BLOG AIDE
    S'inscrire ou Se connecter

    Portabilité des données : ce que le RGPD implique pour votre entreprise

    Gestion d'entreprise
    Captain Contrat
    LE
    4min

    L’article 20 du Règlement Général de Protection des Données est relatif à la portabilité. Concrètement, cela signifie que les personnes dont une entreprise conserve les données, ont le droit d’obtenir ces données dans un format structuré, couramment utilisé et lisible par une machine ainsi que le droit de transférer les données directement auprès d’un nouveau responsable du traitement.

    Captain Contrat décrypte le droit en vidéo : Le RGPD pour les PME, les TPE et les startups

    Pourquoi cette notion de portabilité des données ?

    Le premier objectif affiché du nouveau règlement RGPD est de permettre à toute personne de faire jouer la concurrence entre les systèmes de gestion de données.

    On est ainsi dans un système comparable à celui de la portabilité du numéro de téléphone, en vigueur elle depuis une quinzaine d’années et considérée comme à l’origine de la révolution du marché de la téléphonie.

    Le deuxième objectif de la loi est de favoriser les nouveaux services en permettant aux données de circuler facilement, sous le contrôle de son propriétaire, à savoir la personne concernée.

    Le droit à la portabilité des données personnelles devrait automatiquement provoquer la création de nombreux services ré-utilisateurs de données avec parallèlement la création de systèmes spécialisés dans la portabilité, neutres, interopérables, faciles d’utilisation et respectant le RGPD (voir plus bas Comment la technique va-t-elle sans doute évoluer pour faciliter la portabilité des données ?).

    RGPD : consécration du droit à la portabilité des données

    Quelles données sont concernées par la portabilité ?

    Les données personnelles concernées par cet aspect du RGPD sont les données transmises par la personne volontairement (puisque son consentement est requis maintenant dans le cadre de la loi) ou collectées via son activité (historique sur un site internet par exemple).

    Il est à noter que les données issues, « calculées » par le traitement de données brutes initiales ne sont pas concernées par cette notion de portabilité.

    Par exemple, un profil établi à la suite de recoupements de fichiers ou d’actions n’est pas considéré comme la propriété de la personne concernée qui ne peut utiliser l’argument de la portabilité pour récupérer « ses » données (mais elle peut agir en amont, à la source des données).

    Par ailleurs, comme pour l’ensemble du RGPD, les données récupérées sur la base d’obligations légales, ne sont pas concernées.

     

    Quel impact pour les entreprises qui gèrent, collectent et traitent des données ?

    Comme de coutume avec le RGPD, tout commence pour les entreprises par une obligation d’information.

    Les personnes dont les données sont collectées doivent être informées du droit à la portabilité avec indication du type de données qui peuvent faire l'objet d'un transfert.

    Le responsable de traitement doit mettre en place une procédure pour transmettre les données à tout demandeur et donc en premier lieu un procédé d’authentification de l’identité du demandeur car sa responsabilité peut être engagée en cas de transmission à un tiers non autorisé.

    En ce qui concerne le transfert lui-même, la loi indique clairement que le format technique doit être lisible, sans contraintes techniques et sans frais pour le demandeur.

    Attention, qui dit transfert ne dit pas automatiquement suppression de données. On peut avoir une demande de transfert SANS demande de suppression et les données peuvent ainsi être conservées comme prévu initialement à la collecte et continuées à être traitées.

    Si le transfert est fait vers une autre société de traitement des données, cette dernière doit bien évidemment respecter le RGPD et notamment assurer la sécurité des données reçues.

    Concrètement, comment permettre le transfert ?

    Le groupe des « CNIL » des États membres de l’Union européenne, recommande essentiellement aux responsables de traitements des données, deux façons de mettre en œuvre le droit à la portabilité des données personnelles :

    1. Mise à disposition d’un fichier contenant l’ensemble des données
    2. Mise à disposition d’outils automatisés (API) permettant l’extraction des données pertinentes.
     
    powered by Typeform

    Comment l’évolution technique va-t-elle sans doute évoluer pour faciliter la portabilité des données ?

    La personne à laquelle appartiennent les données peut utiliser un système de gestion des informations personnelles afin de récupérer ses données, les conserver et en donner l’accès à d’autres responsables de traitement.

    C’est à l’heure actuelle le meilleur moyen pour les personnes auxquelles appartiennent les données de récupérer celles-ci dans un format acceptable, afin de pouvoir les transmettre.

    Par ailleurs, les responsables de traitement, en se branchant sur ce genre de systèmes, évitent de développer pléthore d’API pour d’autres systèmes de gestion de données.

     

    Facilitez la transition de votre entreprise au RGPD Je découvre  l'accompagnement RGPD

    Donnez votre avis
      ARTICLES SIMILAIRES
      RGPD 4

      protection des données personnelles

      RGPD : qui est concerné ?

      rgpd_questionnaire

      protection des données personnelles

      RGPD : évaluez en 20 questions la conformité de votre entreprise

      Données_Personnelles_DPO

      protection des données personnelles

      Délégué à la protection des données (DPO) : quel est son rôle ?

      equipe_technique_rgpd-min

      protection des données personnelles

      RGPD et équipes techniques : comment s'organiser ?

      Amélie Gautier
      A propos de Amélie Gautier

      Diplômée d'un Master en droit des affaires et passionnée par le monde de l'entreprise, Amélie s'efforce de rendre accessible les informations juridiques nécessaires aux entrepreneurs tout au long de leurs projets.

      COMMENTAIRES