Depuis la mise en place du RGPD, les consommateurs ont accès à un nouveau droit en ce qui concerne la gestion de leurs données personnelles, et leurs traitements par des tiers. Un individu peut donc à tout moment faire valoir son droit à la portabilité des données qui le concernent. Dans le cadre du droit à l’information, les personnes concernées doivent également prendre connaissance de façon transparente de l’existence de ce dispositif légal.
La portabilité des données en quelques mots
Le principe de la portabilité s’applique dans le cas où un tiers a collecté des données personnelles relatives à une personne physique. On la définit comme étant toute information qui permet d’identifier une personne, de ses coordonnées jusqu’à son nom, en passant par un matricule.
La portabilité permet alors de demander l’export de toutes les informations qui ont été archivées par le responsable de traitement (et son sous-traitant) afin d’en faire un autre usage personnel.
Conditions préalables à la portabilité
Seule la personne concernée est en mesure de demander la portabilité. Le respect de la vie privée implique l’impossibilité de transmission des informations personnelles à d’autres individus ou organismes. De la même manière, la demande ne doit en aucun cas porter atteinte aux droits ou aux libertés de quelqu’un d’autre. Aussi la portabilité n’est-elle possible que dans le cas d’une collecte numérique automatisée.
Objectifs de la portabilité des données dans le cadre du RGPD
Dans le contexte du Règlement Général de la Protection des Données, la portabilité est un outil qui favorise la maîtrise des informations personnelles par la personne elle-même. En effet, en acceptant la collecte grâce à un formulaire de consentement, le responsable de traitement enregistre un certain nombre de renseignements dans ses bases. Le registre des activités de traitements, tenu au sein de l’organisation, précise alors les enjeux de chaque inscription. Mais pour un individu, le RGPD se fonde sur la possibilité de contrôler soi-même les données qui ont été collectées.
C’est la raison pour laquelle ce dispositif concerne à la fois les informations consciemment autorisées aux traitements (par un formulaire), et celles générées par l’activité de la personne. L’enregistrement des achats grâce à une carte de fidélité fait partie des éléments sujets à la portabilité.
En ce sens, la portabilité des données autorise non seulement la consultation des différentes informations, mais surtout le traitement personnel. On peut alors les archiver dans un Cloud privé, ou bien les transmettre à un organisme tiers pour un autre usage. Par ailleurs, lorsque les moyens techniques le permettent, la portabilité peut être automatisée en permettant le transfert d’une organisation responsable de traitement à une autre.
Ce que le RGPD ne permet pas
Le RGPD encadre le traitement des données personnelles dans le cadre du consentement ou de l’exécution d’un contrat. Donc la portabilité n’est pas applicable aux différentes informations que peut collecter un employeur dans le cadre de ses obligations légales. De plus, elle est impossible en ce qui concerne les registres bancaires, ou toute information traitée pour la lutte contre le blanchiment d’argent.
Quand exercer son droit à la portabilité des données
La demande de l’application de son droit à la portabilité des données n’a pas à être justifiée. En effet, en tant que demande personnelle et pour un usage personnel auprès du responsable de traitement, chaque individu est libre d’en faire l’usage selon ses besoins.
La personne se confronte alors à un dispositif d’identification, qui permet alors de prouver son identité puisque seule la personne concernée peut obtenir les données.
En principe la demande est gratuite et aucune prestation ne peut être facturée dans ce contexte. Le responsable de traitement a cependant la possibilité de demander un paiement au cas où il est en mesure de démontrer le caractère abusif et répétitif de la procédure pour un individu.
Demander l’application de mon droit
Le consommateur peut demander à un responsable de traitement, à tout moment, la portabilité de ses données personnelles. Il est conseillé aux organisations de ne jamais faire entrave à ces demandes. La présence d’informations qui concernent des tiers n’est alors pas un motif de refus possible, dès lors que la procédure a pour but un usage personnel et que les tiers font partie de l’entourage du demandeur.
Permettre alors le retraitement et la transmission à un tiers, ou un archivage personnel est favorisé par l’envoi au demandeur d’une donnée structurée. La réglementation parle même d’un format “structuré, couramment utilisé et lisible par machine”, ce qui implique un réemploi facile. Aucun format spécifique n’est cependant spécifié par le RGPD. En effet, selon les technologies et les dispositifs employés, ces derniers peuvent être différents d’un responsable de traitement à un autre. Le caractère interopérable des exports est prioritaire.
Dès lors que les données ont été transmises à l’individu demandeur, le responsable de traitement n’en est plus responsable. Lorsque la portabilité visait le transfert à un autre organisme, ce dernier dispose des mêmes obligations, notamment d’information, d’application du droit d’oubli, de la portabilité, etc.
Grâce au RGPD, la portabilité est un droit tout à fait intéressant pour les personnes qui souhaitent obtenir une maîtrise plus grande de leurs données. Ils peuvent non seulement en autoriser le traitement lors de consentement ou l’exécution d’un contrat, mais ils disposent également des clefs pour en faire un usage personnel.
