Skip to content

Le droit à la portabilité des données personnelles

Le droit à la portabilité des données personnelles

Le droit à la portabilité des données a été introduit par le RGPD au même titre que le principe d’accountability ou de privacy by design. Ce droit permet ainsi à toute personne de demander la réception ou la transmission de ses données à un autre organisme.

Il convient toutefois de connaître les prérogatives attachées à ce droit ainsi que ses modalités d’exécution.

Qu’est-ce que le droit à la portabilité des données ?

Le RGPD a introduit de nombreux droits pour les citoyens européens tels que le droit d’accès aux données, le droit à la limitation du traitement ou le droit à la portabilité des données. Il est toutefois utile de déterminer les conditions d’exercice de celui-ci ainsi que son utilité.

La définition de la portabilité des données

L’article 20 du RGPD donne une définition du droit à la portabilité des données. En effet, celui-ci prévoit que toute personne ayant fourni ses données personnelles à un responsable de traitement peut demander à :

  • recevoir les données personnelles la concernant
  • transmettre directement les données récoltées par un responsable de traitement à un autre responsable de traitement.

Ainsi, le transfert de données personnelles d’un organisme à un autre (par exemple, de Deezer à Spotify) est possible, si l’utilisateur en fait la demande. Il peut également demander à recevoir les données récoltées par Spotify à son sujet.

Attention ! Le transfert des données doit être effectué dans un format structuré, couramment utilisé et lisible par machine.

Les conditions d’exercice du droit à la portabilité des données

Le droit à la portabilité des données est cependant soumis à plusieurs conditions. En effet, la récolte de données par un organisme n’entraîne pas automatiquement un droit à la portabilité.

Ainsi, toutes les données personnelles ne sont pas concernées par le droit à la portabilité. En effet, les données concernées sont uniquement celles collectées :

  • par l’organisme et concernant directement le demandeur
  • dans le cadre d’un contrat liant les parties ou grâce au consentement explicite du client
  • à l’aide de procédés automatisés
Bon à savoir : Les données anonymes sont exclues du droit à la portabilité.

L’utilité de la portabilité des données

Le RGPD est entré en vigueur en 2018 en France, par la réforme de la loi Informatique et Libertés. Celui-ci a imposé de nombreuses obligations au responsable de traitement de données, telles que la mise en conformité des mentions légales au RGPD.

Cependant, il a également octroyé de nombreux droits aux citoyens européens faisant l’objet de collectes de données. Ainsi, le droit à la portabilité des données s’inscrit dans cette volonté.

Ainsi, ce droit offre plusieurs utilités telles qu’une :

  • meilleure maîtrise de leurs données personnelles pour les utilisateurs
  • circulation plus rapide et plus facile des données personnelles entre organismes
  • stimulation et un renforcement de la concurrence entre responsable de traitement des données personnelles

Comment exercer son droit à la portabilité des données ?

Le droit à la portabilité peut être exercé par toute personne dont les données sont récoltées, sous réserve des conditions émises précédemment. Ainsi, il convient de déterminer quelle est la procédure à suivre pour exercer ce droit.

La procédure

L’organisme collectant les données personnelles est tout d’abord dans l’obligation d’informer le client de son droit à la portabilité.

En effet, il doit indiquer les informations suivantes :

  • le droit à la portabilité des données
  • les modalités d’exercice de ce droit
  • la différence entre ce droit et les autres droits conférés par le RGPD tels que le droit d’accès ou le droit de limitation de traitement
A noter : cette information peut figurer au sein des mentions légales, des conditions générales de vente ou d’utilisation.

Ainsi, chaque organisme prévoit ses propres procédures concernant l’exercice du droit à la portabilité des données. Cependant, ceux-ci doivent tous respecter le délai imposé par l’article 12 du RGPD. Celui-ci est d’un mois à compter de la réception de la demande.

Bon à savoir : Le délai peut être prolongé de deux mois en raison de la complexité ou du nombre de demandes. Il doit toutefois en informer le demandeur dans un délai d’un mois à compter de la réception de la demande.

