Les nouveaux droits du RGPD : le droit à la portabilité
Si vous suivez les actualités de la CNIL, vous avez peut-être pu suivre sa dernière table ronde concernant le droit à la portabilité. Vous n’en avez pas eu l’occasion ? Qu’à cela ne tienne ! RGPD Academy vous propose son récap’ sur le droit à la portabilité.
Le droit à la portabilité, qu’est-ce que c’est ?
Comme le nom l’indique, il s’agit d’un droit : il a été officiellement introduit par le RGPD le 25 mai 2018. Mais avant d’être un droit, la portabilité était déjà une pratique connue des opérateurs télécoms. Concrètement, la portabilité facilitait le changement d’opérateur.
Pour l’exprimer simplement, le droit à la portabilité permet à un individu de récupérer ses données, pour son usage personnel, ou bien de faire transférer ses données d’un responsable de traitement à un autre lorsque cela est techniquement possible.
En bref, il participe à un des objectifs clés du RGPD : rendre la maîtrise de ses données aux personnes concernées.
Alors, avant que vous vous précipitiez chez votre banquier pour qu’il transmette vos informations personnelles à votre médecin (chose que nous ne vous recommandons d’ailleurs pas), voyons dans quel(s) cas ce droit peut s’appliquer.
Quelles conditions ?
Voici les 3 conditions cumulatives nécessaires pour que le droit puisse s’appliquer
- Les données ont été collectées directement auprès de vous :
Cela veut dire que le droit à la portabilité ne s’appliquera pas aux données issues de sources tierces, ou même aux données déduites ou dérivées qui auraient été créées à partir des données collectées.
- Le traitement de vos données repose sur votre consentement ou sur l’exécution d’un contrat auquel vous êtes partie :
Cela veut dire que si le traitement de données repose sur une obligation légale ou sur l’exécution d’une mission de service public, le droit à la portabilité ne s’appliquera pas.
- Enfin, le droit ne joue que pour les traitements automatisés :
Le droit à la portabilité s’appliquerait en fait essentiellement dans le domaine du numérique : en effet, l’article 20 du RGPD précise bien qu’il s’applique uniquement si le traitement des données « est effectué à l’aide de procédés automatisés » et par conséquent ne couvre pas les traitements papiers.
C’est peut-être à cause de cette dernière condition que le droit à la portabilité est particulièrement méconnu, voire même, difficilement applicable. Mme Marie-Laure Denis, actuelle Présidente de la CNIL faisait d’ailleurs remarquer qu’il y avait peu de plaintes de la part des personnes concernées par rapport à ce droit.
D’ailleurs, un des rares exemples cités concernant l’application de ce droit est la portabilité d’une playlist ou d’un historique de streaming musical.
Comment vous préparer au droit à la portabilité ?
Le respect du droit à la portabilité pose en fait une question essentielle : celle de l’interopérabilité. C’est-à-dire, la capacité pour différents systèmes informatiques d’échanger des données et de parler le même « langage ».
En effet, pour pouvoir répondre à une demande de droit à la portabilité, outre le fait de devoir s’assurer qu’il est applicable au traitement, et que le demandeur est bien la personne concernée par le traitement, il faut aussi pouvoir transférer les données. Il s’agit donc bien de faciliter la circulation des données d’un organisme à un autre, et ce, de manière sécurisée tout de même.
Certains acteurs du numérique se disent prêts à répondre à ce droit… et vous ? Êtes-vous prêts ?