Le droit à la portabilité en questions

22 May 2017

Le droit à la portabilité offre aux personnes la possibilité de récupérer une partie de leurs données dans un format ouvert et lisible par machine. Elles peuvent ainsi les stocker ou les transmettre facilement d’un système d’information à un autre, en vue de leur réutilisation à des fins personnelles. 

Droit à la portabilité

Introduit par le règlement européen sur la protection des données, le droit à la portabilité offre aux personnes la possibilité d’obtenir et de réutiliser leurs données personnelles pour répondre à leurs propres besoins, à travers différents services. Ce droit permet à une personne :

  • de récupérer les données la concernant traitées par un organisme, pour son usage personnel, et de les stocker sur un appareil ou un cloud privé par exemple. Ce droit permet de gérer plus facilement et par soi-même ses données personnelles.
  • de transférer ses données personnelles d’un organisme à un autre. Les données personnelles peuvent ainsi être transmises à un nouvel organisme :
    • soit par la personne elle-même,
    • soit directement par l’organisme qui détient les données, si ce transfert direct est « techniquement possible ».

Le droit à la portabilité renforce la maîtrise des personnes sur leurs données personnelles. Il crée également de nouvelles opportunités de développement et d’innovation en facilitant le partage de données personnelles, de manière sécurisée et sous le contrôle de la personne concernée.

A quelles conditions le droit à la portabilité s’applique-t-il ?

Ce nouveau droit s’applique si ces trois conditions sont toutes réunies :

  1. Le droit à la portabilité est limité aux données personnelles fournies par la personne concernée.
  2. Il ne s’applique que si les données sont traitées de manière automatisée (les fichiers papiers ne sont donc pas concernés) et sur la base du consentement préalable de la personne concernée ou de l’exécution d’un contrat conclu avec la personne concernée.
  3. L’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés de tiers, dont les données se trouveraient dans les données transmises suite à une demande de portabilité.

Quelles données peuvent être considérées comme « fournies par la personne concernée » ?

Cette expression couvre à la fois :

  • les données déclarées activement et consciemment par la personne concernée, telles que des données fournies pour créer un compte en ligne (ex. adresse électronique, nom d’utilisateur, âge),
  • et les données générées par l’activité de la personne concernée, lorsqu’elle utilise un service ou un appareil (par ex. les données brutes collectées par des compteurs communicants, les achats enregistrés sur une carte de fidélité, l’historique des recherches faites sur internet, les relevés de compte bancaire, les courriels envoyés ou reçus, etc.).

A l’inverse, les données personnelles qui sont dérivées, calculées ou inférées à partir des données fournies par la personne concernée, telles que le profil d’un utilisateur créé grâce à l’analyse des données brutes produites par un compteur « intelligent », sont exclues du droit à la portabilité, dans la mesure où elles ne sont pas fournies par la personne concernée, mais créées par l’organisme.

Toutes les données fournies par la personne concernées peuvent-elles faire l’objet du droit à la portabilité ?

Non, le droit à la portabilité ne s’applique pas aux données personnelles traitées sur une autre base légale que le consentement ou l’exécution d’un contrat.

Par exemple, les établissements financiers n’ont pas à répondre à une demande de portabilité concernant les données personnelles traitées dans le cadre de leurs obligations de lutte contre le blanchiment.

De même, les données des employés traitées par les employeurs, sur la base d’un intérêt légitime ou d’obligations légales, ne sont pas concernées par le droit à la portabilité.

Les demandes de portabilité doivent être analysées au cas par cas, que ce soit pour le traitement de données en matière de gestion des ressources humaines ou dans d’autres domaines.

Des données concernant d’autres personnes peuvent-elles être transmises dans le cadre d’une demande de portabilité ?

Les demandes de portabilité peuvent parfois porter, de manière secondaire, sur des données relatives à d’autres personnes que le demandeur (par exemple, un courriel ou des données de transactions bancaires impliquant une autre personne).

Lorsqu’un utilisateur transmet ces données à un organisme tiers, celui-ci ne peut en aucun cas les traiter sans disposer d’une base légale pour le faire.

En tout état de cause, la présence de données relatives à des tiers (faisant souvent partie de l’entourage de la personne concernée, à l’exemple d’un carnet de contacts) dans les données demandées dans le cadre d’une portabilité, ne peut pas justifier en elle-même un rejet de la demande de portabilité. En effet, le demandeur a le droit de recevoir, traiter et transmettre ces données à un autre organisme, dès lors qu’elles demeurent et sont traitées pour répondre à des besoins strictement personnels.

Quels sont les moyens recommandés pour répondre à une demande fondée sur la portabilité ?

Le G29 demande aux organismes :

  • d’offrir aux personnes la possibilité de télécharger directement leurs données personnelles ;
  • de ne pas faire obstacle à la transmission de ces données à un autre responsable du traitement, soit par l’intermédiaire de la personne concernée, soit directement lorsque c’est techniquement possible.

Un organisme peut ainsi répondre à une demande de portabilité en passant par la mise à disposition d’un fichier contenant l’ensemble des données portables, ou par la fourniture d’outils automatisés et d’APIs qui permettent l’extraction des données pertinentes.

Quel que soit le moyen de mise à la disposition proposé, il doit être facile à utiliser, accessible, permettre la réception des données de manière sécurisée et minimiser les risques de violation des données traitées par l’organisme. L’organisme doit ainsi rechercher et analyser chacune de ces méthodes pour lever tout obstacle et faciliter l’accès du droit à la portabilité vers la personne concernée.

