arrow_back Retour à tous les articles

Article 20
Droit à la portabilité des données

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 20 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 20 keyboard_arrow_up

(68) Pour renforcer encore le contrôle qu’elles exercent sur leurs propres données, les personnes concernées devraient aussi avoir le droit, lorsque des données à caractère personnel font l'objet d'un traitement automatisé, de recevoir les données à caractère personnel les concernant, qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé, lisible par machine et interopérable, et de les transmettre à un autre responsable du traitement. Il y a lieu d'encourager les responsables du traitement à mettre au point des formats interopérables permettant la portabilité des données. Ce droit devrait s'appliquer lorsque la personne concernée a fourni les données à caractère personnel sur la base de son consentement ou lorsque le traitement est nécessaire pour l'exécution d'un contrat. Il ne devrait pas s'appliquer lorsque le traitement est fondé sur un motif légal autre que le consentement ou l'exécution d'un contrat. De par sa nature même, ce droit ne devrait pas être exercé à l'encontre de responsables du traitement qui traitent des données à caractère personnel dans l'exercice de leurs missions publiques. Il ne devrait dès lors pas s'appliquer lorsque le traitement des données à caractère personnel est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ou à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. Le droit de la personne concernée de transmettre ou de recevoir des données à caractère personnel la concernant ne devrait pas créer, pour les responsables du traitement, d'obligation d'adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles. Lorsque, dans un ensemble de données à caractère personnel, plusieurs personnes sont concernées, le droit de recevoir les données à caractère personnel devrait s'entendre sans préjudice des droits et libertés des autres personnes concernées conformément au présent règlement. De plus, ce droit ne devrait pas porter atteinte au droit de la personne concernée d'obtenir l'effacement de données à caractère personnel ni aux limitations de ce droit comme le prévoit le présent règlement et il ne devrait pas, notamment, entraîner l'effacement de données à caractère personnel relatives à la personne concernée qui ont été fournies par celle-ci pour l'exécution d'un contrat, dans la mesure où et aussi longtemps que ces données à caractère personnel sont nécessaires à l'exécution de ce contrat. Lorsque c'est techniquement possible, la personne concernée devrait avoir le droit d'obtenir que les données soient transmises directement d'un responsable du traitement à un autre.

(156) Le traitement des données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être soumis à des garanties appropriées pour les droits et libertés de la personne concernée, en vertu du présent règlement. Ces garanties devraient permettre la mise en place de mesures techniques et organisationnelles pour assurer, en particulier, le respect du principe de minimisation des données. Le traitement ultérieur de données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques doit être effectué lorsque que le responsable du traitement a évalué s'il est possible d'atteindre ces finalités grâce à un traitement de données à caractère personnel qui ne permettent pas ou plus d'identifier les personnes concernées, pour autant que des garanties appropriées existent (comme par exemple la pseudonymisation des données). Les États membres devraient prévoir des garanties appropriées pour le traitement de données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Les États membres devraient être autorisés à prévoir, dans des conditions spécifiques et moyennant des garanties appropriées pour les personnes concernées, des dispositions particulières et des dérogations concernant les exigences en matière d'information et les droits à la rectification, à l'effacement, à l'oubli, à la limitation du traitement, à la portabilité des données et le droit d'opposition lorsque les données à caractère personnel sont traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Les conditions et garanties en question peuvent comporter des procédures spécifiques permettant aux personnes concernées d'exercer ces droits si cela est approprié eu égard aux finalités du traitement spécifique concerné, ainsi que des mesures techniques et organisationnelles visant à réduire à un minimum le traitement des données à caractère personnel conformément aux principes de proportionnalité et de nécessité. Le traitement de données à caractère personnel à des fins scientifiques devrait également respecter d'autres dispositions législatives pertinentes, telles que celles relatives aux essais cliniques.

Guidelines

Ici viendront les guidelines

D'où vient-on ?

Ni la Directive, ni les législations belge et française ne connaissaient le droit à la portabilité des données.

Où va-t-on ?

L’article 20 confère à la personne concernée un nouveau droit : le droit à la portabilité des données. Ce dernier apparaît comme un droit d’accès amélioré, auquel est associée une exigence d’interopérabilité. L’objet du droit serait, selon l’exposé des motifs de la première proposition de Règlement « de transmettre des données d’un système de traitement automatisé à un autre, sans que le responsable du traitement puisse y faire obstacle ». Pour ce faire, il permet à la personne concernée de recevoir les données qu’elle a fournies au responsable du traitement dans un « format structuré, couramment utilisé et lisible par machine ». Nouveauté dans la version finale du Règlement, il peut même exiger que les données soient transmises directement par le premier responsable au second, lorsque cela est techniquement possible.

