Le Règlement Général sur la Protection des Données (RGPD) a marqué un tournant dans la manière dont les données personnelles sont traitées et protégées au sein de l’Union européenne. Parmi les droits fondamentaux qu’il confère aux individus, le droit à la portabilité des données est un droit peu utilisé et complexe à respecter. Ce droit permet aux personnes de demander à recevoir une copie de leurs données dans un format particulier.
Qu’est-ce que le droit de portabilité selon le RGPD ?
Le droit à la portabilité permet à une personne concernée de demander à une entreprise, une association, une administration, etc. (le responsable du traitement) une copie de ses données dans un format de fichier “lisible par machine”.
Article 20 – Droit à la portabilité des données
Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque :
a) le traitement est fondé sur le consentement en application de l’article 6, paragraphe 1, point a), ou de l’article 9, paragraphe 2, point a), ou sur un contrat en application de l’article 6, paragraphe 1, point b) ; et
b) le traitement est effecté à l’aide de procédés automatisés.
Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible.
L’exercice du droit, visé au paragraphe 1 du présent article s’entend sans préjudice de l’article 17. Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers.
Les organisations sont tenues de répondre aux demandes de portabilité des données dans un délai de 30 jours après réception (ce délai peut être prolongé de deux mois supplémentaires si la demande s’avère complexe ou si l’organisation reçoit un grand nombre de demandes).
Quelles différences avec le droit d’accès ?
Comme le RGPD l’indique à son article 20, le droit à la portabilité s’entend sans préjudice de l’article 17, prévoyant le droit d’accès, et commande au responsable du traitement de répondre à la demande dans un format “couramment utilisé” et “lisible par machine”.
Il convient de noter les différences entre le droit d’accès et le droit à la portabilité :
- tandis que dans le premier (le droit d’accès), la personne concernée peut demander à recevoir une copie de ses données, mais aussi des informations relatives au traitement des données, le second (le droit à la portabilité) ne prévoit que la réception des données traitées ;
- le droit à la portabilité contient, contrairement au droit d’accès, des indications sur la nature de l’usage de ce droit et sur le formalisme attendu lors de la réponse apportée par le responsable du traitement.
Ces différences s’expliquent par les objectifs mêmes poursuivis par ces deux droits différents : le droit d’accès a pour objectif d’informer la personne sur le traitement et les données traitées, alors que le droit à la portabilité a pour objectif de permettre le partage simple des données.
Qu’entends-t’on par “format couramment utilisé” et “lisible par machine” ?
Afin de répondre à l’objectif de transférer les données d’un organisme à un autre de manière simple et rapide, le RGPD demande à ce que le format de fourniture des données soit “couramment utilisé” et lisible par machine”.
Ici le RGPD fait à la fois référence à l’état de l’art, sujet à changement, et à une obligation technique.
Un format “couramment utilisé” sera ainsi un format de fichier rencontré de manière habituelle pour le traitement ou le stockage des données, connu par une vaste majorité d’une population donnée (personnes concernées, ingénieurs, informaticiens, …).
Un format “lisible par machine”, lui, implique que le format choisi pour le fichier contenant les données soit un format utilisé dans le cadre des transferts automatisés ou des intégrations de données au sein des SI.
Parmi les formats de fichiers lisibles par machines et couramment utilisés, nous pouvons citer les formats CSV, Json, XML, Parquet ou Yaml.
Vous souhaitez approfondir vos connaissances sur le RGPD ou avez besoin d’assistance pour optimiser la gestion des données au sein de votre organisation ? Notre équipe d’experts est là pour vous aider. Contactez-nous pour découvrir comment nous pouvons vous accompagner dans votre démarche de conformité et renforcer la confiance de vos clients dans la gestion de leurs données personnelles.