Les personnes peuvent également faire appel à un logiciel de stockage à usage personnel ou à un tiers de confiance, pour enregistrer et conserver leurs données personnelles. Elles peuvent  également autoriser, au cas par cas, d’autres responsables de traitement à accéder et traiter ces données à leur demande, de manière à faciliter leur transfert d’un responsable du traitement à un autre.

Dans quel format les données faisant l’objet d’une demande de portabilité doivent-elles être transmises ?

Le droit à la portabilité impose aux organismes de fournir les données personnelles concernées dans un format « structuré, couramment utilisé et lisible par machine » qui permettent leur réutilisation. En d’autres termes, ces données « portables » doivent pouvoir être extraites et/ou être réutilisées facilement par la personne concernée ou par tout autre organisme.

Au regard du large éventail de types de données qui peuvent être traitées par le responsable du traitement, le règlement n’impose pas de formats spécifiques pour répondre à une demande de portabilité, si ce n’est que ce dernier doit être interopérable.

Le format le plus approprié peut ainsi différer selon les secteurs d’activité. Des formats adaptés peuvent d’ores et déjà exister et peuvent être utilisés dès lors qu’ils sont interprétables et sans restriction d’usage. Sur des jeux de données plus spécifiques, où il n’existe pas de standard de fait pour leur fourniture, les organismes peuvent fournir les données personnelles dans un format ouvert (XML, JSON, CSV, etc.), complété par toute métadonnée utile à leur interprétation, et documenté.

Le G29 encourage les acteurs de l’industrie et les associations professionnelles à travailler sur un ensemble de standards et formats interopérables pour respecter ces prérequis du droit à la portabilité.

Quelle est la responsabilité des responsables du traitement s’agissant des données personnelles transférées ou reçues au titre de l’exercice d’un droit à la portabilité ?

L’organisme répondant à une personne exerçant son droit à la portabilité n’est pas responsable du traitement opéré par cette personne sur ses propres données une fois qu’elle les a  reçues. Il n’est pas non plus responsable du traitement réalisé par la société récupérant lesdites données à la demande de la personne exerçant son droit à la portabilité.

A l’inverse, l’organisme  recevant des données à la demande d’une personne dans le cadre de son droit à la portabilité est tenu de s’assurer que ces données sont pertinentes et non excessives au regard de la finalité du nouveau traitement qu’elle souhaite effectuer ; il doit également avoir clairement informé la personne concernée de la finalité de ce nouveau traitement et, plus généralement, du respect des principes de protection des données personnelles applicables à ce nouveau traitement.

Comment informer les personnes de l’existence de ce nouveau droit ?

Les responsables du traitement doivent porter ce nouveau droit à la connaissance des personnes concernées « d'une façon concise, transparente, compréhensible et aisément accessible, en des
termes clairs et simples
 ».

Le G29 recommande aux responsables du traitement d’expliquer clairement la différence entre les données pouvant être transmises dans le cadre du droit à la portabilité et celles pouvant être communiquées au titre du droit d’accès. A titre de rappel, le droit d’accès peut porter sur toutes les données personnelles concernant le demandeur alors que le droit à la portabilité ne concerne que les données personnelles fournies par la personne et traitées sur la base de son consentement ou de l’exécution d’un contrat (cf. conditions rappelées plus haut).

Les responsables du traitement sont encouragés à fournir une information spécifique sur le droit à la portabilité avant toute clôture de compte, pour permettre à la personne concernée de récupérer et conserver ses données personnelles.

Comment le responsable du traitement peut-il s’assurer de l’identité de la personne concernée avant de répondre à une demande de portabilité ?

Le G29 recommande que le responsable du traitement mette en place des procédures appropriées permettant à l’individu d’effectuer une demande de portabilité et de recevoir les données le concernant. Les responsables du traitement doivent notamment proposer une procédure d’authentification permettant de vérifier l’identité de la personne concernée exerçant son droit à la portabilité ou plus généralement tout autre droit garanti par le règlement.

Le droit à la portabilité est-il gratuit ?

Le responsable du traitement ne peut pas faire payer la fourniture de données personnelles (dans le cadre de l’exercice des droits garantis par le règlement) sauf s’il arrive à démontrer que la demande est manifestement infondée ou excessive, « notamment en raison de (son) caractère répétitif ». Pour les fournisseurs de service en ligne, il est peu probable que répondre à de multiples demandes de portabilité puisse être considéré comme une charge excessive. Dans ces cas, le G29 recommande de définir un délai raisonnable et adapté au contexte et de le communiquer aux personnes concernées.

Les autres droits garantis par le règlement (tels que le droit d’accès, le droit d’opposition, etc.) sont-ils impactés lorsqu’une personne exerce son droit à la portabilité ?

L’exercice du droit à la portabilité n’affecte pas l’exercice des autres droits garantis par le règlement européen (il ne fait pas obstacle à leur exercice, ne diminue pas leur portée, etc.). La personne peut exercer ses droits (d’opposition, d’accès de rectification, à la portabilité, etc.) tant que le responsable du traitement détient ses données personnelles.

Par exemple, les personnes peuvent continuer à utiliser et à tirer parti du service proposé par le responsable du traitement après avoir exercé leur droit à la portabilité. De même, si elles souhaitent exercer leur droit de suppression, d’opposition ou d’accès à leurs données personnelles, le fait qu’elles aient parallèlement exercé leur droit à la portabilité ne peut être opposé par le responsable du traitement pour retarder ou refuser de leur répondre.

Par ailleurs, lorsqu’une personne exercice son droit à la portabilité, l’organisme recevant sa requête n’a pas à supprimer de son fichier les données demandées dans ce cadre. Les données peuvent être conservées dans le traitement d’origine, pour la durée qui a été définie initialement par l’organisme le mettant en œuvre.  

Document reference

Lignes directrices portabilité

Keywords associated to this article