Portabilité des données : que va permettre le RGPD ?

par
5
Consulter un avocat spécialisé en RGPD

Sommaire

L’article 20 du Règlement Général de Protection des Données est relatif à la portabilité. Concrètement, cela signifie que les personnes dont une entreprise conserve les données, ont le droit d’obtenir ces données dans un format structuré, couramment utilisé et lisible par une machine ainsi que le droit de transférer les données directement auprès d’un nouveau responsable du traitement.

Captain Contrat décrypte le droit en vidéo : Le RGPD pour les PME, les TPE et les startups

 

Pourquoi cette notion de portabilité des données ?

 

Le premier objectif affiché du nouveau règlement RGPD est de permettre à toute personne de faire jouer la concurrence entre les systèmes de gestion de données.

On est ainsi dans un système comparable à celui de la portabilité du numéro de téléphone, en vigueur elle depuis une quinzaine d’années et considérée comme à l’origine de la révolution du marché de la téléphonie.

Le deuxième objectif de la loi est de favoriser les nouveaux services en permettant aux données de circuler facilement, sous le contrôle de son propriétaire, à savoir la personne concernée.

Le droit à la portabilité des données personnelles devrait automatiquement provoquer la création de nombreux services ré-utilisateurs de données avec parallèlement la création de systèmes spécialisés dans la portabilité, neutres, interopérables, faciles d’utilisation et respectant le RGPD (voir plus bas Comment la technique va-t-elle sans doute évoluer pour faciliter la portabilité des données ?).

 

Quelles données sont concernées par la portabilité ?

 

Les données personnelles concernées par cet aspect du RGPD sont les données transmises par la personne volontairement (puisque son consentement est requis maintenant dans le cadre de la loi) ou collectées via son activité (historique sur un site internet par exemple).

Il est à noter que les données issues, « calculées » par le traitement de données brutes initiales ne sont pas concernées par cette notion de portabilité.

Par exemple, un profil établi à la suite de recoupements de fichiers ou d’actions n’est pas considéré comme la propriété de la personne concernée qui ne peut utiliser l’argument de la portabilité pour récupérer « ses » données (mais elle peut agir en amont, à la source des données).

Par ailleurs, comme pour l’ensemble du RGPD, les données récupérées sur la base d’obligations légales, ne sont pas concernées.

 

Quel impact pour les entreprises qui gèrent, collectent et traitent des données ?

 

Comme de coutume avec le RGPD, tout commence pour les entreprises par une obligation d’information.

Les personnes dont les données sont collectées doivent être informées du droit à la portabilité avec indication du type de données qui peuvent faire l'objet d'un transfert.

Le responsable de traitement doit mettre en place une procédure pour transmettre les données à tout demandeur et donc en premier lieu un procédé d’authentification de l’identité du demandeur car sa responsabilité peut être engagée en cas de transmission à un tiers non autorisé.

En ce qui concerne le transfert lui-même, la loi indique clairement que le format technique doit être lisible, sans contraintes techniques et sans frais pour le demandeur.

Attention, qui dit transfert ne dit pas automatiquement suppression de données. On peut avoir une demande de transfert SANS demande de suppression et les données peuvent ainsi être conservées comme prévu initialement à la collecte et continuées à être traitées.

Si le transfert est fait vers une autre société de traitement des données, cette dernière doit bien évidemment respecter le RGPD et notamment assurer la sécurité des données reçues.

 

Concrètement, comment permettre le transfert ?

 

Le groupe des « CNIL » des États membres de l’Union européenne, recommande essentiellement aux responsables de traitements des données, deux façons de mettre en œuvre le droit à la portabilité des données personnelles :

  1. Mise à disposition d’un fichier contenant l’ensemble des données
  2. Mise à disposition d’outils automatisés (API) permettant l’extraction des données pertinentes.

Comment l’évolution technique va-t-elle sans doute évoluer pour faciliter la portabilité des données ?

 

La personne à laquelle appartiennent les données peut utiliser un système de gestion des informations personnelles afin de récupérer ses données, les conserver et en donner l’accès à d’autres responsables de traitement.

C’est à l’heure actuelle le meilleur moyen pour les personnes auxquelles appartiennent les données de récupérer celles-ci dans un format acceptable, afin de pouvoir les transmettre.

Par ailleurs, les responsables de traitement, en se branchant sur ce genre de systèmes, évitent de développer pléthore d’API pour d’autres systèmes de gestion de données.

Besoin d'accompagnement pour vous mettre en conformité avec le RGPD ? Consultez nos avocats spécialisés dans le domaine. Pour en savoir plus sur notre prestation cliquez ci-dessous. 

Maxime

Écrit par

Maxime

Après avoir travaillé en finance à l'international puis dans la grande distribution en France, Maxime est devenu dirigeant d'entreprise. En contact avec de nombreux entrepreneurs, sa mission est de simplifier l'accès au droit grâce au numérique et favoriser le développement de l'entrepreneuriat en France.

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Quelles sont les sanctions en cas de non-respect du RGPD ?

La protection des données est l’une des questions les plus importantes de notre époque ultra ...

Amélie Gautier

Amélie Gautier

RGPD : évaluez en 20 questions la conformité de votre entreprise

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD) entrera en ...

Maxime

Maxime

L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de ...

Me Benjamin Znaty

Me Benjamin Znaty

Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, vise à ...

Me Mathilde Lefroy

Me Mathilde Lefroy

La clause de confidentialité dans le contrat de travail

Pour éviter la divulgation d’un secret professionnel par un employé, le droit français a créé un ...

Maxime

Maxime

Accord de confidentialité : pourquoi et comment le rédiger ?

Vous envisagez de transmettre des informations sensibles à un partenaire commercial potentiel ? Au ...

Philippe

Philippe

Les limites de la protection des données personnelles du salarié

Dans le cadre d’une entreprise, de nombreuses informations au sujet du salarié sont conservées pour ...

Maxime

Maxime

Qu’est-ce qu’une charte/politique de confidentialité ?

En raison du fort développement des services en ligne, les données personnelles des utilisateurs ...

Me Julien Smadja

Me Julien Smadja

RGPD : qui est concerné ?

L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données ...

Maxime

Maxime

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier