Le droit à la portabilité des données : tour d’horizon

Le droit à la portabilité des données permet à une personne d’obtenir une copie des renseignements personnels qu’une organisation détient à son sujet. Dans certains cas, ce droit permet également de demander le transfert de ses renseignements personnels d’une organisation à l’autre. L’un des objectifs principaux de ce droit est de permettre aux individus d’avoir plus de contrôle sur leurs renseignements personnels. 

Le renforcement des lois protégeant les renseignements personnels dans plusieurs régions du monde nous permet de constater que le droit à la portabilité des données se fait de plus en plus présent et nous en entendons parler de manière plus fréquente. Cet article se veut un tour d’horizon de ce droit et de ses implications, tant pour les individus que pour les entreprises, en passant par l’Union Européenne et les États-Unis, jusqu’à son arrivée prochaine au Québec et au Canada. 

Différence avec le droit d’accès 

Avant toute chose, précisons que le droit à la portabilité des données est un droit distinct du droit d’accès à ses données. Cependant, certaines caractéristiques se ressemblent et c’est pourquoi il est important de bien les distinguer. 

Voici un tableau comparatif illustrant la différence entre le droit d’accès et le droit à la portabilité des données : 

Droit d’accès  Droit à la portabilité 
Le droit d’accès nous permet d’être informé de la nature des renseignements personnels qu’une organisation détient à notre sujet lorsqu’on lui en fait la demande.   C’est par le droit d’accès que nous pouvons notamment demander la rectification ou la suppression de nos renseignements personnels.  Le droit à la portabilité nous permet d’obtenir une copie des données qu’une organisation détient à notre sujet. Il nous donne un plus grand contrôle sur nos renseignements personnels en nous permettant de les manipuler et de les transmettre.  

Union Européenne 

Le droit à la portabilité des données a été introduit par le Règlement général sur la protection des données1 (le « RGPD »). Entré en vigueur en 2018, le RGPD assure la protection des renseignements personnels des individus au sein de l’Union Européenne. À ce jour, plusieurs lois et projets de loi en matière de protection des renseignements personnels à travers le monde s’inspirent du RGPD.  

Le RGPD permet à une personne de recevoir les données à caractère personnel la concernant dans un format structuré, couramment utilisé et lisible par machine2. En plus de pouvoir recevoir ces renseignements, le droit à la portabilité des données prévu au RGPD permet à la personne concernée de demander le transfert de ses données personnelles d’une organisation à une autre lorsqu’il est techniquement possible de le faire3. Cela veut dire que la personne n’a pas à communiquer ses renseignements personnels elle-même, car il lui suffit de demander à l’organisation qui détient déjà ses renseignements personnels de le faire à sa place. Il s’agit d’ailleurs d’une grande responsabilité pour les organisations qui doivent mettre en œuvre les moyens techniques adéquats pour être en mesure de répondre à ce type de demande.  

États-Unis 

Le Consumer Privacy Act4 (le « CCPA ») est entré en vigueur le 1er janvier 2020 dans l’État de Californie. Inspirée du RGPD, il s’agit de la première loi d’application générale en matière de protection des renseignements personnels aux États-Unis. Elle a notamment pour objectif de renforcer les droits des résidents de la Californie en matière de vie privée.  

Le CCPA prévoit un droit à la portabilité des données. Toutefois, contrairement au RGPD, ce droit est considéré comme faisant partie du droit d’accès et non comme étant un droit distinct. En effet, le CCPA limite le droit à la portabilité des données à la possibilité pour un individu de recevoir une copie des renseignements personnels qu’ils ont communiqués à une organisation, mais ne l’étend pas à la possibilité de demander un transfert de ses données personnelles d’une organisation à une autre.  

Précisons également que les États de la Virginie et du Colorado ont également des lois d’application générale en matière de protection des renseignements personnels qui prévoient toute deux le droit à la portabilité des données.  

Québec 

Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé5 (la « Loi sur le secteur privé ») actuellement en vigueur prévoit un droit d’accès à son article 27, mais ne prévoit pas de droit à la portabilité des données. C’est par le projet de loi 64 ou la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels qu’un droit à la portabilité des données sera introduit au Québec. 

En effet, l’entreprise qui détient un renseignement personnel sur une personne devra, à sa demande, lui en confirmer l’existence et lui communiquer ce renseignement, tout en lui permettant d’en obtenir une copie. Il en va de même pour un renseignement personnel informatisé. Il devra lui être communiqué sur demande dans un format technologique structuré et couramment utilisé. Enfin, ce renseignement devra être communiqué, toujours à sa demande, à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement. 

D’ailleurs, l’étude détaillée en commission du projet de loi 64 vient tout juste de prendre fin. Il devrait donc être adopté dans un futur rapproché. 

Canada 

Au niveau fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques6 (la « LPRPDE ») qui est présentement en vigueur ne prévoit pas de droit à la portabilité des données. Toutefois, le projet de loi C-11 ou la Loi sur la mise en œuvre de la Charte du numérique prévoit qu’une organisation doit communiquer dès que possible les renseignements personnels qu’elle a recueillis auprès d’un individu à l’organisation qu’il désigne, si ces deux organisations sont soumises à un cadre de mobilité des données prévu par règlement. À ce jour, nous n’avons pas d’informations précises quant aux implications réelles d’un cadre de mobilité des données. 

Contrairement au projet de loi 64 au Québec, le projet de loi fédéral ne prévoit pas la possibilité pour un individu d’obtenir une copie des renseignements personnels qu’une organisation détient à son sujet dans un format structuré et couramment utilisé. 

Il est important de préciser que le projet de loi C-11 est actuellement à l’étape de la deuxième lecture à la Chambre des Communes, mais le processus parlementaire n’a pas progressé depuis le mois d’avril 2021. En raison des élections fédérales de 2021, il est possible que la réforme de la LPRPDE ne passe pas par le projet de loi C-117.  

Conclusion 

Nous espérons que cet article vous a permis d’en apprendre davantage sur ce qu’est le droit à la portabilité des données ainsi que sur les différences que l’on retrouve dans ses modalités d’une juridiction à l’autre.  

Il sera d’ailleurs très intéressant de voir comment ce droit pourra concrètement être exercé par les personnes concernées, tant au Québec qu’au niveau fédéral, lorsque les lois sur la protection des renseignements personnels actuellement en vigueur seront modernisées. 


1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). 
Ibid., article 20. 
3 Ibid
4 TITLE 1.81.5. California Consumer Privacy Act of 2018 [1798.100 – 1798.199.100] 
5 RLRQ, c. P-39.1.
6 LC 2000, c.5.
7 L’avenir de la réforme des lois sur la protection des renseignements personnels au Canada – Commissariat à la protection de la vie privée du Canada, consulté le 16 juillet 2021.

Attention : Cette publication ne constitue pas un avis juridique. Il s’agit uniquement d’informations d’ordre général dans le but de vous tenir informés sur certains sujets. Nous vous invitons à consulter votre avocat pour toute question d’ordre juridique.