Article Post on 28 April 2017

Les lignes directrices relatives au droit à la portabilité des données adoptées

_ Le Groupe Article 29, qui rassemble les autorités nationales de protection des données personnelles en Europe, a adopté en date du 13 décembre 2016 des lignes directrices relatives au droit à la portabilité des données.

L’Article 20 du RGPD du 27 avril 2016 introduit un nouveau droit pour les personnes concernées, selon lequel elles ont le droit de recevoir les données personnelles qu’elles ont fournies à un responsable de traitement, dans le cas d’un traitement fondé sur le consentement ou sur un contrat ou dans le cas d’un traitement effectué à l’aide de procédés automatisés, dans « un format structuré, couramment utilisé et lisible par machine » et ont le droit de les transmettre à un autre responsable de traitement, sans obstacle.

Ce nouveau droit visant à favoriser la libre circulation des données personnelles, à encourager la concurrence entre les responsables de traitement et à faciliter le changement de prestataires de services, le Groupe Article 29 a émis des lignes directrices sur la manière d’interpréter et d’appliquer le droit à la portabilité des données.

Ces lignes directrices traitent des questions pratiques suivantes :

  • Quels sont les éléments principaux de la portabilité des données ?
    Au regard de l’Article 20 du RGPD, les lignes directrices explicitent les différents éléments que sont par exemple le “droit de recevoir les données personnelles”, “les outils de portabilité des données”, …
     
  • Quand s’applique la portabilité des données ?
    • Quelles opérations de traitement sont couvertes par le droit à la portabilité des données ?
      Les opérations de traitement basées sur le consentement de la personne concernée ou sur un contrat.
    • Quelles données personnelles doivent être incluses ?
      Les données personnelles relatives à la personne concernée et qu’elle a fournies au responsable de traitement.
       
  • Comment les règles générales relatives à l’exercice des droits de la personne concernée s’appliquent à la portabilité des données ?
    • Quelles informations préalables doivent être fournies à la personne concernée ?
      La disponibilité du nouveau droit à la portabilité des données.
    • Comment le responsable de traitement peut-il identifier la personne concernée avant de répondre à sa demande ?
      Au moins une procédure d’authentification doit être mise en place.
    • Quelle est la limite de temps imposée pour répondre à une demande de portabilité ?
      Dans les meilleurs délais et au plus tard dans un délai d'un mois, même en cas de refus.
    • Dans quels cas une demande de portabilité des données peut-elle être refusée ou des frais imputés ?
      Principe d’interdiction, sauf démonstration que les demandes sont manifestement infondées ou excessives.
       
  • Comment les données communiquées doivent-elles être fournies ?
    • Quel est le format attendu ?
      Un format qui supporte la réutilisation. L’interopérabilité doit être facilitée.
    • Comment faire en cas d’une importante ou complexe collection de données personnelles ?
      La personne concernée doit être en mesure de comprendre pleinement la définition, le schéma et la structure des données personnelles.
    • Comment sécuriser la portabilité des données ?
      Le responsable de traitement est responsable de prendre toutes les mesures de sécurité nécessaires pour s'assurer que les données personnelles sont transmises de manière sécurisée au bon destinataire et peut recommander un format approprié afin d’aider les personnes concernées à protéger les données reçues.

 

Pour de plus amples renseignements sur ce sujet, nous vous remercions de contacter Emmanuelle Ragot, Partner et Head of IP/TMT.

Share this content