Professionnels : comment répondre à une demande de droit à la portabilité ?

Des solutions existent pour simplifier les procédures d’exercice du droit à la portabilité pour l’organisme et pour la personne concernée.

Par exemple :

• prévoir une fonctionnalité permettant à la personne concernée de télécharger ses données dans un format standard lisible par un ordinateur (CSV, XML, JSON, etc.) directement depuis son compte/espace authentifié.
• mettre à disposition une API sécurisée pour qu’un tiers habilité (organisme ou autre) puisse récupérer automatiquement les données.

A défaut de mettre en place ces solutions, la CNIL recommande fortement de mettre en place une procédure interne pour répondre aux demandes qui pourraient être reçues, selon les exigences et les délais prévus par le RGPD (voir « quels sont les délais pour répondre à une demande ? »).

• Les données doivent avoir été collectées sur la base légale du contrat ou du consentement. Ce droit ne s'applique donc pas aux données traitées sur le fondement d’une autre base légale, telle que l’intérêt légitime, le respect d’une obligation légale, l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.
• Le traitement doit être effectué à l'aide de procédés automatisés. Cela exclut les données personnelles conservées sous format papier.
• La portabilité concerne les données fournies par la personne concernée. C’est à dire :
  • des données déclarées activement et consciemment par la personne concernée, telles que des données fournies pour créer un compte en ligne (par ex. l’adresse électronique, le nom d’utilisateur, l’âge) ;
  • des données générées par l’activité de la personne concernée, lorsqu’elle utilise un service ou un appareil (par ex. les données brutes collectées par des compteurs communicants, les achats enregistrés sur une carte de fidélité, un historique d’événements).

En revanche, les données personnelles qui sont dérivées, calculées ou inférées à partir des données fournies par la personne concernée (profilage à des fins publicitaires, recommandations, etc.) ne rentrent pas dans le périmètre de ce droit.

Quelques exemples de données pouvant être transmises :

• des données de formulaires remplies par la personne concernée, ses données de connexion et des documents téléchargés dans un cloud ;
• des listes de lecture, des achats, des messages et interactions sur des commentaires, forums et réseaux sociaux, des données de comptes bancaires, etc.

Les données doivent être transmises, à la personne concernée ou à un tiers désigné par elle, dans un format structuré, couramment utilisé et lisible par machine. Il est possible de choisir des formats de données adaptés au type de données concernées, en privilégiant des formats ouverts et interopérables (qui peuvent fonctionner sur d’autres services).

Les formats suivants peuvent être par exemple utilisés :

• XML ;
• JSON ;
• VCF (vCard) pour les données de contacts ou carnets d’adresses ;
• CSV ;
• ODT ;
• ODS ;
• etc.

De manière plus générique, des formats ouverts comme le CSV ou le JSON seront, dans de nombreux cas, adaptés à la portabilité. Il est également possible d’assortir ces données avec un ensemble de métadonnées qui faciliteront la compréhension et la réutilisation du jeu de données transmis.

Attention : il est déconseillé de fournir les données dans une image ou un PDF, non-structurés, qui ne sont pas a priori des formats adaptés.

La demande doit être exercée par la personne concernée par les données, le titulaire de l’autorité parentale ou le responsable légal. Un tiers peut également être mandaté par la personne concernée, par exemple une personne physique ou une société, pour qu’il exerce ce droit en son nom et à sa place. Dans ce cas, le tiers en question devra justifier :

• de l’identité du mandant (l’identité du demandeur qui exerce son droit à la portabilité) ;
• de son identité en tant que mandataire ;
• de l’objet du mandat (l’exercice du droit à la portabilité) et de sa durée.

Pour plus d’information sur le mandat, consulter le projet de recommandation de la CNIL et le mandat-type.

Ainsi, le fait d’exercer ses droits depuis un espace où la personne s’est authentifiée (avec son identifiant et son mot de passe) peut être suffisant, suivant la sensibilité et la quantité de données concernées par la demande.

