Pour gérer vos consentements :

Règlement européen sur les données personnelles: le principe de portabilité

Publié par Stéphane Guillard le | Mis à jour le

Le règlement européen du 27 avril 2016 relatif à la protection des personnes physiques a l'égard du traitement des données a caractère personnel et à la libre circulation de ces données va révolutionner le cadre légal de l'usage des données personnelles. Parmi les nouveautés: la portabilité.

Le Règlement européen entrera en vigueur le 25 mai 2018. Révolution parmi d'autres: la création d'un droit à la portabilité des données pour les personnes physiques. Il est différent du simple droit d'accès aux données qui existait (et existe toujours) sous l'ancienne loi Informatique et Libertés.

L'idée générale consiste à matérialiser les données personnelles. Elles deviennent un bien meuble à part entière qui peut faire l'objet d'une appropriation par leur propriétaire à savoir la personne physique visée. Cette dernière peut donc en demander le transfert ou la restitution.

Ce droit n'est toutefois pas aussi absolu que le droit de propriété et il est strictement encadré.

Quels types de données?

Il s'agit des données transmises volontairement par la personne (dans le cadre d'un formulaire par exemple) ou collectées du fait de son activité (l'historique des achats par exemple).

Les données générées par un traitement de l'éditeur demeurent sa propriété.

Cela exclut les données générées par le traitement des données brutes initiales, ce qui permet de protéger le savoir-faire des sociétés qui traitent ces données. Prenons l'exemple d'un consommateur qui remplit en ligne un formulaire sur un site de recherche d'emploi: l'éditeur du site sera tenu de restituer ou transférer les données transmises par lui (nom, prénom, expériences professionnelles, diplômes...) ou collectées du fait de son activité (types de recherche sur le site, annonces consultées...).

En revanche, l'éventuel profil établi par le site à la suite d'entretiens ou du fait du résultat de recoupement de fichiers ou d'analyses des annonces consultés, refusés... reste la propriété de l'éditeur qui n'aura pas à le transférer. Par ailleurs les données traitées sur la base d'une obligation légale ne sont pas concernées (données sociales collectées par l'employeur par exemple), ni les données qui peuvent porter atteinte aux droits des tiers (échange de message entre deux personnes par exemple).

Quelles obligations pour le responsable du traitement?

Le responsable du traitement doit informer les personnes concernées de l'existence de ce droit mais également préciser le type de données pouvant faire l'objet d'un transfert. Le responsable de traitement sera avisé de demander tout justificatif permettant de garantir l'identité du demandeur pour vérifier qu'il s'agit bien de la personne concernée et éviter les fraudes. Sa responsabilité pourrait être engagée en cas de transmission à un tiers non autorisé.

Le transfert doit être réalisé dans un format technique lisible, sans contraintes techniques et sans frais (sauf abus manifeste, notion non définie par le Règlement et que les responsables de traitement auront tout intérêt à déterminer au préalable dans leur politique de gestion des données).

Le transfert n'entraîne toutefois pas nécessairement un dessaisissement total des données. Elles sont conservées par le responsable du traitement pour la durée initialement prévue lors de la collecte (durée qui doit être proportionnée avec la finalité du traitement). Elles peuvent continuer de faire l'objet d'un traitement par le responsable, qui reste tenu envers la personne concernée de toutes les obligations habituelles (droit d'accès, de modification, de suppression).

La transmission des données entraîne le transfert des risques sur celle-ci, de sorte que le transmettant ne saurait être considéré comme responsable de l'utilisation des données par la société réceptrice, qui doit également se conformer à la réglementation sur les données personnelles.

L'auteur

Fabien Honorat, est avocat depuis 2001. Il a toujours travaillé au sein de Péchenard & Associés, dont il est devenu associé en 2009. Il est titulaire d'un DEA de droit de la propriété littéraire, artistique et industrielle et d'un DESS en droit des créations numériques.

La rédaction vous recommande

  • Comment se préparer au RGPD, règlement européen sur la protection des données?
  • [Tribune] Troisième anniversaire du RGPD : vers un équilibre entre sécurité et usages ?
  • [Bonnes feuilles] #RGPD et Marketing : de la contrainte à l'opportunité
  • Data : à quoi doivent s'attendre les marketers en 2017?
  • Réglementation européenne des données : plus de transparence