LE DROIT A LA PORTABILITÉ DANS LE CADRE DU RGDP
L’article 20 du règlement européen sur la protection des données à caractère personnel stipule que :
« 1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque:
a) le traitement est fondé sur le consentement en application de l'article 6, paragraphe 1, point a), ou de l'article 9, paragraphe 2, point a), ou sur un contrat en application de l'article 6, paragraphe 1, point b); et
b) le traitement est effectué à l'aide de procédés automatisés.
2. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible.
3. L’exercice du droit, visé au paragraphe 1 du présent article s'entend sans préjudice de l'article 17. Ce droit ne s'applique pas au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.
4. Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers. »
C’est la possibilité qu’offre le RGDP aux personnes afin que celles-ci puissent récupérer une partie de leurs DCP sur un support lisible par la machine, ce qui leur permet de les transmettre de manière aisée d’un système d’information à un autre et de les stocker sur un appareil privé pour les réutiliser a des fins personnelles.
Le droit à la portabilité exprime la volonté du RGDP de renforcer la maitrise et le contrôle des individus sur leurs données.
Ce droit offert par le nouveau règlement, s’applique en présence de trois conditions :
· Les données concernées par la portabilité doivent être fournies par la personne concernée, à défaut, (c'est-à-dire que lorsque ces données ont été recueillies par une tierce partie) nous ne pouvons pas évoquer ce droit !
A ce niveau, nous précisons que les données fournies par la personne concernée sont :
-Les données déclarées de manière active et consciente (exemple : celles qui sont fournies pour créer un compte en ligne telles que le nom, l âge, l adresse email..)
- Les données fournies par la personne dans le cadre des activités de la personne (exemple : les achats enregistrés sur une carte de fidélité, les relevés de compte bancaires, les emails envoyés et reçus..)
Toutefois, les données calculées ou dérivées de celles délibérément fournies par la personne concernée sont exclues du droit à la portabilité.
· Lorsque l exercice de ce droit à la portabilité ne porte pas atteinte aux droits et libertés des tiers.
· Lorsque les données concernées sont traitées de manière automatisée (donc sont exclues les données qui figurent sur un support papier).
Et comme tout droit accordé, le droit à la portabilité dispose de limites que le RGDP lui a tracé, il s’agit notamment des cas ou la personne fournie à titre d’exemple des données à son employeur sur la base d’obligations légales, ne peuvent faire l objet de demande de portabilité, de même pour les données fournies à une autorité administrative.
La porté de ce droit s’estompe également, lorsque son exercice risque de porter atteinte aux droits et libertés d’autrui : par exemple les transactions bancaires qui implique une autre personne que le demandeur de la portabilité, ou un échange de courriels avec les données de la tierce personne qui apparaissent.
Sondés JEAN
Juriste/DPO