Portabilité des données : Nouvelle obligation depuis septembre 2024
Art. 27, LPRPSP
Ce que la loi exige
Vos clients peuvent exiger leurs données dans un format exportable (CSV, JSON) et vous avez 30 jours pour répondre.
Cette obligation, en vigueur depuis le 22 septembre 2024, ne couvre que les données informatisées que le client vous a fournies : coordonnées, historique d'achats, fichiers téléversés. Les données que vous avez créées (analyses, notes internes, scores) sont exclues.
Si le client demande un transfert direct vers un autre organisme, vous devez l'effectuer si c'est techniquement possible.
Texte de référence
Toute personne qui exploite une entreprise et détient un renseignement personnel sur autrui doit, à la demande de la personne concernée, lui en confirmer l'existence et lui donner communication de ce renseignement en lui permettant d'en obtenir une copie.
À la demande du requérant, un renseignement personnel informatisé doit être communiqué sous la forme d'une transcription écrite et intelligible.
À moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès du requérant, et non pas créé ou inféré à partir d'un renseignement personnel le concernant, lui est, à sa demande, communiqué dans un format technologique structuré et couramment utilisé. Ce renseignement est aussi communiqué à sa demande à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement.
Lorsque le requérant est une personne handicapée, des mesures d'accommodement raisonnables doivent être prises, sur demande, pour lui permettre d'exercer le droit d'accès prévu par la présente section.
Art. 27, Loi sur la protection des renseignements personnels dans le secteur privé
Ce que vous devez faire
La portabilité nécessite une préparation technique et organisationnelle. Voici comment vous conformer :
Quels renseignements sont visés?
Inclus dans la portabilité :
- Coordonnées fournies par le client (nom, adresse, courriel, téléphone)
- Historique des commandes et transactions
- Préférences et paramètres de compte
- Fichiers téléversés par le client (photos, documents)
- Messages et communications envoyés par le client
Exclus de la portabilité :
- Renseignements sur support papier uniquement
- Données créées par votre entreprise (analyses, scores, évaluations)
- Notes internes et commentaires de vos employés
- Renseignements concernant d'autres personnes
Format de transmission
Les données doivent être fournies dans un format :
- Structuré : Données organisées de façon lisible par machine (pas un PDF d'images)
- Couramment utilisé : Formats standards comme CSV, JSON, XML
- Réutilisable : La personne doit pouvoir importer les données ailleurs
Exemple : Un client demande ses données d'achat. Vous exportez un fichier CSV contenant : date, produit, quantité, prix, adresse de livraison.
Transmission directe à un tiers
Si le client demande que ses données soient transmises directement à un autre organisme :
- Vérifiez que l'organisme destinataire est autorisé à recevoir ces renseignements
- Si une interface technique existe, effectuez le transfert directement
- Si aucune interface n'existe, informez le client de l'impossibilité technique et remettez-lui les données pour qu'il les transmette lui-même
Processus de traitement
- Réception : Accusez réception de la demande et notez la date (le délai de 30 jours commence)
- Vérification d'identité : Confirmez l'identité du demandeur avant de transmettre des données
- Extraction : Générez l'export dans le format approprié
- Transmission sécurisée : Envoyez les données de façon sécurisée (lien de téléchargement protégé, courriel chiffré)
- Documentation : Conservez une trace de la demande, de la réponse et de la date
Erreurs courantes
- Ignorer les demandes. Ne pas répondre dans les 30 jours constitue un manquement à la loi. Même un refus doit être communiqué dans le délai.
- Fournir un PDF non structuré. Un PDF contenant des images ou du texte non structuré ne respecte pas l'exigence de format structuré. Utilisez CSV, JSON ou XML.
- Inclure des données de tiers. Si les données du client contiennent des renseignements sur d'autres personnes, vous devez les retirer avant transmission.
- Facturer des frais. La portabilité est gratuite. Vous ne pouvez facturer que si la demande est manifestement excessive ou répétitive.
- Ne pas vérifier l'identité. Avant de transmettre des données personnelles, assurez-vous que le demandeur est bien la personne concernée.
- Confondre portabilité et accès. Le droit d'accès (Art. 27) couvre tous les renseignements que vous détenez. La portabilité ne couvre que les renseignements informatisés fournis par la personne.
Questions fréquentes
Qu'est-ce que le droit à la portabilité des données?
C'est le droit pour une personne d'obtenir ses renseignements personnels dans un format technologique structuré et couramment utilisé, et de demander leur transmission directe à un autre organisme.
Depuis quand cette obligation est-elle en vigueur?
Le droit à la portabilité est entré en vigueur le 22 septembre 2024. C'est la dernière phase d'implantation de la Loi sur la protection des renseignements personnels dans le secteur privé.
Quels renseignements sont visés par la portabilité?
Seuls les renseignements informatisés que la personne vous a fournis sont visés. Les renseignements que vous avez créés ou déduits (analyses, scores, notes internes) ne sont pas inclus.
Dans quel format dois-je fournir les données?
Dans un format technologique structuré et couramment utilisé. Les formats courants incluent : CSV, JSON, XML. Le format doit permettre une réutilisation facile des données.
Quel est le délai pour répondre à une demande de portabilité?
30 jours à compter de la demande.
Dois-je transférer les données directement à un concurrent?
Si la personne le demande et si c'est techniquement faisable, oui. Cependant, vous pouvez invoquer l'impossibilité technique si aucune interface standard n'existe avec l'organisme destinataire.
La portabilité est-elle gratuite?
Oui. Vous ne pouvez pas facturer de frais pour répondre à une demande de portabilité, sauf si la demande est manifestement excessive ou répétitive.
Prochaine étape
La portabilité est souvent demandée en même temps qu'une demande de suppression (droit à l'effacement). Assurez-vous d'avoir un processus pour gérer les deux types de demandes.