Le Règlement Général sur la Protection des Données du 27 avril 2016 et entré en application le 25 mai 2018, a instauré un droit à la portabilité (article 20) :
« Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement […] ».
Tout d’abord, le droit à la portabilité doit être distingué du droit d’accès qui permet à la personne concernée d’obtenir du responsable de traitement les données la concernant. Le droit à la portabilité permet d’obtenir du responsable de traitement ses données « dans un format structuré, couramment utilisé et lisible par machine ».
Le droit d’accès, à la différence du droit à la portabilité, ne vise pas à permettre le transfert de données personnelles d’un responsable de traitement à un autre, mais uniquement obtenir une copie de ses données traitées à titre d’information.
Par ailleurs, le droit d’accès concerne toutes les données personnelles de la personne concernée tandis que le droit à la portabilité ne porte que sur les données fournies par la personne et traitées sur la base de son consentement ou de l’exécution d’un contrat.
L’objet même de cette portabilité est donc la transmission des données à autre responsable de traitement dans un souci de mobilité et de contrôle de ses données tandis que l’objectif du droit d’accès est davantage informationnel pour la personne concernée sur l’utilisation qui est faite de ses données.
La recherche de contrôle sur les données personnelles n’est pas nouvelle. En effet, la loi informatique et libertés du 6 janvier 1978 consacrait déjà à son article 1er « les droits des personnes de décider et de contrôler les usages qui sont faits des données à caractère personnel les concernant ».
Toutefois, le droit à la portabilité n’est que peu exercé en pratique comme le souligne Alain Bazot, Président de l’association « UFC-Que choisir », selon qui le droit à la portabilité « reste très peu connu aujourd’hui ». Malgré une recrudescence des demandes de droits de personnes concernées depuis l’application du RGPD, le droit à la portabilité n’est que très peu invoqué par celles-ci.
Dès lors, s’il reste méconnu et peu exercé, la question de l’effectivité du droit à la portabilité peut se poser.
Afin de respecter et mettre en œuvre ce droit, le responsable de traitement doit prévoir en interne les procédures pour gérer de telles demandes de droits. La désignation d’un Délégué à la protection des données (« Data Protection Officer » ou « DPO ») peut également être pertinente pour vous aider à analyser la recevabilité des demandes et y répondre correctement. DPO Consulting peut vous accompagner en tant que DPO externalisé.
Le RGPD restreint l’exercice le droit à la portabilité qu’il a pourtant consacré. Le but n’est pas de consacrer un droit général à la portabilité. Des situations particulièrement sensibles (lutte contre la fraude et le blanchiment) ou techniquement impossibles restent en dehors du champ de la portabilité dans un souci de simplicité de mise en œuvre pour les responsables de traitement.
A l’inverse, si le RGPD imposait une portabilité, qui est un procédé technique complexe, dans toutes les situations, les difficultés de mises en œuvre seraient certainement trop importantes et couteuses pour les responsables de traitement.
Le droit à la portabilité a donc uniquement vocation à être exercé lorsque le traitement est fondé sur le consentement ou le contrat. De plus, il ne peut être exercé que sur les données fournies par la personne concernée faisant l’objet d’un traitement automatisé. Enfin, le droit à la portabilité doit être techniquement réalisable et ne doit pas porter atteinte aux droits et libertés des tiers.
Le droit à la portabilité ne s’applique qu’aux données personnelles traitées sur le fondement du consentement ou du contrat.
A contrario, l’exercice du droit à la portabilité ne concernera pas, par exemple, certaines données personnelles traitées par le service des ressources humaines d’une entreprise sur le fondement de l’intérêt légitime du responsable de traitement (la constitution d’une CV-thèque, la gestion des annuaires internes et des organigrammes ou encore la gestion de la messagerie électronique professionnelle).
