Le droit à la portabilité offre aux personnes la possibilité de récupérer une partie de leurs données dans un format ouvert et lisible par machine. Elles peuvent ainsi les stocker ou les transmettre facilement d’un système d’information à un autre, en vue de leur réutilisation à des fins personnelles.

ð Présentation : Introduit par le règlement européen sur la protection des données, le droit à la portabilité offre aux personnes la possibilité d’obtenir et de réutiliser leurs données personnelles

Le droit à la portabilité des données génère un nouveau droit permettant aux personnes physiques d’exercer davantage de contrôle sur leurs propres données.

Elles pourront recevoir les données à caractère personnel qu’elles ont communiquées à un responsable de traitement.

Les responsables de traitement de données devront donc concevoir et déployer, en plus des systèmes et de la fonctionnalité supplémentaire des propositions/produits numériques, des processus facilitant le traitement des demandes des personnes concernées, manuellement ou de manière automatisée.

Une fois les données reçues, la personne concernée doit être en mesure de les transmettre à un autre responsable de traitement sans que cela ne génère une charge supplémentaire ou une gêne pour le responsable de traitement des données précédent.

Un droit permettant  de gérer plus facilement et par soi-même ses données personnelles.

Il permet de transférer ses données personnelles d’un organisme à un autre.

Les données personnelles peuvent ainsi être transmises à un nouvel organisme :

-         soit par la personne elle-même,

-         soit directement par l’organisme qui détient les données, si ce transfert direct est « techniquement possible ».

Le droit à la portabilité renforce la maîtrise des personnes sur leurs données personnelles.

Il crée également de nouvelles opportunités de développement et d’innovation en facilitant le partage de données personnelles, de manière sécurisée et sous le contrôle de la personne concernée.

ð Réponses aux principales questions :Un  nouveau droit qui s’applique si trois conditions sont toutes réunies :

Le droit à la portabilité est limité aux données personnelles fournies par la personne concernée.

Il ne s’applique que si les données sont traitées de manière automatisée (les fichiers papiers ne sont donc pas concernés) et sur la base du consentement préalable de la personne concernée ou de l’exécution d’un contrat conclu avec la personne concernée.

L’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés de tiers, dont les données se trouveraient dans les données transmises suite à une demande de portabilité.

Quelles données peuvent être considérées comme « fournies par la personne concernée » ?

Ce sont les données déclarées activement et consciemment par la personne concernée, telles que des données fournies pour créer un compte en ligne (ex. adresse électronique, nom d’utilisateur, âge), les données générées par l’activité de la personne concernée, lorsqu’elle utilise un service ou un appareil

ð Par exemple : les données brutes collectées par des compteurs communicants, les achats enregistrés sur une carte de fidélité, l’historique des recherches faites sur internet, les relevés de compte bancaire, les courriels envoyés ou reçus, etc.).

Par contre , les données personnelles qui sont dérivées, calculées ou inférées à partir des données fournies par la personne concernée, telles que le profil d’un utilisateur créé grâce à l’analyse des données brutes produites par un compteur « intelligent », sont exclues du droit à la portabilité, dans la mesure où elles ne sont pas fournies par la personne concernée, mais créées par l’organisme.

Le droit à la portabilité ne s’applique pas par ailleurs aux données personnelles traitées sur une autre base légale que le consentement ou l’exécution d’un contrat :

Par exemple, les établissements financiers n’ont pas à répondre à une demande de portabilité concernant les données personnelles traitées dans le cadre de leurs obligations de lutte contre le blanchiment.

De même, les données des employés traitées par les employeurs, sur la base d’un intérêt légitime ou d’obligations légales, ne sont pas concernées par le droit à la portabilité.

Les demandes de portabilité doivent être analysées au cas par cas, que ce soit pour le traitement de données en matière de gestion des ressources humaines ou dans d’autres domaines.

Quels sont les moyens recommandés pour répondre à une demande fondée sur la portabilité ?

Il  faut offrir aux personnes la possibilité de télécharger directement leurs données personnelles  et ne pas faire obstacle à la transmission de ces données à un autre responsable du traitement, soit par l’intermédiaire de la personne concernée, soit directement lorsque c’est techniquement possible.

Un organisme peut ainsi répondre à une demande de portabilité en passant par la mise à disposition d’un fichier contenant l’ensemble des données portables, ou par la fourniture d’outils automatisés permettant l’extraction des données pertinentes.

Quel que soit le moyen de mise à la disposition proposé, il doit être facile à utiliser, accessible, permettre la réception des données de manière sécurisée et minimiser les risques de violation des données traitées par l’organisme.

L’organisme doit ainsi rechercher et analyser chacune de ces méthodes pour lever tout obstacle et faciliter l’accès du droit à la portabilité vers la personne concernée.

Dans quel format les données faisant l’objet d’une demande de portabilité doivent-elles être transmises ?

Le droit à la portabilité impose aux organismes de fournir les données personnelles concernées dans un format « structuré, couramment utilisé et lisible par machine » qui permettent leur réutilisation.

En d’autres termes, ces données « portables » doivent pouvoir être extraites et/ou être réutilisées facilement par la personne concernée ou par tout autre organisme.

Le règlement n’impose pas de formats spécifiques pour répondre à une demande de portabilité, si ce n’est que ce dernier doit être interopérable.

Quelle est la responsabilité des responsables du traitement s’agissant des données personnelles transférées ou reçues au titre de l’exercice d’un droit à la portabilité ?

L’organisme répondant à une personne exerçant son droit à la portabilité n’est pas responsable du traitement opéré par cette personne sur ses propres données une fois qu’elle les a  reçues. Il n’est pas non plus responsable du traitement réalisé par la société récupérant lesdites données à la demande de la personne exerçant son droit à la portabilité.

Les responsables du traitement doivent porter ce nouveau droit à la connaissance des personnes concernées « d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».

Les responsables du traitement sont encouragés à fournir une information spécifique sur le droit à la portabilité avant toute clôture de compte, pour permettre à la personne concernée de récupérer et conserver ses données personnelles.

Le droit à la portabilité est-il gratuit ?

Le responsable du traitement ne peut pas faire payer la fourniture de données personnelles (dans le cadre de l’exercice des droits garantis par le règlement) sauf s’il arrive à démontrer que la demande est manifestement infondée ou excessive, « notamment en raison de (son) caractère répétitif ».

ð Les autres droits garantis par le règlement (tels que le droit d’accès, le droit d’opposition, etc.) sont-ils impactés lorsqu’une personne exerce son droit à la portabilité ?

L’exercice du droit à la portabilité n’affecte pas l’exercice des autres droits garantis par le règlement européen. La personne peut exercer ses droits (d’opposition, d’accès de rectification, à la portabilité, etc.) tant que le responsable du traitement détient ses données personnelles.

Par exemple, les personnes peuvent continuer à utiliser et à tirer parti du service proposé par le responsable du traitement après avoir exercé leur droit à la portabilité.

De même, si elles souhaitent exercer leur droit de suppression, d’opposition ou d’accès à leurs données personnelles, le fait qu’elles aient parallèlement exercé leur droit à la portabilité ne peut être opposé par le responsable du traitement pour retarder ou refuser de leur répondre.

Par ailleurs, lorsqu’une personne exercice son droit à la portabilité, l’organisme recevant sa requête n’a pas à supprimer de son fichier les données demandées dans ce cadre.

Les données peuvent être conservées dans le traitement d’origine, pour la durée qui a été définie initialement par l’organisme le mettant en œuvre.