RGPD : Droit à la portabilité

Entré en vigueur le 25 mai 2018, le RGPD ou Règlement Général pour la Protection des Données est le dispositif qui encadre la protection des données à caractère personnel. Appliqué au sein des pays membres de l’Union européenne, ce texte de référence prévoit quelques nouveautés dont le droit à la portabilité mentionné par l’article 20 du règlement 2016/679.

Le droit à la portabilité, c’est quoi exactement ?

D’après les dispositions du RGPD, le droit à la portabilité peut être défini comme la possibilité pour un citoyen européen de récupérer ses données personnelles dans un format lisible par machine, en vue de les exploiter à des fins personnelles ou de les transmettre à un concurrent. Concrètement, il est désormais possible de passer directement d’une application à une autre, ou de deux sites concurrents comme Deezer vers Spotify, sans perdre ses données personnelles.

Considéré comme une extension du droit d’accès aux données, ce droit à la portabilité regroupe donc trois droits distincts :

• le droit pour la personne concernée de recevoir les données partagées avec un responsable du traitement,
• la possibilité de transmettre ces données d’un responsable du traitement à un autre, c’est-à-dire vers un concurrent, soit par la personne concernée elle-même, soit par l’organisme ayant traité ces données, et
• le droit d’avoir des données personnelles qui sont directement transmises d’un organisme de traitement à un autre.

Les deux premiers droits peuvent parfaitement être exercés sans que le responsable du traitement y fasse obstacle. En revanche, le dernier droit n’est valable que lorsque le transfert des données est « techniquement possible ».

En plus de faciliter la libre circulation des données ayant un caractère personnel, la mise en place de ce droit a également pour objectif de stimuler la concurrence entre les responsables du traitement, et d’instaurer par conséquent un certain équilibre dans la relation entre les propriétaires des données et les responsables du traitement.

Comment l’appliquer ?

Le droit à la portabilité des données à caractère personnel ne s’applique que lorsque trois conditions bien distinctes sont respectées.

Dans un premier temps, les datas qui font l’objet d’une telle demande doivent être celles qui ont été transmises par la personne concernée au responsable du traitement. Il s’agit entre autres des données déclarées de manière active et consciente, telles que l’adresse électronique, l’âge ou le nom d’utilisateur ainsi que les données créées suite à l’activité de la personne concernée au moment d’utiliser un appareil ou un service, pour ne citer que l’historique de recherche sur un navigateur, les courriers envoyés ou reçus, sans oublier les relevés de compte bancaire et les achats enregistrés sur une carte de fidélité.

Ensuite, ce nouveau droit ne s’applique que sur les données traitées de manière automatisée, excluant par conséquent les fichiers sur papier. Il est également important de prendre en compte le consentement préalable de la personne concernée, ou l’application d’un contrat conclu avec le propriétaire des données.

Enfin, la troisième et dernière condition à respecter pour appliquer ce droit est de faire en sorte que son exercice ne porte pas atteinte aux droits et libertés des tiers.

Il faut tout de même savoir que ce droit ne doit intervenir qu’à la demande de la personne concernée, et indépendamment de l’effacement de ses données dans la base de données du responsable du traitement. Pour ce cas précis, la personne concernée sera amenée à introduire une demande séparée axée cette fois-ci sur le droit à l’effacement des données.

Les modalités de la portabilité des données

La mise en œuvre de ce droit assez particulier doit avant tout se faire dans un délai bien défini. D’après les dispositions de l‘article 12 du RGPD, il est impératif que le responsable du traitement fournisse une réponse à la demande du propriétaire des données « dans les plus brefs délais », c’est-à-dire au plus tard dans le mois qui suit la réception de la demande. Il est toutefois possible de prolonger ce délai de deux mois, à condition d’informer la personne concernée dans le courant du premier mois, et de préciser les raisons de la prolongation de ce délai.

En principe, toute demande de transfert de data doit être traitée. Aucun refus ne peut être accepté sans motif. Dans le cas contraire, le responsable du traitement doit informer la personne concernée des différents motifs du refus, et ce, dans un délai de 1 mois à compter de la réception de la demande. En cas de rejet de sa demande, la personne concernée peut former un recours auprès de la CNIL.

A savoir: le traitement de cette demande de transfert et de récupération des données personnelles est gratuit, et aucun responsable du traitement n’est autorisé à exiger un paiement. Par contre, ce dernier a la possibilité de prévoir certains frais lorsqu’une demande est considérée comme excessive et infondée.

Les obligations du responsable du traitement

Le responsable du traitement a avant tout l’obligation d’informer les propriétaires des données à traiter de ce droit au moment même de la collecte de leurs données à caractère personnel. Il ne faut pas non plus oublier de faire un rappel de la distinction entre ce droit portant sur le transfert des données et les autres droits dont bénéficient les personnes concernées, pour ne citer que celui qui encadre l’effacement des données ou le droit d’accès aux datas.

Les responsables du traitement sont également tenus de conseiller les personnes concernées dans l’exercice de ce droit, et ce, dans le respect des règles mises en place par le RGPD. Il est donc important de proposer les formats adéquats à ce type de transfert et des systèmes sécurisés qui permettent d’exercer ce droit. Ils ne doivent pas non plus oublier d’informer les personnes concernées des éventuelles failles de ses systèmes, pour que ces dernières puissent prendre les mesures nécessaires qui assurent la sécurité de leurs données.

Enfin, un responsable du traitement se voit dans l’obligation de garantir la sécurité de ces données personnelles sur l’intégralité de la mise en œuvre de la portabilité des données. Sachez que malgré le transfert, ces dernières doivent rester confidentielles. Le responsable du traitement doit donc prendre les mesures de sécurité nécessaires qui garantissent que les datas sont transmises au bon destinataire. L’exercice de ce droit ne doit pas porter préjudice aux autres droits prévus par le RGPD.