De même, la conservation de données relatives à des obligations comptables ou fiscales ou relatives à la gestion de pré-contentieux ou contentieux ne seront pas soumises à la portabilité. Le responsable de traitement pourra fonder ses deux traitements respectivement sur des obligations légales et sur son intérêt légitime.
A l’inverse, des données obtenues dans le cadre d’un contrat de livraison de bien ou de fourniture de service pourront faire l’objet d’une demande de droit à la portabilité car leur traitement sera fondé sur l’exécution d’un contrat. C’est également le cas pour des données obtenues sur le fondement du consentement à des fins de prospection commerciale par exemple.
Le Comité européen sur la protection des données (« CEPD ») incite malgré tout, les responsables de traitement à mettre en œuvre des bonnes pratiques s’agissant des demandes de portabilité. A titre d’illustration, un service public fournissant un service de téléchargement de déclarations des revenus des particuliers n’est pas concerné par le droit à la portabilité puisqu’il peut fonder ses traitements sur une mission d’intérêt public. Toutefois, le CEPD invite les responsables de traitement à instaurer des procédures afin de respecter au mieux la portabilité en guise de « bonnes pratiques ».
Seules les données fournies par la personne concernée peuvent faire l’objet du droit à la portabilité. Afin de remédier à cette restriction, le CEPD estime que cette notion devrait inclure les données « d’activité de la personne concernée » à l’instar des « données générées par le responsable de traitement ». Cet élargissement voulu par le CEPD permettrait à la personne concernée exerçant son droit à la portabilité d’obtenir davantage d’informations que les seules données qu’elle a activement communiquées (données d’activité traitées par un objet connecté, historique d’utilisation d’un site internet, activités de recherche, etc.).
En revanche, les données dites « dérivées » ou « déduites » restent exclue du champ d’application de ce droit.
Le droit à la portabilité est effectif « lorsque c’est techniquement possible ». C’est là un nouvel écueil dans lequel le droit à la portabilité semble tomber. Le droit à la portabilité n’est envisageable que si l’extraction puis le transfert de données d’un responsable à un autre est possible techniquement. L’effectivité du droit à la portabilité implique nécessairement la question de l’interopérabilité, au cœur de questions techniques.
Il s’agit, selon Isabelle Da Silva, Présidente de l’Autorité de la Concurrence, de la clef de voûte du droit à la portabilité : « l’effectivité du droit à la portabilité passera par des solutions informatiques qui permettent à des sites web et applications de communiquer entre eux » (webinar organisé par la CNIL, « Portabilité : un évènement pour développer les droits et les usages » du 22 octobre 2020).
Pourtant, le RGPD ne fait peser aucune obligation sur les responsables de traitement « d’adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles » pour mettre en œuvre le droit à la portabilité. Il ne fait qu’« encourager les responsables du traitement à mettre au point des formats interopérables permettant la portabilité des données » (considérant 68).
En outre, seuls les traitements « automatisés » de données entrent dans le champ d’application du droit à la portabilité. Les données personnelles contenues dans des dossiers papiers ne sont donc pas concernées. Si cette restriction semble en pratique mineure compte tenu de la proportion de traitements automatisés par rapport aux traitements non automatisés, cela restreint à nouveau l’exercice de ce nouveau droit pour les personnes concernées.
Enfin, le droit à la portabilité ne peut être exercé s’il porte atteinte aux droits et libertés des tiers. Les Lignes directrices relatives au droit à la portabilité des données du CEPD, indiquent que le droit à la portabilité ne doit pas permettre de recevoir les données identifiantes de personnes tierces (liste de contacts par exemple) sans leur consentement.
En d’autres termes, le RGPD veut éviter le cas où le transfert de données à caractère personnel d’un responsable de traitement à un autre reviendrait à restreindre voire à rendre impossible l’exercice de droits de personnes tierces, personnes concernées, comme leur droit d’accès ou d’opposition.
Il est également envisageable que des droits et libertés de tiers autres que ceux prévus par le RGPD soient atteints par le droit à la portabilité. C’est notamment le cas du secret des affaires et du droit de la propriété intellectuelle.
