4

Le droit à la portabilité

< Rapport d'information >

L’article 48 de la loi du 7 octobre 2016 pour une République numérique prévoit la mise en œuvre, à compter du 25 mai 2018, d’un droit « de récupération de l’ensemble de ses données » pour le consommateur (article L. 223-42-1 du code de la consommation) (114).

Une distinction est faite selon le type de données concernées : s’agissant des données à caractère personnel, l’article L. 223-42-2 renvoie au régime défini par l’article 20 du règlement, qui s’applique à tous les responsables de traitement mais uniquement aux données fournies par les personnes concernées. Sur ce point, la loi nationale ne pouvait aller plus loin que le règlement européen, même si, ainsi que l’a indiqué Mme Aurélia Schaff dans ses réponses écrites à vos rapporteurs, la France aurait souhaité que celui-ci permette « de consacrer un droit à la portabilité plus ambitieux, qui permette aux personnes concernées de transférer plus facilement leurs données d’un responsable de traitement à un autre ».

S’agissant des données n’ayant pas un caractère personnel, l’article L. 223-42-3 définit un régime différent, ne concernant que les fournisseurs de service de communication au public en ligne. Ceux-ci devront proposer aux consommateurs une fonctionnalité gratuite leur permettant la récupération :

– de tous les fichiers qu’ils ont mis en ligne ( cloud computing ) ;

– « de toutes les données résultant de l’utilisation du compte d’utilisateur du consommateur et consultables en ligne par celui-ci, à l’exception de celles ayant fait l’objet d’un enrichissement significatif par le fournisseur en cause » ;

– et d’autres données associées au compte utilisateur du consommateur, non consultables en ligne mais facilitant le changement de fournisseur ou l’accès à de nouveaux services, qui seront définies par décret.

Ces deux régimes relèvent d’approches différentes, ainsi que l’a souligné M. Luc Belot, rapporteur du projet de loi : « le règlement européen porte sur la protection des données personnelles, afin de renforcer la capacité des individus à exercer une maîtrise effective de l’usage des informations identifiantes. Le projet de loi, lui, porte sur le droit de la consommation qui vise à offrir des droits nouveaux au consommateur – personne physique ou morale – et sur le droit de la concurrence, qui cherche à réduire la viscosité du marché. » (115)

Dans ses réponses écrites au questionnaire des rapporteurs, la DACS a précisé que les données n’ayant pas un caractère personnel visées par la loi sont les données anonymes au sens du règlement, c’est-à-dire les données ne contenant pas d’élément identifiant, qu’ils aient été supprimés ou qu’il n’y en ait jamais eu. Ces données étant situées hors du champ d’application du règlement, les deux régimes de portabilité sont, selon la DACS, compatibles. Elle ajoute que « ces deux régimes semblent cohérents puisque, comme le précise l’article L.224-42-3 du code de la consommation modifié par l’article 48 de la loi pour une République numérique : « […] ces données sont récupérées dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé », là où l’article 20.1 du règlement (UE) 2016/679 indique « dans un format structuré, couramment utilisé et lisible par machine ».

Cependant, vos rapporteurs soulignent que la mise en œ uvre de ces deux régimes risque de poser des difficultés d’interprétation. En effet, les demandes de récupération de données aux opérateurs de communication électronique pourront concerner des données à caractère personnel. Il serait très complexe d’opérer un tri des données selon qu’elles ont un caractère personnel ou non. En outre, les critères différents définis par le règlement et par la loi (données fournies par la personne dans le règlement ; données résultant de l’utilisation du compte utilisateur n’ayant pas fait l’objet d’un « enrichissement significatif » par le fournisseur dans la loi) risquent d’être une source supplémentaire de confusion pour les opérateurs de communication électronique. Ainsi que la CNIL l’a souligné dans ses réponses écrites, vos rapporteurs estiment donc qu’ « il conviendra sans doute d’harmoniser et de clarifier ces deux dispositifs afin que les professionnels connaissent exactement le champ de leurs obligations ».

< Rapport d'information >