Le droit a la portabilite prevu par le RGPD
Le droit a la portabilite des donnees, consacre par l’article 20 du RGPD, permet a toute personne de recevoir les donnees personnelles qu’elle a fournies a un responsable de traitement, dans un format structure, couramment utilise et lisible par machine. Elle peut egalement demander que ces donnees soient transmises directement a un autre responsable de traitement.
Ce droit se distingue du droit d’acces par son objectif : il vise a faciliter la migration des donnees d’un service a un autre, favorisant ainsi la concurrence et le libre choix des utilisateurs. Il ne s’applique qu’aux donnees fournies par la personne concernee et traitees sur la base du consentement ou de l’execution d’un contrat.
Les conditions d’exercice du droit a la portabilite
Le droit a la portabilite ne s’applique pas a tous les traitements. Trois conditions cumulatives doivent etre reunies : les donnees doivent avoir ete fournies par la personne concernee, le traitement doit etre fonde sur le consentement ou l’execution d’un contrat, et le traitement doit etre effectue a l’aide de procedes automatises.
Les donnees « fournies » par la personne incluent non seulement les donnees declarees activement (formulaire, profil) mais aussi les donnees generees par son activite (historique d’achats, donnees de localisation, historique de navigation sur le service). En revanche, les donnees deduites ou inferees par le responsable de traitement (score de credit, profil de preferences) ne sont pas couvertes.
Le responsable de traitement dispose d’un delai d’un mois pour repondre a la demande. Ce delai peut etre prolonge de deux mois supplementaires en cas de complexite ou de nombre eleve de demandes, sous reserve d’en informer la personne concernee dans le mois suivant la reception de la demande.
Le format des donnees portables
Le RGPD exige un format « structure, couramment utilise et lisible par machine ». Les formats recommandes incluent le CSV, le JSON et le XML. Le format PDF n’est pas considere comme suffisant car il ne permet pas une reutilisation aisee des donnees par un systeme informatique.
Le responsable de traitement n’est pas oblige de maintenir des systemes techniquement compatibles avec ceux d’autres responsables de traitement. Cependant, il doit fournir les donnees dans un format qui permette raisonnablement leur reutilisation.
Les limites du droit a la portabilite
Le droit a la portabilite ne doit pas porter atteinte aux droits et libertes de tiers. Si les donnees portables contiennent des donnees relatives a d’autres personnes, le responsable de traitement doit veiller a ne pas compromettre leur vie privee.
Ce droit n’entraine pas automatiquement l’effacement des donnees chez le responsable de traitement initial. La personne doit exercer separement son droit a l’effacement si elle souhaite que ses donnees soient supprimees apres le transfert.
