Le droit à la portabilité permet à toute personne qui le demande d’obtenir ses renseignements personnels informatisés, dans un format technologique structuré et couramment utilisé. Ceux-ci doivent cependant avoir été recueillis auprès d’elle. Selon les précisions du gouvernement du Québec, un format est dit "structuré et couramment utilisé" lorsque des applications logicielles d’usage courant peuvent facilement reconnaître et extraire les informations qui y sont contenues.
Les organismes publics ont l’obligation de s’assurer que tout nouveau projet d’acquisition, de développement, de refonte d’un système d’information ou de prestation électronique de services permette la communication de renseignements personnels informatisés dans un format technologique structuré et couramment utilisé.
Cette modalité d’exercice du droit d’accès vise à donner plus de contrôle aux individus sur leurs renseignements personnels et à faciliter leurs démarches lorsqu’ils souhaitent obtenir des services auprès d’un autre organisme public.
Dans ce contexte, une personne peut aussi demander que ses renseignements personnels informatisés soient communiqués dans un format technologique structuré et couramment utilisé à une personne ou un organisme autorisé à les recevoir.
Pour assurer la protection des renseignements personnels, tout organisme public qui recueille des renseignements personnels, informatisés ou non, est tenu d’évaluer la nécessité de les recevoir en suivant la démarche proposée.
Actuellement, aucune exigence législative n’impose aux organismes publics l’obligation de se doter de systèmes interopérables. Toutefois, l’interopérabilité constitue un élément crucial pour favoriser un transfert efficace des renseignements personnels, et pour que les personnes concernées puissent pleinement bénéficier du droit à la portabilité.
À ce propos, dans un contexte d’actualisation de son architecture d’entreprise gouvernementale, le gouvernement du Québec s’est doté d’un cadre commun favorisant l’interopérabilité des systèmes d’information, le Cadre commun d’interopérabilité du gouvernement du Québec en conformité avec les orientations proposées dans la Politique-cadre sur la gouvernance et la gestion des ressources informationnelles organismes publics et la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement.
Conditions d’application du droit à la portabilité
Pour que s’applique le droit à la portabilité, les renseignements personnels concernés doivent être :
- Informatisés
- Le droit à la portabilité est limité aux renseignements personnels informatisés, c’est-à-dire organisés et structurés à l’aide de l’informatique.
- Recueillis auprès de la personne concernée
- Ces renseignements personnels informatisés doivent aussi avoir été recueillis directement ou indirectement auprès de la personne par l’organisme public. Les renseignements recueillis indirectement sont notamment ceux qui sont générés par les activités de la personne concernée, comme l’historique de ses achats, déplacements, habitudes de conduite, etc.
Les renseignements créés ou inférés sont exclus du droit à la portabilité, car ils n’ont pas été recueillis directement ou indirectement auprès de la personne concernée. Ils sont plutôt générés par l’analyse, l’observation ou obtenus par des algorithmes et des corrélations.
De même, les renseignements personnels informatisés qu’un organisme public obtient par des tiers sont également exclus du droit à la portabilité.
Procédure d’accès aux renseignements personnels informatisés
La procédure à suivre pour répondre à une personne demandant à obtenir dans un format technologique structuré et couramment utilisé la communication de ses renseignements personnels informatisés est la même que pour toute demande d’accès ou de rectification.
Une personne insatisfaite de la réponse à sa demande peut déposer une demande de révision à la Commission.
Les organismes publics sont tenus de prendre des mesures de sécurité appropriées quand ils transmettent des renseignements personnels informatisés dans un format technologique structuré et couramment utilisé.
Les organismes publics sont tenus de prendre des mesures de sécurité appropriées quand ils transmettent des renseignements personnels informatisés dans un format technologique structuré et couramment utilisé.
Sachez également que:
- L’organisme détenant des renseignements personnels doit s’assurer que le tiers (personne physique, personne morale ou organisme public) à qui une personne demande que soient communiqués ses renseignements personnels est autorisé par la loi à les recueillir avant de procéder à la communication;
- Le tiers à qui une personne vous a demandé de communiquer ses renseignements personnels doit être en droit de collecter les renseignements personnels, c’est-à-dire avoir un intérêt légitime et sérieux de procéder à la collecte et ne recueillir que les renseignements personnels nécessaires (ou pertinents à l'objet déclaré au dossier pour les personnes physiques) et dont les objectifs ont été prédéterminés.
- Si le tiers est un organisme public, il doit recueillir uniquement des renseignements personnels qui sont nécessaires à l'exercice de ses attributions ou à la mise en oeuvre d'un programme dont il a la gestion.
Difficultés pratiques sérieuses
La communication des renseignements personnels dans un format technologique structuré et couramment utilisé ne doit pas entrainer de difficultés pratiques sérieuses pour l’organisme public. La Loi sur l’accès ne définit pas ce que peuvent être « des difficultés pratiques sérieuses ». L’interprétation jurisprudentielle de la Commission concernant cette expression réfère à une analyse au cas par cas. À titre d’exemple, la Commission a déjà conclu que les coûts importants engendrés pour donner suite à une demande ou la complexité que nécessite le transfert dû au choix du demandeur quant à la forme peuvent être considérés comme des « difficultés pratiques sérieuses ».