Exercice de droit

Tout savoir sur le droit à la portabilité dans le RGPD

Nous nous retrouvons pour la suite de notre série d’articles consacrés aux droits des personnes avec le droit à la portabilité. Cet article fait suite à notre vidéo 1 min pour tout comprendre du lundi 24 mai. Suivez-nous sur LinkedIn pour ne manquer aucune actualité ! 

Allongez-vous confortablement sur votre transat et c’est parti, on vous explique tout en 5 min ! ☀

Quels sont les droits des personnes ? 

Le RGPD évoque les droits des personnes au chapitre 3 du RGPD. Tous les droits ne sont pas applicables systématiquement à tous les traitements, leur application dépend notamment de la base légale du traitement. 

Avec nos anciens articles et ceux à venir, nous vous expliquons les droits suivants : 

  • Droit d’accès, 
  • Droit de rectification, 
  • Droit d’opposition (et droit de retirer le consentement), 
  • Droit à l’effacement, 
  • Droit à la portabilité. 

Tout comprendre sur le droit à la portabilité 

Le droit à la portabilité est évoqué à l’article 20 du RGPD. C’est un droit nouveau, consacré par le RGPD. Il donne à la personne concernée la possibilité de se voir transmettre les données personnelles qu’elle a fournies au responsable de traitement. Les données doivent lui être transmises dans un format couramment utilisé et lisible par machine. Ensuite, la personne peut faire le choix de transmettre ces données à un autre responsable de traitement ou solliciter le responsable de traitement initial afin que ce dernier transmette directement les données à un autre responsable de traitement. 

La différence entre le droit à la portabilité et le droit d’accès réside dans l’objectif poursuivi par la personne concernée. En exerçant son droit à la portabilité, la personne obtient ses données dans le but de les fournir à un autre responsable de traitement. Le droit à la portabilité vise à donner plus de pouvoir aux personnes concernées quant à la gestion de leurs données. Ce droit facilite la transmission de données entre responsables de traitement, sous la direction de la personne concernée. 
 

Ce nouveau droit est de nature à encourager l’interopérabilité des formats de données utilisés par les prestataires de services et ainsi donner aux personnes concernées, la possibilité de changer aisément de prestataire. Pour illustrer, une personne concernée peut demander à une plateforme telle que Deezer de lui communiquer ses données afin de les transférer ensuite à Spotify. 

Le considérant 68 du RGPD encourage les responsables de traitement à mettre en œuvre des dispositifs pour que le droit à la portabilité soit traité automatiquement, entre responsables de traitement, à la demande de la personne concernée. 

Dans le cas où le traitement de données est sous-traité, le contrat conclu entre les parties doit prévoir les mesures techniques et organisationnelles pour répondre aux demandes d’exercice de droits. Cela nécessite alors que le sous-traitant coopère avec le responsable de traitement pour répondre aux demandes, dont l’exercice du droit à la portabilité des données. 

Enfin, il faut noter que l’exercice du droit à la portabilité n’implique pas automatiquement la suppression des données. Si la personne veut voir ses données supprimées du système d’information du responsable de traitement initial, elle doit formuler une autre demande comme l’effacement de ses données.  

Les conditions d’exercice du droit à la portabilité 

Le droit à la portabilité s’applique à condition de remplir les conditions suivantes : 

1ère condition d’application : La base légale du traitement 

Pour exercer le droit à la portabilité des données personnelles, le traitement doit être fondé sur le consentement de la personne concernée ou l’exécution d’un contrat. 

2ème condition d’application : Le traitement 

Le droit à la portabilité ne s’applique qu’aux traitements automatisés de données. 

3ème condition d’application : Les données concernées 

Le droit à la portabilité s’applique uniquement aux données à caractère personnel qui ont été fournies directement par la personne concernée. Les données pseudonymisées entrent dans le champ d’application du droit à la portabilité. En effet, ce processus est réversible et les données peuvent être rattachées à la personne. En revanche, ce n’est pas le cas pour les données anonymisées.  

Les données « fournies par la personne concernée » sont d’une part les données qu’elle renseigne par exemple dans un formulaire de collecte (comme lors de la création d’un compte client ou utilisateur), il s’agira par exemple du nom, prénom, adresse mail, etc. Mais d’autre part, il s’agit également des informations qui découlent de son activité. Autrement dit, ce sont les données que la personne génère en utilisant le service du responsable de traitement. En ce sens, un historique de recherche ou une liste d’écoute sur une application streaming entrent dans le champ d’application du droit à la portabilité, car ces données sont considérées comme étant directement fournies par la personne. 

Ce n’est pas le cas des données qui sont dites déduites ou dérivées, celles-ci sont créées par le responsable de traitement d’après les données fournies par la personne. Ces données sont générées par le responsable de traitement, sans être fournies directement par la personne concernée. Il peut s’agir par exemple des suggestions fournies par une application de streaming musical : la plateforme déduit un profil en fonctions des écoutes de l’utilisateur.4ème condition d’application : le format des données  

 Il convient de noter que les données transmises dans l’exercice de ce droit doivent l’être sous un format structuré, couramment utilisé, facilement lisible par la machine. Les autorités de contrôle encouragent les responsables de traitement de choisir des formats de données adaptés au type de données concernées en ayant recours de préférence à des formats ouverts et interprétables.

  

Les limites au droit à la portabilité 

L’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés des tiers. Il s’agit non seulement de ne pas transmettre les données d’un tiers, mais aussi de respecter la propriété intellectuelle et le secret des affaires. 

Les données de tierces personnes peuvent être transférées dans certains cas, sans leur consentement. C’est par exemple le cas lorsqu’une personne exerce son droit à la portabilité auprès d’un opérateur téléphonique. Dans ce cadre il peut obtenir communication de son  annuaire de contacts. Le responsable de traitement doit transférer les données contenues dans cet annuaire afin que le droit à la portabilité soit respecté. Cet annuaire contient cependant les données personnelles de personnes n’ayant pas consenti à ce que leurs données soient transférées vers un autre responsable de traitement.  Les données peuvent être transférées au nouveau responsable de traitement à condition que celui-ci ne les utilise pas dans son propre intérêt. Ce transfert doit simplement servir l’intérêt de la personne exerçant son droit, qui utilise les données aux mêmes fins, pour un usage personnel et sous sa propre responsabilité. Le nouveau responsable de traitement ne peut pas, par exemple, réutiliser ces données à des fins de prospection commerciale. 

Mission RGPD et le droit à la portabilité 

Vous n’avez pas le temps ? Vous êtes perdu ? Vous avez du mal à gérer votre conformité et plus précisément les droits des personnes ? 

Mission RGPD vous permet de créer un formulaire d’exercice de droits. Sur la plateforme Mission RGPD, vous disposez d’un lien unique à mettre à disposition des personnes (sur le site internet vitrine, dans les différents mails, etc.). Lorsque la personne veut exercer un droit, elle remplit directement ce formulaire en ligne. Une fois le formulaire remplit, la demande d’exercice de droit est automatiquement renseignée dans la plateforme Mission RGPD, vous n’avez plus qu’à répondre grâce à nos modèles ! 

Gérez votre conformité en toute simplicité et sérénité ! 



Votre diagnostic RGPD en 5 min 🚀

Votre entreprise et sa conformité au RGPD

Êtes-vous sûr de votre conformité ? 

Pour savoir où vous en êtes, réalisez votre diagnostic gratuit en ligne et obtenez :


> votre niveau de maturité RGPD,
> les recommandations de nos experts.