Le refus d’une demande

En principe, toute demande doit être traitée. Le responsable de traitement ne peut donc pas refuser de traiter une demande de portabilité des données. Cependant, il existe quelques exceptions :

  • si les demandes sont excessives ou infondées
  • si les données n’ont pas été conservées

Toutefois, les organismes collecteurs doivent impérativement justifier leurs décisions de refus. Si tel n’est pas le cas, le demandeur peut effectuer une réclamation auprès de la CNIL.

Le coût du traitement de la demande

Le traitement de la demande est en principe gratuit. En effet, le responsable du traitement n’a nullement le droit d’exiger un paiement pour l’exécution de cette demande.

Cependant, le responsable peut exiger certains frais lorsque :

  • le demandeur exige une copie supplémentaire
  • la demande est excessive ou infondée
Bon à savoir : L’exigence de paiement de frais ne peut en aucun cas constituer une entrave à l’exercice du droit à la portabilité.

Quels outils mettre en place pour appliquer le droit à la portabilité des données ?

Les responsables du traitement sont dans l’obligation de mettre en place des outils ou des procédures afin de faire droit aux demandes de portabilité des données. Celles-ci peuvent notamment être conçues par le délégué à la protection des données personnelles.

Les outils

Il est recommandé aux responsables du traitement des données personnelles de mettre en place des outils afin de faciliter le transfert des données. Ainsi, ceux-ci peuvent faire le choix de :

  • mettre en place une fonctionnalité permettant de télécharger depuis son compte ses données sous un format lisible
  • installer une API qui permet la récupération automatique des données
A noter : D’autres solutions sont également possibles. En effet, il est simplement recommandé de mettre en place une procédure claire et précise au sein de l’entreprise afin de traiter les demandes.

L’obligation de garantir la sécurité des données

Le responsable du traitement des données a l’obligation de garantir la sécurité des données personnelles, tout au long du processus de portabilité des données. En effet, les données doivent malgré le transfert rester confidentielles.

Ainsi, doivent également être prises des mesures de sécurité. Ces mesures doivent assurer une transmission des données à la bonne personne, sans pour autant limiter l’exercice du droit à la portabilité des données personnelles.

Attention ! Le traitement d’une demande de portabilité ne doit pas engendrer le non-respect des autres obligations découlant du RGPD. Ainsi, le responsable de traitement n’aura le droit de conserver les données personnelles qu’aussi longtemps que nécessaire au traitement de la demande de portabilité.

La responsabilité des responsables du traitement des données

Le responsable du traitement des données transmettant les données n’est pas responsable du traitement des données suivant la demande de portabilité de la personne concernée.

C’est donc le responsable du traitement des données recevant les données personnelles en question qui sera seul responsable de leurs traitements dans le respect du RGPD. Il est alors tenu d’assurer la protection des données personnelles reçues au regard de la finalité du transfert, du nouveau traitement dont elles doivent faire l’objet et des dispositions du RGPD.

FAQ

Qu’est-ce que le droit à la portabilité ?

Le droit à la portabilité est un droit conféré par le RGPD à toute personne dont les données sont collectées à l’aide de procédés automatisés. En effet, chacun peut ainsi demander à recevoir les données personnelles le concernant ou à transmettre les données collectées par un organisme à un autre organisme.

Quelles sont les données concernées par le droit à la portabilité ?

Toutes les données ne sont pas concernées par le droit à la portabilité. En effet, seules les données personnelles concernant le demandeur peuvent faire l’objet d’une portabilité. Par ailleurs, elles doivent avoir été collectées dans le cadre d’un contrat ou grâce au consentement explicite du demandeur.

Quel est l’intérêt du droit à la portabilité ?

Le droit à la portabilité permet aux utilisateurs de disposer d’une meilleure maîtrise sur leurs données personnelles. Elle permet également une circulation plus facile et rapide des données entre les différents responsables de traitement.

Obtenir un devis RGPDObtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Dernière mise à jour le 16/06/2021

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments