I.Portée théorique du droit à la portabilité des données 

Caractéristiques générales. Le droit à la portabilité introduit par l’article 20 du RGPD doit s’analyser comme un droit d’accès à des fins d’utilisation ou de transmission, permettant alors aux personnes concernées de se voir faciliter la récupération de leurs données en cas notamment de changement de prestataires de services. Ce droit se distingue du droit d’accès traditionnel, et a plus largement vocation à compléter l’ensemble des droits reconnus aux personnes concernées au titre du RGPD. L’exercice du droit à la portabilité s’entend ainsi sans préjudice du droit à l’oubli et ne saurait impliquer per se une suppression des données par le responsable de traitement5.

Champ d’application. Le droit à la portabilité est applicable uniquement dans le cadre de traitements (i) effectués à l’aide de procédés automatisés, à l’exclusion des fichiers papiers, et (ii) fondés sur le consentement des personnes concernées6 ou sur l’exécution d’un contrat auquel elles sont parties7. Le RGPD n’établit donc pas de droit général à la portabilité dans le cadre de traitements fondés sur un motif légal autre que le consentement ou l’exécution d’un contrat (tels que par exemple le respect d’une obligation légale, ou l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique). 

Portée du droit à la portabilité. Les personnes concernées peuvent exiger la portabilité (i) des données personnelle les concernant, (ii) qu’elles ont fournies à un responsable de traitement. Le G29 considère à ce titre que le droit à la portabilité doit s’appliquer largement à l’ensemble des données «brutes» générées par les personnes concernées, en ce compris les données volontairement et activement fournies par les personnes concernées mais également aux données collectées par le responsable de traitement à partir de l’activité des personnes concernées (notamment dans le cadre de l’utilisation d’un service). 

En revanche, le G29 exclut la portabilité des données «dérivées» des données brutes fournies par les personnes concernées, en ce que ces données sont générées par le responsable de traitement grâce à un savoir-faire analytique propre. Conformément à l’article 20 §4 du RGPD, sont également exclues de l’exercice du droit à la portabilité les données portant atteinte aux droits et libertés de tiers. 

II. Enjeux concurrentiels 

Compétitivité. L’exercice du droit à la portabilité nécessite des garde-fous juridiques permettant de protéger l’innovation et la compétitivité des acteurs économiques. On pense ici aux «secret des affaires, ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel» déjà invoqués dans le considérant (63) du RGPD relatif au droit d’accès. Les entreprises ont l’opportunité de protéger leur savoir-faire analytique à l’origine des données «dérivées» pour maintenir la valeur-ajoutée de leurs services et consolider leur positionnement sur un marché. Toutefois, le G29 précise qu’une requête en portabilité ne peut être refusée dans sa globalité sur le fondement d’un droit de propriété intellectuelle ou d’un droit d’origine contractuel : une étude juridique est alors nécessaire pour qualifier les données éligibles à la portabilité. 

Libre concurrence. Le droit à la portabilité permet de pallier des comportements déviants visant à fausser le jeu de la libre concurrence (notamment par le biais des mesures de « Lock-In »), en complément des fondements traditionnels du droit européen de la concurrence (abus de position dominante ou exploitation abusive de position dominante). 

III. Modalités pratiques de mise en œuvre 

Moyens de mise en œuvre de la portabilité. En pratique, la mise en œuvre de la portabilité implique la définition et l’implémentation de mesures techniques et organisationnelles préalables. Concrètement, le responsable de traitement doit être en situation d’authentifier la personne concernée et d’assurer le suivi de ses demandes au titre du droit à la portabilité dans les meilleurs délais et conditions de sécurité. Les données devant être communiquées «dans un format structuré, couramment utilisé, lisible par la machine et interopérable»8, le G29 a invité les acteurs des différentes industries à collaborer ensemble pour définir les formats permettant de garantir une telle interopérabilité. En tout état de cause, les responsables de traitement devraient utiliser des formats ouverts (XML, JSON, CSV, etc.), et pourraient utiliser des API (interface de programmation applicative) pour faciliter la mise à disposition des données. Le G29 préconise également la communication des metadata qui seraient utiles à la conservation du sens et à la réutilisation effective des données transmises. 

Responsabilité des responsables de traitement. Conformément aux lignes directrices du G29, il appartient aux responsables de traitement d’apporter aux personnes concernées des informations claires et précises quant à l’existence, la nature et les modalités d’exercice effectif du droit à la portabilité. En cas de transmission, le responsable de traitement ayant répondu à la demande de portabilité des données ne saurait être responsable des conditions de mise en œuvre du traitement réalisée subséquemment par la personne concernée ou par le nouveau responsable de traitement. Dans le même esprit, il appartient au nouveau responsable de traitement d’adopter une intégration raisonnée des données reçues dans le cadre de l’opération de portabilité et de ne retenir que les données pertinentes et nécessaires au regard des finalités de son propre traitement9. 

En prévision de l’entrée en vigueur effective du RGPD, le 25 mai 2018, il est recommandé de s’inscrire rapidement dans une démarche de mise en conformité en initiant une réflexion quant à l’application et aux modalités d’exécution du droit à la portabilité. Une réflexion suffisamment anticipée sur ce sujet permettra aux acteurs économiques de renforcer leur positionnement stratégique et d’emporter la confiance du marché. 

En cas de manquement aux droits de la personne concernée, les responsables de traitement pourront en tout état de cause être exposés à une amende administrative pouvant s’élever jusqu’à 20 000 000 EUR ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu10. 

1.Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données)

2. Considérant (68) du RGPD

3. L’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail rassemblant les autorités de protection des Etats Membres. 

4. Lignes directrices sur le droit à la portabilité, WP 242 rev.01, adopté le 13 décembre 2016 et révisé le 5 avril 2017

5. Article 20 §3 du RGPD ; Lignes directrices sur le droit à la portabilité, WP 242 rev.01, adopté le 13 décembre 2016 et révisé le 5 avril 2017. 

6. Article 6, §1 a) ou article 9, §2 a) du RGPD

7. Article 6, §1 b) du RGPD 

8. Considérant (68) du RGPD. 

9. Lignes directrices sur le droit à la portabilité, WP 242 rev.01, adopté le 13 décembre 2016 et révisé le 5 avril 2017.

10. Article 83, §5 b) du RGPD