Skip to content

Le droit à la portabilité des données personnelles

Le droit à la portabilité des données personnelles

Le droit à la portabilité des données fait beaucoup parler de lui depuis son introduction dans le règlement européen 2016/679 sur la protection des données (RGPD) qui entrera en vigueur dans l’Union Européenne le 25 mai 2018. Ce droit est réglementé à l’article 20 du RGPD et est reconnu à chaque citoyen européen. Le droit à la portabilité des données personnelles s’inscrit dans la politique de l’Union européenne visant à rendre au citoyen européen le plein contrôle de ses informations personnelles.

 

La portabilité des données personnelles, qu’est-ce que c’est ?

Le droit à la portabilité des données personnelles

Ce droit est reconnu à chaque citoyen européen.

Le droit à la portabilité des données personnelles de l’article 20 RGPD peut se diviser en deux grandes idées :

  • Le droit de recevoir d’une personne ses données propres pour assouvir à ses besoins propres
  • Le droit du transfert direct des données personnelles d’un responsable de traitement à un autre responsable de traitement ou à un environnement IT sans obstacle

En ce sens, il est donc possible de demander le transfert des données personnelles d’un opérateur à un autre, comme par exemple le transfert de la liste de musique de l’opérateur Spotify à l’opérateur Deezer.

Attention ! Le transfert des données doit être effectué dans un « format structuré, couramment utilisé et lisible par machine ». Les moyens utilisés doivent de plus garantir « l’interopérabilité » du traitement. Cela ne signifie pas que les formats doivent absolument être les mêmes. Ils doivent cependant être compatibles. Cela dépendra du secteur d’activité des organismes.

Utilité du droit à la portabilité des données

L’un des objectifs premiers de l’Union Européenne est la stimulation de la concurrence sur le marché européen. Fait également partie de ce marché le traitement des données personnelles. En effet, l’essor d’internet a créé un véritable nouveau marché européen : celui de la data. Le marché de la data utilise des techniques comme le profilage et a des conséquences aussi bien sur les citoyens européens que sur les organismes présents sur le marché.

L’Union Européenne souhaite d’une part stimuler et renforcer la concurrence entre responsables de traitement des données personnelles, permettant ainsi aux personnes concernées de rendre portable facilement leurs données personnelles d’un responsable de traitement à un concurrent.

L’Union Européenne souhaite d’autre part préserver les droits et libertés fondamentales des citoyens européens. La présence des citoyens européens sur internet a fait exploser le nombre de services de gestion des données personnelles. Le phénomène du Big Data a fragilisé la confiance des utilisateurs envers les différents organismes. Les droits conférés à la personne concernée par le RGPD, dont fait partie le droit à la portabilité des données, permet de rétablir cette confiance. Les personnes concernées peuvent reprendre le contrôle sur leurs données personnelles.

A retenir : Le droit à la portabilité des données permet de renforcer la circulation des données au sein de l’Union européenne, permettant de créer des services innovants et personnalisés au besoin de chaque personne. La circulation des données personnelles s’effectue sous le contrôle de la personne concernée, permettant ainsi de maintenir une protection optimale des droits et libertés fondamentales de chaque citoyen européen.

 

Le champ d’application du droit à la portabiilté

Les personnes concernées

Une personne concernée par un traitement de données personnelles ne peut utiliser son droit à la portabilité que si certaines conditions de l’article 20 du RGPD sont réunies :

La vérification de ces deux conditions doit s’effectuer au cas par cas.

Les données concernées

Au préalable, rappelons que le RGPD ne s’applique donc qu’aux données à caractère personnel. Les données doivent de plus être traitées exclusivement par moyens automatisés et informatiques.

