Qu’est-ce que le droit à la portabilité des données et comment l’appliquer ?

Le règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, a notamment pour objectif de renforcer les droits des individus concernant leurs données personnelles.

Si le droit à l’information, les droits d’accès, ou encore de rectification concernant les données personnelles préexistaient dans le cadre de la loi nᵒ 78-17 du 6 janvier 1978 dite loi « Informatique et Liberté », le droit à la portabilité des données est l’une des nouveautés majeures du RGPD.

A noter que ce droit avait d’ores et déjà été consacré en France, en 2016, dans le domaine du droit de la consommation (anciens articles L.224-42-1 et suivants du Code de la consommation - abrogés par la loi n°2018-493 du 20 juin 2018 - aujourd'hui c'est l'article 55 de la loi nᵒ 78-17 du 6 janvier 1978 dite loi « Informatique et Liberté » qui effectue un renvoi aux dispositions du RGPD relatives à la portabilité). Ce droit existait également partiellement dans certains secteurs d’activité, comme la téléphonie avec l’obligation pour les opérateurs téléphoniques d’assurer la portabilité des numéros de téléphone des clients depuis 2007 ou encore, dans le secteur bancaire avec l’apparition de la mobilité bancaire en 2004 et son renforcement en 2017.

Le droit à la portabilité permet de rééquilibrer les relations entre les consommateurs et les fournisseurs de service, en définissant les consommateurs comme de véritables acteurs de la gestion de leurs données personnelles. Il permet également de renforcer la concurrence entre les différents responsables de traitement, facilitant la transmission des données entre les différents acteurs économiques.

Un responsable de traitement est la personne morale ou physique qui détermine les finalités et les moyens d’un traitement de données personnelles, c’est-à-dire l’objectif et la façon de le réaliser. Dans ce contexte, le fournisseur de service est souvent identifié comme responsable de traitement.

Trois ans après la formalisation de ce droit à la portabilité par le RGPD, celui-ci tarde encore à être mis en œuvre opérationnellement par les différents responsables de traitement.

Cet article a pour objectif de définir le champ d’application ainsi que les objectifs du droit à la portabilité des données (1) mais également de préciser les modalités pratiques de gestion de celui-ci (2).

1. Champ d’application et enjeux du droit à la portabilité des données 

Le droit à la portabilité des données est défini à l’article 20 du RGPD (article 20 du règlement général sur la protection des données n°2016/69 dit RGPD), il permet à une personne physique de :

-         Recevoir une copie, dans un format structuré et lisible par une machine, des données personnelles la concernant traitées par un responsable de traitement ;

-         Faire transmettre directement par un responsable de traitement, les données la concernant, à un autre responsable de traitement.

1.1. Le champ d’application du droit à la portabilité des données

Le droit à la portabilité est défini par le RGPD comme « le droit [pour les personnes concernées] de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et […] le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle. »

·        Les acteurs du droit à la portabilité

L’ensemble des responsables de traitement soumis au RGPD sont soumis au respect du droit à la portabilité des données. L’ensemble des acteurs économiques situés au sein ou à l’extérieur de l’Union européenne et traitant de données de résidants européens sont donc concernés.

Dans l’hypothèse où les données concernées par ce droit à la portabilité sont détenues par un sous-traitant du responsable de traitement, celui-ci doit, conformément aux obligations du sous-traitant définies à l’article 28 du RGPD, aider le responsable de traitement à répondre à cette demande de droit. Les modalités d’assistance doivent être définies contractuellement dans le cadre de la formalisation du contrat de sous-traitance.

·        Les données concernées par ce droit

L’applicabilité de ce droit est soumise à deux conditions cumulatives :

-         Les données concernées doivent avoir été traitées dans le cadre d’un traitement soumis au consentement de la personne physique ou dans le cadre de l’exécution d’un contrat ;

-         Les données concernées doivent être traitées par un procédé automatisé. Les données personnelles traitées et/ou stockées en format papier ne sont donc pas concernées par ce droit.

Ce droit est applicable uniquement aux données personnelles transmises par la personne concernée au responsable de traitement, et correspondent par exemple aux données transmises lors de l’inscription d’un individu à un service en ligne (données d’identification, de contact, etc.) mais également aux données générées par l’activité de la personne concernée (liste des achats réalisés, historique enregistré sur une carte de fidélité, etc.). L’ensemble des données produites par le responsable de traitement telles que les données dérivées ou calculées à partir des données « brutes » collectées sont exclues de ce droit (ciblage marketing, recommandation liée à un dossier, etc.).

Dans l’hypothèse où l’ensemble des données transmises par la personne concernée contient des données liées à des tiers (par exemple, les informations personnelles concernant les proches d’un individu), ces données peuvent être transmises à un autre responsable de traitement dans le cadre du droit à la portabilité. Cependant, afin de respecter les droits des tiers, ces données ne pourront donc pas être réutilisées par le nouveau responsable de traitement pour une autre finalité de traitement comme la prospection commerciale.

1.2. Garantir la libre circulation des données et la libre concurrence entre les prestataires de service

Dans ses lignes directrices concernant le droit à la portabilité, le G29 atteste que « le nouveau droit à la portabilité des données vise à responsabiliser les personnes concernées au sujet de leurs données à caractère personnel, car il facilite leur capacité à déplacer, à copier ou à transmettre facilement des données à caractère personnel d’un environnement informatique vers un autre ».

Le droit à la portabilité permet in fine de limiter les freins liés à la transmission des données au sein de l’espace économique européen (EEE) ou entre les fournisseurs de service.

