Le droit à la portabilité des données est une des nouveautés du RGPD. Sa définition : permettre à l’individu de récupérer ses données personnelles dans un format lisible par machine, afin de les transmettre à un concurrent. En pratique, on pourra passer de Spotify à Deezer, ou de Gmail à Protonmail, d’une application de santé ou de sport à une autre, sans y perdre ses données. Ce droit existe déjà pour les numéros de téléphones : la portabilité de votre numéro (une donnée personnelle) entre différents opérateurs est effective depuis plusieurs années. Sa mise en oeuvre fait partie des étapes principales d’une mise en conformité RGPD
1. Signification du droit à la portabilité des données
1.1 Enjeux
Pour l’utilisateur, ce droit permet une possession effective de ses données. Il n’est plus « prisonnier » d’un service qu’il ne pourrait quitter sans abandonner son historique, ses préférences et autres jeux d’information bâtis au fil du temps. Il peut les utiliser pour analyser ses habitudes de vie ou de consommation, soit lui-même soit en transférant ses données à un service spécialisé.
Pour l’entreprise ayant collecté ces données en premier lieu, il y a peu d’intérêt à les fournir à la compétition. Les informations conservées constituent un obstacle au départ de leurs utilisateurs vers la concurrence. Cependant, d’un point de vue différent, ce nouveau droit supprime cette barrière et encourage la concurrence et l’innovation.
1.2 Contenu du droit à la portabilité
Selon l’article 20 du RGPD:
Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle […] [Elles ont aussi] le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible.
Le droit à la portabilité des données peut être vu comme une extension du droit d’accès aux données. On distingue trois droits en un :
- Le droit pour un individu de recevoir les données qu’il a partagées avec un responsable du traitement.
- Le droit de transmettre les données d’un responsable du traitement à un autre.
- Le droit d’avoir les données personnelles transmises directement d’un responsable du traitement à un autre.
Les droits 1 et 2 sont exerçables sans que le responsable puisse y faire obstacle. Le droit 3 n’est donné que si « techniquement possible ». L’individu n’a pas seulement la possibilité de consulter ses données, mais aussi de les récupérer et de les transférer à un concurrent. On comprend l’importance de ce nouveau droit : il renforce la propriété d’un individu sur ses données, à la croisée des chemins entre la protection des données personnelles et le droit de la concurrence ou de la propriété intellectuelle.
2. Comment appliquer le droit à la portabilité des données ?
2.1. Données « fournies par la personne concernée »
Les données personnelles pouvant faire l’objet d’une demande de portabilité sont celles que la personne concernée a transmise au responsable du traitement. Cela concerne donc les données communiquées activement, téléversées par l’individu. Mais certains, dont le G29 (groupe des CNIL européennes) souhaitent que cette disposition soit interprétée de façon large. Dans ce cas, les données transmises passivement par l’individu feront partie du droit à la portabilité. Cela concerne les données générées par l’usage d’un service ou d’un appareil : historique de recherche, de localisation, statistiques de santé, etc.
2.2. Données fournies dans « un format structuré, couramment utilisé et lisible par machine »
Le RGPD n’impose pas de format spécifique. Le format choisi doit néanmoins être structuré, couramment utilisé et lisible par machine ; ces critères représentent un minimum selon le G29.
- Format structuré signifie qu’une autre application peut facilement reconnaître et extraire les données.
- Couramment utilisé est une notion flexible qui peut changer selon l’activité.
- Lisible par machine implique qu’un logiciel puisse en extraire les données, qui sont encodées dans les fichiers.
Techniquement, il ressort de ces conditions que ce format devrait principalement être le JSON (standard de facto) et dans une moindre mesure le XML ou CSV. Le PDF est exclu, puisqu’il n’est, en lui-même, pas lisible par machine ni structuré ; il pourra être proposé en supplément par commodité.
2.3. Données transférées sans y faire obstacle
Le G29 précise le concept de transfert des données sans y faire obstacle. Il s’agit de ne pas entraver le transfert par des obstacles légaux, techniques ou financier dans le but de freiner le processus. Là encore, l’étendue de cette obligation dépend de sa future interprétation, extensive ou restrictive.
Le RGPD précise que l’exercice du droit à la portabilité ne sous-entend pas une demande parallèle sur la suppression des données extraites.
2.4. Données transmises directement « lorsque c’est techniquement faisable »
Selon le considérant 68 du RGPD, « il y a lieu d’encourager les responsables du traitement à mettre au point des formats interopérables permettant la portabilité des données. » Cela ne crée cependant pas, pour le responsable du traitement, l’obligation d’adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles (toujours selon le considérant 68). L’appréciation se fera au cas par cas.
3. Pour aller plus loin sur le droit à la portabilité
J’ai rédigé cet article en me fondant sur les lignes directrices et interprétations officielles (francophones), ainsi que sur les articles publiés dans des revues juridiques à comité de lecture (anglophones).
3.1. Lignes directrices des autorités de contrôle
- La fiche pratique de la CNIL sur le sujet
- Les lignes directrices relatives au droit à la portabilité des données établies par le G29 (regroupant les « CNIL » européennes), dont le PDF est disponible ici.
3.2. Publications de chercheurs en droit
- Paul De Hert, Vagelis Papakonstantinou, Gianclaudio Malgieri, Laurent Beslay, Ignacio Sanchez,
The right to data portability in the GDPR: Towards user-centric interoperability of digital services, Computer Law & Security Review, Volume 34, Issue 2, 2018, Pages 193-203, https://doi.org/10.1016/j.clsr.2017.10.003. - Swire, Peter and Lagos, Yianni, Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique (May 31, 2013). 72 Maryland Law Review 335 (2013); Ohio State Public Law Working Paper 204, http://dx.doi.org/10.2139/ssrn.2159157
- Gabriela Zanfir; The right to Data portability in the context of the EU data protection reform, International Data Privacy Law, Volume 2, Issue 3, 1 August 2012, Pages 149–162, https://doi.org/10.1093/idpl/ips009