On parle beaucoup du droit à la portabilité des données depuis son introduction par le Règlement européen 2016/679 (RGPD) et la loi pour la République Numérique du 7 octobre 2016.
Cet article pose un éclairage sur le formalisme qui pourra être apporté à ce droit et donc sur les conséquences pour les responsables de traitements qui envoient les données et pour ceux qui les recoivent.

Le droit à la portabilité des données fait son apparition avec l’article 20 du règlement européen 2016/679 (RGPD), qui entrera en vigueur le 25 mai 2018. Il regroupe le droit de recevoir ses propres données, pour ses propres besoins et le droit d’obtenir directement le transfert de ses données à un autre responsable de traitement ou d’un environnement IT à un autre, sans obstacle.

Ce droit a d’ores et déjà fait l’objet de précisions par le G29, dans sa "WP 242".

Dorénavant, chaque citoyen aura le droit de recevoir ses propres données, pour ses propres besoins, mais également le droit d’obtenir directement le transfert de ses données à un autre responsable de traitement ou d’un environnement IT à un autre, sans obstacle. Il sera par exemple possible de demander à Deezer d’envoyer ses playlists et musiques favorites directement à Spotify.

Les données doivent être transmises dans un « format structuré, couramment utilisé et lisible par machine » et les moyens utilisés par le responsable de traitement doivent garantir l’interopérabilité. Le règlement européen n’apporte pas d’autres précisions sur ce format, qui va dépendre du secteur d’activités, mais il doit être interopérable (ce qui ne signifie pas compatible…).

Ce droit diffère donc du droit d’accès, notamment parce que ce dernier ne permet pas le transfert des données par le responsable de traitement directement à un autre. En outre, lors de l’exercice de son droit d’accès, la personne concernée reçoit ses données dans un format choisi par le responsable de traitement, ce qui n’est pas tout à fait le cas avec le droit à la portabilité des données.

A. Les outils.

Le G29 recommande aux responsables de traitement de mettre en place des outils facilitant le transfert des données à caractère personnel, dans les conditions prévues à l’article 20 du RGPD.

En pratique, tous les responsables de traitement, qu’ils soient expéditeurs ou destinataires des données, doivent prévoir des outils permettant aux personnes concernées exerçant leur droit de :

• sélectionner les données pertinentes et d’exclure les données de tiers ;
• télécharger directement leurs données à caractère personnel, dans un « format structuré, couramment utilisé et lisible par machine » ;
• transmettre directement leurs données à un autre responsable de traitement.

La mise en place de mécanismes de consentement pour les tiers impliqués est également requise, afin de faciliter la transmission issue du droit à la portabilité.
En outre, afin d’éviter de stocker leurs données elles-mêmes, les personnes concernées peuvent faire appel à un tiers de confiance et ensuite autoriser le responsable de traitement destinataire à y accéder.

B. La sécurité des données.

Notons également qu’il incombe au responsable de traitement expéditeur de garantir la sécurité appropriée des données, c’est-à-dire leur intégrité et confidentialité.

Il doit par exemple prendre toutes les mesures de sécurité nécessaires pour s’assurer que les données sont transmises à la bonne personne, sans pour autant porter atteinte à l’exercice du droit à la portabilité des données. Cela peut notamment passer par le cryptage des données et le recueil d’informations d’identification supplémentaires.

Le RGPD ne contient aucune exigence quant à l’authentification de la personne demanderesse. Le G29 a donc apporté un certain nombre de précisions :

• lorsqu’une personne fournit des informations sur son identité, le responsable de traitement ne peut refuser sa demande ;
• a contrario, lorsque le traitement ne nécessite pas l’identité de la personne concernée et que le responsable de traitement peut démontrer qu’il n’est pas en mesure d’identifier cette personne, il peut refuser la demande ;
• en cas de doute raisonnable sur l’identité de la personne concernée, le responsable de traitement peut lui demander des informations supplémentaires ;
• lorsque les données à caractère personnel sont liées à un pseudo ou un identifiant unique, le responsable de traitement peut créer une procédure appropriée pour permettre aux personnes concernées d’exercer leur droit.

