Le droit à la portabilité des données

Le nouveau droit à la portabilité des données personnelles impose au responsable de traitement de mettre à disposition de la personne concernée les données personnelles qu’elle lui a fournie, dans un format « structuré, couramment utilisé et lisible par machine ». Ainsi, la personne concernée pourra réutiliser ses propres données comme elle le souhaite, au sein des services de son choix.

A quoi sert la portabilité ?

L’objectif visé par l’Union européenne est tout d’abord de « stimuler la concurrence entre les responsables de traitement » en permettant à la personne concernée de porter facilement ses données d’un responsable de traitement à son concurrent. Le parallèle avec le droit à la portabilité du numéro de téléphone (introduit par la directive 2002/22/CE) qui avait transformé le marché des télécommunications est très tentant.

Le droit à la portabilité des données personnelles vise également à favoriser le développement de services innovants en permettant aux données de circuler plus facilement, sous le contrôle de la personne concernée elle-même. Cette dernière pourra dès lors bénéficier de services hautement personnalisés, très simplement.

Comment appliquer le droit à la portabilité ?

Le G29, qui regroupe les « CNIL » des États membres de l’Union européenne, propose au responsable de traitement deux moyens pour mettre en œuvre le droit à la portabilité des données personnelles :

1. Mettre à disposition un fichier contenant l’ensemble des données,
2. Fournir des outils automatisés (comme une API) pour l’extraction des données pertinentes.

Le G29 vient préciser que la personne concernée peut, si elle le souhaite, utiliser un système de gestion des informations personnelles (PIMS) pour récupérer ses données, les conserver et accorder à d’autres responsables de traitement l’autorisation d’y accéder.

Les PIMS, une solution de simplicité

L’utilisation d’un tel outil permet d’éviter deux écueils :

• D’une part, un PIMS va s’assurer que la personne concernée puisse récupérer ses données dans un format structuré et interopérable, de manière à ce que celle-ci puisse les analyser et les transmettre très simplement à qui elle le souhaite.
• D’autre part, un PIMS est un moyen pour le responsable de traitement de transmettre et de se voir transmettre des données personnelles par le biais d’un interlocuteur unique, sous le contrôle de la personne concernée, sans avoir à développer et à se brancher à d’innombrables API.

Un nouveau marché de la data

La mondialisation des marchés et l’infinité d’acteurs auxquels le consommateur a le choix de s’adresser rend nécessaire une concertation des différentes parties prenantes dans la gestion du droit à la portabilité des données personnelles. Une mise en œuvre de ce droit facilitée par les entreprises sera par ailleurs l’occasion de rétablir la confiance avec leurs utilisateurs.

L’arrivée du RGPD et du droit à la portabilité des données personnelles entraînera mécaniquement la création d’une galaxie de services ré-utilisateurs de données et l’émergence d’outils spécialisés dans la portabilité. Ces derniers devront être neutres, interopérables, faciles d’utilisation et naturellement soumis aux dispositions du RGPD.