Article 20 Droit à la portabilité des données

Analyse juridique et portée de l'article 20

Le droit à la portabilité permet à la personne concernée de récupérer ses données afin de les réutiliser pour ses propres besoins ou de les confier à un autre prestataire. Il vise à éviter les situations de dépendance numérique et à prévenir l'appropriation excessive des données par un acteur unique.

Sur le plan juridique, l'article 20 consacre un droit subjectif autonome, distinct du droit d'accès prévu à l'article 15. Alors que le droit d'accès permet d'obtenir communication des données, le droit à la portabilité impose que celles-ci soient fournies dans un format exploitable techniquement, facilitant leur réutilisation par un autre système informatique.

Ce droit participe également à la réalisation du principe de libre circulation des données personnelles au sein de l'Union européenne, en supprimant les barrières techniques ou contractuelles à la migration des données.

Données concernées par le droit à la portabilité

Le droit à la portabilité porte uniquement sur les données à caractère personnel « fournies » par la personne concernée. Cette notion inclut les données activement communiquées par celle-ci, telles que les informations d'identification ou les contenus déposés, mais également les données générées par son activité, comme les historiques d'utilisation ou les données de localisation.

En revanche, les données dérivées ou inférées par le responsable du traitement, telles que les profils, les scores ou les analyses comportementales, ne sont pas couvertes par ce droit. Cette distinction vise à préserver les intérêts légitimes des responsables de traitement, notamment leurs secrets d'affaires et leurs méthodes d'analyse.

Conditions d'exercice du droit à la portabilité

Le droit à la portabilité ne s'applique que lorsque le traitement est fondé sur le consentement de la personne concernée ou sur l'exécution d'un contrat auquel elle est partie. Il suppose également que le traitement soit effectué à l'aide de procédés automatisés.

Ces conditions traduisent la volonté du législateur européen de limiter la portabilité aux situations dans lesquelles la personne a volontairement fourni ses données dans le cadre d'une relation contractuelle ou d'un service numérique, et où la restitution sous forme électronique est techniquement pertinente.

Le responsable du traitement doit faciliter l'exercice de ce droit conformément à l'article 12 du RGPD et ne peut opposer des obstacles techniques ou juridiques injustifiés.

Modalités de mise en œuvre

La communication des données doit s'effectuer dans un format structuré, couramment utilisé et lisible par machine, tel qu'un format CSV, JSON ou XML, sans que le règlement n'impose un standard technique unique. Ce choix vise à concilier interopérabilité et neutralité technologique.

Lorsque cela est techniquement possible, la personne concernée peut demander que les données soient transmises directement d'un responsable du traitement à un autre. Cette transmission directe constitue l'expression la plus aboutie du droit à la portabilité, mais elle reste subordonnée à la faisabilité technique et à la compatibilité des systèmes.

La fourniture des données dans le cadre du droit à la portabilité est en principe gratuite pour la première demande, conformément aux règles générales posées à l'article 12.

Limites tenant aux droits et libertés de tiers

L'article 20 précise que le droit à la portabilité ne doit pas porter atteinte aux droits et libertés d'autrui. Cette réserve vise notamment la protection des données personnelles de tiers figurant dans les fichiers concernés, ainsi que la préservation des secrets protégés par la loi, tels que le secret des affaires ou la propriété intellectuelle.

Le responsable du traitement doit procéder à une mise en balance entre le droit de la personne concernée à la portabilité et les intérêts légitimes des tiers. Il peut être amené, le cas échéant, à anonymiser certaines données ou à refuser partiellement la demande lorsque la communication porterait une atteinte disproportionnée à ces droits.

Articulation avec les autres droits reconnus aux personnes concernées

L'article 20 s'articule étroitement avec l'article 15 relatif au droit d'accès et avec l'article 17 relatif au droit à l'effacement. Le RGPD précise expressément que l'exercice du droit à la portabilité est sans préjudice du droit à l'effacement, ce qui signifie que la personne peut, après avoir récupéré ses données, demander leur suppression.

Le droit à la portabilité complète ainsi les mécanismes de contrôle reconnus aux personnes concernées, en leur offrant non seulement un droit de regard, mais également un droit de circulation de leurs données.

Jurisprudence et pratique des autorités de contrôle

Les autorités de contrôle européennes, dont la CNIL, considèrent le droit à la portabilité comme un levier important de protection des personnes dans l'économie numérique. Elles sanctionnent les responsables de traitement qui refusent de fournir les données dans un format exploitable ou qui conditionnent la portabilité à des démarches excessivement complexes.

La pratique décisionnelle met en évidence que la portabilité doit être effective et non symbolique. Fournir des données dans un format techniquement inutilisable ou incomplet constitue un manquement aux obligations prévues par l'article 20.

Recommandations de la CNIL et du CEPD

La CNIL recommande aux responsables de traitement d'anticiper les demandes de portabilité en structurant leurs bases de données de manière à permettre une extraction simple et sécurisée des informations concernées. Elle souligne l'importance de garantir l'intégrité et la confidentialité des données lors de leur transmission.

Le Comité européen de la protection des données (CEPD) rappelle que le droit à la portabilité vise à renforcer l'autonomie des personnes concernées et qu'il doit être mis en œuvre de manière loyale, transparente et techniquement adaptée.