Deux conditions supplémentaires doivent être réunies d’après l’article 20 du RGPD :

Les données personnelles doivent concerner la personne demandant la portabilité de celles-ci :

Le RGPD est silencieux sur les exigences concernant l’authentification de la personne souhaitant exercer son droit à la portabilité. C’est pourquoi les lignes directrices du G29 apportent certaines précisions vis-à-vis de cette modalité :

  • Un responsable de traitement ne peut pas refuser le transfert de données d’une personne fournissant des informations personnelles sur son identité
  • Si le traitement des données ne nécessite pas l’identité de la personne concernée et que le responsable ne peut pas identifier la personne concernée, il est en droit de refuser le transfert des données

En cas de doute sur l’identité de la personne concernée, le responsable du traitement est néanmoins en droit de demander des renseignements supplémentaires sur l’identité de la personne.

Dans le cas d’un pseudonyme ou d’un identifiant, le responsable du traitement peut créer une procédure permettant à la personne concernée d’exercer tout de même leur droit à la portabilité des données.

Il existe donc en pratique une obligation des responsables de transfert des données personnelles de création d’une procédure d’authentification permettant à la personne concernée de pouvoir renseigner son identité et ainsi d’exercer son droit à la portabilité des données personnelles.

Bon à savoir ! Ainsi, sont exclues du droit à la portabilité les données anonymes.

Les données doivent avoir été fournies volontairement en ligne par la personne concernée :

On entend par données volontairement fournies par exemple l’adresse postale ou la date de naissance qu’une personne fournie lors d’une inscription sur un site internet.

 

Le rôle des responsables du traitement dans l’application du droite à la portabilité des données personnelles

De nombreuses précisions ont été apportées par les lignes directrices G29 vis-à-vis du droit à la portabilité des données personnelles.

Mise à disposition d’outils permettant d’exercer le droit à la portabilité des données personnelles :

Les lignes directrices du G29 recommandent aux responsables du traitement des données personnelles de mettre en place des outils ayant pour but de faciliter le transfert des données, tout en respectant les conditions énoncées à l’article 20 du RGPD, entre autres par le biais de deux procédés :

  • La mise à disposition d’un fichier contenant l’ensemble des données personnelles de la personne concernée
  • La mise à disposition d’outils automatisés permettant l’extraction des données pertinentes, excluant ainsi les données de tiers

Les « API » (outils automatisés) :

Aussi bien les destinataires des données personnelles que les organismes transférants les données doivent mettre à niveau les outils de transfert afin de faciliter l’exercice du droit des citoyens européens.

Les outils doivent permettre aux personnes concernées de :

  • Sélectionner les données personnelles pertinentes en excluant les données de tiers
  • Télécharger directement les données personnelles dans un « format structuré, couramment utilisé et lisible par machine »
  • Transmettre directement les données personnelles pertinentes d’un responsable de traitement à un autre.

Le « PIMS » (système de gestion des informations personnelles) :

Les lignes directrices du G29 précisent également que les personnes concernées par le traitement des données personnelles ont la possibilité d’utiliser un PIMS pour gérer leurs données personnelles ; c’est-à-dire récupérer et conserver les données personnelles et également autoriser le transfert de ces données à d’autres responsables du traitement des données.

La mise à disposition du PIMS est un véritable atout vis-à-vis de la portabilité des données personnelles. Grâce au PIMS :

  • La personne concernée peut récupérer à tout moment ses données dans un format approprié et interopérable, lui permettant une analyse et une transmission des données personnelles simple et rapide
  • Le responsable du traitement des données peut transmettre ou recevoir des données personnelles de manière simplifiée par le biais d’un système unique sous le contrôle de la personne concernée

Attention ! Il faut dans tous les cas respecter le principe du consentement des personnes impliquées lors de la portabilité des données personnelles. Il faut donc que soient mis en place des mécanismes de consentement pour les personnes impliquées dans le transfert. Cela permet de faciliter la transmission et de respecter l’essence du RGPD : la protection des données personnelles et des personnes concernées.

Garantir la sécurité des données personnelles faisant l’objet du transfert :

Le responsable du traitement des données doit garantir la sécurité des données personnelles tout au long du processus de portabilité des données. Les données doivent malgré le transfert rester confidentielles.

