Le Règlement général sur la protection des données (RGPD) entre en application le 25 mai 2018. Ce texte renforce les droits des personnes concernées et leur en reconnaît de nouveaux parmi lesquels le droit à la portabilité des données.

En quoi consiste ce droit ? Qu’est-ce que sa mise en œuvre implique pour les responsables de traitements de données à caractère personnel ?  Mathias Avocats vous propose un tour d’horizon de ce droit.

Que recouvre le droit à la portabilité ?  

Le droit à la portabilité des données à caractère personnel est destiné à permettre aux personnes concernées de récupérer les données à caractère personnel qu’elles ont fournies à un responsable du traitement, éventuellement pour les transmettre à un nouveau responsable de traitement.

Ce droit ne pourra être exercé que pour les traitements automatisés fondés sur consentement de la personne concernée ou l’exécution d’un contrat.

Ce droit pourra être exercé par toute personne concernée pour récupérer les données qu’elle a fournie au responsable de traitement. Sur ce point, le Groupe de l’Article 29 (G29) précise dans ses lignes directrices relatives au droit à la portabilité des données qu’il s’agira tant des données activement et sciemment fournies par la personne concernée que les données observées ou générées par l’utilisation du service ou dispositif.

A l’inverse, les données dites déduites et les données dites dérivées, créées par le responsable du traitement sur la base des données fournies, ne seront pas concernées. Ces données déduites ou dérivées restent cependant des données à caractère personnel : elles pourront faire l’objet d’une demande d’exercice d’un autre droit, comme par exemple le droit d’accès.

Quelles nouvelles obligations pour le responsable du traitement ?

Les personnes concernées devront être informées de l’existence et de l’étendue du droit à la portabilité. Les responsables de traitements devront adapter leurs procédures de gestion des droits des personnes concernées et être en mesure de répondre à la demande de portabilité dans un délai d’un mois à compter de la réception de la demande. En cas de demandes complexes, ce délai pourra être allongé à trois mois, comme pour les autres droits des personnes concernées.

Le G29 recommande que les données soient transmises par Internet, mais il peut être envisagé de les remettre sur un support physique (CD, DVD, clef USB, etc.) si cela permet d’accéder plus vite à la demande. En tout état de cause, le responsable du traitement devra assurer la sécurité de la transmission. Si les données étaient rendues accessibles à un tiers ou envoyées au mauvais destinataire, une violation de données à caractère personnel pourrait en effet être caractérisée.

Les données devront être transmises dans un format « structuré, couramment utilisé et lisible par machine ». Si aucun format particulier n’est imposé, cette formulation exclut les formats propriétaires et exploitables uniquement par le responsable du traitement initial.

Le G29 préconise de recourir à des formats ouverts courants tels que XML, JSON ou CSV, en l’absence d’usages dans le secteur d’activité concerné. Il sera également nécessaire de rendre exploitables les données en assortissant les fichiers de métadonnées et de marqueurs permettant la compréhension et la réutilisation du contenu des fichiers transmis.

La personne concernée aura le droit de transmettre les données reçues à un nouveau responsable du traitement. Si cela est possible techniquement, elle pourra exiger du responsable du traitement initial qu’il transmette directement les données au nouveau responsable du traitement. Le G29 le rappelle : il s’agit d’encourager la mise au point de formats interopérables pour faciliter la portabilité des données.

En aucun cas cette disposition ne met à la charge des responsables de traitements une obligation d’adopter ou de maintenir des systèmes d’information compatibles.

Sauf demande expresse en ce sens de la personne concernée et sous réserve que le droit à l’effacement trouve à s’appliquer, le responsable du traitement ne doit pas supprimer les données objets du droit à la portabilité après les avoir transmises. En effet, l’exercice du droit à la portabilité par une personne concernée est autonome des autres droits que la personne peut exercer.

Il n’emporte pas automatiquement l’exercice de son droit à l’effacement, le retrait de son consentement ou la résiliation du contrat qui l’unit au responsable de traitement.

Quelle mise en œuvre pratique du droit à la portabilité ?

Le G29 avance des pistes de mise en œuvre concrète du droit à la portabilité.

Notamment, il appelle à la création de services « d’entrepôts de données personnelles », qui permettrait aux personnes concernées de stocker leurs données personnelles, puis de donner accès au cas par cas aux données pertinentes. Cet entrepôt pourrait être basé sur un serveur SFTP, une interface de programmation applicative (API) en ligne ou un portail internet sécurisé.

Le G29 suggère alternativement aux responsables de traitements la mise en place d’API permettant les accès extérieurs. Les personnes concernées pourraient ainsi introduire leurs demandes via leur propre logiciel et obtenir les données les concernant de façon sécurisée. Des systèmes d’accès sophistiqués, permettant la gestion de demandes régulières ou évoluant au fil du temps sans surcoût pour le responsable du traitement pourraient être envisagés selon les cas de figures.

Quelle interaction avec le droit à la portabilité des données issues de la loi République Numérique ?

La loi pour une République Numérique du 7 octobre 2016, dite loi Lemaire, prévoyait l’entrée en application au 25 mai 2018 d’un droit à la portabilité distinct de celui défini par le RGPD.

Dénommé « droit à la récupération des données », il aurait permis aux consommateurs exclusivement de récupérer des données et fichiers à caractère non personnel auprès de fournisseurs de services de communication en ligne.

Les décrets devant permettre son application, dont la publication était prévue courant mars 2017, n’ont pour l’heure pas été pris. Lors de l’examen devant l’Assemblée Nationale du projet de loi relatif à la protection des données personnelles dit « CNIL 3 », un article 20 bis avait été adopté pour supprimer toutes les dispositions relatives à ce droit.

Toutefois, lors de son examen en première lecture par le Sénat le 21 mars 2018, l’article 20 bis a été supprimé afin de rétablir le droit à la récupération des données à caractère non personnel. Le texte doit désormais être examiné par la Commission mixte paritaire afin d’aboutir à une version commune à l’Assemblée Nationale et au Sénat.

L’avenir du droit à la récupération des données est donc flou. Mathias Avocats ne manquera pas de vous informer de toute nouvelle évolution sur ce sujet.