Le droit à la portabilité des données

Le RGPD confère aux personnes concernées par le traitement de données à caractère personnel certains droits des personnes concernées dans les articles 13 et suivants du RGPD. Ceux-ci visent à protéger les données à caractère personnel.

L'un de ces droits des personnes concernées est le droit à la portabilité des données (également appelé droit à la portabilité des données) conformément à l'article 20 du RGPD. Mais que signifie la portabilité des données ?

Sens et objectif

Le RGPD a créé un nouveau droit à la portabilité des données par rapport à ses prédécesseurs juridiques. Il vise à donner aux personnes concernées un plus grand contrôle sur leurs données à caractère personnel (considérant 68 du RGPD). Ainsi, il devrait être nettement plus facile de changer de responsable de traitement.

Cela permet non seulement de promouvoir des systèmes plus favorables à la protection des données du point de vue de la politique de concurrence et vers lesquels les personnes concernées souhaitent se tourner, mais aussi d'éviter que les personnes concernées ne soient liées par le droit des cartels. Le législateur avait surtout en tête le lien avec les fournisseurs de services Internet. Mais l'article 20 du RGPD s'applique également aux réseaux sociaux, aux services de streaming musical, aux applications de webmail, aux banques, aux assurances et à tous les autres responsables de la protection des données.

Conditions préalables

Les conditions d'exercice du droit au transfert de données découlent de l'article 20 du RGPD :

• La personne concernée doit en faire la demande au responsable du traitement.
• Il doit précisément être invoqué par la personne concernée, c'est-à-dire que les données en question doivent concerner cette personne.
• Les données doivent avoir été fournies au responsable par la personne concernée. Les données fournies par des tiers ne sont donc pas couvertes. Les données déterminées à partir des données fournies (par exemple par profilage) ne sont pas non plus couvertes. En revanche, les données qui sont simplement liées à des données de tiers sont incluses tant que les droits et libertés d'autres personnes ne sont pas affectés (article 20 IV du RGPD), ce qui doit être évalué au cas par cas.
• Le traitement effectué par le responsable se fonde sur un consentement effectif ou sur un contrat.
• Les données sont traitées de manière automatisée.

Que peut demander la personne concernée ?

Le droit à la portabilité des données donne à la personne concernée non seulement le droit de demander à récupérer les données à caractère personnel fournies au responsable, mais aussi le droit de faire transférer directement les données à un nouveau responsable par le responsable initial.

Le responsable initial est alors tenu de transmettre les données dans un format interopérable, c'est-à-dire structuré, couramment utilisé et lisible par machine. Ce faisant, il n'est toutefois pas tenu de conserver ou d'adopter des systèmes de traitement des données techniquement compatibles.

Mise en œuvre dans la pratique

L'étendue du droit à la portabilité des données montre qu'il s'agit d'un sujet dont les responsables de la protection des données devraient se préoccuper suffisamment tôt. Il convient à cet égard de consulter en détail le délégué à la protection des données concerné.

Il convient tout d'abord de déterminer dans quelle mesure l'entreprise pourrait être concernée par des demandes de transfert de données et quelle serait la quantité de ressources nécessaires. Il convient également d'examiner quelles données de l'entreprise peuvent être concrètement concernées par le droit de transfert de données et où elles sont précisément stockées.

Lorsqu'une demande de transfert de données est introduite, la première chose à faire est de vérifier soigneusement l'identité de la personne qui fait la demande. Ce processus doit également être documenté afin de pouvoir le prouver par la suite.

Il convient ensuite de réfléchir à la mise en œuvre pratique de la transmission. Les points importants sont ici les formats envisageables qui répondent aux exigences légales et le cryptage (à prendre en compte tout particulièrement pour les données personnelles de catégorie particulière).

Si une personne concernée demande simplement le transfert de données, cela n'inclut pas automatiquement une demande d'effacement des données auprès du responsable initial, ce qui est en fait contraire au principe de minimisation des données. La demande d'effacement des données doit être explicitement mentionnée par la personne concernée.

Dans certains cas, il est donc préférable de s'adresser à son délégué à la protection des données.