Qu est-ce que le droit a la portabilite ?
Le droit a la portabilite, prevu par l article 20 du RGPD, permet a toute personne de recuperer les donnees personnelles qu elle a fournies a un organisme, dans un format structure, couramment utilise et lisible par machine. Ce droit permet egalement de demander le transfert direct de ces donnees vers un autre responsable de traitement, lorsque cela est techniquement possible.
Ce droit constitue une avancee majeure du RGPD. Il vise a renforcer le controle des personnes sur leurs donnees et a favoriser la concurrence entre les prestataires de services numeriques. Un utilisateur peut ainsi changer de fournisseur sans perdre ses donnees.
Les conditions d exercice du droit a la portabilite
Le droit a la portabilite ne s applique pas a tous les traitements. Deux conditions cumulatives doivent etre reunies. Premierement, le traitement doit etre fonde sur le consentement de la personne ou sur l execution d un contrat. Les traitements fondes sur l interet legitime ou une obligation legale sont exclus.
Deuxiemement, le traitement doit etre effectue a l aide de procedes automatises. Les fichiers papier ne sont donc pas concernes par ce droit. En pratique, la grande majorite des traitements numeriques remplissent cette condition.
Quelles donnees sont concernees ?
Seules les donnees fournies activement par la personne sont concernees par le droit a la portabilite. Cela inclut les donnees declaratives (nom, adresse, preferences) ainsi que les donnees generees par l activite de la personne (historique d achats, donnees de navigation, playlists).
En revanche, les donnees derivees ou inferees par le responsable de traitement, comme les scores de credit, les profils marketing ou les analyses comportementales, ne sont pas portables. De meme, les donnees qui concernent d autres personnes ne peuvent pas etre transmises sans precaution.
Le format de restitution des donnees
Le RGPD exige que les donnees soient fournies dans un format structure, couramment utilise et lisible par machine. Les formats les plus utilises sont le CSV, le JSON et le XML. Le choix du format depend du type de donnees et des pratiques du secteur.
Le responsable de traitement n est pas oblige de maintenir des systemes techniquement compatibles avec ceux d autres organismes. Toutefois, il doit fournir les donnees dans un format qui permette leur reutilisation effective par la personne ou par un autre prestataire.
Les delais de reponse
Comme pour les autres droits, le responsable de traitement dispose d un delai d un mois pour repondre a la demande de portabilite. Ce delai peut etre prolonge de deux mois supplementaires en cas de complexite, a condition d en informer la personne dans le premier mois.
La restitution des donnees doit etre gratuite. Le responsable de traitement ne peut pas facturer de frais pour l exercice de ce droit, sauf en cas de demandes manifestement excessives ou repetitives.
Le transfert direct entre responsables de traitement
Lorsque la personne le demande et que cela est techniquement faisable, le responsable de traitement doit transmettre les donnees directement a un autre organisme. Cette transmission directe evite a la personne de servir d intermediaire et simplifie le processus de changement de prestataire.
En pratique, le transfert direct reste souvent difficile en raison de l absence de standards d interoperabilite entre les systemes. Le responsable de traitement doit neanmoins faire ses meilleurs efforts pour faciliter ce transfert lorsque la demande est formulee.
Les bonnes pratiques pour les organismes
Anticipez les demandes de portabilite en structurant vos bases de donnees de maniere a pouvoir exporter facilement les donnees d un utilisateur. Prevoyez une fonctionnalite d export dans vos applications, idealement accessible directement par l utilisateur.
Documentez les formats d export disponibles dans votre politique de confidentialite. Formez vos equipes a identifier et traiter les demandes de portabilite. Tenez un registre des demandes pour assurer la tracabilite et le respect des delais.
Testez regulierement vos procedures d export pour vous assurer qu elles fonctionnent correctement et que les donnees exportees sont completes et exploitables.
Article redige par Laurent de Cavel, DPO certifie. Publie sur DPO Partage, le portail francophone de reference sur le RGPD et la protection des donnees personnelles.
