RGPD : 5 points à retenir sur le nouveau droit à la portabilité

Le Règlement Européen sur la Protection des Données - RGPD entrera en application le 25 mai 2018, avant ça, il faut s’y préparer. De nombreuses précisions sont attendues de la part des diverses parties prenantes afin de mieux appréhender le texte du Règlement et prévoir les mesures pour s’y conformer.
Concernant le droit à la portabilité, introduit par l’Article 20 du RGPD, le G29 s’est déjà positionné une première fois sur l’interprétation du RGPD en décembre dernier. A l’occasion de la révision et de l’adoption des « Guidelines on the right to data portability » de début avril, nous vous proposons de revenir sur 5 éléments structurants de ces lignes directrices.

Le droit à la portabilité comporte deux facettes. D’une part c’est le droit pour la personne concernée de recevoir une copie de ses données en vue de les conserver et/ou de facilement les réutiliser. D’autre part, l’exercice de ce droit permet à une personne concernée de transférer les données qui la concerne d’une responsable de traitement à un autre sans possibilité pour le premier de s’y opposer.

1. Bien identifier la base légale de ses traitements

Le droit à la portabilité s’applique lorsque le traitement de données personnelles est basé sur le consentement des personnes concernées ou sur une relation contractuelle entre la personne concernée et le responsable de traitement. Ainsi, pour les traitements basés sur l’intérêt légitime, comme souvent pour les traitements RH ou dans une relation B2B le droit à la portabilité ne s’appliquera pas.
A noter que les fichiers non-automatisés ne sont pas concernés par le droit à la portabilité, à ce titre, les traitements « papier » seront donc exclus du champ d’application de ce droit.

2. Savoir quelles données fournir en cas de demande

En cas de demande d’exercice du droit à la portabilité, il faudra être capable de fournir les données relatives à la personnes concernées. Cela inclut les données que la personne concernée à directement fournies (par exemple les données d’identité pour la création d’un compte), ainsi que celles qui ont été générées par l’utilisation qu’elle a faite du service ou du matériel (par exemple un historique de navigation). Les données pseudonymisées entrent également dans le champ d’application de ce droit.
Ne sont pas incluses : les données anonymisées, les résultats de l’analyse des données ou les données dérivées de l’utilisation du service/du matériel. Les données transmises dans le cadre d’une portabilité ne devront pas impacter négativement une tierce personne.
Enfin, dans l’idéal, une personne concernée devrait pouvoir choisir un sous-ensemble de ses données sur lesquelles elle souhaite faire appliquer son droit à la portabilité.

3. Etre vigilant quant au format

Les données personnelles doivent nécessairement être fournies dans un format facilement lisible sur un ordinateur et réutilisable (format structuré et courant) pour la personne concernée ou un éventuel autre responsable de traitement. Il ne sera pas possible de fournir les informations sur papier, contrairement à cette possibilité pour le droit d’accès (Article 15 du RGPD). Pour certains services spécifiques, des standards d’interopérabilités pourront être mis en œuvre mais cela représente un travail non négligeable.

4. Transmettre les données, ainsi que la responsabilité

Lors de la transmission des données, à la personne concernée ou directement un autre responsable de traitement qu’elle aura désigné au préalable, le responsable de traitement « emetteur », n’est pas responsable de l’usage qui est fait des données ou de la conformité du destinataire. Il n’agit que sur mandat de la personne concernée, mandat qui bien sûr doit être formalisé pour servir le principe d’« accountability ».

5. Tout en assurant la sécurité du transfert et son devoir de conseil

Le responsable de traitement a une obligation de sécurisation des données personnelles qui lui ont été confiées (Article 32 du RGPD). Il est donc important qu’il prenne soin de sécuriser le canal de transmission ou les données elles-mêmes en les chiffrant. L’identité de la personne concernée doit être vérifiée, par exemple en lui demandant de s’authentifier avant de faire une demande de portabilité. Si la personne concernée récupère ses données, le responsable de traitement devra être force de conseil en lui indiquant les bonnes pratiques de sécurité.

Le droit à la portabilité, tout comme les nouveaux droits introduits par le RGPD (droit à la limitation, à l'effacement) visent à redonner aux personnes concernées le contrôle de leurs données personnelles.
Cette thématique avait d'ailleurs été évoquée lors de la 11ème université des CIL organisée par l'AFCDP, dont nous vous en faisions un résumé dans cet article.

Par Adèle Adam Data Protection Officer chez Claranet France

Contactez-nous

Contactez-nous

Nous construisons des solutions sur mesure pour nos clients.
En cochant cette case, vous vous abonnez à la newsletter Claranet. Vous pouvez vous désinscrire à tout moment via le lien de désinscription en bas de la newsletter. Choisir vos préférences de communication.
Les informations à caractère personnel recueillies à partir de ce formulaire feront l’objet d’un traitement par le Groupe Claranet France (Claranet, Claranet Business Apps, Oxalide). En fonction de votre demande, le traitement peut être relatif à la gestion des clients, des prospects, des recrutements, etc. Pour plus d’informations sur les traitements mis en œuvre par Claranet et la façon dont vous pouvez exercer vos droits, consultez notre Privacy Policy.
20 + 0 =
Trouvez la solution de ce problème mathématique simple et saisissez le résultat. Par exemple, pour 1 + 3, saisissez 4.

Pour contacter un commercial

N'hésitez pas à nous appeler au 0826 007 656

Besoin de contacter le support technique ?
Nos équipes sont disponibles en 24x7x365.

Support Virtual Data Centre au 0826 007 653 (Numéro indigo)
Support Infogérance applicative au 0810 278 385 (Numéro indigo)
Support Colocation au 0826 007 653 (Numéro indigo)
Support Cloud Public en envoyant un mail à support