📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Droit à la portabilité : tout ce que vous devez savoir 

Actualités RGPD

Sommaire

Le droit à la portabilité est un des droits prévus par le Règlement Général sur la Protection des Données (RGPD). Pourtant, de nombreuses structures ne savent pas comment gérer les demandes relatives à ce droit. Or, ne pas traiter une telle demande ou y répondre trop tard peut vous exposer à des sanctions. 

Vous ne connaissez pas ce droit ? Voici tout ce que vous devez savoir sur celui-ci afin de traiter vos demandes d’exercice de droit de manière efficace. 

Qu’est-ce que le droit à la portabilité ? 

Le droit à la portabilité permet de récupérer des données fournies à des services, pour un usage personnel ou pour les transmettre à un tiers. La personne peut également vous demander de procéder vous-même à la transmission des données vers une autre entité. 

Le droit à la portabilité se distingue du droit d’accès et du droit à l’effacement. En effet : 

  • il n’entraîne pas la suppression des données 

  • il est distinct de la clôture d’un compte, celle-ci pouvant être demandée à tout moment 

Dans quelles situations ce droit peut-il être exercé ? 

Ce droit peut s’appliquer, si toutes les conditions sont réunies, lorsque certaines données ont été transmises notamment : 

  • à des sites de e-commerce 
  • à des services de musique ou de vidéo à la demande 
  • pour l’ouverture et la gestion d’un compte bancaire 
  • à des services de messagerie en ligne

Cet article pourrait aussi vous intéresser : Limitation du traitement : comment répondre à une demande ?

Quelles données sont concernées par ce droit ? 

Les données doivent avoir été fournies par la personne. Celles-ci peuvent ainsi être : 

  • des données déclarées par la personne. Ce sont notamment les données fournies pour créer un compte (adresse électronique, nom d’utilisateur, âge etc.) 

  • des données générées lorsqu’une personne utilise un service. Ce sont par exemple les achats enregistrés sur une carte de fidélité, un historique d’événements etc. 

Toutes les données qui sont donc déduites sur une personne, et utilisées pour recommander des produits par exemple, ne sont pas concernés par ce droit. 

Les données pouvant être transmises sont donc par exemple : 

  • les données remplies dans les formulaires par la personne, ses données de connexion et les documents téléchargés sur le cloud 

  • les messages et interactions sur le service, forums et réseaux sociaux, listes de lecture, achats, données de comptes bancaires etc. 

De plus, la base légale, c’est-à-dire le fondement juridique ayant permis de collecter les données, doit être le contrat ou le consentement. Si la collecte repose sur l’intérêt légitime, ce droit ne peut donc pas être exercé. 

Enfin, ce droit ne concerne pas les données conservées sous format papier. Le traitement doit être effectué à l’aide de procédés automatisés

Les données doivent par ailleurs être fournies dans un format lisible par une machine. Le format peut être adapté au type de données fournies mais il faut toujours privilégier des formats ouverts et interopérables. La CNIL recommande par exemple d’utiliser ces formats : XML, JSON, VCF (vCard) pour les données de contact ou carnets d’adresses, CSV, ODT, ODS. 

Comment faciliter l’exercice de ce droit ? 

Pour simplifier l’exercice de ce droit, vous pouvez par exemple : 

  • permettre à la personne de télécharger ses données dans un certain format (CSV, XML, JSON etc.) depuis son compte 

  • mettre en place une API sécurisée afin qu’un tiers habilité puisse récupérer les données de manière automatique 

Si vous n’avez pas adopté ces solutions, la CNIL conseille de prévoir une procédure interne pour traiter ces demandes. 

Cet article pourrait aussi vous intéresser : Droit de rectification : guide pratique pour répondre aux demandes de vos clients

Quel délai pour traiter les demandes ? 

Dès que vous recevez une demande, il est conseillé d’informer la personne que celle-ci a bien été reçue et qu’elle est en cours de traitement. Vous devez répondre  à une demande d’exercice de droit à la portabilité dans les meilleurs délais et maximum dans un délai d’1 mois. Ce délai peut être prolongé jusqu’à 3 mois en cas de demande complexe, à condition d’en informer la personne et de lui expliquer les raisons de cette prolongation. 

Pouvez-vous refuser de répondre à une demande de portabilité ? 

Vous pouvez refuser de répondre une telle demande dans les hypothèses suivantes :  

  • les demandes sont manifestement abusives. C’est par exemple le cas si elles sont répétitives 

  • vous ne conservez plus les données concernées par la demande 

Le droit à la portabilité ne doit par ailleurs pas porter atteinte aux droits et libertés d’autres personnes. Vous ne pouvez donc pas transmettre les données de tiers en cas de demande de portabilité. Par exemple : si une personne demande à un opérateur téléphonique de transmettre sa liste des contacts vers un autre opérateur, ce dernier ne pourra pas utiliser cette liste pour de la prospection commerciale par exemple. Il faudra aussi respecter la propriété intellectuelle et le secret des affaires. 

Conclusion 

Le droit à la portabilité est un droit clé prévu par le RGPD. Il permet aux personnes de récupérer des données fournies à un service, pour leur usage personnel ou pour les transmettre à un autre organisme. Les organismes doivent donc prévoir des outils et procédures adaptés pour faciliter le traitement de ces demandes. 

Confiez-nous votre conformité
on saura la faire passer de 😡 à 😎
Prendre RDV maintenant
Partager le post

Articles connexes

Joséphine Iachino
Joséphine Iachino
Juriste en protection des données / Master 2 Droit Algorithmique et Gouvernance des Données.
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.