Notons d’emblée que les autres données -que le responsable aurait par exemple obtenu de tiers- ne sont pas couvertes par ledit droit puisque ces données n’ont pas été communiquées par la personne concernée au dit responsable.

L’exercice de ce droit est soumis à une double condition : il doit nécessairement s’agir d’un traitement effectué à l’aide de procédés automatisés, d’une part, et, fondé sur le consentement de la personne  -fusse concernant des données sensibles- ou sur un contrat conclu entre la personne concernée et le responsable, d’autre part.

La ratio de ce nouveau droit serait de permettre aux personnes concernées de récupérer l'utilisation qui est faite des données les concernant et de renforcer leur droit d’accès, en leur reconnaissant un rôle plus actif (cfr considérant n° 68). L’article 20 précise que le droit à la portabilité des données s’entend sans préjudice du droit à l’effacement, au sens de l’article 17 du Règlement.

Le paragraphe 3 précise que le droit à la portabilité n’est pas applicable au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.

Une exception au droit à la portabilité a été rajoutée par la seconde proposition de Règlement à l’article 20, paragraphe 4, lorsque la divulgation des données est susceptible de porter atteinte aux droits et libertés de tiers.

Difficultés probables

Ce nouveau droit est une des grandes nouveautés du Règlement et, de manière générale, exprime sans doute une évolution très importante dans le mouvement de reprise du contrôle des données par la personne elle-même.

Si l’objectif est louable, reste à savoir comment il sera mis en pratique, d’autant qu’il suppose une concertation des responsables de traitement et sans doute un accord –au moins implicite- sur les supports et standards utilisés pour la récupération des données.

Le texte ne dit rien sur l’utilisation ultérieure des données par le premier responsable auprès duquel ce droit est exercé. On en conclut que les principes généraux de protection continuent à s’appliquer et qu’il ne pourra le conserver que dans la mesure strictement nécessaire aux finalités annoncées.

Il ne dit rien non plus sur le sort des données « générées » par l’utilisation d’un produit ou service et qui ne sont pas à proprement parlé « communiquées » par la personne : données de facturation, données de trafic, données de localisation, etc. Sont-elles visées par ce nouveau droit ?

Règlement
1e 2e

Art. 20

1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque:

a) le traitement est fondé sur le consentement en application de l'article 6, paragraphe 1, point a), ou de l'article 9, paragraphe 2, point a), ou sur un contrat en application de l'article 6, paragraphe 1, point b); et

b) le traitement est effectué à l'aide de procédés automatisés.

2. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible.

3. L'exercice du droit, visé au paragraphe 1 du présent article s'entend sans préjudice de l'article 17. Ce droit ne s'applique pas au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.

4. Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers.

Proposition 1 close

 1. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé dans un format structuré et couramment utilisé, la personne concernée a le droit d'obtenir auprès du responsable du traitement une copie des données faisant l'objet du traitement automatisé dans un format électronique structuré qui est couramment utilisé et qui permet la réutilisation de ces données par la personne concernée.

2. Lorsque la personne concernée a fourni les données à caractère personnel et que le traitement est fondé sur le consentement ou sur un contrat, elle a le droit de transmettre ces données à caractère personnel et toutes autres informations qu'elle a fournies et qui sont conservées par un système de traitement automatisé à un autre système dans un format électronique qui est couramment utilisé, sans que le responsable du traitement auquel les données à caractère personnel sont retirées n'y fasse obstacle.

 3. La Commission peut préciser le format électronique visé au paragraphe 1, ainsi que les normes techniques, les modalités et les procédures pour la transmission de données à caractère personnel conformément au paragraphe 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Proposition 2 close

1. (...)

2. Les personnes concernées ont le droit de recevoir les données les concernant qu'elles ont communiquées au responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque:

a) le traitement est fondé sur le consentement en application de l'article 6, paragraphe 1, point a), ou de l'article 9, paragraphe 2, point a), ou sur un contrat en application de l'article 6, paragraphe 1, point b);

et b) le traitement est automatisé

 2 bis. L'exercice de ce droit s'entend sans préjudice de l'article 17. Le droit visé au paragraphe 2 ne s'applique pas au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.

2 bis bis. Le droit visé au paragraphe 2 ne s'applique pas lorsque la divulgation des données à caractère personnel pourrait porter atteinte aux droits de propriété intellectuelle pour ce qui relève du traitement de données à caractère personnel.

3. (...)

4. (…)

Directive

Aucune disposition correspondante.

France

Aucune disposition correspondante.

Belgique

Aucune disposition correspondante.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK