GDPR. Droit à la portabilité des données : analyse des lignes directrices du G29

Publié le par - 2 666 vues

Les lignes directrices adoptées le 13 décembre 2016 par le Groupe 29 en séance plénière clarifient et illustrent à l’aide d’exemples concrets la manière dont il faut interpréter et mettre en œuvre le nouveau droit à la portabilité des données consacré à l’article 20 du GDPR. Les apports de ces lignes directrices ne sont pas négligeables dans la mesure où elles permettent d’éclaircir certaines zones d’ombre, notamment en ce qui concerne les conditions d’application de ce nouveau droit, la conciliation de celui-ci avec les droits et libertés des tiers, les obligations des responsables du traitement ou encore sa mise en œuvre. Elles mettent cependant également en évidence des difficultés inévitables d’implémentation qui ne pourront être solutionnées que dans la pratique future de ce droit.

L’idée de perdre ses données ou de devoir les récupérer « manuellement » décourage à l’heure actuelle certains utilisateurs de changer de prestataire de service. Le nouveau droit à la portabilité des données devrait solutionner ce problème à l’avenir puisqu’il permettra aux personnes concernées de récupérer leurs données auprès de leurs prestataires de services numériques (e-mails, photos, vidéos, listes de contacts etc.) sous une forme aisément réutilisable et de les transférer le cas échéant vers un autre prestataire de service. L’objectif poursuivi étant in fine, outre de favoriser la concurrence entre les différents prestataires de services et la libre circulation des données, d’offrir à la personne dont les données sont traitées plus de contrôle sur ces dernières.

Vous trouverez ci-après un relevé des précisons les plus utiles apportées par le G29 ainsi que nos premiers commentaires.

Une interprétation large des conditions d’existence du droit

Une personne pourra demander la portabilité de ses données à un responsable du traitement chaque fois que celui-ci traite à l’aide de moyens automatisés (à l’exclusion des dossiers papiers) des données à caractère personnel la concernant qu’elle a elle-même fournies. Le traitement doit qui plus est se fonder soit sur son consentement préalable soit sur l’exécution d’un contrat auquel elle est partie. Ce nouveau droit suppose donc la réunion de trois conditions (cfr article 20 du GDPR).

Soulignons que ce champ d’application est extrêmement large. Il ne s’agit pas seulement de permettre la portabilité dans une relation purement commerciale (avec un prestataire de services télécoms ou un gestionnaire de réseau social par exemple) mais dans tout type de relation pour laquelle le traitement est légitimé soit par le consentement préalable, soit par l’exécution d’un contrat (relation de travail, avec un prestataire de soins de santé, un prestataire financier etc…).

Le G29 a formulé différentes recommandations qui confirment encore une interprétation très large de ses conditions de reconnaissance, notamment celle selon laquelle les données doivent concerner la personne concernée. Si les données anonymes ou qui ne concernent pas la personne concernée sont exclues du droit, celles qui ont fait l’objet d’une pseudonymisation sont par contre visées. Le droit à la portabilité des données s’applique également dans les cas où un ensemble de données concernant la personne concernée comprendrait aussi des données relatives à des tiers. Ce serait par exemple le cas des relevés téléphoniques qui comprennent tant les appels entrants que sortants souligne le G29.

Deuxièmement, les données « fournies » par la personne concernée sont tant les données qu’elle a délibérément et activement fournies (adresse postale, nom d’utilisateur, âge etc.) que les données générées et collectées à partir de ses activités, de par l’utilisation d’un service ou d’un dispositif (historique de recherche, données de trafic, données de localisation, etc.). Sont en revanche exclues, les données qui sont dérivées ou déduites des données fournies par la personne concernée car elles ne sont pas fournies par la personne mais bien créées par le responsable du traitement (par exemple un profil d’utilisateur construit au départ d’une analyse de données brutes générées par un compteur intelligent).

Vu l’interprétation large du G29, il y a fort à parier que les responsables seront tentés de rechercher une autre base de légitimation de leur traitement que le consentement et l’exécution d’un contrat. Ce qui relance une autre difficulté, celle de la possibilité – ou non – d’invoquer différents fondements de légitimité et de choisir le plus utile.

Mais un devoir strict de prise en considération des droits et libertés des tiers

L’exercice du nouveau droit ne peut pas porter atteinte aux droits et libertés des tiers (art. 20 §4 GDPR). Cela pourrait par exemple être le cas si la transmission de données d’un responsable à un autre dans le cadre de l’exercice du droit à la portabilité des données, empêche les tiers d’exercer leurs droits en tant que personnes concernées (tels que les droits à l’information, le droit d’accès mais pas seulement).

