RGPD : 5 points à retenir sur le nouveau droit à la portabilité

Le Règlement Européen sur la Protection des Données - RGPD entrera en application le 25 mai 2018, avant ça, il faut s’y préparer. De nombreuses précisions sont attendues de la part des diverses parties prenantes afin de mieux appréhender le texte du Règlement et prévoir les mesures pour s’y conformer.
Concernant le droit à la portabilité, introduit par l’Article 20 du RGPD, le G29 s’est déjà positionné une première fois sur l’interprétation du RGPD en décembre dernier. A l’occasion de la révision et de l’adoption des « Guidelines on the right to data portability » de début avril, nous vous proposons de revenir sur 5 éléments structurants de ces lignes directrices.

Le droit à la portabilité comporte deux facettes. D’une part c’est le droit pour la personne concernée de recevoir une copie de ses données en vue de les conserver et/ou de facilement les réutiliser. D’autre part, l’exercice de ce droit permet à une personne concernée de transférer les données qui la concerne d’une responsable de traitement à un autre sans possibilité pour le premier de s’y opposer.

1. Bien identifier la base légale de ses traitements

Le droit à la portabilité s’applique lorsque le traitement de données personnelles est basé sur le consentement des personnes concernées ou sur une relation contractuelle entre la personne concernée et le responsable de traitement. Ainsi, pour les traitements basés sur l’intérêt légitime, comme souvent pour les traitements RH ou dans une relation B2B le droit à la portabilité ne s’appliquera pas.
A noter que les fichiers non-automatisés ne sont pas concernés par le droit à la portabilité, à ce titre, les traitements « papier » seront donc exclus du champ d’application de ce droit.

2. Savoir quelles données fournir en cas de demande

En cas de demande d’exercice du droit à la portabilité, il faudra être capable de fournir les données relatives à la personnes concernées. Cela inclut les données que la personne concernée à directement fournies (par exemple les données d’identité pour la création d’un compte), ainsi que celles qui ont été générées par l’utilisation qu’elle a faite du service ou du matériel (par exemple un historique de navigation). Les données pseudonymisées entrent également dans le champ d’application de ce droit.
Ne sont pas incluses : les données anonymisées, les résultats de l’analyse des données ou les données dérivées de l’utilisation du service/du matériel. Les données transmises dans le cadre d’une portabilité ne devront pas impacter négativement une tierce personne.
Enfin, dans l’idéal, une personne concernée devrait pouvoir choisir un sous-ensemble de ses données sur lesquelles elle souhaite faire appliquer son droit à la portabilité.

3. Etre vigilant quant au format

Les données personnelles doivent nécessairement être fournies dans un format facilement lisible sur un ordinateur et réutilisable (format structuré et courant) pour la personne concernée ou un éventuel autre responsable de traitement. Il ne sera pas possible de fournir les informations sur papier, contrairement à cette possibilité pour le droit d’accès (Article 15 du RGPD). Pour certains services spécifiques, des standards d’interopérabilités pourront être mis en œuvre mais cela représente un travail non négligeable.

4. Transmettre les données, ainsi que la responsabilité

Lors de la transmission des données, à la personne concernée ou directement un autre responsable de traitement qu’elle aura désigné au préalable, le responsable de traitement « emetteur », n’est pas responsable de l’usage qui est fait des données ou de la conformité du destinataire. Il n’agit que sur mandat de la personne concernée, mandat qui bien sûr doit être formalisé pour servir le principe d’« accountability ».

5. Tout en assurant la sécurité du transfert et son devoir de conseil

Le responsable de traitement a une obligation de sécurisation des données personnelles qui lui ont été confiées (Article 32 du RGPD). Il est donc important qu’il prenne soin de sécuriser le canal de transmission ou les données elles-mêmes en les chiffrant. L’identité de la personne concernée doit être vérifiée, par exemple en lui demandant de s’authentifier avant de faire une demande de portabilité. Si la personne concernée récupère ses données, le responsable de traitement devra être force de conseil en lui indiquant les bonnes pratiques de sécurité.

Le droit à la portabilité, tout comme les nouveaux droits introduits par le RGPD (droit à la limitation, à l'effacement) visent à redonner aux personnes concernées le contrôle de leurs données personnelles.
Cette thématique avait d'ailleurs été évoquée lors de la 11ème université des CIL organisée par l'AFCDP, dont nous vous en faisions un résumé dans cet article.

Par Adèle Adam Data Protection Officer chez Claranet France

Contactez-nous

Contactez-nous

Nous construisons des solutions sur mesure pour nos clients.
Les informations recueillies à partir de ce formulaire font l’objet d’un traitement informatique destiné à la société Claranet afin de nous permettre de traiter la demande pour laquelle vous nous sollicitez. Les destinataires des données sont les services marketing et commerciaux du groupe Claranet. Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée, vous disposez d’un droit d’accès et de rectification aux informations qui vous concernent. Veuillez-vous rapportez à la section des mentions légales de notre site internet pour de plus amples informations sur les modalités d’exercice de ces droits. Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.
3 + 14 =
Trouvez la solution de ce problème mathématique simple et saisissez le résultat. Par exemple, pour 1 + 3, saisissez 4.

Pour contacter un commercial

N'hésitez pas à nous appeler au 0826 007 656

Besoin de contacter le support technique ?
Nos équipes sont disponibles en 24x7x365.

Support Virtual Data Centre au 0826 007 653 (Numéro indigo)
Support Infogérance applicative au 0810 278 385 (Numéro indigo)
Support Colocation au 0826 007 653 (Numéro indigo)
Support Cloud Public en envoyant un mail à support