Comme il est possible en matière de télécommunications de changer d’opérateur tout en bénéficiant du même numéro grâce au code RIO, vous pouvez désormais récupérer vos données personnelles confiées à un service en ligne ou à un réseau social par exemple, ce qui vous permettra ensuite de les stocker ou de les transmettre à un autre organisme. C’est ce qu’on l’on appelle le droit à la portabilité des données.
Avec le droit d’accès ou le droit à l’oubli, il s’agit d’une des règles créées par le règlement général sur la protection des données (RGPD) entré en vigueur le 25 mai 2018 :
Article 20 - Droit à la portabilité des données
Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque:
a) le traitement est fondé sur le consentement en application de l'article 6, paragraphe 1, point a), ou de l'article 9, paragraphe 2, point a), ou sur un contrat en application de l'article 6, paragraphe 1, point b); et
b) le traitement est effectué à l'aide de procédés automatisés.
Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible.
L'exercice du droit, visé au paragraphe 1 du présent article s'entend sans préjudice de l'article 17. Ce droit ne s'applique pas au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.
Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers.
Au sein d’une économie numérique dans laquelle les données personnelles jouent un rôle fondamental, cette mesure du RGPD permet de rééquilibrer les rapports avec les professionnels en donnant au consommateur un rôle plus actif grâce au renforcement de sa maîtrise sur ses données personnelles. Cette disposition permet également de favoriser la concurrence en facilitant la circulation des données, même si elle n’a pas vocation première à réglementer la concurrence mais bien les données personnelles.
Photos, vidéos, commentaires, publications, historiques d’achat, profil client... Quelles sont les données personnelles concernées ? Quelles sont celles exclues ? Comment s’exerce ce droit ? Focus sur cette disposition après avoir défini certaines notions.
Quelques définitions
Le règlement définit certains termes dans son article 4 :
Les données à caractère personnel :
« toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »
Le traitement :
« toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction »
Le responsable du traitement :
« la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre »
Que prévoit le texte ?
L’article 20 du RGPD offre gratuitement la possibilité aux personnes concernées d’une part, d’obtenir sur simple demande certaines données personnelles confiées et d’autre part, de les transmettre ou de les faire transmettre à un responsable du traitement d’un autre organisme sans que l’organisme initialement dépositaire de ces informations ne puisse y faire obstacle.
Ce droit n’a pas pour objet l’effacement des données : elles seront toujours en possession de l’organisme après avoir exercé votre droit à portabilité. C’est sur le fondement du droit à l’effacement ou droit à l’oubli et par une autre procédure que vous pourrez obtenir cet effacement. Ensuite, la mise en œuvre du droit à la portabilité ne vous empêche pas de continuer à bénéficier du service ni même de mettre en œuvre vos autres droits sur les données personnelles tant que l’organisme les détient.
Quel est l’intérêt de transmettre ses données à un autre organisme ?
L’intérêt de transmettre ses données personnelles à un organisme tiers est multiple. La transmission à un autre organisme peut être plus commode et éviter la charge administrative d’un nouvel enregistrement tout en conservant son historique.
Ce transfert d’informations est également utile à d’autres organismes qui pourront faire des offres complémentaires : la CNIL cite l’exemple des banques qui peuvent proposer des services complémentaires à la suite de la transmission des données initialement recueillies dans le cadre d’un contrat de fourniture d’énergie (Lignes directrices relatives au droit de la portabilité des données , CNIL, page 4).
Qui sont les personnes concernées ?
Il s’agit de toute personne ayant consenti à fournir à un organisme (plus précisément au responsable du traitement de cet organisme) des données personnelles pour une plusieurs ou finalités spécifiques ou lorsqu’elles sont nécessaires à l’exécution d’un contrat.
Qui sont les organismes assujettis à cette obligation ?
Seuls les organismes traitant des données personnelles à l’aide de procédés automatisés sont soumis à cette obligation. C’est le cas lorsque, sur un réseau social ou sur un site marchand par exemple, vous avez consenti au traitement de vos données personnelles pour une ou plusieurs finalités spécifiques ou pour l’exécution d’un contrat.
Quelles sont les données portables ?
Les données portables sont celles que vous avez fournies sur la base d’un consentement ou pour les nécessités d’un contrat comme votre identité, adresse, ou activité professionnelle. Mais pour donner une véritable effectivité au texte, au-delà des données fournies, ce sont également les données générées par l’activité de la personne concernée qui sont portables. Cela peut être votre historique d’achat sur un site marchand, vos réactions sur des réseaux sociaux ou encore votre historique de musiques ou de films sur un service de streaming.
Quelles sont les données qui ne sont pas portables?
Seules les données personnelles recueillies sur la base d’un consentement ou d’un contrat sont portables. Ce qui a pour conséquence d’exclure les données qui ne sont pas personnelles comme les données anonymes. L’exclusion concerne aussi les données déduites ou dérivées par le responsable du traitement : ce ne sont pas des données fournies mais générées par le responsable du traitement. Les données fournies sur d’autres fondements légaux comme la règlementation de la lutte contre le blanchiment ou celle sur le travail sont également exclues, de même que toutes les données personnelles qui ne font pas l’objet d’un traitement automatisé. Enfin, une dernière limite à l’exercice de ce droit réside dans le droit des tiers : une demande qui porterait atteinte aux droits et libertés des tiers relèverait du champ d’exclusion.
Comment s’exerce ce droit ?
Pour obtenir vos données personnelles, rendez-vous sur le site de l’organisme concerné, généralement à la rubrique « service client » « paramètres » ou encore « mes informations ». Vous devriez y trouver un bouton vous permettant de télécharger tout ou partie de vos données personnelles.
Pour en savoir plus, consultez la fiche pratique de la CNIL : https://www.cnil.fr/fr/le-droit-la-portabilite-en-questions