogations. Une habitude de conduite constitue-t-elle réellement un renseignement recueilli indirectement ? Il apparaît plutôt qu’il s’agit d’un renseignement inféré puisqu’il nécessite une analyse ou un traitement des données pour en déduire une inférence sur les comportements de la personne.

Problématique numéro 3 : les renseignements créés ou inférés

L’exclusion des renseignements créés ou inférés vise à protéger la confidentialité des méthodes et processus internes des organisations susceptibles d’être exploitées par des concurrents. Toutefois, la frontière entre le renseignement recueilli et le renseignement créé ou inféré semble très fine. Quel apport doit être fourni par l’organisation pour convertir un renseignement recueilli en renseignement créé ou inféré ? Par exemple, le traitement des données effectué pour obtenir la transcription écrite d’un enregistrement sonore illustre ce dilemme : l’enregistrement original constitue un renseignement recueilli, tandis que la transcription peut être considérée comme un renseignement créé à partir de celui-ci. Cela soulève la question de savoir si cette transcription, issue d’un traitement des données, est inéligible à une demande de portabilité. Si la transcription est perçue comme le produit d’une analyse et d’un traitement, elle pourrait être considérée comme un renseignement créé, excluant ainsi son accès dans le cadre du droit à la portabilité. Cette incertitude peut engendrer des inégalités entre les individus cherchant à exercer leur droit à la portabilité et les organisations, qui pourraient interpréter les règles de manière à préserver leurs propres intérêts économiques.

Problématique numéro 4 : le format technologique structuré et couramment utilisé

Nous en arrivons au format de communication des renseignements personnels informatisés. Les alinéas 2 et 3 de l’article 27 édictent deux critères à respecter: d’abord le renseignement doit être communiqué sous une façon écrite et intelligible, puis il doit également prendre une forme technologique structurée et couramment utilisée. Ces deux exigences semblent être en contradiction.

Tout d’abord, l’article 3 de la Loi sur concernant le cadre juridique des technologies de l’information (la « LCCJTI ») fournit davantage de détails sur la définition d’une transcription écrite et intelligible :

« 3.  Un document est constitué d’information portée par un support. L’information y est délimitée et structurée, de façon tangible ou logique selon le support qui la porte, et elle est intelligible sous forme de mots, de sons ou d’images. L’information peut être rendue au moyen de tout mode d’écriture, y compris d’un système de symboles transcriptibles sous l’une de ces formes ou en un autre système de symboles. »

Ainsi, l’intelligibilité d’un document ne se limite pas uniquement à sa forme écrite traditionnelle, mais inclut également des formes sonores et visuelles, élargissant la portée de ce que l’on peut qualifier d’information intelligible. Cela signifie que tant qu’un document ou une donnée est structuré et rendu compréhensible, peu importe le support utilisé, il peut être considéré comme « intelligible » au sens de la loi. Le critère d’intelligibilité renvoie donc à la capacité d’être compris par une personne humaine (Le document technologique et ses incidences en droit des affaires).

En ce qui concerne la transcription écrite, cette disposition introduit une flexibilité que peut prendre le mode d’écriture. Ainsi, une information communiquée sous forme de pictogrammes ou encore en braille respecterait également le critère de transcription écrite (Le document technologique et ses incidences en droit des affaires).

Puis, le format technologique structuré et couramment utilisé désigne le support matériel sur lequel repose l’information (La preuve des documents technologiques). Pour mieux cerner ce concept, on peut se référer aux recommandations du Groupe de travail « article 29 » du Comité européen sur la protection des données, en l’absence d’une définition précise dans la loi québécoise. Selon ces recommandations, « les responsables du traitement devraient fournir les données à caractère personnel au moyen de formats ouverts communément utilisés (par exemple XML, JSON, CSV, etc.), assortis de métadonnées ». Ces formats ouverts favorisent l’interopérabilité des systèmes, facilitant ainsi la réutilisation des données. Bien que la loi québécoise n’offre pas de définition explicite, la CAI, en s’appuyant sur les interprétations du gouvernement du Québec, renvoie également à l’utilisation de formats ouverts. Elle précise d’ailleurs qu’« un format difficile à traiter, tel qu’une image, un PDF, ou tout format nécessitant l’achat d’un logiciel ou d’une licence payante, ne saurait être considéré comme un format technologique structuré et couramment utilisé ».

Ainsi, l’exigence du format écrit et intelligible semble entrer en contradiction avec celle du format technologique structuré et couramment utilisé, car ces deux critères visent des objectifs différents. Un format comme JSON ou XML qui est structuré et adapté aux machines n’est pas facilement compréhensible pour un humain, tandis qu’un format intelligible pour une personne (par exemple, un PDF) peut ne pas offrir la structuration nécessaire pour une utilisation dans des systèmes automatisés.

Problématique numéro 5 : difficulté pratique sérieuse

La notion de difficulté pratique sérieuse que l’on retrouve au début de l’alinéa 3 représente une nouveauté sous la Loi sur le secteur privé, bien que déjà existante sous la Loi sur l’accès. On y réfère dans la Loi sur l’accès à l’article 10 al. 2 :

« Le requérant peut également obtenir copie du document, à moins que sa reproduction ne nuise à sa conservation ou ne soulève des difficultés pratiques sérieuses en raison de sa forme. »

Ainsi, la Loi sur l’accès semble établir un lien entre la difficulté pratique sérieuse et le support utilisé pour obtenir une copie du document. En revanche, la LCCJTI propose une définition plus libérale de difficulté pratique sérieuse. Selon l’article 23 al. 3 :

« Le choix d’un support ou d’une technologie tient compte de la demande de la personne qui a droit d’accès au document, sauf si ce choix soulève des difficultés pratiques sérieuses, notamment en raison des coûts ou de la nécessité d’effectuer un transfert. »

Bien que non exhaustive, la LCCJTI fournit des exemples relatifs aux coûts ou au support choisi pour le transfert du document.

Des recherches jurisprudentielles sur l’article 23 al. 3 de la LCCJTI et l’article 10 de la Loi sur l’accès révèlent que de nombreux obstacles rencontrés sont d’ordre technique. Par exemple, dans l’affaire J.E. c. Québec (Ville de), une demande de transfert de plans ne pouvait être satisfaite, car ces documents, fournis sur de larges rouleaux, ne pouvaient pas être numérisés par la ville en raison de l’absence d’équipement adéquat pour en faire une reproduction intelligible et lisible (J.E. c. Québec (Ville de), 2014 QCCAI 301, paragraphe 14).

Pour en revenir à la portabilité des données, les lignes directrices de la CAI semblent pencher vers une interprétation qui tient compte des particularités de chaque cas. En se référant à la jurisprudence, la CAI a déjà établi que des facteurs tels que les coûts élevés engendrés pour satisfaire une demande ou la complexité du transfert imposée par le choix du demandeur en matière de format peuvent être considérés comme des difficultés pratiques sérieuses.

Problématique numéro 6 : personne ou organisme autorisé par la loi

Le dernier élément susceptible de prêter à confusion est la mention, à l’article 27 al. 3, d’ « une personne ou un organisme autorisé par la loi ». En adoptant ce libellé, le législateur conditionne la communication des renseignements à une évaluation préalable de la légalité de l’entité destinataire. Cela soulève la question de savoir qui est responsable de cette évaluation et de la nature de celle-ci.

Dans ses lignes directrices, la CAI semble indiquer que cette responsabilité incombe à l’organisation qui reçoit les renseignements :

« Quand vous en faites la demande, l’organisme public ou l’entreprise à qui vous demandez que soient communiqués vos renseignements personnels informatisés doit évaluer la nécessité de les recevoir en suivant la démarche proposée. »

Cela implique que l’entité réceptrice doit justifier l’intérêt sérieux et légitime pour la collecte des renseignements personnels, conformément aux critères énoncés aux articles 4 et 5 de la Loi sur le secteur privé, ainsi qu’à l’article 35 du Code civil du Québec. Par conséquent, une sélection rigoureuse des renseignements doit être effectuée avant leur transmission.

Cependant, la CAI se limite à aborder les critères de nécessité et d’intérêt légitime, alors que la Loi sur le secteur privé impose d’autres obligations lors de la communication de renseignements. Par exemple, une évaluation des facteurs relatifs à la vie privée (EFVP) doit être réalisée lorsque des renseignements personnels sont transmis à des entités situées à l’extérieur du Québec. Dès lors se pose la question : l’organisation qui communique des renseignements personnels à une entité hors Québec devra-t-elle effectuer une EFVP pour garantir la conformité à la loi? Cette interrogation souligne la complexité des responsabilités des organisations impliquées dans le traitement et la communication de renseignements personnels dans le cadre d’une demande de portabilité.

Ce contenu a été mis à jour le 1 octobre 2024 à 10 h 50 min.

Commentaires

Laisser un commentaire