RGPD: Le droit à la portabilité des données

==> Ratio legis

L’article 20 du règlement général sur la protection des données (RGPD) introduit un nouveau droit à la portabilité des données.

Ce droit permet aux personnes concernées de :

• Recevoir les données à caractère personnel qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine
• Transmettre les données récupérées sans obstacle à un autre responsable du traitement.

Ce droit, qui s’applique sous réserve de certaines conditions, encourage le choix et le contrôle de l’utilisateur, ainsi que sa responsabilisation.

Les personnes exerçant leur droit d’accès au titre de la directive 95/46/CE relative à la protection des données étaient limitées par le format choisi par le responsable du traitement lors de la fourniture des informations demandées.

Le nouveau droit à la portabilité des données vise à responsabiliser les personnes concernées au sujet de leurs données à caractère personnel, car il facilite leur capacité à déplacer, à copier ou à transmettre facilement des données à caractère personnel d’un environnement informatique vers un autre (qu’il s’agisse de leur propre système, du système de tiers de confiance ou de celui de nouveaux responsables du traitement).

==> Les conditions d’exercice du droit à la portabilité

L’exercice du droit à la portabilité des données est subordonné à la satisfaction de trois conditions cumulatives

• Première condition
  • Le droit à la portabilité ne peut porter que les données concernant la personne qui l’exerce.
  • Seules les données à caractère personnel peuvent faire l’objet d’une demande de portabilité.
  • Par conséquent, toute donnée anonyme ou ne se rapportant pas la personne concernée est exclue du champ d’application de la portabilité.
  • Toutefois, les données pseudonymisées qui peuvent clairement être liées à la personne concernée (par exemple, lorsque la personne concernée fournit l’identifiant correspondant) relèvent du champ d’application de l’article 20 du RGPD

• Deuxième condition
  • Le droit à la portabilité ne peut porter que sur des données qui ont été fournies par la personne concernée au responsable du traitement
  • Une distinction peut être opérée entre différentes catégories de données, en fonction de leur origine, afin de déterminer si elles sont couvertes par le droit à la portabilité des données.
  • Les catégories suivantes peuvent être qualifiées de données « fournies par la personne concernée» :
    • Les données activement et sciemment fournies par la personne concernée (par exemple, adresse postale, nom d’utilisateur, âge, etc.) ;
    • Les données observées fournies par la personne concernée grâce à l’utilisation du service ou du dispositif. Ces données peuvent inclure, par exemple, l’historique de recherche, les données relatives au trafic et les données de localisation d’une personne. Elles peuvent aussi inclure d’autres données brutes comme le rythme cardiaque enregistré par un dispositif portable.
  • En revanche, les données déduites et les données dérivées qui sont créées par le responsable du traitement sur la base des données « fournies par la personne concernée», tel que le résultat d’une appréciation relative à la santé d’un utilisateur ou un profil créé dans le contexte des règlementations relatives à la gestion des risques et de la réglementation financière ne peuvent pas être considérés en soi comme ayant été « fournies » par la personne concernée.
  • Bien que ces données puissent faire partie d’un profil conservé par un responsable du traitement et soient déduites ou dérivées d’une analyse des données fournies par la personne concernée (par ses actions, par exemple), ces données ne seront généralement pas considérées comme étant « fournies par la personne concernée» et ne relèveront dès lors pas du champ d’application de ce nouveau droit

• Troisième condition
  • Les opérations de traitement doivent être fondées :
    • Soit sur le consentement de la personne concernée
    • Soit sur un contrat auquel la personne concernée est partie

• Quatrième condition
  • La transmission des données doit s’opérer au moyen d’un traitement effectué à l’aide de procédés automatisés

• Cinquième condition
  • Le droit à la portabilité des données ne doit pas porter atteinte aux droits et libertés de tiers
  • Cette condition vise à empêcher l’extraction et la transmission de données contenant les données à caractère personnel d’autres personnes concernées (non consentantes) à un nouveau responsable du traitement dans le cas où ces données sont susceptibles d’être traitées d’une manière qui porterait atteinte aux droits et aux libertés des autres personnes concernées
  • Une telle atteinte interviendrait, par exemple, si la transmission de données d’un responsable du traitement à un autre empêchait des tiers d’exercer leurs droits en tant que personnes concernées en vertu du règlement général sur la protection des données (comme le droit à l’information, le droit d’accès, etc.).

==> Modalités d’exercice du droit à la portabilité

• Le destinataire de la demande
  • La demande de portabilité doit être adressé au responsable du traitement qui est le débiteur de l’obligation
  • Il est donc inopérant de formuler cette demande auprès de la CNIL

• La justification de l’identité
  • L’article 12, §6, dispose que lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne concernée, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.
  • Lorsqu’une personne concernée fournit des informations complémentaires permettant de l’identifier, le responsable du traitement ne peut refuser de donner suite à la demande.
  • Lorsque les informations et données collectées en ligne sont liées à des pseudonymes ou à des identifiants uniques, les responsables du traitement peuvent appliquer des procédures appropriées permettant à une personne de présenter une demande de portabilité des données et de recevoir des données la concernant.
  • En tout état de cause, les responsables du traitement doivent appliquer une procédure d’authentification afin d’établir avec certitude l’identité de la personne concernée demandant ses données à caractère personnel ou, plus généralement, exerçant les droits conférés par le règlement général sur la protection des données.

