L’article 20 du règlement 2016/679 relatif à la protection des données consacre un nouveau droit, le droit à la portabilité des données.
Qu’entend-on par « portabilité des données » ?
Ce nouveau droit constitue un complément au droit d’accès dont bénéficient déjà les personnes concernées. La portabilité des données vise à permettre aux personnes concernées de recevoir les données à caractère personnel qu’elles ont communiquées à un responsable de traitement dans un format structuré, couramment utilisé et lisible par machine. Les personnes concernées qui bénéficient de ce droit peuvent également demander à ce que ces données soient directement transmises à un autre responsable de traitement lorsque cela est techniquement possible.
Ce droit garantit aux personnes concernées un moyen facile de gérer et de réutiliser leurs données personnelles. Il a pour objectif de permettre la transmission de ces données à caractère personnel à un autre responsable de traitement sans entrave. En pratique, une personne titulaire d’un compte auprès d’une bibliothèque multimédia ou d’un fournisseur de messagerie électronique pourrait exercer son droit à la portabilité des données avant la fermeture dudit compte.
Notons que le droit à la portabilité des données ne peut être invoqué dans le chef de la personne concernée que lorsque le traitement de ses données est fondé sur son consentement ou est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie. A contrario, ce droit ne pourra être invoqué lorsque le traitement des données repose sur la loi, une mission d’intérêt public ou encore l’intérêt légitime du responsable de traitement.
Quel impact pour les responsables de traitement ?
Ce nouveau droit a, parallèlement, pour effet de renforcer la compétitivité entre responsables de traitement ainsi que les opportunités d’innovation et de partage des données.
En effet, pour assurer la mise en œuvre de ce droit, les responsables de traitement sont encouragés à développer des formats interopérables, sans qu’il ne soit toutefois exigé de leur part qu’ils adoptent ou maintiennent des systèmes de traitement qui soient techniquement compatibles.
Pour autant, ce nouveau droit n’implique pas une obligation complémentaire de conservation des données dans le chef du responsable. De même, celui-ci ne sera pas tenu de vérifier la qualité des données avant de les transmettre et ne sera nullement responsable en cas de violation des obligations en matière de protection des données par le nouveau responsable de traitement auquel les données auront été transmises.
Le Groupe 29 a récemment adopté des lignes directrices tendant à clarifier les conditions d’application de ce nouveau droit et préconisant, notamment, l’adoption par les associations professionnelles d’un jeu de formats et des standards interopérables.
Notre conseil :
En tant que responsable de traitement, vous devrez désormais informer la personne concernée de l’existence de ce nouveau droit à la portabilité des données, en le distinguant du droit d’accès. Vous devrez, en outre, mettre en place une procédure de réponse appropriée en cas de demande, incluant le choix d’un format interopérable de transmission des données. À défaut de se conformer à une telle obligation, vous risquez une amende administrative pouvant s’élever jusqu’à 20 000 000 EUR ou, jusqu’à 4 % du chiffre d’affaires annuel mondial total.
En tant que personne concernée, vous aurez le droit d’exiger, sous certaines conditions, la transmission de vos données sous le format d’un fichier interopérable et dans un délai raisonnable. À défaut de réponse de la part du responsable de traitement dans le délai légal, ou en cas de refus injustifié d’accéder à votre demande, vous pourrez exercer les voies de recours prévues par le RGPD.