En pratique, les responsables de traitement ont l’obligation de créer une procédure d’authentification pour s’assurer de l’identité de la personne concernée, valable pour l’exercice de tous les droits.
En outre, le responsable de traitement doit informer les personnes concernées que leurs systèmes peuvent être moins sécurisés afin qu’elles prennent les mesures nécessaires à la protection de leurs données. Il est également possible de recommander un ou plusieurs formats appropriés et des mesures de cryptage.
En plus des recommandations spécifiques au droit à la portabilité des données, les responsables de traitement doivent respecter les règles générales du règlement européen.

C. L’application des règles générales du RGPD sur le « droit des personnes ».

L’exercice par les personnes concernées de leurs droits tels que le droit d’accès, rectification, limitation, retrait de consentement… répond à des règles de formalismes qui s’appliquent et s’étendent au droit à la portabilité.

Information par l’émetteur des données - D’une part, il incombe aux responsables de traitement d’informer les personnes concernées sur le droit à la portabilité. Cette information doit intervenir au moment de la collecte des données, mais le G29 recommande de la renouveler lors de la clôture d’un compte utilisateur.

Cette information doit contenir a minima :

• la mention de ce nouveau droit à la portabilité ;
• la distinction entre le droit à la portabilité et les autre droits, en particulier le droit d’accès, de façon claire et compréhensible ;
• les modalités d’exercice de ce droit.

Information par le receveur des données – D’autre part, le responsable du traitement habilité par la personne concernée à recevoir les données « portées », doit informer cette dernière des informations nécessaires et pertinentes pour permettre et faciliter la transmission des données.

Délai et contenu de la réponse – Enfin, la réponse à une demande de portabilité doit intervenir dans les plus brefs délais et dans la limite d’un mois maximum. Il est possible de proroger ce délai de deux mois, à condition d’informer la personne concernée dès le premier mois des raisons du prolongement.

Toute demande doit être traitée, et tout refus justifié. Dans ce dernier cas, il faut informer la personne concernée des raisons d’un tel refus et de la possibilité de former un recours devant la Cnil, en sus des voies judiciaires classiques. Cette information doit se faire au plus tard un mois après la réception de la demande de portabilité non satisfaite.

Coût du droit à la portabilité – Aucun frais ne peut être demandé par le responsable de traitement sauf en cas de demande manifestement infondée ou excessive, notamment du fait de son caractère répétitif. Ainsi, le coût total de la procédure mise en place pour répondre aux demandes ne peut être retransmis sur les personnes concernées, ni justifier un refus de réponse.

Durée de conservation des données « portables » – Le droit à la portabilité ne doit pas porter atteinte aux autres obligations du responsable de traitement. A ce titre, il n’a pas l’obligation de conserver les données plus longtemps que nécessaire, notamment aux seules fins de traiter une demande de portabilité.

D. La responsabilité des transmissions de données.

Le responsable de traitement d’origine n’est pas responsable du traitement subséquent des données après l’exercice par la personne concernée de son droit à la portabilité. A ce titre, le responsable de traitement destinataire des données devient seul responsable du traitement de ces données et doit nécessairement respecter toutes les obligations du RGPD (collecte loyale et licite, information….)

Point d’attention d’ici le 25 mai 2018 :

La loi pour une République numérique avait prévu d’anticiper le droit à la portabilité. C’est ainsi qu’elle a créé les articles L221-42-1 à L224-42-4 au Code de la consommation, a priori applicables au données n’ayant pas de caractère personnel et n’entrant donc pas dans le champ d’application du RGPD.

Cependant, le descriptif de ces dispositions laisse planer un doute quant à leur champ d’application réelle, puisque des données à caractère personnel semblent être concernées.
Dans l’attente du décret d’application, nous restons donc dans l’interrogation forte des données concernées par les dispositions du Code de la consommation.

Yaël Cohen-Hadria Avocate www.ych-avocats.fr [->yael.cohenhadria@cabinet-davocats.com]