b

Le droit à la portabilité des données

< Rapport d'information >

L’article 20 du règlement prévoit un nouveau droit à la portabilité des données : les personnes concernées par un traitement auront « le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle ». Ce droit peut s’exercer à condition que le traitement soit fondé sur le consentement ou sur l’exécution d’un contrat. Lorsque cela est possible techniquement, les données doivent pouvoir être transmises directement d’un responsable de traitement à un autre.

Par rapport au droit à la communication des données personnelles déjà prévu par la directive 95/46, le droit à la portabilité impose la transmission des données dans un format réutilisable.

La consécration du droit à la portabilité vise à assurer le renforcement du « contrôle que les personnes concernées exercent sur leurs propres données », comme l’énonce le considérant 68 du règlement, ce qui, dans un monde de plus en plus connecté, va renforcer la responsabilité individuelle, et impose donc un devoir d’éducation et d’information en direction de la population, à tous les âges.

Outre cet apport au regard des droits des personnes, le droit à la portabilité crée d’importantes opportunités économiques s’agissant du développement de nouveaux services et de nouvelles applications, par exemple en matière de consommation énergétique, ainsi que l’a souligné M. Henri Verdier, directeur interministériel des systèmes d’information et de communication, lors de son audition.

Le G29 a adopté en décembre 2016 des lignes directrices relatives à la portabilité, précisant l’étendue de ce droit et les obligations des responsables de traitement (44).

Ces lignes directrices clarifient notamment la notion de « données personnelles fournies par les personnes concernées » :

– ces données peuvent inclure des données concernant des tiers (par exemple des relevés téléphoniques comportant les appels entrants et sortants) ;

– il s’agit des données fournies activement et délibérément par les personnes concernées mais aussi des données générées et collectées à partir de leurs activités, par l’utilisation d’un service ou d’un dispositif (historique de recherche, données de trafic ou de localisation) ; en revanche ne sont pas concernées les données déduites ou dérivées des données fournies par les personnes, qui sont créées par le responsable de traitement.

Les lignes directrices précisent également que le droit à la portabilité ne devra pas porter atteinte aux droits et libertés des tiers, par exemple en les empêchant d’exercer leurs droits (droits d’accès, d’opposition). Les données des tiers ne pourront faire l’objet d’un traitement par le responsable auquel elles auront été transmises que si celui-ci est licite au sens du règlement, par exemple, s’il se fonde sur l’intérêt légitime du responsable de traitement qui fournit un service à la personne ayant transféré les données, dans le cadre d’une activité strictement personnelle ou domestique.

< Rapport d'information >