L’article 20 du Règlement Général de Protection des Données est relatif à la portabilité. Concrètement, cela signifie que les personnes dont une entreprise conserve les données, ont le droit d’obtenir ces données dans un format structuré, couramment utilisé et lisible par une machine ainsi que le droit de transférer les données directement auprès d’un nouveau responsable du traitement.
- Captain Contrat décrypte le droit en vidéo : Le RGPD pour les PME, les TPE et les startups
- Pourquoi cette notion de portabilité des données ?
- Quelles données sont concernées par la portabilité ?
- Quel impact pour les entreprises qui gèrent, collectent et traitent des données ?
- Concrètement, comment permettre le transfert ?
- Comment l’évolution technique va-t-elle sans doute évoluer pour faciliter la portabilité des données ?
Captain Contrat décrypte le droit en vidéo : Le RGPD pour les PME, les TPE et les startups
Pourquoi cette notion de portabilité des données ?
Le premier objectif affiché du nouveau règlement RGPD est de permettre à toute personne de faire jouer la concurrence entre les systèmes de gestion de données.
On est ainsi dans un système comparable à celui de la portabilité du numéro de téléphone, en vigueur elle depuis une quinzaine d’années et considérée comme à l’origine de la révolution du marché de la téléphonie.
Le deuxième objectif de la loi est de favoriser les nouveaux services en permettant aux données de circuler facilement, sous le contrôle de son propriétaire, à savoir la personne concernée.
Le droit à la portabilité des données personnelles devrait automatiquement provoquer la création de nombreux services ré-utilisateurs de données avec parallèlement la création de systèmes spécialisés dans la portabilité, neutres, interopérables, faciles d’utilisation et respectant le RGPD (voir plus bas Comment la technique va-t-elle sans doute évoluer pour faciliter la portabilité des données ?).
Quelles données sont concernées par la portabilité ?
Les données personnelles concernées par cet aspect du RGPD sont les données transmises par la personne volontairement (puisque son consentement est requis maintenant dans le cadre de la loi) ou collectées via son activité (historique sur un site internet par exemple).
Il est à noter que les données issues, « calculées » par le traitement de données brutes initiales ne sont pas concernées par cette notion de portabilité.
Par exemple, un profil établi à la suite de recoupements de fichiers ou d’actions n’est pas considéré comme la propriété de la personne concernée qui ne peut utiliser l’argument de la portabilité pour récupérer « ses » données (mais elle peut agir en amont, à la source des données).
Par ailleurs, comme pour l’ensemble du RGPD, les données récupérées sur la base d’obligations légales, ne sont pas concernées.
Quel impact pour les entreprises qui gèrent, collectent et traitent des données ?
Comme de coutume avec le RGPD, tout commence pour les entreprises par une obligation d’information.
Les personnes dont les données sont collectées doivent être informées du droit à la portabilité avec indication du type de données qui peuvent faire l'objet d'un transfert.
Le responsable de traitement doit mettre en place une procédure pour transmettre les données à tout demandeur et donc en premier lieu un procédé d’authentification de l’identité du demandeur car sa responsabilité peut être engagée en cas de transmission à un tiers non autorisé.
En ce qui concerne le transfert lui-même, la loi indique clairement que le format technique doit être lisible, sans contraintes techniques et sans frais pour le demandeur.
Attention, qui dit transfert ne dit pas automatiquement suppression de données. On peut avoir une demande de transfert SANS demande de suppression et les données peuvent ainsi être conservées comme prévu initialement à la collecte et continuées à être traitées.
Si le transfert est fait vers une autre société de traitement des données, cette dernière doit bien évidemment respecter le RGPD et notamment assurer la sécurité des données reçues.
Concrètement, comment permettre le transfert ?
Le groupe des « CNIL » des États membres de l’Union européenne, recommande essentiellement aux responsables de traitements des données, deux façons de mettre en œuvre le droit à la portabilité des données personnelles :
- Mise à disposition d’un fichier contenant l’ensemble des données ;
- Mise à disposition d’outils automatisés (API) permettant l’extraction des données pertinentes.
Comment l’évolution technique va-t-elle sans doute évoluer pour faciliter la portabilité des données ?
La personne à laquelle appartiennent les données peut utiliser un système de gestion des informations personnelles afin de récupérer ses données, les conserver et en donner l’accès à d’autres responsables de traitement.
C’est à l’heure actuelle le meilleur moyen pour les personnes auxquelles appartiennent les données de récupérer celles-ci dans un format acceptable, afin de pouvoir les transmettre.
Par ailleurs, les responsables de traitement, en se branchant sur ce genre de systèmes, évitent de développer pléthore d’API pour d’autres systèmes de gestion de données.
Besoin d'accompagnement pour vous mettre en conformité avec le RGPD ? Consultez nos avocats spécialisés dans le domaine. Pour en savoir plus sur notre prestation cliquez ci-dessous.
Une question ? Laissez votre commentaire