Ainsi, doivent également être prises des mesures de sécurité. Ces mesures doivent assurer une transmission des données à la bonne personne, sans pour autant limiter l’exercice du droit à la portabilité des données personnelles.

Attention ! Le traitement d’une demande de portabilité ne doit pas engendrer le non-respect des autres obligations découlant du RGPD. Ainsi, le responsable de traitement n’aura le droit de conserver les données personnelles qu’aussi longtemps que nécessaire au traitement de la demande de portabilité. L’exercice du droit à la portabilité ne doit en aucun cas porter préjudices aux autres droits des personnes concernées conférés par le RGPD.

Obligation de conseil et devoir d’information dans le cadre de l’exercice du droit à la portabilité :

Le responsable du traitement des données à un devoir d’information des personnes sur leur droit à la portabilité dès la collecte des données personnelles. Les lignes directrices du G29 conseillent aux responsables du traitement des données de rappeler ce droit également à la clôture de la collecte des données.

Le responsable du traitement doit donc :

  • Mentionner le droit à la portabilité des données personnelles dès la collecte des données
  • Rappeler la distinction entre le droit à la portabilité des données personnelles et les autres droits propres aux personnes concernées (entre autres avec le droit d’accès aux données).

Les responsables au traitement des données doivent donc permettre aux personnes concernées d’exercer leur droit tout en respectant l’ensemble des règles du RGPD. C’est pour cela que le responsable du traitement a également un rôle de conseiller :

  • Il propose à la personne concernée les formats les plus appropriés et les systèmes les plus sécurisés pour exercer le droit à la portabilité des données concernées.
  • Il doit également informer les personnes concernées sur les failles des systèmes afin que ces personnes puissent mettre en place des mesures de protection de leurs données.

Le transfert des données doit être transparent et sécurisé afin de répondre aux attentes du RGPD.

 

Les modalités de la portabilité des données personnelles

Le délai de traitement de la demande de portabilités des données personnelles

D’après l’article 12 du RGPD, le responsable au traitement des données personnelles doit répondre dans les plus brefs délais à une demande de portabilité. On entend par « plus brefs délais » un mois maximum.
Il peut cependant prolonger ce délai de deux mois, à condition cependant d’en informer la personne concernée dès le premier mois en exposant les raisons de la prorogation du délai.

Le refus d’une demande de portabilité des données personnelles

Toute demande doit être traitée.
On ne peut refuser le traitement d’une demande de portabilité de données personnelles sans motifs de justification.
En cas de refus, la personne concernée doit être informée de manière précise du refus et des raisons du refus.
La personne concernée a la possibilité de former un recours devant la CNIL en cas de refus de traitement de sa demande, en plus des voix judiciaires classiques.
La personne concernée doit être informée dans un délai d’un mois suivant la réception de la demande de portabilité.

Le coût du traitement de la demande de portabilité des données personnelles

Le traitement de la demande de portabilité de données personnelles est en principe gratuit. Le responsable du traitement n’a nullement le droit d’exiger un paiement pour l’exécution de cette demande.
Néanmoins, le responsable peut, si une demande paraît infondée ou excessive (notamment une demande répétitive dont la répétition est infondée), exiger certains frais de la part du demandeur.

 

La responsabilité des responsables du traitement des données

Le responsable du traitement des données transmettant les données n’est pas responsable du traitement des données suivant la demande de portabilité de la personne concernée.

C’est donc le responsable du traitement des données recevant les données personnelles en question qui sera seul responsable de leurs traitements dans le respect du RGPD. Il est tenu d’assurer la protection des données personnelles reçues au regard de la finalité du transfert, du nouveau traitement dont elles doivent faire l’objet et des dispositions du RGPD.

A Savoir : Les opt in / opt out ont aussi connues des répercussions suite a la mise en place du RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L'ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments