La Loi pour une République Numérique consacre de nouveaux droits en matière de données, dont le droit à la portabilité et à la récupération des données pour les personnes. Ce droit est repris par l’article 20 du Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Le droit à la portabilité a pour but de renforcer le pouvoir des personnes sur leurs données personnelles, mais facilite également le partage de ces données de façon sécurisée et contrôlée.
Au sens de l’article 20 du RGPD, le droit à la portabilité à une double implication. Il donne aux personnes le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, mais aussi celui de demander la transmission de ces données à un autre responsable de traitement. Les données concernées par ce droit sont les données fournies par le concerné lui-même de façon consciente et volontaire et qui permettent de l’identifier directement. Sont donc exclues les données anonymes.
Ce droit crée des obligations à la charge du responsable de traitement des données. Il doit informer les personnes de l’existence de ce droit et leur donner des informations sur le type de données concernées. Il doit aussi tout mettre en œuvre pour s’assurer de l’identité du demandeur avant le transfert, au risque de voir engager sa responsabilité en cas de transmission a une personne non autorisée. Il doit effectuer le transfert dans un format lisible et sans frais.
Toutefois, son exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés des tiers.