Les données peuvent en effet être transmises à un « nouveau » responsable, à l’initiative de la personne concernée qui a sans doute donné son consentement au « nouveau » responsable du traitement ou a conclu un contrat avec ce dernier. Les données transférées à sa demande pourraient contenir des données personnelles relatives à des tiers qui, à l’inverse, n’ont ni donné leur consentement, ni pris part au contrat avec le nouveau responsable. Dans cette hypothèse, le G29 est formel : le nouveau responsable du traitement ne pourra traiter ces données de tiers que s’il dispose d’une base légale pour le faire (comme par exemple l’intérêt légitime de celui-ci lorsqu’il offre un service à la personne concernée dans le cadre d’une activité purement personnelle ou domestique).

Prenons un exemple pratique. Un service de messagerie électronique permet la création d’un répertoire de contacts qui pourra à la demande de la personne concernée être transmis à un nouveau responsable du traitement. Une banque permet d’archiver l’historique des paiements reçus de tiers ou effectués au profit de tiers. Ces transferts ne porteront normalement pas préjudice aux droits et libertés des tiers si la finalité initiale est conservée par le nouveau prestataire/responsable qui ne les traitera que pour alimenter le répertoire ou l’archivage des opérations que lui-même offre dans son service : les données sont en quelque sorte gardées sous le contrôle de l’utilisateur et ne sont gérées que pour des besoins purement personnels. Selon le G29, ce dernier peut alors en appeler à son intérêt légitime pour traiter les données des tiers. A l’inverse, un nouveau responsable de traitement qui utiliserait par exemple le répertoire de contacts à des fins marketing est de nature à porter préjudice aux droits des tiers inclus dans ce répertoire, s’il ne dispose pas de leur consentement ou n’entretient pas avec eux une relation contractuelle.

Ainsi, et afin de contribuer à réduire les risques pour les tiers dont les données personnelles peuvent être traitées, le G29 recommande aux responsables de traitement de données (tant ceux qui font droit aux demandes de portabilité des données que ceux qui les reçoivent) de mettre en place des outils permettant aux personnes concernées de sélectionner les données pertinentes et d’exclure, le cas échéant, les données relatives à des tiers. Des mécanismes permettant, par exemple, aux tiers qui le souhaiteraient de donner leur consentement à la transmission de données pourraient également être mis en place.

Le G29 précise également ce qu’il y lieu d’entendre par « droits et libertés d’autrui ». Sont notamment incluses dans les droits et libertés d’autrui, les données protégées par le droit de la propriété intellectuelle (comme par exemple le droit d’auteur) ou par le secret des affaires. De tels droits doivent donc être pris en considération avant de faire droit à une demande de portabilité des données dans la mesure où, le droit à la portabilité des données ne devrait pas servir à détourner l’information à des fins de pratique déloyale ou en violation des droits de la propriété intellectuelle. Cependant, ces considérations ne pourraient servir à justifier un refus de la part du responsable du traitement de faire droit à la demande de portabilité. Ce dernier peut en effet, d’après le G29, très bien transmettre les données de manière telle que les informations protégées par le droit de la propriété intellectuelle ou le secret des affaires ne soient pas divulgués. Un exemple aurait été le bienvenu. La seule situation visée par le G29 semble celle visée au considérant 15 du GDPR où l’on comprend que l’information donnée dans le cadre de l’exercice d’un droit d’accès et, spécialement, la logique qui sous-tend un traitement automatisé impliquant une décision automatisée, ne doit pas porter atteinte au droit d’auteur sur le logiciel.

Des outils de transmission des données qui restent néanmoins peu clairs

Les modalités techniques à mettre en œuvre par le responsable paraissaient particulièrement floues. Même si les lignes directrices donnent certains éléments de réponses, force est d’admettre que les responsables resteront confrontés à de nombreuses interrogations quant aux choix techniques à mettre en œuvre pour faire suite à l’exercice d’un droit à la portabilité.

D’après le G29, ce nouveau droit pourra être mis en œuvre en prévoyant, par exemple, la possibilité pour les personnes concernées de télécharger directement leurs données – par exemple via un compte utilisateur – ou en leur permettant, par le biais d’une interface de programmation, de transmettre directement leurs données à un autre responsable de traitement. Il parle également lorsqu’il aborde la problématique d’identification de la personne concernée, d’une transmission potentielle par streaming, et même par CD et DVD.

