La Loi 25 sur la protection des renseignements personnels se renforce avec le droit à la portabilité. Votre organisation est-elle conforme?
À partir du 22 septembre 2024, les entreprises, les organisations privées et les organismes publics devront se conformer aux nouvelles dispositions de la Loi 25 portant sur le droit à la portabilité des renseignements personnels informatisés, permettant ainsi un meilleur contrôle par les consommateurs.
Les entreprises et organisations privées doivent mettre en place des procédures pour répondre aux demandes d’accès des personnes dans un délai de 30 jours, et ce, dans un format technologique répondant aux exigences légales.
Qu’est-ce que la portabilité des renseignements?
Le droit à la portabilité des renseignements constitue une évolution du droit d’accès aux renseignements personnels. Il permet à une personne de demander la transmission de ses renseignements informatisés, dans un format technologique structuré et couramment utilisé, soit directement à elle-même, soit à une autre organisation de son choix.
En pratique, ce droit facilite ainsi la mobilité des consommateurs, leur permettant de changer de fournisseur de services plus aisément, sans craindre de perdre l’historique de leurs interactions ou de devoir reconfigurer leur profil.
Quels sont les renseignements concernés?
Attention, seuls les renseignements personnels recueillis sous forme informatisée directement auprès de la personne concernée peuvent faire l’objet d’une demande de portabilité.
Les renseignements créés ou déduits à partir de renseignements collectés par l’organisation ne sont pas inclus.
Notez que les législations applicables prévoient des limites et exceptions aux renseignements pouvant être visés par une telle demande, notamment dans le cas où le transfert soulèverait des difficultés pratiques sérieuses pour l’organisation.
Sous quelle forme les renseignements seront-ils transmis?
Vous devez respecter certaines formalités lors de la transmission des renseignements :
- Format écrit et intelligible : les renseignements doivent être présentés de manière claire et compréhensible, pouvant être lus et compris par un humain sans nécessiter de décodage ou de logiciel spécifique. Ce format exclut les informations chiffrées, codées ou présentées sous une forme nécessitant un traitement informatique pour être comprises.
- Format technologique structuré et couramment utilisé : le format choisi devra permettre un transfert fluide des renseignements entre différents systèmes informatiques. Il est donc recommandé de choisir un format ouvert comme CSV, XML ou JSON, favorisant la portabilité. À l’inverse, les formats complexes à traiter tels que les images, les PDF ou ceux nécessitant un logiciel ou une licence spécifique ne sont pas considérés comme des formats structurés et couramment utilisés.
Quelles sont les implications pour les entreprises?
Comme mentionné précédemment, pour respecter la loi, les organisations doivent mettre en place des procédures qui leur permettront de répondre adéquatement aux demandes de portabilité, à l’intérieur d’un délai de 30 jours.
Comment vous préparer?
- Audit de renseignements : procédez à un inventaire exhaustif de vos renseignements pour identifier ceux potentiellement concernés par des demandes de portabilité.
- Processus clairs : mettez en place des procédures internes pour répondre efficacement aux demandes de portabilité dans les délais légaux requis.
- Formation du personnel : assurez-vous que vos employés comprennent les implications de la Loi 25 et les procédures à suivre en cas de demande de portabilité.
- Adaptation des systèmes : adaptez les systèmes informatiques de votre entreprise pour permettre l’extraction et la transmission des renseignements dans les formats requis. Si votre organisation prévoit de changer ses systèmes d’information ou de prestation électronique, elle doit s’assurer que ce projet permet la communication des renseignements personnels collectés auprès d’un individu dans un format structuré et couramment utilisé, si celui-ci en fait la demande.
La mise en conformité avec la Loi 25 et la mise en place d’un système efficace de portabilité des renseignements peuvent représenter un défi pour les organisations. Notre équipe juridique spécialisée en gouvernance de l’information et protection des renseignements personnels est à votre disposition pour vous accompagner dans cette démarche.
Cet article a été rédigé en collaboration avec Sabrina Roy, conseillère principale en gouvernance de l’information chez Raymond Chabot Grant Thornton.
-
Avis d'experts
Loi 25 | Quels sont ses impacts sur votre entreprise?
Mis à jour le 31 mai 2024 Votre entreprise doit se conformer à la loi 25 et mettre en place un programme(…)
Conseils en gestion des risquesLoi 25 | Quels sont ses impacts sur votre entreprise?… En savoir plus