RGPD : formalisme du droit à la portabilité des données. Par Yaël Cohen-Hadria, Avocate.

RGPD : formalisme du droit à la portabilité des données.

Par Yaël Cohen-Hadria, Avocate.

3079 lectures 1re Parution: 4.94  /5

Explorer : # portabilité des données # rgpd # sécurité des données # droits des personnes

On parle beaucoup du droit à la portabilité des données depuis son introduction par le Règlement européen 2016/679 (RGPD) et la loi pour la République Numérique du 7 octobre 2016.
Cet article pose un éclairage sur le formalisme qui pourra être apporté à ce droit et donc sur les conséquences pour les responsables de traitements qui envoient les données et pour ceux qui les recoivent.

-

Le droit à la portabilité des données fait son apparition avec l’article 20 du règlement européen 2016/679 (RGPD), qui entrera en vigueur le 25 mai 2018. Il regroupe le droit de recevoir ses propres données, pour ses propres besoins et le droit d’obtenir directement le transfert de ses données à un autre responsable de traitement ou d’un environnement IT à un autre, sans obstacle.

Ce droit a d’ores et déjà fait l’objet de précisions par le G29, dans sa "WP 242".

Dorénavant, chaque citoyen aura le droit de recevoir ses propres données, pour ses propres besoins, mais également le droit d’obtenir directement le transfert de ses données à un autre responsable de traitement ou d’un environnement IT à un autre, sans obstacle. Il sera par exemple possible de demander à Deezer d’envoyer ses playlists et musiques favorites directement à Spotify.

Les données doivent être transmises dans un « format structuré, couramment utilisé et lisible par machine » et les moyens utilisés par le responsable de traitement doivent garantir l’interopérabilité. Le règlement européen n’apporte pas d’autres précisions sur ce format, qui va dépendre du secteur d’activités, mais il doit être interopérable (ce qui ne signifie pas compatible…).

Ce droit diffère donc du droit d’accès, notamment parce que ce dernier ne permet pas le transfert des données par le responsable de traitement directement à un autre. En outre, lors de l’exercice de son droit d’accès, la personne concernée reçoit ses données dans un format choisi par le responsable de traitement, ce qui n’est pas tout à fait le cas avec le droit à la portabilité des données.

A. Les outils.

Le G29 recommande aux responsables de traitement de mettre en place des outils facilitant le transfert des données à caractère personnel, dans les conditions prévues à l’article 20 du RGPD.

En pratique, tous les responsables de traitement, qu’ils soient expéditeurs ou destinataires des données, doivent prévoir des outils permettant aux personnes concernées exerçant leur droit de :

  • sélectionner les données pertinentes et d’exclure les données de tiers ;
  • télécharger directement leurs données à caractère personnel, dans un « format structuré, couramment utilisé et lisible par machine » ;
  • transmettre directement leurs données à un autre responsable de traitement.

La mise en place de mécanismes de consentement pour les tiers impliqués est également requise, afin de faciliter la transmission issue du droit à la portabilité.
En outre, afin d’éviter de stocker leurs données elles-mêmes, les personnes concernées peuvent faire appel à un tiers de confiance et ensuite autoriser le responsable de traitement destinataire à y accéder.

B. La sécurité des données.

Notons également qu’il incombe au responsable de traitement expéditeur de garantir la sécurité appropriée des données, c’est-à-dire leur intégrité et confidentialité.

Il doit par exemple prendre toutes les mesures de sécurité nécessaires pour s’assurer que les données sont transmises à la bonne personne, sans pour autant porter atteinte à l’exercice du droit à la portabilité des données. Cela peut notamment passer par le cryptage des données et le recueil d’informations d’identification supplémentaires.

Le RGPD ne contient aucune exigence quant à l’authentification de la personne demanderesse. Le G29 a donc apporté un certain nombre de précisions :

  • lorsqu’une personne fournit des informations sur son identité, le responsable de traitement ne peut refuser sa demande ;
  • a contrario, lorsque le traitement ne nécessite pas l’identité de la personne concernée et que le responsable de traitement peut démontrer qu’il n’est pas en mesure d’identifier cette personne, il peut refuser la demande ;
  • en cas de doute raisonnable sur l’identité de la personne concernée, le responsable de traitement peut lui demander des informations supplémentaires ;
  • lorsque les données à caractère personnel sont liées à un pseudo ou un identifiant unique, le responsable de traitement peut créer une procédure appropriée pour permettre aux personnes concernées d’exercer leur droit.

