Le 13 décembre 2016, le G29 a publié ses recommandations pour la mise en œuvre du droit à la portabilité des données, nouveau droit octroyé aux citoyens européens par le RGPD qui entrera en vigueur le 25 mai 2018. Ce document donne plusieurs lignes directrices à destination des entreprises qui traitent de la donnée et qui doivent se mettre en conformité avant mai 2018, car rappelons-le, un règlement est d’application directe.
L’article 20 du RGPD décrit ce que sera le droit à la portabilité des données : il offre aux personnes la possibilité de récupérer les données les concernant dans un format lisible par une machine. Elles doivent pouvoir les stocker ou les transmettre facilement d’un système d’information à un autre : c’est la possibilité de ne pas juste obtenir les données pour les réutiliser mais également de les transmettre à un autre fournisseur de services.
Mettre en place ce droit nécessite cependant des informations supplémentaires, notamment des informations sur les mesures techniques à mettre en place.

D’abord, quelles données sont concernées par ce droit ?

Il doit s’agir des données qui concernent la personne : toute donnée qui est anonyme ou ne concerne pas la personne ne rentre pas dans le cadre du droit à la portabilité des données. Toutefois, les données pseudonymisées qui peuvent être reliées clairement à la personne rentre dans le cadre de ce droit.
Ensuite des données fournies par la personne elle-même : ce sont les données qui sont données sciemment et activement par la personne (par exemple sur des formulaires en ligne). Cela peut aussi inclure les données personnelles qui sont générées et collectées par les activités de la personne, comme les données brutes.
Seules les données dérivées ne tombent pas dans le cadre du droit à la portabilité des données, ce sont les données qui sont générées par le responsable de traitement pour le traitement, par un processus de personnalisation ou de recommandation, par la catégorisation de l’utilisateur ou le profilage.

Quels traitements sont couverts par le droit à la portabilité des données ?

Les responsables du traitement doivent avoir une base légale pour le traitement. A savoir soit le consentement de la personne concernée par le traitement de ses données personnelles, soit en vertu d’un contrat dont la personne est partie. Le RGPD n’établit pas de droit à la portabilité dans les cas où le traitement ne repose pas sur le consentement ou un contrat.
Egalement, le droit à la portabilité des données ne s’exerce que dans le cas de traitements automatisés et non pas les traitements sur papier.

Quel est le délai de réponse à la demande de portabilité des données ?

Le responsable du traitement doit y répondre dans le délai d’un mois après réception de la requête ou dans un maximum de trois mois dans des cas complexes à condition que la personne ait été informée des raisons de l’allongement du délai.
Il est bien de tester le temps que mettrait une transmission à partir du moment où la requête est faite et le moment où les données sont communiquées à la personne.
Le responsable de traitement qui refuse de répondre à la requête doit indiquer à la personne les raisons et la possibilité de déposer une plainte auprès de la CNIL et chercher un recours judiciaire. Ces informations doivent être données dans le délai d’un mois à compter de la demande.
Les lignes directrices du G29 sont disponibles en libre accès sur le site de la CNIL en langue anglaise.
 

A propos de Marion DRAPPER