Selon l’article 20 du RGPD, les personnes concernées ont un droit à la portabilité. Cela signifie un droit d’obtenir leurs données auprès d’un responsable du traitement dans un format structuré, couramment utilisé et lisible par machine, mais aussi un droit de déplacer les données entre les responsables du traitement sans entrave, ou lorsque cela est techniquement possible. Toutefois, ce droit ne s’applique qu’aux données “concernant” la personne concernée et aux données qu’elle a “fournies” au responsable du traitement. Par conséquent, ni les données anonymes, ni les données inférées ou autrement “créées” ne sont incluses dans le droit à la portabilité (les données anonymes ne sont pas couvertes puisqu’elles ne concernent plus la personne concernée ; et les données inférées puisqu’elles n’ont pas été fournies par la personne concernée mais sont le résultat d’un processus technique développé par le responsable du traitement). Il semble donc que les personnes concernées n’aient pas le droit de faire transférer l’intégralité de leurs données profilées à un autre fournisseur. Le raisonnement qui sous-tend cette disposition est la protection du savoir-faire du responsable du traitement.
Les personnes concernées “devraient disposer d’outils leur permettant d’exporter facilement leurs données dans un format structuré et couramment utilisé. Par conséquent, l’interopérabilité des données est un élément technique essentiel pour déployer pleinement ce droit et les fabricants de dispositifs devraient fournir une interface conviviale aux utilisateurs qui souhaitent obtenir les données qu’ils stockent encore.”[1]
| Liste de contrôle : droits des personnes concernées
☐ Les responsables du traitement ont mis en place les procédures nécessaires pour garantir que les droits des personnes concernées sont adéquatement satisfaits, qu’il s’agisse des utilisateurs finaux ou de tiers. ☐ Les responsables de traitement ont mis en place les procédures nécessaires pour que les droits des personnes concernées soient satisfaits dans les délais (maximum un mois après la demande). ☐ Les responsables du traitement ont mis en place des outils efficaces pour garantir que les personnes concernées puissent exercer leurs droits de manière pratique, par exemple en introduisant des normes d’interopérabilité des données. ☐ Les personnes concernées sont en mesure d’avoir accès à toutes leurs données personnelles, y compris les données brutes qui sont enregistrées par les dispositifs IdO. ☐ Les développeurs de l’IdO ont mis en place des outils pour lire, éditer et modifier localement les données avant qu’elles ne soient transférées à un quelconque responsable du traitement des données. En outre, les données personnelles traitées par un appareil sont stockées dans un format permettant la portabilité des données. ☐ Les responsables de traitement ont mis en place des outils capables de communiquer les données rectifiées à chaque destinataire auquel les données personnelles ont été divulguées, sauf si cela s’avère impossible ou implique des efforts disproportionnés. ☐ Les responsables de traitement ont mis en place des outils capables de garantir que toutes les données sont efficacement supprimées à la demande des personnes concernées s’il n’y a pas de raisons légitimes de s’opposer à cette demande. ☐ Les développeurs d’IdO ont mis en place une interface conviviale pour les utilisateurs qui souhaitent obtenir les données personnelles brutes et observées qu’ils stockent encore. Ces outils permettent aux personnes concernées d’exporter facilement leurs données dans un format structuré et couramment utilisé. |
- Avis 8/2014 du groupe de travail Art 29 sur la protection des données sur les développements récents de l’Internet des objets (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088. ↑