Publications

Fiche pratique : La portabilité des données

Publié le 31 août 2018

La portabilité des données

Le droit à la portabilité et à la récupération des données a été introduit en droit français à l’occasion de l’adoption de la Loi pour une République numérique.

Dans un premier temps et par anticipation au RGPD, la notion de portabilité avait été codifiée aux article L. 224-42-1 et suivants du Code de la consommation qui précisait que « cette récupération s’exerce conformément aux conditions prévues à l’article 20 du règlement (UE) n° 2016/679 »[1].Le code de la consommation prévoyait que les consommateurs pouvaient récupérer :
    • Tous les fichiers qu’ils ont mis en ligne
    • Toutes les données résultant de l’exploitation d’un compte d’utilisateur du consommateur et consultable en ligne par celui-ci, à l’exception de celles ayant fait l’objet d’un enrichissement significatif par le fournisseur en cause,
    • D’autres données associées au compte utilisateur du consommateur et répondant à certaines conditions (faciliter le changement de fournisseur ou de permettre d’accéder à d’autres services).
    Le législateur français a toutefois procédé à l’abrogation de ces dispositions du Code de la consommation à l’occasion de la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles. Cette suppression met fin la superposition de deux régimes de portabilité, qui n’étaient pas totalement identiques, de la Loi pour une République Numérique et du RGPD.
Il convient donc de s’attacher au Règlement Européen et de se pencher sur l’aspect pratique de la mise en œuvre du droit de portabilité à l’aide de l’éclairage apporté par les lignes directrices du G29 sur le sujet.[2]
  1. Qu’est-ce que le droit à la portabilité ?

L’article 20 du RGPD définit la portabilité comme le droit pour les personnes concernées de recevoir les données qu’elles ont fournies à un responsable de traitement, dans un format structuré, couramment utilisé et lisible par machine et de les transmettre à un autre responsable de traitement.

Ce droit :

  • Permet la transmission des données à caractère personnel d’un responsable de traitement à un autre,
  • Facilite la libre circulation des données à caractère personnel au sein de l’Union Européenne,
  • Stimule la concurrence entre les responsables de traitement, étant entendu que le RGPD n’a pas vocation à réglementer la concurrence,
  • Facilite le passage d’un prestataire à un autre
  • Encourage la création de nouveaux services,
  • Rééquilibre la relation entre la personne concernée et le responsable de traitement : il s’agit du rôle premier du droit de portabilité qui apparaît alors comme un renforcement du contrôle des particuliers sur leurs données à caractère personnel en jouant un rôle actif.

Le droit à la portabilité ne concerne pas l’intégralité des traitements et il va trouver à s’appliquer lorsque :

  • Le traitement est fondé sur le consentement de la personne concernée ou sur l’exécution de mesures contractuelles ou pré-contractuelles ;
  • Il porte sur les données à caractère personnel fournies par la personne concernée ce qui signifie que cela se limite aux données fournies sciemment et activement par la personne concernée ;
  • Les données sont traitées au moyen de procédés automatisés: cela ne couvre donc pas les dossiers papiers.

Ainsi, le droit à la portabilité couvre :

  • Le droit pour les personnes concernées de recevoir des données à caractère personnel traitées par un responsable de traitement et de les sauvegarder en vue d’un usage ultérieur sur un dispositif privé ou sur un cloud privé. Cela ouvre la possibilité pour les personnes de ré-exploiter leurs propres données.
  • Le droit de transmettre des données à caractère personnel d’un responsable de traitement à un autre: l’interopérabilité est encouragée mais les responsables de traitement ne sont pas pour autant contraints d’adopter ou de maintenir des systèmes de traitement techniquement compatibles.
  • Le droit permet de traiter les données à caractère personnel selon les souhaits de la personne concernée.

La portabilité ne met pas fin à l’utilisation du service et n’est pas nécessairement suivie d’un effacement des données par le responsable de traitement.

  1. Le responsable de traitement

Le responsable de traitement récipiendaire de la demande de portabilité :

  • Transfère les données sur ordre des personnes concernées,
  • N’a pas d’obligation de contrôle et de vérification concernant la qualité des données,
  • Doit se faire aider par son sous-traitant pour répondre à la demande, le cas échéant,
  • Doit être prêt à répondre aux demandes des personnes concernées.

