📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 20 du RGPD : Droit à la portabilité des données

Sommaire

Introduction

L’article 20 du Règlement général sur la Protection des Données (RGPD) instaure le droit à la portabilité des données, un droit nouveau et essentiel qui vise à renforcer le contrôle des personnes sur leurs données personnelles. Ce droit permet à toute personne concernée de recevoir les données à caractère personnel qu’elle a fournies à un responsable de traitement, dans un format structuré, couramment utilisé et lisible par machine, afin de pouvoir les transmettre à un autre responsable de traitement sans que le premier ne puisse s’y opposer.

Schéma article 20 du RGPD : droit à la portabilité

Explication de l’article 

Le droit à la portabilité des données permet à une personne concernée de récupérer ses données personnelles (par exemple, celles saisies lors d’une inscription à un service en ligne) et de les transférer facilement vers un autre service, ce qui favorise la liberté de choix et la concurrence entre prestataires. Ce droit s’applique uniquement lorsque le traitement est fondé soit sur le consentement de la personne, soit sur un contrat liant la personne au responsable du traitement, et à condition que le traitement soit effectué à l’aide de procédés automatisés. Les données concernées par la portabilité sont celles fournies directement par la personne (données d’inscription, historiques d’activité ou de localisation par exemple), et non les données déduites ou générées par le responsable.

En pratique, l’article 20 prévoit aussi que, lorsque cela est techniquement possible, les données doivent pouvoir être transmises directement d’un responsable de traitement à un autre, simplifiant ainsi le changement de fournisseur. Ce droit ne porte pas atteinte au droit à l’effacement des données et comporte des exceptions, notamment pour les traitements nécessaires à l’exercice d’une mission d’intérêt public ou lorsque la divulgation des données pourrait porter atteinte aux droits d’autrui.

En résumé, le droit à la portabilité des données est un levier clé pour l’autonomie des individus dans la gestion de leurs données personnelles et pour dynamiser un marché numérique compétitif et transparent.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque:

a) le traitement est fondé sur le consentement en application de l’article 6, paragraphe 1, point a), ou de l’article 9, paragraphe 2, point a), ou sur un contrat en application de l’article 6, paragraphe 1, point b); et

b) le traitement est effectué à l’aide de procédés automatisés.

2.Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible.

3.L’exercice du droit, visé au paragraphe 1 du présent article s’entend sans préjudice de l’article 17. Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

4.Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Aucune disposition correspondante.

Équivalent Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Article 55

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Le droit à la portabilité des données s’exerce dans les conditions prévues à l’article 20 du règlement (UE) 2016/679 du 27 avril 2016.

Analyse des 3 textes qui précèdent 

Le RGPD 

Ce texte introduit clairement le droit à la portabilité comme un droit nouveau, conçu pour améliorer le droit d’accès déjà existant en introduisant une exigence d’interopérabilité. Il souligne que ce droit vise à permettre à la personne concernée de transmettre ses données personnelles d’un système automatisé à un autre sans obstacle.

  • L’accent est mis sur la nécessité que les données soient fournies dans un format structuré, lisible par machine et couramment utilisé.
  • Il distingue les données « fournies » par la personne concernée de celles provenant de tiers, exclues de la portée de ce droit.
  • Le droit s’applique uniquement si le traitement est fondé sur le consentement ou un contrat, et est automatisé.
  • La finalité est de renforcer le contrôle et la responsabilité de la personne concernée.
  • L’article inclut des exceptions importantes, notamment pour les traitements liés à une mission d’intérêt public et lorsque la divulgation pourrait porter atteinte aux droits de tiers.
  • Le texte souligne enfin des défis pratiques, notamment la nécessité d’une concertation entre responsables de traitement sur les standards et formats, sans que le RGPD n’ait tranché sur certaines questions telles que la portabilité des données générées (facturation, localisation, etc.).

La directive 95/46/CE et la Loi Informatique et Libertés ne reconnaissent pas le droit à la portabilité, ce qui fait de ce droit une innovation réglementaire majeure dans le RGPD. La portée nouvelle et ambitieuse de ce droit ouvre donc la voie à une reprise de contrôle plus forte par les individus sur leurs données

Jurisprudences 

Décision SAN-2024-020 (5 décembre 2024) : La CNIL a confirmé, dans cette délibération, ses prérogatives pour adresser des avertissements, rappels à l’ordre ou mises en demeure aux responsables de traitement en cas de non-respect des droits, dont la portabilité des données, avec un cadre fondé sur la loi Informatique et Libertés modifiée en cohérence avec le RGPD

Décision Conseil d’État du 27 mars 2023 (n° 467774) : Le Conseil d’État a validé la proportionnalité des sanctions prononcées par la CNIL, soulignant que les manquements graves affectant la portabilité et autres droits des utilisateurs doivent être sanctionnés en conformité avec les critères de gravité, durée, nature des données, coopération de la société, etc.

Recommandations 

CNIL 

Le droit à la portabilité : obtenir et réutiliser une copie de vos données

Professionnels : comment répondre à une demande de droit à la portabilité ?

G29 

Lignes directrices relatives au droit à la portabilité des données – wp242rev.01 (5 avril 2017)


CEPD 

https://ec.europa.eu/newsroom/article29/items/611233/en

Ne restez pas seul face à vos obligations RGPD. Trouvez un DPO externe de confiance avec Mon Expert RGPD.

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.