Le Règlement Européen sur la Protection des Données - RGPD entrera en application le 25 mai 2018, avant ça, il faut s’y préparer. De nombreuses précisions sont attendues de la part des diverses parties prenantes afin de mieux appréhender le texte du Règlement et prévoir les mesures pour s’y conformer.
Concernant le droit à la portabilité, introduit par l’Article 20 du RGPD, le G29 s’est déjà positionné une première fois sur l’interprétation du RGPD en décembre dernier. A l’occasion de la révision et de l’adoption des « Guidelines on the right to data portability » de début avril, nous vous proposons de revenir sur 5 éléments structurants de ces lignes directrices.
Le droit à la portabilité comporte deux facettes. D’une part c’est le droit pour la personne concernée de recevoir une copie de ses données en vue de les conserver et/ou de facilement les réutiliser. D’autre part, l’exercice de ce droit permet à une personne concernée de transférer les données qui la concerne d’une responsable de traitement à un autre sans possibilité pour le premier de s’y opposer.
1. Bien identifier la base légale de ses traitements
Le droit à la portabilité s’applique lorsque le traitement de données personnelles est basé sur le consentement des personnes concernées ou sur une relation contractuelle entre la personne concernée et le responsable de traitement. Ainsi, pour les traitements basés sur l’intérêt légitime, comme souvent pour les traitements RH ou dans une relation B2B le droit à la portabilité ne s’appliquera pas.
A noter que les fichiers non-automatisés ne sont pas concernés par le droit à la portabilité, à ce titre, les traitements « papier » seront donc exclus du champ d’application de ce droit.
2. Savoir quelles données fournir en cas de demande
En cas de demande d’exercice du droit à la portabilité, il faudra être capable de fournir les données relatives à la personnes concernées. Cela inclut les données que la personne concernée à directement fournies (par exemple les données d’identité pour la création d’un compte), ainsi que celles qui ont été générées par l’utilisation qu’elle a faite du service ou du matériel (par exemple un historique de navigation). Les données pseudonymisées entrent également dans le champ d’application de ce droit.
Ne sont pas incluses : les données anonymisées, les résultats de l’analyse des données ou les données dérivées de l’utilisation du service/du matériel. Les données transmises dans le cadre d’une portabilité ne devront pas impacter négativement une tierce personne.
Enfin, dans l’idéal, une personne concernée devrait pouvoir choisir un sous-ensemble de ses données sur lesquelles elle souhaite faire appliquer son droit à la portabilité.
3. Etre vigilant quant au format
Les données personnelles doivent nécessairement être fournies dans un format facilement lisible sur un ordinateur et réutilisable (format structuré et courant) pour la personne concernée ou un éventuel autre responsable de traitement. Il ne sera pas possible de fournir les informations sur papier, contrairement à cette possibilité pour le droit d’accès (Article 15 du RGPD). Pour certains services spécifiques, des standards d’interopérabilités pourront être mis en œuvre mais cela représente un travail non négligeable.
4. Transmettre les données, ainsi que la responsabilité
Lors de la transmission des données, à la personne concernée ou directement un autre responsable de traitement qu’elle aura désigné au préalable, le responsable de traitement « emetteur », n’est pas responsable de l’usage qui est fait des données ou de la conformité du destinataire. Il n’agit que sur mandat de la personne concernée, mandat qui bien sûr doit être formalisé pour servir le principe d’« accountability ».
5. Tout en assurant la sécurité du transfert et son devoir de conseil
Le responsable de traitement a une obligation de sécurisation des données personnelles qui lui ont été confiées (Article 32 du RGPD). Il est donc important qu’il prenne soin de sécuriser le canal de transmission ou les données elles-mêmes en les chiffrant. L’identité de la personne concernée doit être vérifiée, par exemple en lui demandant de s’authentifier avant de faire une demande de portabilité. Si la personne concernée récupère ses données, le responsable de traitement devra être force de conseil en lui indiquant les bonnes pratiques de sécurité.
Le droit à la portabilité, tout comme les nouveaux droits introduits par le RGPD (droit à la limitation, à l'effacement) visent à redonner aux personnes concernées le contrôle de leurs données personnelles.
Par Adèle Adam Data Protection Officer chez Claranet France