Le responsable de traitement destinataire des données à caractère personnel :

  • Doit garantir que les données fournies sont pertinentes, nécessaires et non excessives au regard du traitement envisagé,
  • Devient le responsable de traitement des données à caractère personnel reçues et doit alors appliquer les principes de licéité, loyauté, transparence, limitation des finalités minimisation des données, exactitude, intégrité, confidentialité, limitation de la conservation et responsabilité.
  • N’est pas tenu d’accepter les données à caractère personnel provenant d’une personne concernée.

Le G29 recommande la mise en place de bonnes pratiques par les responsables de traitement et qui sont les suivantes :

  • Un travail sur des normes et formats interopérables pour faciliter l’exercice du droit ;
  • La mise en œuvre d’outils permettant aux personnes concernées de choisir les données qu’elles souhaitent recevoir et transmettre et d’exclure les données d’autres personnes ;
  • La mise en place de mécanisme de consentement applicables à d’autres personnes concernées afin de faciliter la transmission de données dans les cas où les parties veulent donner leur consentement ;
  • Informer les personnes concernées de ce droit à la portabilité au moment de la clôture d’un compte, de la résiliation d’un service ;
  • Définir le délai dans lequel une réponse peut d’ordinaire être données à une demande et communiquer l’information aux personnes concernées.

Cas de la Propriété intellectuelle / Secret des affaires

Les droits et libertés d’autrui peuvent couvrir les concepts de propriété intellectuelle et de secret des affaires, notamment le droit d’auteur couvrant le logiciel. Il convient de prendre ces droits en considération sans que cela n’aboutisse à refuser toute communication d’informations à la personne concernée.

Obstacles à la fourniture des données à caractère personnel

Le responsable de traitement d’origine ne doit pas faire obstacle à la fourniture des données en :

  • Demandant des frais pour la fourniture des données,
  • En fournissant des données sans interopérabilité ou absence d’accès à un format ou à une interface de programme d’application ou le format fourni,
  • Proposant un délai ou une complexité importante pour extraire l’intégralité des données,
  • Effectuant un obscurcissement délibéré de l’ensemble des données,
  • Arguant de normalisation sectorielle.
  • Les seules entraves possibles sont celles liées aux droits et libertés de tiers et celles qui ont trait à la sécurité des propres systèmes du responsable de traitement. Le responsable de traitement doit les justifier et expliquer pourquoi il ne s’agit pas d’entrave au sens de l’art 20.1 du RGPD.
  1. L’application du droit de portabilité

 

  1. Les données à inclure
  • Les données concernant les personnes concernées : cela inclus les données pseudonymes (mais pas les données anonymes),
  • Les données à caractère personnel fournies par les personnes concernées à un responsable de traitement :

o   Données fournies activement et sciemment par la personne concernée : données fournies par voie de formulaire, etc.… ;

  • Données observées fournies par la personne concernée grâce à l’utilisation du service : les données de compteurs intelligents ou d’objets connectés, journaux d’activité, historique d’utilisation d’un site…
  • Les données à caractère personnel qui ne portent pas atteinte aux droits et libertés des tiers : cela exclu les données d’autres personnes concernées si leur traitement était susceptible de porter atteinte à leurs droits et libertés.
    La personne concernée qui fait la demande donne son consentement ou conclu un contrat avec le nouveau responsable de traitement mais si le traitement concerne d’autres personnes concernées un autre fondement juridique (ex : intérêt légitime) sera nécessaire pour réaliser le traitement de leurs données à caractère personnel.

Les données déduites et données dérivées (résultats d’algorithmes) sont exclues du champ d’application de la portabilité. 

  1. Informations préalables à fournir à la personne concernée

L’information aux personnes quant à l’existence du droit de portabilité se fait au moment de la collecte (directe) sinon, il convient de se référer à l’article 13 RGPD paragraphe 2 point b) et article 14 paragraphe 2 point c).

En cas de collecte indirecte : le délai raisonnable ne pouvant dépasser un mois au moment de la communication avec la personne concernée ou lorsqu’elle est communiquée à des tiers.

  1. Identification de la personne concernée avant de répondre

Quand le responsable de traitement a des doutes sur l’identité de la personne concernée, il peut demander des informations complémentaires pour confirmer l’identité du demandeur.

Les responsables de traitement doivent mettre en place une procédure d’authentification pour établir avec certitude l’identité des personnes concernées.

  1. Délai imparti pour répondre

Le responsable de traitement est tenu d’informer les personnes concernées des mesures prises dans les meilleurs délais, et au maximum dans un délai d’un mois à compter de la réception de la demande, qui peut être prolongé à un maximum de 3 mois pour les cas complexes (information nécessaire de la personne concernée de la complexité dans le mois de la réception de la demande).

En cas de refus, le responsable de traitement doit en informer la personne concernée dans le mois qui suit la réception de la demande.

Par ailleurs, le délai peut être prolongé de 3 mois maximum si le volume de données rend la transmission sur Internet problématique.

Le responsable de traitement peut envisager d’autres moyens de transmission des données notamment diffusion en flux, ou stockage sur CD, DVD ou transmission directe à un autre responsable de traitement.

  1. Possibilité de rejet de la demande – Demande d’un paiement

Lorsque les demandes sont manifestement infondées ou excessives, notamment en raison d’un caractère répétitif, le responsable de traitement peut requérir le paiement de frais.

Les cas de refus devraient être assez rares.

  1. De quelle manière fournir les données

Si cela est possible techniquement, le responsable de traitement transmet directement les données à un autre responsable de traitement.

Les responsables de traitement sont censés transmettre les données dans un format interopérable mais cela n’oblige pas le responsable de traitement destinataire à prendre en charge ce format.

La transmission d’un responsable de traitement à un autre peut se faire lorsque la communication sécurisée entre deux systèmes est possible : communication authentifiée avec un niveau de chiffrement nécessaire.

Le G29 recommande que les responsables de traitement prévoient deux modes de mise à disposition des données :

  • Transmission directe de l’intégralité des données portables
  • Un outil automatisé permettant d’extraction de données pertinentes qui sera à privilégier pour les responsables de traitement pour les ensembles de données volumineux et complexes.

Le G29 imagine que ces modes de mise à dispo des données pourraient être mis en œuvre par la mise à disposition des données au moyen de messages sécurisés, d’un serveur SFTP, d’une interface de programme d’application web, portail web sécurisé…

  1. Format attendu

 

Un format qui permet une réutilisation : structuré, couramment utilisé et lisible par machine (moyens). Il s’agit d’exigences minimales qui devraient faciliter l’interopérabilité (résultat escompté) du format de données.

  • Il doit être interopérable[3].
  • Lisible par machine : défini par le considérant 21 de la directive 2013/37/UE.

La conformité RGPD n’impose pas de recommandation concernant le format des données à caractère personnel : le plus approprié différera d’un secteur à un autre. Le format choisi doit permettre aux personnes concernées un degré de portabilité élevé.

  • La portabilité vise à créer des systèmes interopérables mais pas des systèmes compatibles[4]: le considérant 68 précise que le droit à la portabilité ne doit pas créer d’obligation d’adopter ou de maintenir des systèmes de traitement techniquement compatibles.

Le responsable de traitement est encouragé par le G29 à recenser préalablement les données qui relèvent du champ d’application de la portabilité. Ce traitement supplémentaire est un accessoire au traitement des données à caractère personnel et ne répond pas à une nouvelle finalité.

S’il n’y a aucun format d’usage courant dans un secteur, il est recommandé de fournir les données dans un format ouvert, communément utilisé (XML, JSON, CVS…), assortis de métadonnées utiles au meilleur niveau de granularité possible, tout en maintenant un niveau d’abstraction élevé.

Les métadonnées doivent être suffisantes mais ne pas conduire à une violation du secret des affaires.

La coopération entre les parties prenantes de l’industrie et les associations professionnelles, afin de travailler sur une série de normes et de formats interopérables en vue de satisfaire aux exigences liées au droit à la portabilité des données, est largement encouragée par le G29.

 

[1]Article L224-42-2 du Code de la consommation

[2]WP 242 – Lignes directrices relatives au droit à la portabilité des données adoptées le 13 décembre 2016, puis révisée et adoptées le 5 avril 2017.

[3]Considérant 68 du RGPD

[4]Notion de compatibilité définie par la norme ISO/IEC 2382-01

Retrouvez d’autres informations intéressantes dans cet article sur la Loi informatique et Liberté

Celine Gallay