Données : décryptage du droit à la portabilité par le G29

Les lignes directrices du G29 viennent clarifier le champ d’application du nouveau droit à la portabilité.

Le règlement général sur la protection des données est en effet venu renforcer les droits des personnes sur leurs données personnelles, notamment en consacrant un nouveau droit à la portabilité (1).

Ce nouveau droit, en témoignent les contributions effectuées à l’occasion de la consultation publique lancée par la Cnil en juin 2016 sur le RGPD (2), suscite de nombreuses interrogations tant sur son champ d’application que sur les conséquences de la mise en œuvre de ce droit pour les entreprises en termes de charges financière et organisationnelle mais également de concurrence.

L’objectif affirmé de ce nouveau droit est le renforcement du contrôle exercé par les personnes concernées sur leurs propres données en leur permettant de recevoir les données à caractère personnel les concernant dans un format structuré, couramment utilisé, lisible par machine et interopérable, et de les transmettre à un autre responsable du traitement. Il s’agit en particulier de faciliter, pour les personnes, le changement de prestataires de services.

Le groupe de l’article 29, dans ses lignes directrices du 13 décembre 2016 (3), vient clarifier les dispositions de l’article 20 du RGPD mais tente également d’apporter des précisions sur la mise en œuvre pratique de ce droit.

Principales caractéristiques du droit à la portabilité

Le droit à la portabilité constitue, en premier lieu, le droit, pour la personne concernée à recevoir les données à caractère personnel la concernant traitées par le responsable du traitement.

Ce droit se distingue néanmoins du droit d’accès dont dispose déjà les personnes concernées en ce que cette communication doit s’effectuer dans un format « structuré, couramment utilisé, lisible par machine et interopérable ».

Le droit à la portabilité, c’est également le droit pour la personne concernée de voir transmettre ses données à un autre responsable du traitement.

D’un point de vue plus technique, ceci impliquera pour le responsable du traitement de permettre à la personne concernée de télécharger directement ses données, par exemple via une API, mais encore de lui offrir la possibilité de transmettre directement ses données à un autre responsable du traitement.

En cas de transmission à un autre responsable du traitement, le G29 vient évidemment préciser que le responsable du traitement ayant répondu à la demande de portabilité des données n’est en revanche pas responsable du traitement effectué par la personne concernée ou par le nouveau responsable du traitement.

Le G29 vient préciser que l’exercice de son droit à la portabilité par une personne concernée n’emporte pas de conséquences particulières sur les autres droits de la personne concernée et n’implique, en effet, ni que la personne concernée cesse de bénéficier de son service ni l’effacement de ses données dans les systèmes du responsable du traitement.

Champs d’application du droit à la portabilité

Il convient de préciser que le droit à la portabilité tel qu’issu des dispositions du RGPD ne constitue pas un droit général pour la personne concernée à la portabilité de ses données à caractère personnel.

Traitements concernés. La première des restrictions est la base légale du traitement puisque, pour que la personne concernée puisse se prévaloir d’un droit à la portabilité de ses données, le traitement doit être fondé sur le consentement de la personne concernée ou l’exécution d’un contrat auquel elle est partie. La seconde restriction réside dans le fait que seuls sont concernés les traitements effectués à l’aide de procédés automatisés à l’exclusion des dossiers papiers.

Données concernées. Seules sont concernées les données à caractère personnel se reportant à la personne concernée et qui ont été communiquées par elle au responsable du traitement. Toutefois, les précisions et les illustrations données par le G29 tendent vers une interprétation relativement large des données concernées.

Concernant la notion de « données concernant la personne concernée », il considère même que les données qui ont fait l’objet d’une pseudonymisation sont visées. De même, dans le cas où un ensemble de données concernant la personne concernée implique également des données relatives à des tiers, l’ensemble de ces données devra être communiqué.

Pour ce qui est de l’interprétation de la notion de « données communiquées par elle », il s’agit des données que la personne concernée a transmises mais également des données générées et collectées à partir de ses activités et en particulier de par l’utilisation du service fourni par le responsable du traitement.

Ainsi, il peut s’agir de données qui ne sont pas consciemment transmises par la personne concernée comme par exemple les logs de connexion ou l’historique d’une transaction. Sont en revanche exclues, les données qui sont dérivées ou déduites des données fournies par la personne concernée car elles ne sont pas fournies par la personne mais générées par le responsable du traitement.

Absence d’atteinte aux droits et libertés des tiers. Enfin, l’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés de tiers. Ceci pourrait être le cas si les données concernées par le droit à la portabilité contiennent des données concernant des personnes tiers et qu’elles sont transférées à un autre responsable du traitement alors même que ce tiers n’y a pas consenti. Dans un tel cas, afin d’être en mesure de traiter les données de ce tiers conformément aux exigences du RGPD, il incombera au nouveau responsable du traitement de disposer d’une base légale pour le traitement de ces données comme par exemple l’intérêt légitime.

En raison de cette difficulté liée à la communication de données de tiers par la personne concernée et aux effets négatifs que cela pourrait entraîner, le G29 recommande que les responsables du traitement mettent à disposition de la personne concernée un outil technique lui permettant de sélectionner les données qu’elle souhaite exclure ou communiquer. De même, des mécanismes permettant aux tiers impliqués dans le cadre de l’exercice du droit à la portabilité pourraient être implémentés afin de permettre de recueillir leur consentement à une telle communication de leurs données.

Le G29 précise encore que l’absence d’atteinte aux « droits et libertés des tiers » inclut l’absence d’atteinte au secret des affaires ou aux droits de propriété intellectuelle.

Le droit à la portabilité en pratique

Information de la personne concernée. Conformément aux dispositions du RGPD, la personne devra être informée de l’existence de ses droits, dont son droit à la portabilité de ses données. A cet égard, le G29 recommande aux responsables du traitement d’exposer de manière claire aux personnes concernées les différences existantes entre l’exercice du droit à la portabilité des données de celui du droit d’accès.

Il recommande en sus qu’une information particulière sur le droit à la portabilité des données soit portée à la connaissance de la personne concernée au moment où elle fait part de son souhait de fermer son compte et/ou que soient précisées, par catégories de services, les données nécessaires au bon fonctionnement des services données afin de limiter les risques pour les tiers.

Identification de la personne. Aux termes de l’article 12 de RGPD, le responsable du traitement doit faciliter l’exercice des droits qui sont conférés à la personne concernée, dont le droit à la portabilité. Aussi, si lorsqu’il a des doutes raisonnables quant à l’identité de la personne, il peut demander que lui soient fournies des informations supplémentaires, il peut mettre en place des procédures permettant de s’assurer d’une telle identification, par exemple, par le biais d’identifiant et mot de passe.

Délai de réponse. En principe, le responsable du traitement doit répondre à la demande dans les meilleurs délais et, en tout état de cause, dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande, ce qui signifie que le responsable du traitement est tenu de fournir une réponse (même un refus) à la personne concernée dans un délai d’un mois. Il ne peut en aucun cas se satisfaire de garder le silence.

Format de la réponse. Les données doivent être communiquées à la personne concernée « dans un format structuré, couramment utilisé et lisible par machine » (1). Si le G29 se reporte aux considérants 58 du RGPD et 21 de la directive 2013/37/EU, il ne formule aucune recommandation spécifique quant au format qu’il conviendrait d’utiliser pour répondre à cette exigence au regard de la diversité des cas susceptibles de se présenter étant précisé que le G29 insiste sur le fait que ce droit à la portabilité ne devrait pas créer d’obligation d’adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles mais simplement interopérables. A cet égard, le G29 encourage les parties prenantes du secteur à travailler ensemble afin de garantir une telle interopérabilité.

Sécurité des données. Enfin, le G29 rappelle que, conformément aux dispositions de l’article 12 du RGPD, l’information devra être faite d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. Pour ce faire, le G29 considère que le responsable du traitement pourrait mettre à disposition de la personne concernée une API ce qui permettrait à la personne concernée de transmettre directement ses données à un autre responsable du traitement. Le responsable du traitement tenu de garantir une sécurité appropriée des données à caractère personnel, devra s’assurer que tel est bien le cas pour la transmission des données dans le cadre de l’exercice du droit à la portabilité, par exemple par le cryptage des données ou encore le renforcement des mesures d’authentification.

Comme le montrent les lignes directrices du G29, ce nouveau droit à la portabilité nécessite, pour les responsables du traitement, de mener une réflexion pour assurer l’effectivité de ce droit et mettre en place les mesures organisationnelles qui s’imposent.

Céline Avignon
Anne Renard
Lexing Publicité et Marketing électronique

(1) Règlement (UE) 2016/679 du 27-4-2016 art.20.
(2) Cnil, Consultation publique sur le Règlement européen, Synthèse des contributions
(3) G29, WP 242 16/EN, Guidelines on the right to data portability, 13-12-2016