En pratique, les responsables de traitement ont l’obligation de créer une procédure d’authentification pour s’assurer de l’identité de la personne concernée, valable pour l’exercice de tous les droits.
En outre, le responsable de traitement doit informer les personnes concernées que leurs systèmes peuvent être moins sécurisés afin qu’elles prennent les mesures nécessaires à la protection de leurs données. Il est également possible de recommander un ou plusieurs formats appropriés et des mesures de cryptage.
En plus des recommandations spécifiques au droit à la portabilité des données, les responsables de traitement doivent respecter les règles générales du règlement européen.

C. L’application des règles générales du RGPD sur le « droit des personnes ».

L’exercice par les personnes concernées de leurs droits tels que le droit d’accès, rectification, limitation, retrait de consentement… répond à des règles de formalismes qui s’appliquent et s’étendent au droit à la portabilité.

Information par l’émetteur des données - D’une part, il incombe aux responsables de traitement d’informer les personnes concernées sur le droit à la portabilité. Cette information doit intervenir au moment de la collecte des données, mais le G29 recommande de la renouveler lors de la clôture d’un compte utilisateur.

Cette information doit contenir a minima :

  • la mention de ce nouveau droit à la portabilité ;
  • la distinction entre le droit à la portabilité et les autre droits, en particulier le droit d’accès, de façon claire et compréhensible ;
  • les modalités d’exercice de ce droit.

Information par le receveur des données – D’autre part, le responsable du traitement habilité par la personne concernée à recevoir les données « portées », doit informer cette dernière des informations nécessaires et pertinentes pour permettre et faciliter la transmission des données.

Délai et contenu de la réponse – Enfin, la réponse à une demande de portabilité doit intervenir dans les plus brefs délais et dans la limite d’un mois maximum. Il est possible de proroger ce délai de deux mois, à condition d’informer la personne concernée dès le premier mois des raisons du prolongement.

Toute demande doit être traitée, et tout refus justifié. Dans ce dernier cas, il faut informer la personne concernée des raisons d’un tel refus et de la possibilité de former un recours devant la Cnil, en sus des voies judiciaires classiques. Cette information doit se faire au plus tard un mois après la réception de la demande de portabilité non satisfaite.

Coût du droit à la portabilité – Aucun frais ne peut être demandé par le responsable de traitement sauf en cas de demande manifestement infondée ou excessive, notamment du fait de son caractère répétitif. Ainsi, le coût total de la procédure mise en place pour répondre aux demandes ne peut être retransmis sur les personnes concernées, ni justifier un refus de réponse.

Durée de conservation des données « portables » – Le droit à la portabilité ne doit pas porter atteinte aux autres obligations du responsable de traitement. A ce titre, il n’a pas l’obligation de conserver les données plus longtemps que nécessaire, notamment aux seules fins de traiter une demande de portabilité.

D. La responsabilité des transmissions de données.

Le responsable de traitement d’origine n’est pas responsable du traitement subséquent des données après l’exercice par la personne concernée de son droit à la portabilité. A ce titre, le responsable de traitement destinataire des données devient seul responsable du traitement de ces données et doit nécessairement respecter toutes les obligations du RGPD (collecte loyale et licite, information….)

Point d’attention d’ici le 25 mai 2018 :

La loi pour une République numérique avait prévu d’anticiper le droit à la portabilité. C’est ainsi qu’elle a créé les articles L221-42-1 à L224-42-4 au Code de la consommation, a priori applicables au données n’ayant pas de caractère personnel et n’entrant donc pas dans le champ d’application du RGPD.

Cependant, le descriptif de ces dispositions laisse planer un doute quant à leur champ d’application réelle, puisque des données à caractère personnel semblent être concernées.
Dans l’attente du décret d’application, nous restons donc dans l’interrogation forte des données concernées par les dispositions du Code de la consommation.

Yaël Cohen-Hadria Avocate

www.ych-avocats.fr
yael.cohenhadria chez cabinet-davocats.com

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

72 votes

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion (plus d'infos dans nos mentions légales).

A lire aussi :

Explorer : # portabilité des données # rgpd # sécurité des données # droits des personnes

  1. Dans la même rubrique
  2. Les Actualités juridiques
  3. Droit du numérique et des TIC
  4. Respect de la vie privée et protection des données personnelles

Les droits des personnes concernées sur leurs données personnelles. Par Debora Cohen, Avocat.

24 avril 2025

Vote électronique : la CNIL dévoile ses exigences de sécurité pour 2025. Par Gerard Haas, Avocat.

16 avril 2025

Vers une atteinte à la vie privée généralisée ? Par Victor Cabras, Juriste.

