Le droit à la portabilité des données est une des nouveautés majeures instaurées par le RGPD. Son efficacité est néanmoins régulièrement remise en question au vu du manque d’informations à son sujet et de la complexité technique qui en découle. Quelles sont les nouvelles garanties apportées aux consommateurs européens, et est-il réellement possible de mettre ce droit en application ?

Entré en vigueur le 25 mai 2018, le droit à la portabilité des données est une des nouveautés majeures instaurées par le RGPD. Son efficacité est néanmoins régulièrement remise en question au vu du manque d’informations à son sujet et de la complexité technique qui en découle. Quelles sont les nouvelles garanties apportées aux consommateurs européens, et est-il réellement possible de mettre ce droit en application ? En l’absence d’une jurisprudence cohérente et claire à ce sujet, il est nécessaire d’analyser de manière globale ce nouveau droit, afin de mieux l’appréhender et comprendre les problèmes de droit futurs auxquels il risque d’être soumis.

I. Le renforcement des pouvoirs des consommateurs sur les prestataires de services par internet.

Récemment consacrée par le 20ème article du RGPD (Règlement Général sur la Protection des Données) [1], la portabilité des données est devenue un droit à l’importance grandissante pour les consommateurs européens. Plus précisément, il permet à un consommateur de récupérer ses données personnelles auprès d’un organisme les possédant déjà, ainsi que de librement transférer ces données à un autre organisme.

Malgré l’aspect mineur que semble vêtir l’article 20, ce dernier risque d’avoir des conséquences importantes pour quasiment toutes les entreprises collectant les données personnelles de leurs consommateurs sur internet. En effet, le nombre croissant d’entreprises exerçant des activités commerciales sur internet a entraîné une hausse exponentielle de la quantité de données collectées par celles-ci. Dès lors, les consommateurs dont les données sont prélevées par des prestataires de services en ligne risquent d’utiliser de plus en plus souvent ce droit afin de limiter l’utilisation de ces données par les prestataires en question.

A. Un moyen d’échapper à la main de fer des prestataires de services.

La mise en œuvre de ce droit permet tout d’abord aux consommateurs de réutiliser les données envoyées à un prestataire de services, et ainsi éviter de devoir remplir des formulaires contenant lesdites données en cas de changement de prestataire pour un service donné (par exemple, transférer les playlists lors d’un changement de plate-forme de streaming musical). De plus, cela éviterait que les grandes entreprises technologiques n’utilisent les données de leurs clients après la résiliation de leur offre de services.

Le premier argument en faveur de la portabilité des données est la protection accrue des données des internautes. En facilitant leur transfert d’un fournisseur de services à un autre (appelés "contrôleurs"), ou leur réutilisation pour d’autres services, l’Union Européenne vise à limiter le contrôle que les grandes entreprises technologiques peuvent exercer sur les données à caractère personnel.

En outre, conformément aux recommandations de la Commission européenne [2], la portabilité des données fonctionne en tandem avec un autre élément-clef du RGPD, à savoir le droit à l’effacement [3] de l’article 17, qui reprend de nombreux éléments de la Loi Informatique et Liberté du 6 janvier 1978. Ces deux éléments visent à éviter les situations de "verrouillage", qui se produisent lorsque des entreprises exercent un contrôle sur les données des consommateurs et continuent à les traiter à leur guise, par exemple en vendant les données à un tiers.

Ainsi, le droit à la portabilité des données ne se contente pas d’offrir plusieurs possibilités lorsqu’il est utilisé seul ; il s’articule également avec d’autres droits pour renforcer ses effets juridiques et limiter les risques d’accaparement des données personnelles par les prestataires de service au-delà du délai d’utilisation consenti par le consommateur.

B. La garantie d’une concurrence accrue entre les prestataires de services.

Le nombre croissant de litiges relatifs à la vie privée touchant les internautes, notamment le vol de données, souligne également la nécessité de faire pencher la balance en faveur des consommateurs, en établissant des règles qui leur permettent de reprendre le contrôle de leurs données personnelles. En ce sens, des lignes directrices sur le droit à la portabilité des données ont été publiées par le groupe de travail « Article 29 » sur la protection des données (également connu sous le nom de WP29). Celles-ci expliquent comment la portabilité des données doit être gérée du point de vue des vendeurs afin de garantir davantage de vie privée aux internautes, et surtout de créer davantage de concurrence sur les marchés en ligne et de limiter le risque de monopoles [4].

En effet, la théorie veut qu’en simplifiant l’accès des consommateurs à leurs données en ligne, ils seront plus enclins à les transférer d’un vendeur en ligne à un autre, que la concurrence augmentera et que les consommateurs en seront les bénéficiaires finaux. Le législateur européen espère qu’au lieu de se ruer sur les offres les plus utilisées ou mises en avant, les consommateurs choisiront de plus en plus d’autres offres et, ce faisant, empêcheront la formation de monopoles. Par ailleurs, le RGPD vise à compléter ces effets positifs sur la concurrence par d’autres règles législatives, telles que la directive DSP 2 de 2015 [5].