• Le coût de la demande
  • L’article 12 du RGPD interdit au responsable du traitement d’exiger un paiement pour fournir les données à caractère personnel, à moins qu’il puisse démontrer que les demandes sont manifestement infondées ou excessives, « notamment en raison de leur caractère répétitif».
  • Ainsi, les coûts totaux liés à la mise en œuvre du système ne devraient pas être imputés aux personnes concernées ni invoqués pour justifier un refus de répondre à des demandes de portabilité.

==> L’exécution de l’obligation

• L’obligation d’information préalable
  • Afin de respecter le nouveau droit à la portabilité des données, les responsables du traitement doivent informer les personnes concernées de l’existence de ce nouveau droit.
  • Deux situations doivent être distinguées :
    • Lorsque les données à caractère personnel concernées sont collectées directement auprès de la personne concernée, cette information doit avoir lieu « au moment où les données en question sont obtenues».
    • Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, l’article 14, §3 du RGPD, exige que les informations soient fournies dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, au moment de la première communication avec la personne concernée ou lorsque les données à caractère personnel sont communiquées à des tiers
  • Lorsqu’ils fournissent les informations requises, les responsables du traitement doivent veiller à opérer une distinction entre le droit à la portabilité des données et les autres droits.
  • Aussi, le Groupe de l’article 29 recommande-t-il que les responsables du traitement expliquent clairement la différence entre les types de données qu’une personne concernée peut recevoir en exerçant son droit d’accès et son droit à la portabilité.

• Le délai d’exécution
  • L’article 12, paragraphe 3, requiert que le responsable du traitement fournisse à la personne concernée « des informations sur les mesures prises» « dans les meilleurs délais » et en tout état de cause « dans un délai d’un mois à compter de la réception de la demande ».
  • Ce délai d’un mois peut être prolongé à un maximum de trois mois pour les affaires complexes, à condition que la personne concernée ait été informée des motifs de cette prolongation dans un délai d’un mois à compter de la réception de la demande initiale.
  • Le responsable du traitement qui ne donne pas suite à une demande de portabilité informe la personne concernée, conformément à l’article 12, paragraphe 4, « des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel », dans un délai maximal d’un mois à compter de la réception de la demande.
  • Au bilan, les responsables du traitement doivent respecter l’obligation de répondre à la demande dans les conditions prescrites, même s’il s’agit de signifier un refus.
  • En d’autres termes, le responsable du traitement est tenu de répondre à une demande de portabilité des données.

• Modalités d’exécution
  • Le RGPD exige du responsable du traitement qu’il fournisse les données à caractère personnel demandées par la personne concernée dans un format qui permet leur réutilisation.
  • Plus spécifiquement, l’article 20, §1 dispose que les données à caractère personnel doivent être fournies « dans un format structuré, couramment utilisé et lisible par machine».
  • Le considérant 68 précise que ce format doit être interopérable, un terme qui est défini comme suit dans l’Union :
    • « La capacité de diverses organisations hétérogènes à interagir en vue d’atteindre des objectifs communs, mutuellement avantageux et convenus, impliquant le partage d’informations et de connaissances entre elles, selon les processus d’entreprise qu’elles prennent en charge, par l’échange de données entre leurs systèmes TIC respectifs. »
  • Les qualificatifs « structuré », « couramment utilisé» et « lisible par machine » constituent une série d’exigences minimales qui devraient faciliter l’interopérabilité du format de données fourni par le responsable du traitement.
  • En ce sens, les termes « structuré, couramment utilisé et lisible par machine» donnent des précisions sur les moyens, tandis que l’interopérabilité est le résultat escompté.
  • Le considérant 21 de la directive 2013/37/UE33 définit le format « lisible par machine» comme suit :
    • « Un format de fichier structuré de telle manière que des applications logicielles puissent facilement identifier, reconnaître et extraire des données spécifiques, notamment chaque énoncé d’un fait et sa structure interne.
    • Les données encodées présentes dans des fichiers qui sont structurés dans un format lisible par machine sont des données lisibles par machine.
    • Les formats lisibles par machine peuvent être ouverts ou propriétaires ; il peut s’agir de normes formelles ou non.
    • Les documents encodés dans un format de fichier qui limite le traitement automatique, en raison du fait que les données ne peuvent pas, ou ne peuvent pas facilement, être extraites de ces documents, ne devraient pas être considérés comme des documents dans des formats lisibles par machine.
    • Les États membres devraient, le cas échéant, encourager l’utilisation de formats ouverts, lisibles par machine. »
  • Compte tenu de la grande variété de types de données potentiels qui pourraient être traités par un responsable du traitement, le règlement général sur la protection des données n’impose pas de recommandations spécifiques quant au format des données à caractère personnel à fournir.
  • Le format le plus approprié différera d’un secteur à l’autre et des formats adéquats peuvent déjà exister, et doivent toujours être choisis de manière à pouvoir être interprétés et offrir à la personne concernée un degré élevé de portabilité.
  • Dès lors, les formats qui sont soumis à des contraintes de licences onéreuses ne sont pas considérés comme relevant d’une approche adéquate.
  • Le considérant 68 précise que « [l]e droit de la personne concernée de transmettre ou de recevoir des données à caractère personnel la concernant ne devrait pas créer, pour les responsables du traitement, d’obligation d’adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles».
  • Dès lors, la portabilité vise à produire des systèmes interopérables, et non des systèmes compatibles.