Le droit à la portabilité des données est un nouveau droit des personnes concernées prévu à l’article 20 (1) du nouveau règlement relatif à la protection des données personnelles (GDPR).
Ce droit vise à permettre à toute personne concernée de demander au repsonsable de traitement de transmettre ses données personnelles soit à l’individu lui-même, soit à un autre responsable de traitement afin que celui-ci puisse fournir son service. L’objectif et la portée de ce droit doivent être distingués du droit d’accès qui vise à fournir aux individus une copie de toute donnée détenue par un responsable de traitement pour quelque raison que ce soit et non pas nécessairement pour leur réutilisation.
Lorsqu’il s’agit d’appliquer les dispositions relatives aux droits à la portabilité, il est nécessaire de répondre aux questions suivantes:
Comment informer les utilisateurs de leur droit à la portabilité des données?
Quelle procédure suivre pour traiter une telle demande? (ex: Le responsable de traitement peut-il refuser de traiter la demande, les frais d’accusation, combien de temps doit-il répondre, comment doit-il authentifier le demandeur, etc.)
Quel est le contenu, le format et le destinataire d’une telle demande?
Que peut faire le responsable de traitement destinataire (le cas échéant) des informations reçues?
1.Information des personnes concernées du droit à la portabilité des données
Dans la notice d’information fournie aux personnes concernées lors de la collecte de leurs données, le responsable du traitement doit clairement distinguer le droit à la portabilité des données des autres droits et plus particulièrement du droit d’accès et devrait indiquer clairement les données qu’un individu peut s’attendre à recevoir lors de l’exercice de son droit à la portabilité des données.
2. Procédure à suivre (elle s’applique également aux autres droits des personnes concernées)
Authentification. Les responsables de traitements devraient mettre en place un processus d’authentification pour s’assurer que le demandeur est la personne concernée par la demande. Cette exigence ne devrait pas être un problème lorsqu’un compte est nécessaire pour se connecter. Toutefois, en cas de doute quant à l’identité du demandeur, le responsable de traitement doit demander des informations supplémentaires.
Délai de réponse.La demande doit être traitée sans retard indu et au plus tard dans le mois suivant la réception de la demande. Dans le cas d’une demande complexe, une prolongation de deux mois est possible.
Refus / frais. Les responsables de traitements ne devraient pas refuser ou facturer des frais pour traiter la demande, sauf si elle est infondée ou excessive. Les demandes répétitives pourraient être une raison de refus ou de facturation, mais le responsable de traitement doit prouver qu’il s’agit d’une charge excessif. Selon le G29, il est peu probable que les demandes répétitives soient une charge excessive pour le fournisseur de services sur internet.
S’il refuse de répondre à la demande, le responsable de traitement doit toujours informer l’utilisateur de ce refus et l’informer de son droit de porter plainte auprès de l’autorité.
3. Contenu et format de la demande
Étape 1: Identification du traitement concerné
Afin d’extraire les données pertinentes relevant du champ d’application du droit à la portabilité des données, il est nécessaire de définir les traitements concernés.
Conformément à l’article 20 du GDPR reproduit ci-dessus, les opérations de traitement concernées doivent se fonder:
– sur le consentement de la personne concernée; ou
– l’exécution d’un contrat
Cela signifie que tout autre traitement de données basé sur d’autres bases légales tel que l’intérêt légitime ou l’obligation légale doit être exclu de la demande.
En plus de ces critères, les données doivent être traitées par des moyens automatisés. Par conséquent, tout traitement manuel devrait également être exclu.
Étape 2: identification des données à transmettre
Une fois les traitements concernée déterminé (ceux basés sur le consentement / le contrat), les données à transmettre à l’individu ou au nouveau responsable de traitement doivent être celles :
– qui concernent la personne concernée; et
– que la personne concernée a fournies
« Les données la concernant » signifie que les données anonymes ou les données de tiers sont hors du champ d’application de la demande. Toutefois, le critère ne devrait pas être appliqué de manière restrictive. Le G29 considère qu’une conversation enregistrée devrait être transmise à la personne concernée même si un tiers est concerné. Malgré une position extensive des autorités, les responsables de traitement doivent être prudents lorsqu’il s’agit de partager des données de tiers et ne doivent pas transmettre ces données si cela porte atteinte aux droits et libertés d’autrui.
Les données pseudonymisées qui peuvent être clairement liées à une personne concernée (par exemple, en fournissant l’identifiant respectif) devraient relever du droit à la portabilité des données (article 11 (2)).
Les données fournies par la personne concernée sont celles collectées lorsque la personne remplit un formulaire ou répond aux questions par téléphone. Mais encore une fois, la définition ne doit pas être interprétée trop étroitement.
En effet, les données générées et collectées du fait des activités des individus ainsi que l’observation de leurs comportements doivent être incluses. Cela comprend les données recueillies via des cookies ou toute autre technologie de suivi équivalente (ex : historique, données de trafic, données de localisation, autres données brutes telles que le rythme cardiaque …)
Au contraire, les données dérivées créées par le responsable de traitement sur la base des données fournies par l’individu devraient être exclues du champ d’application du droit de portabilité des données.
Cela signifie que seules les données brutes doivent être transmises et non pas l’analyse et les commentaires qui découlent de l’analyse des données brutes.
Il est également recommandé d’ajouter les métadonnées nécessaires pour permettre la réutilisation des données (une copie de la boîte de courrier électronique devrait être envoyée avec les métadonnées pour pouvoir être transférée au nouveau fournisseur de courrier électronique).
Étape 3: format de la réponse et destinataire
Le format choisi doit favoriser la réutilisation des données puisque c’est le but du droit à la portabilité des données. Selon la réglementation, les données doivent être fournies dans un format structuré, couramment utilisé et lisible par machine. Il doit également être interopérable.
Il n’existe pas de recommandations spécifiques car le type de données à transmettre peut varier d’un secteur à l’autre, la limite étant que les responsables de traitements n’ont pas à adopter ou maintenir un système de traitement techniquement compatible. Toutefois, le format soumis à des contraintes coûteuses en matière de licences ne serait pas considéré comme adéquat.
Le G29 encourage les intervenants de l’industrie et les associations commerciales à travailler ensemble pour convenir d’un ensemble commun de normes et de formats afin de répondre aux exigences.
Par conséquent, il n’y a pas de réponse unique à la question du format et les responsables de traitements doivent faire de leur mieux pour fournir un format permettant la réutilisation facile des informations.
Le destinataire de l’information doit être au choix de la personne qui fait la demande, soit lui-même ou un autre responsable de traitement pour que ce dernier fournisse son service.
En termes de sécurité, le responsable de traitement qui envoie les informations à l’utilisateur ou à un autre responsable de traitement, est responsable de la sécurité des informations transmises jusqu’à ce qu’elle soit entre les mains du destinataire.
4. Que peut faire le responsable de traitement destinataire des informations?
Lorsque la personne concernée demande que ses données soient transmises à un autre responsable de traitement, celui-ci devrait uniquement utiliser les informations nécessaires pour fournir son service et supprimer toute information inutile. Il ne doit pas non plus utiliser les informations pour son propre usage (autre que la fourniture du service), comme pour le marketing direct ou le profilage, sauf s’il a obtenu le consentement de la personne.
Cette publication est également disponible en en_GB.