Cette dernière oblige les banques à partager les données de paiement avec des tiers à la demande de leurs clients, afin de soutenir le développement de nouveaux services de paiement.

II. Les difficultés de mise en œuvre du droit à la portabilité des données.

Toutefois, pour que les avantages de la portabilité des données deviennent visibles, certaines difficultés concernant son application doivent être surmontées.

La première, d’ordre technique, est liée aux coûts élevés de changement de fournisseur induits par la portabilité des données, ainsi qu’aux carences sur les normes techniques dont les entreprises pourraient tirer parti. La seconde série de difficultés constitue un obstacle encore plus élevé : il s’agit du manque d’information des consommateurs.

A. Les difficultés techniques.

La portabilité des données est un concept relativement nouveau, qui s’accompagne de plusieurs problèmes d’ordre technique. Premièrement, les coûts de changement de fournisseur peuvent constituer un obstacle majeur à l’utilisation de ce droit par les internautes et les entreprises [6]. Plus il est facile pour le consommateur de transférer ses données d’une plate-forme à une autre, moins il lui en coûtera pour passer à une autre plate-forme : cela signifie que les entreprises doivent s’assurer que le transfert de données est efficace, sinon le consommateur risque de payer des coûts élevés pour le transfert de ses données.

Une autre question est celle du format des données : l’article 20 du RGPD exige que les données soient dans un "format structuré, couramment utilisé et lisible par machine". Cependant, il est impossible de connaître la portée de ce que signifie "couramment utilisé". Si les données ne sont pas dans un format informatique couramment utilisé, les fournisseurs de services en ligne ont-ils le droit de ne pas autoriser la portabilité des données pour leurs services ? Le RGPD et les lignes directrices du WP29 ne fournissent aucune information concernant cette situation. Le troisième problème technique est que toutes les entreprises doivent travailler main dans la main pour que la portabilité des données puisse être assurée efficacement au niveau européen.

La Commission européenne et les lignes directrices du WP29 ne donnent également aucune indication sur la manière dont le droit à la portabilité des données doit être appliqué et sur le moment où il doit l’être. Ce manque d’information pourrait compromettre l’utilisation de ce droit par les internautes, qui pourraient devoir attendre longtemps avant de pouvoir transférer librement leurs données d’un responsable du traitement à un autre. En effet, si deux contrôleurs en concurrence sur le même marché n’appliquent pas chacun le droit à la portabilité des données de la même manière, les consommateurs ne pourront pas du tout transférer leurs données.

Si la portabilité des données présente de nombreux avantages, il lui manque encore un cadre juridique solide pour être mise en œuvre de manière optimale. A cet égard, un sondage de l’IAPP daté de 2017 montre que la portabilité des données est l’obligation du RGPD la qui pose le plus de difficultés pour les entreprises visées par cette réglementation [7]. Les résultats mettent ainsi en évidence une réelle réticence des prestataires de service à mettre en place ce dispositif au vu de sa complexité technique.

B. Les risques du manque d’information des consommateurs.

Outre les difficultés techniques, le principal problème auquel se heurte la portabilité des données tient au fait que peu de gens se préoccupent de protéger leur vie privée et de la possibilité de transférer leurs données personnelles d’un fournisseur de services à un autre. Même si le respect de la vie privée sur internet est d’une importance grandissante pour de nombreux internautes, très peu d’entre eux sont au courant de ce nouveau droit. Aussi puissant soit-il sur le plan juridique, un droit peut-il être efficace si personne ne l’exerce ?

Cependant, il est difficile de nier que l’on assiste à un changement de paradigme quant au rapport des internautes avec leur vie privée. Le manque d’information dont la majorité d’entre eux souffre actuellement tend à s’estomper depuis la succession de scandales relatifs à l’utilisation abusive de données personnelles [8] (par exemple l’affaire Cambridge Analytica, qui a eu lieu avant l’entrée en vigueur du RGPD). Les internautes sensibilisés à ces questions ont donc de fortes chances d’utiliser ce droit plus fréquemment dans un avenir proche, soulignant ainsi la nécessité pour les entreprises concernées de mettre en place des mesures destinées à appliquer ce droit, malgré ses difficultés de mise en oeuvre.

Dans l’ensemble, le RGPD a créé un droit qui semble au premier abord efficace dans son objectif de protection des données personnelles et conforme aux règles de concurrence édictées par le législateur européen.

Toutefois, le manque de précisions dans la rédaction de l’article 20 et le manque de communication des instances européennes à ce sujet risquent d’empêcher cet outil d’être utilisé efficacement par ceux qui pourraient en bénéficier le plus, c’est-à-dire les consommateurs de services sur internet.

Il est néanmoins probable que la jurisprudence viendra détailler à l’avenir les conditions d’utilisation et de mise en œuvre de ce droit, ce qui rendrait son utilisation bien plus courante et exposerait les entreprises refusant de le mettre en place à des sanctions allant du simple rappel à l’ordre à l’amende administrative.

Thomas Buge, Etudiant. LLM European Competition Law and Regulation Université d'Amsterdam