Le Règlement Général sur la Protection des Données (RGPD) consacre le droit à la portabilité des données RGPD. En cas d’irrespect, la Cnil peut prononcer des amendes jusque 20 millions d’euros. Retrouvez les conseils de notre cabinet d’avocats expert en protection des données concernant la mise en place de la portabilité des données RGPD.
1. Qu’est ce que le droit à la portabilité des données RGPD ?
La portabilité des données RGPD fait partie des droits RGPD au profit des individus. Il s’agit de la possibilité pour une personne de récupérer une partie de ses données dans un format ouvert et lisible par machine.
La personne doit pouvoir stocker les données sur un espace personnel ou de les transmettre à un autre organisme en vue de leur réutilisation. Le transfert des données à un organisme tiers est effectué soit par la personne elle-même, soit par l’organisme qui reçoit la demande si cela est techniquement possible.
Vous devez informer vos utilisateurs de l’existence de ce droit RGPD portabilité des données de façon concise, transparente, compréhensible et aisément accessible. En outre, la Cnil conseille d’expliquer à vos utilisateurs la différence entre ce droit à la portabilité des données RGPD et le droit d’accès.
Deshoulières Avocats vous accompagne dans votre démarche de conformité grâce à une méthodologie en 20 étapes. A l’issue de votre mise en conformité, nous vous fournissons une attestation opposable à la Cnil. Par ailleurs, nous conseillons de nombreux clients sur toutes les questions relatives à la protection des données personnelles en tant que DPO externe, y compris les questions sur la portabilité des données RGPD.
2. Quelles sont les conditions de mise en œuvre du droit à la portabilité des données RGPD ?
Le droit à la portabilité s’applique si quatre conditions sont réunies :
- La demande concerne des données personnelles qui ont été fournies par la personne concernée.
- Les données sont traitées de manière automatisée. Le droit à la portabilité ne s’applique pas aux fichiers papiers.
- Le traitement de données a pour base légale soit le consentement préalable de la personne, soit l’exécution d’un contrat conclu avec la personne.
- Le droit à la portabilité des données RGPD ne doit pas porter atteinte aux droits et libertés des tiers.
Il convient donc d’étudier chaque demande de portabilité des données RGPD au cas par cas. Il faut en effet vérifier que toutes ces conditions sont réunies. Dans le cas contraire, vous avez le droit de refuser la demande. Deshoulières Avocats vous assiste dans l’étude de vos demandes de portabilité des données RGPD.
3. Quelles sont les données concernées par la portabilité des données RGPD ?
La personne qui exerce son droit RGPD portabilité des données ne peut récupérer que les données qu’elle a elle-même fournies. Il s’agit :
- Des données qu’elle a consciemment délivrées. Il s’agit par exemple des renseignements donnés lors de l’ouverture d’un compte en ligne, tel que l’adresse email.
- Des données qui sont générées par l’activité de la personne. Par exemple, il peut s’agir des achats enregistrés sur une carte de fidélité, ou encore l’historique des recherches.
En revanche, les données qui sont dérivées ou induites des données fournies ne sont pas concernées par le droit à la portabilité. Il s’agit par exemple d’un profil d’utilisateur créé à partir de l’analyse des données fournies. Ces données peuvent néanmoins faire l’objet d’une demande d’accès de la part de l’utilisateur.
Par ailleurs, le droit à la portabilité des données ne s’applique pas à toutes les données fournies par un utilisateur. En effet, il faut que le traitement ait pour base légale soit le consentement de l’utilisateur, soit l’exécution d’un contrat. Ainsi, les données RH traitées par les employeurs lorsqu’ils se conforment à une obligation légale ne sont pas concernées.
Enfin, l’exercice du droit à la portabilité des données RGPD ne doit pas porter atteinte aux droits des tiers. Il s’agit des cas où les données de tiers se trouvent dans les données faisant l’objet d’une demande de portabilité. En revanche, le fait que des données concernant des tiers fassent partie des données qui font l’objet d’une demande de portabilité ne justifie pas le rejet de cette demande. Il est de votre responsabilité de procéder aux ajustements et annotations nécessaires.
4. Comment répondre à une demande de portabilité des données RGPD ?
Avant toute chose, vous devez vous assurer de l’identité de l’auteur de la demande via une procédure d’authentification. Vous devez en principe répondre à une demande de portabilité des données RGPD dans un délai d’un mois.
Comme pour tous les droits RGPD, la procédure d’exercice du droit à la portabilité doit être facile d’utilisation et accessible. De plus, vous devez prendre des mesures pour sécurier le transfert de données et minimiser le risque de fuite.
Enfin, vous devez fournir les données dans un format « structuré, couramment utilisé et lisible par machine ». Il s’agit de répondre au but de la portabilité des données RGPD, c’est-à-dire que la personne concernée ou un organisme tiers puisse facilement réutiliser les données. Le RGPD n’impose pas de format spécifique, tant qu’il répond aux conditions précitées.
Le meilleur moyen pour répondre aux demandes de portabilité des données RGPD consiste à offrir à vos utilisateurs la possibilité de télécharger leurs données personnelles directement sur votre site. Cela répond aux exigences de facilité d’utilisation et d’accessibilité, et vous permettra de gagner un temps précieux. Cette méthode suppose en revanche un cloisonnement préalable des données afin que la personne ne puisse récupérer que les données qu’elle a fournies.
5. Quelle est votre responsabilité en cas de portabilité des données RGPD ?
Votre responsabilité dépend selon que vous soyez l’auteur ou le destinataire du transfert de données :
- Si vous êtes l’auteur du transfert de données : Dans la mesure où vous conservez les données objet de la portabilité, vous devez toujours respecter vos obligations RGPD. Cependant, une fois que vous avez répondu à une demande de portabilité, vous n’êtes plus responsable du traitement opéré par la personne ou un organisme tiers sur les données transférées.
- Si vous êtes le destinataire du transfert de données : Si vous recevez des données suite à l’exercice d’un droit à la portabilité, vous devenez redevable envers la personne concernée de toutes vos obligations RGPD. Vous devez donc lui délivrer toutes les informations obligatoires, par exemple la finalité de votre traitement. En outre, vous devez veiller à ce que les données collectées soient pertinentes et non excessives par rapport à votre traitement. Vous avez toujours le droit de refuser de collecter les données en question.
En cas d’irrespect du RGPD, vous vous exposez à de lourdes sanctions (jusqu’à 20 millions d’euros d’amende). Il est donc impératif que vous soyez en conformité, y compris concernant le droit à la portabilité des données.
Deshoulières Avocats, cabinet d’avocats expert en droit des nouvelles technologies, accompagne de nombreuses entreprises dans leur mise en conformité RGPD. Nous vous conseillons sur toutes les questions relatives à la protection des données personnelles, y compris la mise en place du droit à la portabilité des données RGPD.
REFERENCES :
- Portabilité des données RGPD : texte officiel du RGPD
- Site de la Cnil