Conformément au RGPD, les personnes concernées ont un droit à la portabilité (voir la sous-section “Droit à la portabilité” dans la section “Droits des personnes concernées” de la partie II des présentes lignes directrices). Pour satisfaire à cette exigence, les responsables du traitement doivent stocker les données dans des formats normalisés qui permettent aux personnes concernées de transmettre les données qu’elles ont fournies d’une application automatisée, telle qu’un réseau social, à une autre. [1]
Quoi qu’il en soit, il est nécessaire de souligner que le droit à la portabilité des données ne s’applique qu’aux données “concernant” la personne concernée et aux données qu’elle a “fournies” au responsable du traitement. Par conséquent, les données anonymes et les données inférées ou dérivées ne sont pas incluses dans le droit à la portabilité, puisque les données anonymes ne concernent pas la personne concernée et que les données inférées ou dérivées n’ont pas été fournies par la personne concernée.
| Liste de contrôle : droits des personnes concernées
☐ Les responsables du traitement ont mis en place les procédures nécessaires pour garantir que les droits des personnes concernées sont adéquatement satisfaits, qu’il s’agisse des utilisateurs finaux ou de tiers. ☐ Les responsables de traitement ont mis en place les procédures nécessaires pour que les droits des personnes concernées soient satisfaits dans les délais (maximum un mois après la demande, prolongeable de deux mois supplémentaires au regard de la complexité de la tâche et du nombre de demandes). ☐ Les responsables du traitement ont mis en place des outils efficaces pour garantir que les personnes concernées puissent exercer leurs droits de manière pratique, par exemple en introduisant des normes d’interopérabilité des données. ☐ Les personnes concernées sont en mesure d’avoir accès à toutes leurs données personnelles, y compris les données observées, obtenues, dérivées et déduites. ☐ Les responsables du traitement ont fourni aux personnes concernées un accès à distance à leurs données personnelles. En particulier, les responsables du traitement qui fournissent des services en ligne basés sur des données à caractère personnel ont fourni un outil en ligne à cette fin. ☐ Les responsables de traitement ont mis en place des outils capables de communiquer les données rectifiées à chaque destinataire auquel les données personnelles ont été divulguées, sauf si cela s’avère impossible ou implique des efforts disproportionnés. ☐ Les responsables de traitement ont mis en place des outils capables de garantir que toutes les données sont efficacement supprimées à la demande des personnes concernées s’il n’y a pas de raisons légitimes de s’opposer à cette demande. ☐ Les responsables du traitement ont mis en place des interfaces conviviales pour les utilisateurs qui souhaitent obtenir à la fois des données agrégées et/ou des données brutes qu’ils stockent encore. Ces outils permettent aux personnes concernées d’exporter facilement leurs données dans un format structuré et couramment utilisé. ☐ Lesresponsables du traitement ont documenté toutes les informations concernant ces problèmes. |
- Voir I. GRAEF, Mandating Portability and Interoperability in Online Social Networks : Enjeux réglementaires et de droit de la concurrence dans l’Union européenne (22 juillet 2013). Politique des télécommunications 2015, vol. 39, n° 6, p. 502-514. ↑