Professionnels : comment répondre à une demande de droit à la portabilité ?
Toute personne a le droit de recevoir les données qui la concerne et qu’elle a fournies à un responsable de traitement, de les réutiliser, et de les transmettre à un autre responsable de traitement (article 20 du RGPD). La CNIL rappelle les règles à suivre pour y répondre.
Le droit à la portabilité, créé par le RGPD, permet à toute personne de :
- recevoir dans un format structuré, couramment utilisé et lisible par machine (ordinateur) les données personnelles la concernant déjà fournies à un responsable de traitement ;
- faire transmettre directement ces données à un autre responsable de traitement lorsque c’est techniquement possible.
Attention, le droit à la portabilité :
- est différent du droit d’accès et du droit à l’effacement :
- il n’entraîne pas la suppression des données du service depuis lequel elles sont portées ;
- il est indépendant de la clôture d’un compte – ce droit peut s’exercer à tout moment, y compris si l’utilisateur veut continuer à utiliser le service après avoir exercé ce droit ;
- concerne seulement certaines données, c’est-à-dire celles que les personnes ont fourni au responsable de traitement ;
- n’est applicable que pour certains traitements de données personnelles, précisément ceux pour lesquels la base légale du traitement est le consentement ou le contrat;
- doit répondre à certains critères sur le format de restitution des données.
Ce droit peut par exemple s’appliquer, si toutes les conditions sont réunies, pour certaines données transmises :
- à des services de musique ou de vidéo à la demande (ex : listes de lecture) ;
- à des sites de e-commerce (ex : adresse, numéro de téléphone) ;
- pour l’ouverture et la gestion d’un compte bancaire (ex : numéro de téléphone, liste de transactions réalisées) ;
- à des services de messagerie en ligne (ex : numéro de téléphone, adresse courriel de récupération) ;
- etc.