Retour au blog

Les contours du droit à la portabilité

Plusieurs droits découlent du droit à la portabilité. D’abord, ce nouveau droit permet à la personne concernée de recevoir ses données à caractère personnel dans un format qui permette leur réutilisation. Ce droit permet aussi et surtout de transmettre les données à caractère personnel d’un responsable de traitement à un autre opérateur, sans que le premier n’y fasse obstacle. L’article 20 du RGPD indique que ce transfert peut se faire directement, lorsque cela est techniquement possible.

Le droit à la portabilité des données personnelles se veut donc être un outil qui aille dans le sens d’un contrôle croissant des individus sur leurs données personnelles. Cependant, si la standardisation est une condition nécessaire, elle ne semble pas suffisante pour rendre effectif l’ « empowerment » de l’individu sur ses droits. En effet, la portabilité directe d’un responsable de traitement à un autre soulève une interrogation quant au respect du consentement et aux modalités de son retrait. Si la personne concernée autorise le transfert de ses données d’un responsable de traitement initial vers un autre, quelle sera la garantie que le flux de données s’interrompra automatiquement en cas de retrait de consentement ? La réutilisation des données par le responsable de traitement récipiendaire sera-t-elle conforme à la finalité consentie ?

Une portabilité directe entre responsables de traitement qui ne saurait pas limiter les finalités de réutilisation n’est pas souhaitable, elle diminuerait largement la confiance des utilisateurs qui perdraient rapidement la maîtrise de l’utilisation de leurs données entre tous leurs responsables de traitement et n’offrirait aucun moyen de contrôle efficace.

Pour répondre à un objectif de réutilisation des données portables, dans le respect des droits des individus, ce nouveau paradigme de transfert de données centré sur l’utilisateur ne pourra se développer que si les utilisateurs ont confiance dans la capacité des responsables de traitement à respecter les conditions de traitements consenties. Les responsables de traitement doivent donc développer un comportement éthique, être transparents vis-à-vis de ceux qui les ont autorisés à accéder à leurs données.

Ce climat de confiance pourrait être favorisé par le recours à des fournisseurs de système de gestion des informations personnelles (PIMS – Personal Information Management Systems), sur lesquels nous reviendrons au paragraphe A.4, qui offriront aux utilisateurs des outils pour faciliter les transferts et contrôler notamment que les données transférées ne sont pas traitées de manière non autorisée.  

CC-BY-FING : MesInfos – juin 2017

Dans son essence même, on constate donc que le droit à la portabilité est éminemment rattaché à la personne concernée : c’est elle qui a le droit de recevoir puis de transmettre ses données. Le droit à la portabilité est donc centré sur l’humain qui contrôle la circulation de ses données.