En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 15/11/2017
    Cloud Expo Europe Paris 2017

    Cloud Expo Europe, Paris 2017, c'est le grand rassemblement d'experts dédiés au Cloud. Parmi les…

    en détail En détail...
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
Conscio_Bannière

RGPD : le nouveau droit à la portabilité

Jalios_Digital Summit 2017_pave

RGPD

 

Garance Mathias, Avocat à la Cours, fait un focus sur l’un des nouveaux droits issu du RGDP, le droit à la portabilité.

 

 

 

Le règlement n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) entrera en vigueur le 25 mai 2018. Le règlement consacre un nouveau droit des personnes : le droit à la portabilité des données à caractère personnel. Ce droit va permettre aux personnes concernées, selon le texte même du Règlement (article 20 du GRPD), de recevoir leurs données « qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par la machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle (…) ».

Le droit à la portabilité comporte donc deux volets. En effet, les personnes concernées ont « le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement ¹» et elles ont le droit de demander la transmission de leurs données à un autre responsable de traitement directement ².

1 –     Article 20, 1° du RGPD.
2 –     Article 20, 2° du RGPD.

En outre, l’exercice du droit à la portabilité des données par la personne concernée n’entrave pas l’exercice de ses autres droits tels que le droit d’opposition ou le droit à la rectification et le responsable du traitement devra informer les personnes de ce droit dans le cadre de la mention d’information. Ainsi, l’organisme devra rappeler aux bénéficiaires de ce droit qu’à la suite de la transmission de leurs données, ils deviendront responsables de leur sécurité, de leur confidentialité.

Cependant, il existe plusieurs limites au droit à la portabilité. Tout d’abord, ce droit n’est pas applicable à un responsable du traitement investi d’une mission d’intérêt public. Par ailleurs, il pourra uniquement être exercé si quatre conditions cumulatives sont remplies.

Ces conditions sont les suivantes :

  •  1/ Les données concernent le demandeur
    Au premier abord, cette condition semble simple. Cependant, qu’en-est-il des données anonymes ou pseudonymes ? Le Groupe de travail de l’Article 29 sur la protection des données (le G29) apporte des précisions dans ses lignes directrices sur le droit à la portabilité du 5 avril 2017. Le G29 estime que les données pseudonymes sont des données à caractère personnel concernant le demandeur à la condition qu’elles permettent de directement l’identifier. En revanche, les données anonymes sont exclues.
  •  2/ Les données sont fournies par la personne concernée
    La personne concernée doit consciemment et volontairement fournir ses données à caractère personnel. Cela sera notamment le cas lors de l’inscription à un site où la personne concernée donne son âge ou choisit un nom d’utilisateur. Les données seront également fournies par la personne concernée lorsqu’elles sont générées par l’utilisation d’un appareil électronique ou d’un service, à l’instar d’une smartWatch par exemple. En revanche, le G29 considère que les données à caractère personnel ne sont pas fournies par la personne concernée lorsqu’elles sont dérivées, calculées ou inférées à partir des informations fournies par la personne concernée (par exemple : l’attribution d’une cote de crédit par un service financier).

 

  •  3/ Les données ont été traitées de manière automatisée et sur la base du consentement préalable de la personne concernée ou de l’exécution d’un contrat conclu avec la personne concernée
    Rappelons que le consentement est « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ³ » .Tout traitement automatisé effectué sur une autre base que le consentement ou l’exécution d’un contrat est exclu du droit à la portabilité. De même, les données des salariés traitées par les employeurs, sur la base d’un intérêt légitime ou d’obligations légales sont également exclues.Sur le plan pratique, l’organisme devra analyser ces demandes au cas par cas.
3 – Article 4, 11° du RGPD.
     Article 20, 1° du RGPD.
     Article 12, 5° du RGPD.
  •  4/ L’exercice du droit à la portabilité ne porte pas atteinte aux droits et libertés des tiers
    Lorsqu’un responsable du traitement reçoit une demande de portabilité, il est tenu de transférer les données dans un format « structuré, couramment utilisé et lisible par machine ». Le RGPD étant technologiquement neutre, aucune solution, ni aucun format ne sont préconisés. Selon la Cnil, un organisme peut ainsi répondre à une demande de portabilité en passant par la mise à disposition d’un fichier contenant l’ensemble des données portables, ou par la fourniture d’outils automatisés et d’APIs qui permettent l’extraction des données pertinentes. Quant au format, la Cnil dans son analyse des lignes directrices du G29 souhaite que les données personnelles puissent être transmises par les organismes aux personnes dans un format ouvert.

 

En somme, les données à caractère personnel faisant l’objet d’une demande de portabilité doivent pouvoir être réutilisées par le destinataire, à savoir le nouveau responsable du traitement ou la personne concernée.

Le droit à la portabilité est un droit gratuit. Le responsable de traitement pourra cependant exiger le paiement de frais raisonnables si la demande de la personne concernée est manifestement infondée ou excessive. Le caractère « excessif » sera, sans nul doute, apprécié selon le secteur d’activité, la nature des demandes répétées.

N’oublions pas que l’organisme, responsable du traitement, recevant les données doit respecter les principes applicables à la conformité des données personnelles (tant la réglementation nationale que le RGDP) qui lui incombe. En outre, le champ d’application très large du règlement implique que des responsables du traitement hors de l’Union Européenne pourraient y être soumis et devraient dès à présent prendre des mesures pour être en conformité.

En dernier lieu, le G29 dans ses lignes directrices souhaite que tous les acteurs concernés (industriels, associations, etc.) puissent élaborer des standards et des formats de portabilité interopérables, espérons que les grandes lignes des standards puissent être connues avant le 25 mai 2018.

Pour résumer, ce nouveau droit est loin d’être simple dans sa mise en œuvre pratique pour un organisme. En effet, l’organisme va solliciter différents acteurs (comme le DSI, ou le RSSI et le DPO) notamment dans le choix et la définition du ou des standards de format. Ainsi, un organisme, entreprise ou administration, dans le cadre de sa conformité RGDP (accountability) devra intégrer cette réflexion privacy by design liée à l’interopérabilité, à la sécurité pour l’effectivité de ce droit à la portabilité.

 

 

Auteur : Garance Mathias, Avocat à la Cour

Dossier publié dans Solutions Numériques N°17

RGPD : le nouveau droit à la portabilité
Notez cet article

Réussir son projet collaboratif-14 novembre

Jalios Digital Summit, une journée qui vous donnera toutes les clés pour réussir votre projet collaboratif, le 14 novembre 2017 au Centre de Conférences Cœur Défense

Inscription

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Google risque une amende record de l'UE pour abus de position dominante

    (AFP) - La Commission européenne devrait rendre dans les prochaines semaines une décision contre Google,…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Des lois pour se passer enfin du papier

    Le 5 décembre dernier en France, le décret n°2016-1673 est venu remplir le vide entourant…

    > En savoir plus...
Etudes/Enquêtes
  • G Data s'attend à 10 millions de nouveaux malwares en 2017

    Le nombre de malwares détectés atteint un nouveau record. Les spécimens comptés lors de cette…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
  • Usages et technologies : concrétisez la transformation digitale de votre métier

    > Voir le livre
  • Surveillance de réseau : un élément indispensable de la sécurité informatique

    > Voir le livre
elo_processus pointe_skyscraper