Retour au blog

Qu’est-ce que le droit à la portabilité ?

Le droit à la portabilité consiste pour toute personne physique concernée par le traitement de données, à pouvoir recevoir ses données collectées par un responsable de traitement, dans un format structuré, et interopérable, afin de pouvoir les réutiliser pour ses propres finalités ou les transmettre à un autre responsable de traitement, conformément à l’article 20 du RGPD, et aux lignes directrices du groupe de travail “article 29” (G29) . Le droit à la portabilité doit favoriser la circulation des données à la demande de l’individu.

Cependant, le droit à la portabilité ne s’applique pas dans tous les types de traitement de données personnelles. Le considérant 68 du RGPD précise les conditions dans lesquelles le droit à la portabilité s’exerce. Ainsi, ce droit ne doit pas porter atteinte aux droits et libertés des autres personnes concernées. Le droit à la portabilité ne doit pas non plus faire obstacle au droit à l’effacement des données de la personne concernée : les responsables de traitement ne pourront valablement s’en prévaloir pour conserver des données personnelles.

En effet, les données ne sont obligatoirement portables que lorsque le traitement est fondé sur le consentement de la personne, ou dans le cadre de l’exécution d’un contrat. De même, seules les données fournies par la personne concernée sont portables. La notion de données “fournies” doit être entendue au sens large. Ainsi, le G29 recommande aussi d’inclure « les données observées fournies par la personne concernée grâce à l’utilisation du service ou du dispositif » qui sont par exemple des données de localisation, des données comme le rythme cardiaque ou encore l’historique d’utilisation d’un site web. Ainsi, les données fournies sont celles qui « résultent de l’observation du comportement d’une personne, mais excluent les données résultant d’une analyse subséquente de ce comportement » .

Néanmoins, les données enrichies ou inférées par le responsable de traitement ne sont pas obligatoirement portables, l’utilisation de celles-ci étant par ailleurs protégées par la réglementation sur la propriété intellectuelle. Les données “anonymisées” ne le seraient pas non plus. Dès lors, les données créées lors d’un processus de recommandation et de personnalisation par catégorisation ou profilage restent en dehors du champ de l’article 20 en ce qu’elles appartiennent au responsable de traitement. Par exemple, les scorings des assureurs, qui permettent d’évaluer les risques d’un assuré potentiel, sont exclus du droit à la portabilité des données.

L’article 20§1 du RGPD exige que les données soient transmises « dans un format structuré, couramment utilisé et lisible par machine ». Cela implique l’interopérabilité du traitement des données, et la généralisation d’un ou plusieurs formats “standards”. Le Groupe 29 encourage l’adoption de formats ouverts communément utilisés, sans prescrire de formats précis. Comme le relève B. Van Asbroeck « une incertitude demeure quant à la question de savoir si le format en tant que tel doit être interopérable, ou si ceci est une question de  bonnes pratiques que les responsables du traitement sont encouragés à adopter ». En l’absence d’obligation de comptabilité et d’un système d’interopérabilité universel, les opérateurs privés conservent une marge de manœuvre dans la mise en œuvre du droit à la portabilité.