Le responsable du traitement peut-il faire obstacle à la communication des données?
Le responsable du traitement auquel les données ont été communiqué initialement ne peut pas faire obstacle à la communication des données.
Quel est le double objectif poursuivi par le droit à la portabilité?
Renforcer le droit à l’autodétermination informationnelle au niveau européen de la personne concernée (considérant 68 du RGPD) par plus de contrôle et une mobilité numérique accrue offerte à celle-ci.
Faciliter la libre circulation des données (G29, WP 242, guide sur le droit à la portabilité, 13 décembre 2016, op. cit., p. 4.) par une transmission directe (Article 20-2 du RGPD sous réserve que cette transmission soit techniquement possible, considérant 68 du RGPD) des données d’un responsable de traitement à un autre ; Améliorer ainsi le fonctionnement du marché en équilibrant le rapport de concurrence entre différents fournisseurs de service dans le cadre du marché unique numérique (G29, WP 242, guide sur le droit à la portabilité, op. cit., p. 3.).
Quelles sont les conditions d’exercice du droit à la portabilité?
Le droit à la portabilité n’existe que pour les traitements fondés sur un contrat dont elle est partie contractante ou sur le consentement des personnes concernées.
Le droit à la portabilité s’applique uniquement sur les données personnelles faisant l’objet d’un traitement automatisé (considérant 68 du RGPD).
Quel est le format de la communication des données?
Le format des données joue un rôle important dans la bonne transmission des données et dans la réutilisation des données à la fois par les autres responsables du traitement et la personne concernée.
Les données doivent être communiquées dans un format structuré, couramment utilisé et lisible par un machine. Selon la CNIL, le format de données doit être adapté au type de données concernées en privilégiant des formats ouverts interopérables comme CSV et JSON.
Selon l’avis du G29, les acteurs de l’industrie et les associations professionnelles peuvent travailler sur un ensemble de standards et formats interopérables pour respecter ces prérequis du droit à la portabilité. Concernant le format, un haut niveau d’abstraction s’avère nécessaire. En outre, les métadonnées doivent être les plus précises possibles. Selon le G29, « lorsque les données collectées auprès du consommateur ne peuvent pas être récupérées dans un standard ouvert et aisément réutilisable, le fournisseur de service de communication au public en ligne en informe le consommateur de façon claire et transparente. Le cas échéant, il l’informe des modalités alternatives de récupération de ces données et précise les caractéristiques techniques du format du fichier de récupération, notamment son caractère ouvert et interopérable ».
Quelle est la limite du droit à la portabilité?
Le droit à la portabilité concerne aussi les données collectées de manière automatique, notamment des données de comportement d’un individu lors de l’utilisation d’un service en ligne, comme par exemple l’historique des transactions ou Access log.
Les données dérivées ou les inférées issues de traitements complémentaires sortent du champ d’application du droit à la portabilité. Ces données comprennent les DCP générées par l’activité de la personne concernée à travers un fournisseur de services (responsable du traitement). L’exemple donné par le G29 est le résultat à l’issue d’algorithmes de traitement de données comme le crédit, l’état de santé, le profilage.
Quel est l’enjeu lié à l’application du droit à la portabilité?
Les données qui font l’objet de l’exercice du droit à la portabilité peuvent comprendre des données de tiers. Cela concerne notamment les données de communication que ce soit par le service de messagerie ou de téléphone, données de transactions bancaires, etc. Certes, la présence des données de tiers ne peut pas justifier un rejet de la demande. En application de l’article 20-4 du RGPD, le droit à la portabilité ne doit pas porter atteinte aux droits et libertés de tiers.
Selon le G29 sur le droit à la portabilité, et afin de prévenir le risque sur les tiers, le nouveau responsable du traitement destinataire des données est tenu de procéder au traitement des données a priori pour la même finalité qu’initialement définie. Il ne doit traiter ces données que dans la mesure où elles sont gardées sous le seul contrôle de la personne concernée à l’origine de la demande de portabilité, et qu’elles ne sont gérées pour des besoins purement personnels du nouveau responsable du traitement. Un tel traitement serait susceptible d’être considéré comme illégal, en particulier si les tiers concernés ne sont pas informés et ne peuvent exercer leurs droits en tant que personnes concernées.
À cet égard, il est préconisé par le G29 que tous les responsables du traitement (les parties «expéditrice» et «réceptrice») devraient mettre en place des outils permettant aux personnes concernées de sélectionner les données pertinentes. En outre, ils devraient mettre en œuvre des mécanismes de consentement pour d’autres personnes concernées, afin de faciliter la transmission des données dans les cas où ces parties sont disposées à consentir.
Quelles sont les bonnes pratiques qui peuvent être adoptées par les responsable du traitement pour l’exercice du droit à la portabilité?
Mettre en place les infrastructures techniques et pratiques comme des interfaces (API) pour permettre l’exercice du droit à la portabilité (API (application programming interfaces), G29, WP 242, guide sur le droit à la portabilité, 13 décembre 2016, op. cit., p. 3).
Assurer l’exercice du droit à la portabilité le plus rapidement possible, sans jamais excéder un délai de deux mois (Rapport du CGREF, « Entreprise : clé d’application réussite du GDPR », http://www.cigref.fr/entreprise-cle-application-reussie-gdpr-livrable-cigref-afai-tech-in-france, p. 59).
Vérifier l’identité des demandeurs et la légitimité de la portabilité demandée.
S’assurer que les démarches à effectuer ne découragent pas les personnes concernées et ne leur occasionnent pas de frais (Rapport du CGREF, « Entreprise : clé d’application réussite du GDPR », http://www.cigref.fr/entreprise-cle-application-reussie-gdpr-livrable-cigref-afai-tech-in-france, p. 59).
Mettre au point des formats interopérables permettant la portabilité des données (Considérant 68 du RGPD).