Ce droit peut être applicable dans de nombreux secteurs d’activités. Il peut notamment faciliter les changements de prestataires : par exemple dans le cadre des services de vidéo ou de musique en ligne, le prestataire initial doit pouvoir transmettre, dans une version lisible et réutilisable, la liste des films visionnés ou titres musicaux écoutés, à un autre prestataire de vidéo ou de musique en ligne afin que ce nouveau prestataire puisse adapter les recommandations proposées.  

Il donne donc aux utilisateurs la liberté de changer de prestataire sans subir les coûts indirects liés à ce changement (perte de l’historique, temps nécessaires aux changements de prestataires, etc.).

2. Modalités pratiques de gestion du droit à la portabilité des données

Conformément à l’article 12 du RGPD (article 12 du règlement général sur la protection des données n°2016/69 dit RGPD), le responsable de traitement dispose d’un mois calendaire pour répondre à une demande de droit. Ce délai peut être allongé de deux mois supplémentaires en cas de demande complexe.

Afin de pouvoir respecter ce délai, plusieurs fonctionnalités peuvent être proposées par les responsables de traitement.

2.1. Modalités pratiques de réponse à une demande de droit à la portabilité

Droit à la portabilité_ART 140521.png

Le responsable de traitement doit informer l’individu des modalités pratiques à suivre afin d’exercer ce droit. Cette information peut être délivrée soit dans les clauses contractuelles existantes entre cet individu et le responsable de traitement, soit dans la politique de protection des données du responsable de traitement mise à disposition des personnes concernées, par exemple, sur son site internet.

·        Vérification de l’identité du demandeur et de la conformité de la demande

Une fois la demande reçue, une vérification de l’identité du demandeur doit être effectuée afin d’éviter notamment les usurpations d’identité. Pour autant, le responsable de traitement ne peut demander une copie d’un justificatif d’identité (carte d’identité, passeport) que dans le cas où un doute raisonnable subsiste. Il est donc recommandé aux responsables de traitement de vérifier l’identité du demandeur en enregistrant les demandes de droit via un compte utilisateur ou en contrôlant un numéro client, un numéro de commande ou de devis.

A la suite de l’identification du demandeur, un contrôle doit être réalisé afin de s’assurer que les données concernées par la demande répondent bien aux exigences du droit à la portabilité et qu’elles ont bien été collectées directement auprès de l’individu dans le cadre d’un traitement soumis au consentement ou lié à l’exécution d’un contrat.

·        Traitement de la demande de portabilité

La personne en charge de la gestion des demandes de droit (en général, le délégué à la protection des données ou DPO), enregistre la demande de droit dans le registre de suivi des demandes de droit.

Le DPO identifie, grâce au registre des activités de traitement, où sont stockées les données personnelles demandées et se rapproche des services et sous-traitants concernés afin qu’ils lui transmettent les données demandées dans un laps de temps suffisamment court pour pouvoir répondre au demandeur dans les temps impartis.

·        Transmission des données demandées

Le délégué à la protection des données vérifie que les données transmises par les autres services correspondent bien à l’ensemble des données demandées par l’individu. Le DPO les transmet ensuite, dans une version lisible par une machine, soit directement au demandeur, soit à un autre responsable de traitement désigné par le demandeur. Pour rappel, le droit à la portabilité ne concerne pas les données en format papier, cette transmission sera donc réalisée uniquement en format électronique.

·        Clôture de la demande

Le délégué à la protection des données clôture alors la demande et enregistre, dans son registre de suivi des demandes de droit, la date de réponse à cette demande.

2.2. Dispositif à mettre en œuvre facilitant le traitement des demandes de droit à la portabilité

Si, en tant que responsable de traitement, vous souhaitez optimiser les temps de traitement liés à la gestion des demandes de droit à la portabilité, des solutions sont envisageables.

·        La réception d’une copie des données

Dans le cadre des demandes des personnes concernées qui souhaitent recevoir une copie de leurs données, dans un format structuré et lisible par une machine, il est possible de mettre en place un moyen pour l’individu de télécharger ses données directement depuis une plateforme en ligne. Ce moyen peut être mis en place sur un espace client nécessitant une authentification par exemple.

Plusieurs responsables de traitement ont mis en œuvre cette faculté, on peut notamment citer Facebook qui permet à ses utilisateurs de télécharger l’ensemble des données qu’ils ont transmis à Facebook depuis les paramètres de leur compte.

·        La transmission des données à un autre responsable de traitement

Dans le cadre des demandes des personnes concernées qui souhaitent que le responsable de traitement transmette leurs données à un autre responsable de traitement, il est possible de mettre à disposition une interface de programmation d’application (API) permettant de connecter les outils de plusieurs responsables de traitement. Attention, seuls les tiers habilités pourront alors utiliser cet API. 

Si nous reprenons l’exemple de Facebook, depuis les paramètres du compte, les individus peuvent transférer leurs photos, vidéos, articles et autres publications, directement aux responsables de traitement validés par Facebook (à savoir Google, Dropbox, ou encore Wordpress).

 

Trois ans après l’entrée en application du règlement général sur la protection des données, le droit à la portabilité tarde à s’appliquer de façon généralisée. En effet, la problématique d’utilisation d’un format identique entre les différents responsables de traitement d’un même secteur d’activité se pose. De plus, certains fournisseurs de service peuvent être réticents à faciliter l’applicabilité de ce droit, de peur de perdre des parts de marché.

Toute l’équipe de La Robe Numérique se tient à votre disposition.

Une question ? N’hésitez pas à nous écrire à l’adresse suivante : team@larobenumerique.fr


Par Justine Cabanis, DPO certifiée, et Caroline Demangeon, avocate, pour le blog La Robe Numérique

Précédent
Précédent

Les actus du vendredi : L’avis CNIL relatif à l’utilisation d’outils collaboratifs dans l’enseignement supérieur et la recherche

Suivant
Suivant

Assurance cyber : à quels besoins peuvent-elles répondre ?