Le 13 décembre 2016, le G29 (groupe de travail européen sur la protection des données) a publié ses recommandations pour la mise en œuvre du droit à la portabilité des données, nouveau droit octroyé aux citoyens par le RGPD qui entrera en vigueur le 25 mai 2018. Ce document donne plusieurs lignes directrices à destination des entreprises qui doivent se mettre en conformité avant mai 2018, car rappelons-le, un règlement est d’application directe.
Suite de l’article RGPD : Comment mettre en place le droit à la portabilité des données Partie I.
Quelle information doit être donnée en priorité à la personne concernée ?
Le responsable du traitement doit informer la personne concernée sur la disponibilité de ce droit et la possibilité d’exercer ce droit. Une information claire et compréhensible est requise et le responsable du traitement doit bien distinguer le droit à la portabilité des données des autres droits. Il doit différencier les types de données que la personne peut recevoir en vertu du droit à la portabilité des données et en vertu du droit d’accès.
Le G29 recommande que les responsables de traitement doivent toujours inclure l’information sur le droit à la portabilité avant toute fermeture de compte. Cela permettra aux personnes de réfléchir à un éventuel transfert des données vers d’autres services.
Quels outils recommande le G29 pour mettre en œuvre ce droit et quel doit être le format des données ?
Les responsables de traitement doivent offrir un moyen de téléchargement direct pour les personnes concernées mais aussi autoriser les personnes concernées à transmettre directement les données à un autre responsable de traitement (grâce à un API). Les personnes peuvent aussi souhaiter recourir à des tiers de confiance pour le stockage des données.
Le G29 recommande un format structuré, couramment utilisé et lisible par machine pour permettre les réutilisations, et un format interopérable, c’est-à-dire qu’il doit être capable d’interagir vers des objectifs communs mutuellement bénéfiques et convenus, que les applications logicielles doivent facilement identifier, reconnaitre et extraire les données spécifiques. Il n’existe pas de format type, simplement le format le plus approprié dépendra du secteur. Le format doit préserver les métadonnées
pour permettre leur réutilisation.
Quelle est la responsabilité encourue par le responsable du traitement au titre du droit à la portabilité des données ?
Le responsable du traitement qui répond à la demande de portabilité n’est pas responsable du traitement effectué par la personne qui en a fait la demande ou par le nouveau responsable de traitement qui a reçu les données. Il est responsable des mesures de sécurité pour s’assurer que les données sont transmises à la bonne personne, les entreprises devront pour cela mettre en place des mesures pour authentifier les demandeurs. Elles devront également veiller à protéger les droits des tiers dont les données peuvent être incluses. Il s’agira de recueillir leur consentement et de sélectionner les données pertinentes.
La portabilité des données ne doit pas lui permettre de conserver les données plus longtemps que nécessaire.
Le RGPD autorise les autorités de protection des données à imposer des amendes pouvant aller jusqu’à 20 000 000 € ou 4% du chiffre d’affaire annuel en cas de non-respect de la réglementation.
Comment la portabilité des données peut-elle être sécurisée ?
En général les responsables du traitement doivent garantir une sécurité appropriée des données personnelles, incluant la protection contre les traitements non autorisés ou illicites et contre les pertes accidentelles, les destructions ou dommages en utilisant des techniques appropriées ou des mesures organisationnelles (intégrité et confidentialité).
Les lignes directrices du G29 sont disponibles en anglais sur le site de la CNIL. Elles aident à comprendre et à mettre en œuvre le nouveau cadre juridique issu du règlement européen.