En outre, il n’est pas nécessaire de joindre une photocopie d’un titre d’identité en cas d’exercice d’un droit dès lors que l’identification de la personne est suffisamment établie (par exemple, par la transmission d’un ensemble d’informations seulement connue de la personne concernée et du détenteur de données, comme la date de la dernière connexion cumulée aux informations relatives à un achat, etc.).

Il faut répondre à une demande de droit à la portabilité :

• par principe dans les meilleurs délais, et dans un délai d’un mois maximum (article 12.3 du RGPD) ;
• si les demandes sont complexes et/ou nombreuses, sous 3 mois maximum (article 12.3 du RGPD).

Quelle que soit la situation, il faut informer la personne de la situation de sa demande sous un mois maximum.

Attention : le responsable de traitement doit être en mesure de démontrer la complexité de la demande dans le cas où la réponse n’est pas donnée sous un mois.

Le RGPD prévoit un principe de gratuité lors de l’exercice des droits, pour les données transmises soit au demandeur, soit à l’organisme final (article 12.5 du RGPD).

Il n’est possible de demander le paiement de « frais raisonnables basés sur les coûts administratifs » que :

• pour toute copie supplémentaire demandée par la personne concernée (par ex. si une personne exerce son droit chaque semaine) ;
• si la demande est manifestement infondée ou excessive.

Attention : le coût des « frais raisonnables basés sur les coûts administratifs » ne doit pas être une entrave à l’exercice du droit à la portabilité.

Dans certains cas, il est possible de refuser de répondre à des demandes de droit à la portabilité, mais le responsable de traitement devra justifier cette décision.

Les organismes ne sont pas tenus de répondre aux demandes de droit à la portabilité si :

• elles sont manifestement infondées ou excessives notamment par leur caractère répétitif ;
• les données demandées ne sont plus conservées.

Attention : s’il faut prendre en considération les droits de propriété intellectuelle tels que le secret d’affaire ou le droit d’auteur protégeant un logiciel avant de répondre à une demande de portabilité des données, cela ne devrait pas aboutir à refuser toute communication d’informations à la personne concernée.  

Lorsque la personne a fourni des données qui concernent également d’autres personnes, il est possible de les lui transmettre dans le cadre d’une demande de portabilité.

En revanche, le droit à la portabilité ne doit pas porter atteinte aux droits des tiers.

Exemple : un opérateur téléphonique pourra transmettre la liste des contacts du demandeur ; par contre, le nouvel opérateur ne pourra pas utiliser ces informations, par exemple pour de la prospection commerciale, sans l’accord des personnes concernées.

Non, le droit à la portabilité et le droit à l’effacement sont deux droits différents.

Les données seront supprimées si la personne en fait spécifiquement la demande, une fois la finalité du traitement atteinte ou si les durées de conservation sont dépassées.

Il est tout à fait possible de poursuivre l’utilisation d’un service après avoir demandé la portabilité de ses données.

Les données détenues par les sous-traitants sont soumises à la portabilité. Il revient au responsable de traitement de mettre en place les solutions techniques et organisationnelles qui permettront de faire respecter ce droit. Le sous-traitant sur le traitement concerné doit aider le responsable de traitement à s’acquitter de ses obligations en matière de droit à la portabilité (article 28.3.e du RGPD).

Exemple : une personne demande la portabilité de ses listes de musique sur un service en ligne, pour les utiliser sur un autre service similaire. Si le responsable du service n’a pas lui-même accès aux services de musique, il peut demander à son sous-traitant, chargé du déploiement technique du service, de lui fournir les données dans le format adapté.

Comme pour tous les droits prévus par le RGPD, la personne peut exercer son droit à la portabilité auprès de tout professionnel établi sur le territoire de l’Union européenne (UE) ou auprès de tout professionnel établi hors UE si le RGPD est applicable.