Droit à la portabilité des données : ce que prévoit vraiment GDPR

Dans la quête de son objectif de renforcement du contrôle que les individus ont sur leurs données, GDPR (pour « General Data Protection Regulation » ou RGPD en français, pour Règlement général sur la protection des données) a mis en place le droit à la portabilité des données. Mais de quoi s’agit-il exactement ? On vous explique dans ce nouvel article de notre dossier Spécial GDPR !

 

GDPR : Le droit à la portabilité des données

 

Le droit à la portabilité des données correspond tout simplement au droit qu’ont les personnes à « recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine » et de « transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle ».

Inscrit à l’article 20 du GDPR, le droit à la portabilité est l’une des innovations majeures de ce Règlement en termes de droits des individus. Objectif principal de cette disposition : faciliter le passage d’un prestataire de service à un autre et, ce faisant, renforcer la concurrence entre les divers prestataires de service.

Le G29, groupe de travail institué par la directive du 24 octobre 1995 sur la protection des données, a élaboré des lignes directrices sur le droit à la portabilité des données, qui définissent les conditions et modalités d’exercice de ce droit.

 

Dans quels cas les individus peuvent-ils exercer leur droit à la portabilité des données ?

L’exercice du droit à la portabilité des données n’est possible que dans certains cas.

1. Conditions d’exercice du droit

La personne concernée peut opérer la portabilité de ses données lorsque les 2 conditions cumulatives suivantes sont remplies :

  • Le traitement est fondé sur le consentement de la personne concernée ou sur un contrat auquel elle est partie. Le G29 prend à titre d’exemple de données susceptibles de faire l’objet d’une portabilité, les titres de livres que la personne concernée a achetés sur une librairie en ligne, ou des chansons qu’elles a écoutées via un service de streaming, du fait de l’existence d’un contrat entre elle et le prestataire.
  • Le traitement est effectué à l’aide de procédés automatisés. Il n’y a donc pas de droit à la portabilité lorsque le traitement est manuel.

 

2. Données concernées

Le droit à la portabilité ne peut s’exercer que sur les données relatives à la personne concernée qu’elle a elle-même fournies

Données relatives à la personne concernée

Les données doivent concerner la personne qui en demande la portabilité. Cette exigence soulève la question du transfert de données lorsque celles-ci comprennent des données relatives à des tiers. C’est par exemple le cas lorsque l’utilisateur d’un service de messagerie demande la portabilité de ses conversations avec ses contacts. Dans un tel cas, bien que la demande porte sur des données concernant également des tiers, le responsable du traitement doit y répondre.

Si ces données sont par la suite transmises à un autre responsable du traitement, celui-ci ne pourra les traiter d’une manière susceptible de porter atteinte aux droits et libertés de ces personnes tierces. Cela pourrait être le cas si celles-ci ne sont pas informées et ne peuvent pas exercer leurs droits (droit de rectification etc.).

Le traitement qui sera effectué par le nouveau responsable du traitement devra avoir un fondement autre que le consentement de la personne concernée ou l’existence d’un contrat auquel elle est partie. En effet l’article 6 du GDPR énonce les fondements possibles d’un traitement (consentement, existence d’un contrat, intérêts légitimes, etc.). Le traitement devra donc être fondé sur l’un des autres cas possibles, tel que les intérêts légitimes poursuivis par le responsable du traitement. En reprenant l’exemple du service de messagerie, il n’y aura donc pas atteinte aux droits et libertés des tiers si les données sont utilisées par le nouveau responsable du traitement pour la même finalité. En revanche, il y aura atteinte si les données sont par exemple utilisées à des fins de marketing.

Afin de limiter les risques d’atteinte aux droits et libertés des tiers, les responsables du traitement pourraient alors mettre en place des outils permettant aux personne concernées de sélectionner uniquement les données pertinentes et d’exclure les données de tiers, ou encore des outils permettant de recueillir le consentement des tiers.

Données qu’elle a elle-même fournies

Le droit à la portabilité vise donc les informations que la personne concernée a volontairement et directement communiquées au responsable du traitement, telles que son nom, son adresse de messagerie, son adresse postale, son âge, etc. Il vise également les données indirectement fournies par elle, c’est à dire découlant de son activité,  telles que la liste les musiques qu’elle a écoutées ou encore la liste des vêtements qu’elle a pu consulter sur un site d’achat. Sont exclues les données que le responsable du traitement a déduit ou dérivé des données fournies par l’utilisateur, en ce qu’elles sont générées par le responsable du traitement lui-même.

Livre blanc - GDPR : en route pour la conformité

 

Qu’est-ce que l’exercice de ce droit implique pour les responsables du traitement ?

L’exercice de ce droit pose diverses obligations à la charge des responsables du traitement.

1. Une obligation d’information

Dès le moment où les données sont collectées, le responsable du traitement doit informer la personne concernée de l’existence de ce droit. Il doit le distinguer des autres droits, notamment en précisant les données susceptibles de faire l’objet d’une portabilité. Le G29 recommande en outre de signaler aux personnes concernées l’existence de ce droit, en cas de fermeture de leurs comptes, afin de faciliter le stockage et le transfert des données par la personne concernée avant qu’elle ne mette fin au contrat la liant au responsable du traitement.

