RGPD
Garance Mathias, Avocat à la Cours, fait un focus sur l’un des nouveaux droits issu du RGDP, le droit à la portabilité.
Le règlement n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) entrera en vigueur le 25 mai 2018. Le règlement consacre un nouveau droit des personnes : le droit à la portabilité des données à caractère personnel. Ce droit va permettre aux personnes concernées, selon le texte même du Règlement (article 20 du GRPD), de recevoir leurs données « qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par la machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle (…) ».
Le droit à la portabilité comporte donc deux volets. En effet, les personnes concernées ont « le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement ¹» et elles ont le droit de demander la transmission de leurs données à un autre responsable de traitement directement ².
1 – Article 20, 1° du RGPD.
2 – Article 20, 2° du RGPD.
En outre, l’exercice du droit à la portabilité des données par la personne concernée n’entrave pas l’exercice de ses autres droits tels que le droit d’opposition ou le droit à la rectification et le responsable du traitement devra informer les personnes de ce droit dans le cadre de la mention d’information. Ainsi, l’organisme devra rappeler aux bénéficiaires de ce droit qu’à la suite de la transmission de leurs données, ils deviendront responsables de leur sécurité, de leur confidentialité.
Cependant, il existe plusieurs limites au droit à la portabilité. Tout d’abord, ce droit n’est pas applicable à un responsable du traitement investi d’une mission d’intérêt public. Par ailleurs, il pourra uniquement être exercé si quatre conditions cumulatives sont remplies.
Ces conditions sont les suivantes :
- 1/ Les données concernent le demandeur
Au premier abord, cette condition semble simple. Cependant, qu’en-est-il des données anonymes ou pseudonymes ? Le Groupe de travail de l’Article 29 sur la protection des données (le G29) apporte des précisions dans ses lignes directrices sur le droit à la portabilité du 5 avril 2017. Le G29 estime que les données pseudonymes sont des données à caractère personnel concernant le demandeur à la condition qu’elles permettent de directement l’identifier. En revanche, les données anonymes sont exclues.
- 2/ Les données sont fournies par la personne concernée
La personne concernée doit consciemment et volontairement fournir ses données à caractère personnel. Cela sera notamment le cas lors de l’inscription à un site où la personne concernée donne son âge ou choisit un nom d’utilisateur. Les données seront également fournies par la personne concernée lorsqu’elles sont générées par l’utilisation d’un appareil électronique ou d’un service, à l’instar d’une smartWatch par exemple. En revanche, le G29 considère que les données à caractère personnel ne sont pas fournies par la personne concernée lorsqu’elles sont dérivées, calculées ou inférées à partir des informations fournies par la personne concernée (par exemple : l’attribution d’une cote de crédit par un service financier).
- 3/ Les données ont été traitées de manière automatisée et sur la base du consentement préalable de la personne concernée ou de l’exécution d’un contrat conclu avec la personne concernée
Rappelons que le consentement est « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ³ » .Tout traitement automatisé effectué sur une autre base que le consentement ou l’exécution d’un contrat est exclu du droit à la portabilité. De même, les données des salariés traitées par les employeurs, sur la base d’un intérêt légitime ou d’obligations légales sont également exclues.Sur le plan pratique, l’organisme devra analyser ces demandes au cas par cas.
3 – Article 4, 11° du RGPD.
Article 20, 1° du RGPD.
Article 12, 5° du RGPD.
- 4/ L’exercice du droit à la portabilité ne porte pas atteinte aux droits et libertés des tiers
Lorsqu’un responsable du traitement reçoit une demande de portabilité, il est tenu de transférer les données dans un format « structuré, couramment utilisé et lisible par machine ». Le RGPD étant technologiquement neutre, aucune solution, ni aucun format ne sont préconisés. Selon la Cnil, un organisme peut ainsi répondre à une demande de portabilité en passant par la mise à disposition d’un fichier contenant l’ensemble des données portables, ou par la fourniture d’outils automatisés et d’APIs qui permettent l’extraction des données pertinentes. Quant au format, la Cnil dans son analyse des lignes directrices du G29 souhaite que les données personnelles puissent être transmises par les organismes aux personnes dans un format ouvert.
En somme, les données à caractère personnel faisant l’objet d’une demande de portabilité doivent pouvoir être réutilisées par le destinataire, à savoir le nouveau responsable du traitement ou la personne concernée.
Le droit à la portabilité est un droit gratuit. Le responsable de traitement pourra cependant exiger le paiement de frais raisonnables si la demande de la personne concernée est manifestement infondée ou excessive. Le caractère « excessif » sera, sans nul doute, apprécié selon le secteur d’activité, la nature des demandes répétées.
N’oublions pas que l’organisme, responsable du traitement, recevant les données doit respecter les principes applicables à la conformité des données personnelles (tant la réglementation nationale que le RGDP) qui lui incombe. En outre, le champ d’application très large du règlement implique que des responsables du traitement hors de l’Union Européenne pourraient y être soumis et devraient dès à présent prendre des mesures pour être en conformité.
En dernier lieu, le G29 dans ses lignes directrices souhaite que tous les acteurs concernés (industriels, associations, etc.) puissent élaborer des standards et des formats de portabilité interopérables, espérons que les grandes lignes des standards puissent être connues avant le 25 mai 2018.
Pour résumer, ce nouveau droit est loin d’être simple dans sa mise en œuvre pratique pour un organisme. En effet, l’organisme va solliciter différents acteurs (comme le DSI, ou le RSSI et le DPO) notamment dans le choix et la définition du ou des standards de format. Ainsi, un organisme, entreprise ou administration, dans le cadre de sa conformité RGDP (accountability) devra intégrer cette réflexion privacy by design liée à l’interopérabilité, à la sécurité pour l’effectivité de ce droit à la portabilité.