14 avril 2025

Lutte contre le narcotrafic et protection des données personnelles : quel équilibre ? Par Sonia Bernonville, Avocate.

25 mars 2025

Responsabilité complexe en cas de fuite de données, piratage et usurpation d’identité d’origine interne : analyse approfondie et stratégies contentieuses. Par Aurélie Duron Harmand, Avocat et Mehdi Mankouri, Elève-Avocat.

11 mars 2025

Empreinte neuronale et souveraineté cognitive : vers un cadre juridique pour la protection des données mentales. Par Zakaria Garno, Professeur.

25 avril 2025

Village de la justice et du Droit

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, RH, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 156 320 membres, 27842 articles, 127 254 messages sur les forums, 2 750 annonces d'emploi et stage... et 1 600 000 visites du site par mois en moyenne. *


FOCUS SUR...

• Assemblées Générales : les solutions 2025.

• Voici le Palmarès Choiseul "Futur du droit" : Les 40 qui font le futur du droit.




Tous les Articles publiés

Populaires en ce moment

Annonces d'Emploi

Forum

Formations à venir

LES HABITANTS

Membres

Professionnels du droit et autres inscrits

PROFESSIONNELS DU DROIT

Previous Next

 

Collectif d'avocats et de médiateurs

 

Cabinet d'Avocats

 

Facilite l'accès aux professions du Droit

 

Association pour la prévention positive des cyberviolences

 

Bien plus que du droit.

 

Procédure d’appel, procédure civile, conseil, contentieux, modes amiables

 

Réseau de cabinets d’avocats indépendants

 

Agir en faveur de l’accès au droit

 

Cabinet d'avocat

 

 

Réseau de professionnels du Droit

Solutions

Previous Next

 

Aides et Conseils à l'installation des avocats.

 

Lettre recommandée électronique

 

AI-powered Contract Management

 

Maintenance informatique spécialisée pour les professionnels du droit

 

Offres pour les métiers du droit

 

Créateur de confiance juridique

 

Destruction et recyclage de documents confidentiels

 

Solutions d'informations pour professionnels du droit.

 

Association de gestion et de comptabilité pour Avocats

 

Logiciels pour professionnels du droit.

 

Traducteurs assermentés

 

Editeur juridique et de solutions de gestion pour les métiers du droit

 

Logiciels de conformité, risques et éthique

 

1er service entièrement en ligne pour externaliser vos appels

 

Editeur juridique

Formateurs

Previous Next

 

La Compétence juridique se recrute !

 

Formation, recherche et innovation

 

Formations courtes ou longues à destination des professionnels du droit

 

Cabinet juridique et organisme de formation

 

Se former est une chance !

 

L’école des nouveaux juristes !

 

Des formations spécialisées

 

Se former aux métiers du Droit

Nouvelles parutions

Robert Badinter

Robert Badinter - L’œuvre d’un juste

« Un jour, je vous parlerai de la Justice...»

LexisNexis Presse

La Semaine Juridique - Édition Générale

Accédez à votre actualité juridique chaque semaine sous la plume d’auteurs de renom !

A côté du droit !

Sélection Liberalis du week-end : « Le Dernier Sacre » à la Galerie des Gobelins à Paris. 

Les coups de coeur des libraires juridiques (épisode 2).

Sélection Liberalis spécial Jour ferié : le Paradox Museum Paris.

Régulièrement nous partageons ici avec vous quelques images du net...

A voir et à Écouter... sur le Village de la justice:

- [Documentaire] Engagées, un an dans les coulisses du métier d’avocat.
- Comment bien utiliser le Village de la justice pour vos publications d’articles juridiques ?
- [Vidéo] Entretien avec Rémy Heitz, procureur général de la Cour de cassation dans l’émission Fenêtres sur cours.
- Dans les coulisses des directions juridiques de Decathlon et Bolloré Transport & Logistics.

Le Village de la justice est le 1er site de la communauté des métiers du Droit, en accès libre, créé en 1997 (en savoir plus). Avocats, juristes d'entreprises et salariés, magistrats, étudiants, notaires, huissiers, fiscalistes, RH, experts et conseils etc, y trouvent de nombreuses informations et participent à la communauté, s'informent, établissent leur réseau, recrutent... Le premier Réseau du droit ! > Découvrez notre philosophie et fonctionnement ici.

Edité par Legi Team
Editeur - Publicité
Fil RSS général du Village
Gestion des cookies - RGPD
Mentions légales - CGV - CGU
RSE
Plan du Village de la Justice
Nous écrire

Copyright © Village de la justice et auteurs publiés ici.