Le responsable du traitement qui reçoit une demande de portabilité des données doit transmettre ces données (en ce compris les métadonnées) à la personne concernée dans un format structuré, couramment utilisé et lisible par machine. Les données de courrier électronique doivent par exemple être fournies dans un format qui préserve toutes les métadonnées afin de permettre une réutilisation efficace des données.

Tentant de s’expliquer sur le format à utiliser pour la transmission, le G29 qui fait référence à la récente directive 2013/37/EU sur la réutilisation des informations du secteur public, ne donne pas beaucoup de précisions utiles hormis des références au considérant 68 du GDPR. Il admet finalement qu’aucune recommandation spécifique ne peut être donnée, vu la diversité des cas d’espèce. On est donc pas très aidé sur ce point.

Précisant quelque peu une information déjà contenue dans le considérant 68 du GDPR,  le G29 souligne que les responsables du traitement ne doivent pas adopter des systèmes techniquement compatibles mais bien qu’ils doivent garantir l’interopérabilité du format de données afin de permettre leur réutilisation.

Le G29 termine par encourager la coopération entre les parties prenantes de l’industrie et les associations professionnelles afin qu’ils travaillent ensemble sur l’adoption d’un jeu de formats et des standards interopérables. On y est pas encore…

Une information spécifique sur le nouveau droit à la portabilité

La mise en œuvre du droit à la portabilité des données nécessite au préalable d’informer la personne concernée de l’existence de ce nouveau droit. Ce devoir d’information incombera aux responsables du traitement à qui le G29 recommande notamment d’expliquer de manière claire aux personnes concernées ce qui distingue l’exercice du droit à la portabilité des données de l’exercice du droit d’accès.

Le droit à la portabilité n’est en effet pas une extension du droit d’accès. Ce droit indépendant, répondant à une finalité particulière, est voué à s’appliquer à certaines données en particulier et nécessite en outre la mise en place de procédures spécifiques pour répondre à la personne concernée. Ainsi, le G29 recommande que les responsables donnent une information particulière au moment où la personne fait part de son désir de fermer un compte utilisateur ou qu’ils précisent, par catégories de services, les données relevantes qui doivent être récupérées pour la bonne exécution desdits services.

Une responsabilité limitée du responsable auprès de qui s’exerce le droit à la portabilité

Le G29 précise que le responsable du traitement répondant aux demandes de portabilité des données n’est pas responsable du traitement effectué par la personne concernée ou par le responsable ultérieur à qui seront transmises les données.

C’est en effet ce dernier qui devra veiller au respect des principes applicables en la matière (notamment le principe de minimisation des données, l’information de la personne concernée sur les finalités de traitement etc.). Bien entendu, le fait pour un responsable du traitement de faire droit à une demande de portabilité et de transmettre des données à la demande de la personne concernée ne le décharge pas des obligations qui lui incombent en vertu du GDPR eu égard à ses propres traitements. L’exercice du droit à la portabilité n’implique en effet ni que la personne concernée cesse de bénéficier de son service, ni l’effacement de ses données dans les systèmes du responsable du traitement.

En tant que nouveau responsable, le prestataire ultérieur à qui seront transmises les données devra lui aussi respecter tous les devoirs du GDPR, notamment les devoirs d’informations préalables et de légitimation des finalités pour lesquelles les données seront traitées.

Considérations finales

Outre les points abordés ci-dessus, le G29 aborde dans ses lignes directrices d’autres questions intéressantes notamment la question des moyens que le responsable du traitement peut mettre en œuvre afin de vérifier l’identité de la personne qui demande la portabilité des données, celle du délai imposé pour répondre à une demande de portabilité ou encore les hypothèses dans lesquelles un responsable du traitement peut rejeter une demande ou exiger une redevance.

Si les précisions apportées par le G29 sont utiles, il serait cependant illusoire de croire que toutes les difficultés d’implémentation de ce nouveau droit sont maintenant résolues. Les modalités techniques, notamment, poseront encore de nombreux problèmes et le manque de standardisation des formats utilisés pourraient d’emblée si pas sonner le glas de portabilité, du moins en ralentir sensiblement le développement.

Droit & Technologies

Annexes

The right to data portability : Guidelines

file_download Télécharger l'annexe

The right to data portability : Frequently Asked Questions

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK