La loi pour une République numérique consacre un droit à la portabilité et à la récupération des données.
La loi pour une République numérique consacre un droit à la portabilité et à la récupération des données. Ce droit, créé au profit du consommateur, est codifié aux articles L. 224-42-1 et suivants du Code de la consommation.
Données personnelles et autres données : deux termes pour deux régimes distincts
La loi pour une République numérique du 7 octobre 2016 anticipe l’entrée en vigueur du règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données du 27 avril 2016 (1).
Ainsi, une référence expresse y est faite dans la loi qui instaure alors deux régimes distincts.
D’une part, la portabilité des données personnelles sera réalisée aux conditions prévues à l’article 20 du règlement européen, alors que la récupération des données est prévue aux conditions des dispositions spécifiques de la loi pour une République numérique (2).
Par ailleurs, si le règlement européen traite de la « portabilité des données », les dispositions du Code de la consommation se réfèrent à la « récupération des données ».
Toutefois, pour concilier ces deux textes, les dispositions du Code de la consommation, réunies dans une sous-section intitulée « Récupération et portabilité des données », entreront en vigueur seulement le 25 mai 2018, date d’application du règlement européen (3).
Les conditions
Portabilité des données personnelles
Pour recevoir les données à caractère personnel et/ou les transmettre à un autre prestataire de service, deux conditions sont posées :
- traitement fondé sur le consentement ou sur un contrat. Ainsi, seules les données à caractère personnel communiquées par la personne concernée sont visées ; les données personnelles obtenues de tiers ne sont pas couvertes par ce droit ;
- traitement effectué à l’aide de procédés automatisés (4).
Des exclusions sont prévues : les traitements nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ou lorsque la divulgation des données est susceptible de porter atteinte aux droits et libertés de tiers (5).
Récupération des données
Comme pour la portabilité des données, la récupération des données ne peut être exercée par le consommateur que sous certaines conditions tenant principalement aux données récupérables.
En effet, l’exercice du droit à la portabilité des données concerne uniquement :
- « 1 tous les fichiers mis en ligne par le consommateur ;
2 toutes les données résultant de l’utilisation du compte d’utilisateur du consommateur et consultables en ligne par celui-ci ;
3° D’autres données associées au compte utilisateur du consommateur et répondant aux conditions suivantes :
a) Ces données facilitent le changement de fournisseur de service ou permettent d’accéder à d’autres services ;
b) L’identification des données prend en compte l’importance économique des services concernés, l’intensité de la concurrence entre les fournisseurs, l’utilité pour le consommateur, la fréquence et les enjeux financiers de l’usage de ces services » (6).
Par ailleurs, la récupération des données doit être exercée sans préjudice du secret en matière commerciale et industrielle et des droits de propriété intellectuelle.
Une nouvelle obligation
Pour les responsables de traitement
Le responsable de traitement est désormais tenu de transmettre les données personnelles que la personne concernée a fourni dans un format structuré, couramment utilisé et lisible par machine.
Les personnes concernées peuvent également demander que leurs données personnelles soient transmises directement par le premier responsable de traitement au second, lorsque cela est techniquement possible (7).
Pour les fournisseurs de service de communication au public en ligne
Les dispositions prévoient un exercice gratuit de ce droit par les consommateurs par une requête unique.
Par ailleurs, la loi impose que les données soient récupérées dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé.
Toutefois, cette nouvelle obligation imposée aux fournisseurs de service de communication au public en ligne est à relativiser.
En effet, ces caractéristiques techniques semblent n’être imposées qu’aux données résultant de l’utilisation du compte d’utilisateur du consommateur et consultables en ligne par celui-ci.
De plus, lorsque les données collectées auprès du consommateur ne peuvent pas être récupérées dans un standard ouvert et aisément réutilisable, le fournisseur de service de communication au public en ligne en informe le consommateur de façon claire et transparente. Le cas échéant, il l’informe des modalités alternatives de récupération de ces données et précise les caractéristiques techniques du format du fichier de récupération, notamment son caractère ouvert et interopérable.
Enfin, un décret fixera un seuil du nombre de comptes utilisateurs ayant fait l’objet d’une connexion au cours des six derniers mois en-deçà duquel les fournisseurs de service de communication au public en ligne seront exonérés de cette obligation à la récupération des données (8).
Vers une ouverture aux professionnels ?
Si l’on comprend l’intérêt que représente ces nouvelles dispositions pour les consommateurs de pouvoir désormais récupérer les données qu’ils ont fournies sous une forme aisément réutilisable, et, s’ils le souhaitent, de les transférer ensuite à un tiers, on ne peut que souhaiter une ouverture aux professionnels.
En effet, les professionnels ne pourront se prévaloir des dispositions du Code de la consommation consacrant le droit à la portabilité et à la récupération des données, alors même que ces acteurs économiques utilisent de plus en plus les solutions de cloud computing, dont les contrats sont insuffisamment négociés.
Lexing Alain Bensoussan Avocats
Lexing Droit Informatique
(1) Règlement (UE) 2016/679 du 27-4-2016.
(2) C. consom., art. L224-42-2 .
(3) Loi 2016-1321 du 7-10-2016, art. 48.
(4) Règlement (UE) 2016/679 du 27-4-2016, art. 20 (§1).
(5) Règlement (UE) 2016/679, art. 20 (§3 et 4).
(6) C. consom., art. L224-42-3.
(7) Règlement (UE) 2016/679 du 27-4-2016, art. 20 (§2).
(8) C. consom., art. L224-42-4.