Le CEPD précise ainsi que « le droit à la portabilité des données n’est pas un droit permettant à une personne d’abuser des informations d’une manière qui pourrait être qualifiée de déloyale ou qui constituerait une violation des droits de propriété intellectuelle ».
Cela pose la question de la protection du droit de la propriété intellectuelle, et plus particulièrement du droit d’auteur sur le logiciel qui peut être utilisé par le responsable de traitement.
En effet, comment extraire et transmettre des données traitées par un logiciel sans dévoiler son fonctionnement et éventuellement les spécificités qui font de ce logiciel un atout commercial pour le responsable de traitement ? Le risque serait que le responsable de traitement qui reçoit les données découvre ou déduise la façon dont son concurrent procède, ce qui remettrait indubitablement en cause le droit à la portabilité d’un point de vue purement concurrentiel.
Par ailleurs, dès lors qu’une information sera considérée comme relevant du secret des affaires, le droit à la portabilité pourrait ne pas porter sur celle-ci. Il s’agit de toute information qui n’est pas généralement connue ou aisément accessible pour les personnes familières de ce type d’informations, qui revêt une valeur commerciale et qui fait l’objet de l’objet de mesures de protection raisonnables (Code de commerce, article L. 151-1).
En accédant à la demande de droit à la portabilité de la personne concernée, un responsable de traitement pourrait se voir transmettre des données révélant ses pratiques commerciales mais également techniques à d’éventuels concurrents directs. Ces derniers pourraient alors découvrir ou déduire grâce à la portabilité certaines pratiques du responsable de traitement initial.
Si le droit à la portabilité voit son champ d’application particulièrement restreint par le RGPD lui-même, il n’en reste pas moins un droit pertinent au regard des enjeux de demain.
Le droit à la portabilité, et le RGPD dans son ensemble, vise à permettre aux citoyens de contrôler leurs données à caractère personnel. Son introduction dans le RGPD fait donc sens en ce qu’il pourrait à l’avenir permettre un meilleur contrôle des citoyens sur leurs données et favoriser une concurrence plus saine et plus ouverte.
Le RGPD s’inscrit dans un mouvement visant à impliquer davantage les citoyens dans le contrôle de leurs données à caractère personnel. Ce mouvement n’est pas qu’européen. Le California Consumer Privacy Act, adopté en 2018, a également introduit la notion de portabilité des données pour impliquer davantage les personnes concernées.
De même, la loi pour une République numérique du 7 octobre 2016 avait créé le droit à l’autodétermination informationnelle des individus. En réalité, la notion d’autodétermination informationnelle était en quelque sorte définie par la loi informatique et libertés du 8 janvier 1978 qui renforçait déjà « Les droits des personnes de décider et de contrôler les usages qui sont faits des données à caractère personnel les concernant » à son article 1er relatif à ses grands principes.
Charly Berthet, responsable juridique et des relations institutionnelles au Conseil national du numérique, et Célia Zolynski, Professeur à l’Université Paris I Panthéon-Sorbonne soulignent ce contrôle des données personnelles par les citoyens. Selon eux, « sa déclinaison la plus immédiate concerne le droit à la portabilité des données ».
Thierry Breton, Commissaire européen de la politique industrielle du renforcement du marché intérieur, estime que le droit à la portabilité permettra d’« éviter les effets de lock in », c’est-à-dire des situations où les consommateurs seraient enfermés dans un service, ne pouvant pas changer d’opérateur ou de responsable de traitement, ou que très difficilement.
Ainsi, si le RGPD peut devenir un atout marketing et commercial pour les entreprises, le droit à la portabilité devrait permettre aux citoyens consommateurs d’évoluer plus librement dans un tissu économique concurrentiel en ayant davantage le choix quant à leur consommation.
Si ce thème vous intéresse, vous pouvez consulter notre article du l’intégrité des données personnelles
– Gabriel Privat