Règlement général sur la protection des données (RGPD) : Focus sur le droit à la portabilité des données

L’article 20 du Règlement UE 2016/679 du 27 avril 2016 sur la protection des données (« RGPD ») qui rentrera en application le 25 mai 2018 prévoit un nouveau droit pour les personnes physiques d’obtenir auprès du responsable du traitement ses données à caractère personnel « dans un format structuré, couramment lisible par machine. »

La Loi pour la République numérique a commencé à introduire ce concept en droit interne aux articles L.224-24-1 et suivants (Cet article entrera également en vigueur le 25 mai 2018 ; le décret d’application est en attente de publication) du Code de la consommation en mettant à la charge des fournisseurs de service de communication de service en ligne l’obligation de garantir aux consommateurs la portabilité de leurs données.

Le Groupe de travail de l’Article 29 (Groupe de travail de l’article 29, « Guidelines on the right to data portability », 13 Décembre 2016, adoptées le 5 avril 2017) et la Commission Nationale de l’Information et des Libertés (CNIL, « Le droit à la portabilité en questions », 22 mai 2017) ont récemment donné des précisions sur les contours de ce nouveau droit.

Champ d’application

Traitements de données concernés

L’article 20 du RGPD prévoit que le droit à la portabilité des données ne concerne que les traitements automatisés de données mis en place dans le cadre d’un consentement donné par l’utilisateur (Articles 6.1.a et 9.2.a. du RGPD), ou qui sont collectées dans le cadre d’un contrat à laquelle la personne concernée est partie ou à l’exécution de mesures pré-contractuelles (Article 6.1.b du RGPD).

Le Groupe 29 a précisé que le droit de portabilité ne portait pas sur les traitements de données collectées en application d’obligations légales, tels les dispositifs anti-blanchiment mis en place par les établissements financiers.

S’agissant des traitements de données des salariés par leurs employeurs, le droit à la portabilité ne s’applique pas non plus aux données traitées en vue de répondre à une exigence légale ou à la poursuite d’un intérêt légitime de l’employeur. Le Groupe 29 (Groupe 29, « Guidelines on the right to data portability », page 9) a précisé que le droit à la portabilité des salariés pourra porter sur les données traitées dans le cadre de la paie et des rémunérations, ainsi que des processus de recrutement – mais qu’en dehors de ces hypothèses, une analyse au cas par cas devra être menée. (Groupe 29, (« Guidelines on the right to data portability », page 9).

Pour les données collectées dans le cadre d’une relation commerciale, celles-ci ne rentrent dans le champ de la portabilité que pour autant que le traitement est justifié par le consentement de la personne concernée ou l’existence d’un contrat à laquelle la personne est partie.

Le droit à la portabilité ne peut pas non plus être exercé pour les traitements nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement (Article 20.3 du RGPD).

Données rentrant dans le champ du droit à la portabilité

Les données concernées par le droit à la portabilité sont les données personnelles de l’utilisateur. Les données anonymes ne sont pas concernées ; en revanche, les données pseudonymisées peuvent rentrer dans le champ de ce nouveau droit.

Ces données doivent avoir été fournies par la personne concernée au responsable du traitement.

La collecte de données portables peut également être intervenue de manière indirecte (Groupe 29, « Guidelines on the right to data portability », page 10) lors de l’utilisation du service ou de l’appareil (par exemple, les données collectées par un système de tracking de pas ou de mesure du pouls, un historique de recherche ou d’usage d’un site internet).

Sont cependant exclues du champ les données créées par le responsable de traitement à partir de l’analyse des données fournies par la personne concernée : par exemple, les recommandations d’utilisation, ou les résultats de profilage des utilisateurs (Groupe 29, « Guidelines on the right to data portability », page 11).

Conditions d’exercice du droit à la portabilité

Information préalable de l’utilisateur

Le responsable de traitement est tenu d’informer les personnes concernées de l’existence du droit à la portabilité de ses données.

Ce droit doit être expliqué de manière claire et compréhensible par l’utilisateur. Le Groupe 29 recommande de distinguer en particulier les données qui rentrent dans le champ du droit à la portabilité et celles qui en sont exclues (Groupe 29, « Guidelines on the right to data portability », page 13).

Cette information doit être délivrée à l’utilisateur au moment (Article 13 du RGPD. Si les données ne sont pas collectées auprès de la personne concernée, cette information doit être fournie dans un délai raisonnable ne pouvant dépasser un mois) où les données concernées sont collectées. Le Groupe 29 recommande également de délivrer cette information au moment où l’utilisateur sollicite une fermeture de son compte, de manière à ce que ce dernier soit informé de la possibilité de récupérer ses données et les transférer à un autre opérateur (Groupe 29, Guidelines on the right to data portability », page 13).

Récupération des données portables

1. Demande de portabilité

Lorsque l’utilisateur souhaite exercer son droit à la récupération de ses données, ce dernier adresse sa demande au responsable de traitement.

