Tel est l’un des plans d’action annoncé par Marie-Laure Denis, la présidente de la CNIL, lors de la 14ème université des DPO qui s’est tenue le 14 janvier dernier, à Paris.

Ce droit nouveau du RGPD, qui s’inscrit dans le prolongement de l’autodéterminisme décisionnel consacré par la loi pour une République numérique du 7 octobre 2016, mérite d’être précisé dans sa portée et ses enjeux.

 

  • Nature et portée du droit à la portabilité du RGPD

 

  • Pourquoi ce droit nouveau ?

Initialement en place dans le secteur des communications électroniques, le droit à la portabilité permettait à l’abonné de conserver son numéro de téléphone en cas de changement d’opérateur.

Le RGPD, en son article 20, confère désormais aux personnes concernées par les  traitements de données personnelles, le droit de « recevoir » les données qu’elles ont fournies à un responsable de traitement dans un format structuré. 

Cette capacité nouvelle à déplacer, copier ou transmettre aisément ses propres données d’un environnement informatique vers un autre,  permet aux intéressés de  « garder la main » sur celles-ci et les responsabilise. Ce droit nouveau a aussi pour objet de « stimuler la concurrence » en ce que les données ainsi « récupérées » sont fournies à un nouveau responsable de traitement, dans un format lisible. Il est ainsi possible d’imaginer récupérer, dans un format « couramment utilisé et lisible par machine », des ensembles de données telles que les « playlists » associées au compte d’une application de streaming musical, afin de les transférer chez une société concurrente.

  • Un droit à distinguer du droit d’accès

Pour autant, ce droit de « recevoir » les données personnelles détenues par un responsable de traitement est différent du droit d’accès qui permet à tout intéressé (sous réserve des limites portées à certains traitements soumis aux contraintes du droit d’accès indirect) d’avoir connaissance et de se voir communiquer l’intégralité des données la concernant. Ces deux droits étant distincts, dans leur application et leurs modalités d’exercice, il revient au responsable de traitement d’en informer en toute transparence les personnes concernées, lesquelles semblent d’ailleurs à ce jour peu enclines à exercer ce droit, peut-être en raison de la méconnaissance de son périmètre précis.

  • Un droit limité aux traitements fondés sur le consentement ou le contrat

Le champ d’application du droit à la portabilité implique que les traitements sur lesquels  il porte repose sur l’une ou l’autre des deux bases juridiques suivantes : le consentement (de surcroit libre, spécifique, éclairé et univoque) ou l’exécution d’un contrat. Ainsi les intéressés doivent-ils avoir été partie prenante dans le choix de leur responsable de traitement et lui avoir transmis des données dans le cadre de cette relation librement établie. Le droit à la portabilité ne s’applique pas notamment dans le cadre d’un traitement « imposé » par une obligation légale et l’exercice de missions publiques, cas dans lesquels, il serait illusoire de vouloir « changer de responsable de traitement ».

  • Un droit limité à certaines données

Le droit à la portabilité, ainsi inscrit dans un tel contexte, porte sur les données fournies par la personne concernée. Il s’étend par ailleurs aux données « observées » dans le cadre de l’activité des utilisateurs, tels que les journaux d’activité, l’historique d’utilisation d’un site, ou encore les données de localisation, données déduites ou dérivées de celles fournies. Il ne se limite donc pas aux données nécessaires au changement d’un service.

  • Modalités et enjeux du droit à la portabilité

 

  • La communication dans un format structuré

Aux termes du considérant 68 du RGPD, cette réception de données personnelles auprès du responsable de traitement, s’opère dans un « format structuré, couramment utilisé, lisible par machine et interopérable ». Le G29, dans ses lignes directrices adoptées le 13 décembre 2016 revisitées le 5 avril 2017, précise que cette interopérabilité n’implique pas une compatibilité des différents systèmes informatiques.

  • Dans le respect des garanties élémentaires de protection des données

Si le responsable de traitement, tenu de répondre dans le délai d’un mois à une telle demande, sauf à invoquer sa particulière complexité, n’a pas à contrôler l’utilisation qui en sera faite par le futur responsable de traitement, il lui revient de les communiquer dans le respect des règles essentielles de confidentialité et de sécurité, notamment en s’assurant de l’a authentification des demandeurs et d’un transfert sécurisé.

Alors que le groupe des CNILs européennes encourage les parties prenantes de l’industrie et des associations professionnelles à travailler de concert sur des normes et formats opérables, le droit à la portabilité trouve ses limites dans les règles liées au secret des affaires ou aux droits de la propriété intellectuelle.

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance

 

Nous contacter