 

2. Pertinence des données reçues

Le nouveau responsable du traitement  doit s’assurer que les données reçues ne vont pas au-delà de ce qui est nécessaire au regard de la finalité du traitement.

 

3. Modalités de réponse à la demande de portabilité des données

Selon l’article 12 du GDPR, le responsable du traitement doit répondre à la demande de portabilité dans les meilleurs délais, et en tout état de cause dans un délai d’un mois, délai qui peut être prolongé au besoin à deux mois. S’il ne donne pas suite à la demande, il doit informer la personne concernée des motifs de son inaction dans un délai d’un mois à compter de la réception de la demande.

S’agissant du coût de l’exercice du droit à la portabilité, le responsable du traitement ne peut exiger des frais, sauf lorsque les demandes d’une personne sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif.

 

4. Modalités de transmission des données

Selon le G29, les responsables du traitement devraient mettre à disposition des personnes concernées divers outils leur permettant d’exercer leur droit à la portabilité. Ils pourraient par exemple leur permettre de télécharger leurs données, mais également de les transmettre eux-mêmes à d’autres responsables du traitement, par le biais d’une API (Application Programming Interface). Les personnes concernées pourraient également disposer d’espaces de stockages des données, auxquels ils autoriseraient l’accès aux responsables du traitement afin que ceux-ci puissent procéder au traitement et transmettre les données aisément.

S’agissant du format dans lequel les données doivent être transmises, selon l’article 20 du Règlement, les données doivent être fournies « dans un format structuré, couramment utilisé et lisible par machine». Cette formule signifie que les données doivent être transmises sous un format interopérable (définition à l’article 2 de la Décision n° 922/2009/CE du Parlement européen et du Conseil du 16 septembre 2009).

L’existence de ce droit implique donc pour les responsables du traitement de permettre l’interopérabilité. En revanche, il ne leur impose pas d’adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles.

Les données doivent être fournies dans un format ayant un haut niveau d’abstraction. En outre les métadonnées doivent être les plus précises possibles. La transmission de données relatives à des e-mails par exemple, doit être faite dans un format préservant toutes les métadonnées et permettant une réutilisation effective des données.  Ainsi, lorsque le responsable du traitement choisit le format de transmission, il doit prendre en compte l’impact que ce format pourrait avoir sur le droit de la personne concernée de réutiliser les données, ou le fait que ce format puisse entraver l’exercice de ce droit.

 

5. Exercice du droit à la portabilité sans préjudice des autres droits de la personne concernée

Par ailleurs, l’exercice du droit à la portabilité des données ne doit pas faire obstacle à l’exercice, par la personne concernée, de ses autres droits. En effet il n’implique pas pour le responsable du traitement la suppression automatique des données  une fois qu’il les a transmises à la personne concernée. Celle-ci pourra donc continuer de  bénéficier des services du responsable du traitement, et pourra exercer n’importe quel autre droit, aussi longtemps qu’il procèdera au traitement de ses données. Pour autant, le responsable du traitement n’a pas à conserver les données plus longtemps que nécessaire ou plus longtemps que prévu, dans l’optique de permettre à la personne concernée d’en exercer la portabilité.

 

6. Sécurité des données

Le responsable du traitement doit prendre les mesures propres à assurer la sécurité des données lors du transfert, telles que le cryptage, et doit s’assurer de transmettre les données à la bonne personne. L’adoption de telles mesures ne doit toutefois pas empêcher la personne concernée de faire usage de son droit, notamment du fait que des coûts additionnels aient été imposés.

Le responsable du traitement pourrait également aiguiller la personne concernée sur des méthodes sécurisées de stockage des données.

Il convient de préciser que le responsable du traitement n’est pas responsable de l’usage qui est fait des données par la personne concernée ou par le nouveau responsable du traitement.

 

Un projet ou des interrogations sur tous ces sujets ? Business & Decision est là pour vous accompagner. N’hésitez pas à nous contacter en nous laissant un commentaire ou via notre page Contact.

 

  • A propos
  • Derniers articles

Clarence Tchoussi

Juriste à Business & Decision

Titulaire d’un Master 2 en droit des affaires et fiscalité obtenu à l’université Paris I Panthéon Sorbonne, j’ai rejoint le service juridique de Business & Decision sur les problématiques de protection des données personnelles et de contrat.

2 Comments

  1. Axel Beelen 15 avril 2017 Répondre

    Bonjour. Très intéressant. Ce droit ne pourra pas concerné les données creees par le responsable du traitement. Toutefois, vous dites qu’il concernera les métadonnées. N’y a-t-il pas là contradiction puisque les métadonnées sont justement creees par le responsable du traitement ?
    Bien à vous,
    Axel Beelen

    • Author

      Bonjour,
      Merci pour votre message. En réalité, il n’y a pas de contradiction. La transmission des métadonnées n’est pas exclue, bien au contraire. Les responsables du traitement sont encouragés à transmettre le maximum de métadonnées possible, afin de permettre une réutilisation des données.

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*