RGPD | EP.3 - La portabilité des données

Le RGPD introduit la notion du « droit à la portabilité des données«

Ce droit consiste à la possibilité pour toute personne de demander ses données personnelles à une entité qui a pu recueillir et traiter ses données. Il est également possible de demander que les données soient transférées directement à un autre service ou personne.

Ces données doivent être transmises à un format « structuré, couramment utilisé, et lisible par machine ».

L’adaptation au RGPD pour l’application du droit à la portabilité des données passe par 4 étapes :

• Standardiser le format des données : Toute donnée informatique possède un format, qui détermine sa lisibilité par telle ou telle machine ou logiciel. Ainsi, afin de répondre au pré-requis de lisibilité des données, il est nécessaire que celles-ci soient standardisées aux formats (XML, XLS, ou CSV) courants, Excel, traitement de texte etc. Le RGPD n’impose pas de formats spécifiques, simplement qu’ils soient utilisables par tous.
• Modifier vos conditions générales d’utilisations et mentions légales afin d’informer l’utilisateur de son droit à la portabilité. Vous pouvez directement reprendre l’article du règlement général sur la protection des données :

*« Conformément à l’article 20 du règlement général sur la protection des données, tout utilisateur est fondé à **demander du responsable du traitement l’envoi de ce ces mêmes données dans un format structuré, *couramment utilisé, et lisible par machine. L’utilisateur est dans son droit s’il décide de transmettre ou de faire transmettre ces données à un autre responsable du traitement.

Les exceptions à ce droit sont :

- Le traitement des données est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.

- Le traitement n’est pas fondé sur le consentement de la personne ou sur l’exécution d’un contrat avec celle-ci.»

• Instaurer un processus de traitement des demandes.

Le traitement des données en question doit être automatisé. Si ça n’est pas le cas, ou si le traitement est nécessaire dans l’exercice d’une mission d’intérêt public, ou encore si la portabilité empêcherait des tiers d’exercer leurs droits, alors la portabilité ne s’applique pas.

Le responsable du traitement est tenu de répondre à toute demande dans un délai d’un mois après réception, ou de trois mois dans des cas complexes. Dans cette hypothèse, il est nécessaire d’informer la personne de l’allongement du délai.

• Permettre la formulation d’une demande de portabilité. Tout utilisateur doit être en mesure de transmettre sa requête via Internet. Ainsi, nous vous fournissons un exemple de mise en place des étapes pour une demande de portabilité. Tout d’abord, grâce à la mise en place d’un formulaire d’identification qui permettra de déterminer les données demandées.
• Ce formulaire va générer un lien de téléchargement pour la récupération des données. Ce lien peut être transfert à souhait de l’utilisateur.
• Enfin, pour le transfert direct, d’usage à un autre service ou personne, nous conseillons l’installation d’un système automatisé via API (Applicative Programmation Interface). Cela permet d’exporter directement les données vers une autre plateforme.

Voilà à quoi ressemble un bouton tirant profit d’une API ; l’utilisateur devra également s’identifier pour avoir accès à ce service.

Le RGPD entre en vigueur très prochainement : le 25 Mai.

CONCILIUM vous accompagne en cette période d’évolution juridique. N’hésitez pas à nous contacter.

NDLR : Cet article n’équivaut pas au conseil juridique d’un praticien du droit. Il s’agit de bonnes pratiques mises à votre disposition. Nous disposons d’une offre RGPD avec si nécessaire un conseil juridique offert par un praticien du droit.