Ce dernier doit être en mesure de fournir à la personne concernée les données à caractère personnel la concernant « dans un format structuré, couramment utilisé et lisible par machine (Article 20.1). » Le responsable de traitement doit faire droit à la demande de portabilité, sans opposer de motif juridique, technique ou financier afin de ralentir ou faire obstacle à cette demande (Groupe 29, « Guidelines on the right to data portability », page 15).

L’utilisateur peut également solliciter du responsable du traitement que ces informations soient transmises directement à un autre opérateur lorsque cela est techniquement possible (Article 20.2 du RGPD).

2. Outils

Plusieurs outils (CNIL, « Le droit à la portabilité en questions », 22 mai 2017) ont été identifiés pour la mise à disposition des données à la personne concernée :

  • l’envoi d’un fichier à l’utilisateur
  • la fourniture d’outils automatisés ou d’interface de programmation (API)
  • le transfert de données vers un logiciel de stockage à usage personnel ou à un tiers de confiance.

3. Format

Le RGPD ne donne pas d’indication particulière sur le format qui pourra être utilisé pour la transmission des données.

La CNIL a précisé sur ce point que les formats existants peuvent être utilisés à la condition qu’ils puissent être « interprétables et sans restriction d’usage » (CNIL, « Le droit à la portabilité en questions », 22 mai 2017).

Lorsqu’un format n’est pas disponible pour certains types de données, le Groupe 29 indique qu’il peut être utilisé un format ouvert (XML, JSON, CSV par exemple) complété par toute métadonnée utile à leur interprétation et documenté (Groupe 29, « Guidelines on the right to data portability », page 18).

Le Groupe 29 a également précisé que le responsable de traitement doit fournir autant de métadonnées que nécessaire (Groupe 29, « Guidelines on the right to data portability », page 18). A titre d’exemple, le contenu d’une messagerie de courrier électronique ne devrait pas pouvoir être transmise sous format .pdf. Le format utilisé devra pouvoir garantir la réutilisation des données (Groupe 29, « Guidelines on the right to data portability », page 18).

4. Gratuité

La récupération des données portables se fait en principe sans frais (Article 12.5 du RGPD) à la charge de la personne concernée. Le responsable du traitement ne peut exciper du coût total engendré par la mise en place d’un système assurant la portabilité des données pour justifier le paiement de frais par l’utilisateur1.

5. Délai

Les données doivent être transmises par le responsable du traitement à la personne concernée dans les meilleurs délais, et en tout état de cause dans un délai d’un mois à compter de la demande (Article 12.3 du RGPD).

Ce délai peut être porté à trois mois lorsque la complexité et le nombre de demandes le justifie. Le responsable doit informer la personne concernée de cette prolongation ainsi que de sa justification, dans un délai d’un mois à compter de la demande (Article 12.3 du RGPD).

6. Refus et recours

Le responsable de traitement doit informer la personne concernée sans tarder, et au plus tard dans un délai d’un mois à compter de la demande, lorsqu’il ne donnera pas suite à la demande ainsi que des motifs de cette impossibilité (Article 12.4 du RGPD).

La personne concernée est informée à cette occasion de la possibilité d’introduire une réclamation auprès de la CNIL et de la possibilité de former un recours juridictionnel (Article 12.4 du RGPD).

Limites au droit à la portabilité des données

Sans préjudice des droits et obligations des tiers

L’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés des tiers (Article 20.4 du RGPD).

En particulier, dans le cas où les données dont la portabilité est demandé contiennent des données concernant des personnes tierces, la portabilité peut être exercée – et les données traitées par le nouvel opérateur recevant les données – dans la mesure où les données restent entre les mains de la personne concernée, et utilisées à titre personnel ou familial (Groupe 29, « Guidelines on the right to data portability », page 12).

La portabilité des données ne doit pas non plus avoir pour effet de porter atteinte à des droits de propriété intellectuelle ou à des secrets des affaires (Groupe 29, « Guidelines on the right to data portability », page 12).

Compatibilité avec droit à l’effacement / limitation

Le droit à la portabilité des données s’exerce sans préjudice des autres droits de la personne concernée. En particulier, l’exercice du droit à la portabilité ne peut avoir pour effet d’entraîner l’effacement automatique des données détenues par le responsable de traitement (Groupe 29, « Guidelines on the right to data portability », page 7). Les droits de la personne concernée sur ses données continuent à s’exercer pendant la durée où les données sont traitées par le responsable auprès duquel la demande est formulae (Groupe 29, « Guidelines on the right to data portability », page 7).


1 Article 12.5.a du RGPD permet d’organiser le paiement de frais raisonnables au responsable de traitement en cas de demandes manifestement infondées ou excessives, notamment compte-tenu de leur caractère répétitif. Le Groupe 29 a cependant indiqué que le caractère excessif s’apprécie au niveau indicivuel, et non en tenant compte du nombre total de demande de portabilité cf « Guidelines on the right to data portability », page 9

Ce document (ainsi que toutes les informations accessibles via les liens présents dans ce document) est fourni uniquement à titre informatif et ne constitue en aucun cas un conseil juridique. Des conseils juridiques professionnels sont nécessaires avant une quelque action résultant du contenu de ce document.