Comme le soulignent les lignes directrices sur le droit à la portabilité des données élaborées par le groupe de travail Article 29 sur la protection des données (2017), le droit à la portabilité des données ne se limite pas à la possibilité de transmettre les données à caractère personnel de la personne concernée d’un responsable du traitement à un autre, mais il englobe également le droit de la personne concernée de recevoir un sous-ensemble des données à caractère personnel traitées et de les stocker pour un usage personnel. En d’autres termes, la transmission des données à un autre responsables du traitement n’est pas un élément constitutif obligatoire du droit à la portabilité des données, étant donné que l’une de ses spécificités réside dans le fait qu’elle offre à la personne concernée un moyen facile de gérer et de réutiliser elle-même ses données personnelles^[1] . En somme, la portabilité des données porte sur les données à caractère personnel concernant la seule personne concernée, qu’elles soient fournies activement par la personne concernée ou qu’elles soient fournies en vertu de l’utilisation du service du dispositif. Dans ce dernier cas, le groupe de travail Article 29 sur la protection des données souligne que le responsable du traitement ne doit pas adopter une interprétation trop restrictive de ce qui constitue des “données à caractère personnel concernant la personne concernée”^[2] .

Le droit à la portabilité est satisfait dans la mesure où les responsables du traitement transmettent directement les informations demandées aux personnes concernées ou leur donnent accès à un outil automatisé leur permettant d’extraire elles-mêmes les informations demandées. Cette dernière méthode n’implique pas que les responsables du traitement doivent fournir un accès plus général et de routine à leur propre système ; elle doit plutôt être limitée à l’extraction des informations suite à la demande de portabilité^[3] .

Le transfert des données à caractère personnel d’un responsable du traitement à un autre dépend de sa faisabilité juridique, technique et financière. Parmi les obstacles potentiels, le groupe de travail Article 29 sur la protection des données identifie : les frais demandés pour la livraison des données, le manque d’interopérabilité ou d’accès à un format de données ou à une API ou au format fourni, le délai ou la complexité excessifs pour récupérer l’ensemble des données, l’obscurcissement délibéré de l’ensemble des données, ou la demande spécifique et indue ou excessive de normalisation sectorielle ou d’accréditation^[4] . À cette fin, le considérant 68 du RGPD prévoit que le responsable du traitement doit développer des formats interopérables, à savoir la capacité du système d’information à échanger des données et à permettre le partage d’informations. Toutefois, le responsable du traitement n’est pas tenu de prendre en charge ces formats, ce qui signifie que la transmission directe peut avoir lieu, dans la mesure où la communication entre les deux systèmes est possible et sûre. Voici quelques exemples de formats interopérables : un serveur SFTP, une interface WebAPI ou un portail web sécurisé.

En outre, les données doivent être dans un format structuré, couramment utilisé et lisible par machine. Pour comprendre cette caractéristique, le manuel Open Data Handbook publié par Open Knowledge International peut être une source utile^[5] . Plus précisément, les données structurées peuvent être définies comme des données dont la relation structurelle entre les éléments est explicite dans la manière dont les données sont stockées sur un disque informatique. Cela signifie que le logiciel peut extraire des éléments spécifiques des données. Un exemple de format structuré est un fichier de feuille de calcul, où les données sont organisées en lignes et en colonnes. En revanche, les données lisibles par machine sont celles qui peuvent être lues et traitées automatiquement par un ordinateur. Les données lisibles par machine peuvent être mises directement à la disposition des applications qui demandent ces données sur le web^[6] . Cela se fait au moyen d’une interface de programmation d’applications (“API”). Enfin, il est important de souligner que, bien que l’exigence de “l’usage courant” puisse être satisfaite par l’utilisation d’applications logicielles courantes, ces applications doivent également répondre aux normes structurées et lisibles par machine pour respecter le droit à la portabilité. En tout état de cause, les formats ouverts tels que CSV, XML, JSON et RDF sont une bonne illustration des moyens de répondre à une demande de portabilité.

Étant donné que la portabilité des données implique le transfert de données à caractère personnel, cet acte pourrait devenir une source potentielle de risque pour les données à caractère personnel en tant que telles. Par conséquent, le responsable du traitement est tenu de prendre toutes les mesures nécessaires pour garantir un transfert sûr au bon destinataire. Cet objectif peut être atteint par le cryptage des données, les mots de passe à usage unique, etc.

Il convient également de noter que lorsqu’un responsable du traitement répond à une demande de portabilité des données, il agit selon les instructions de la personne concernée et, par conséquent, n’est pas responsable du respect du cadre de protection des données par le destinataire. En outre, le responsable du traitement qui transfère les données n’est pas tenu de vérifier la précision des données à caractère personnel^[7] ; néanmoins, la portabilité des données n’implique pas automatiquement l’effacement des données à caractère personnel du système, ni n’affecte la période de conservation initiale^[8] .

Si la demande de la personne concernée porte sur des informations relatives à d’autres personnes, le responsable du traitement doit examiner s’il y aura un effet négatif sur leurs droits et libertés. En revanche, si la demande de portabilité est faite par plusieurs personnes concernées, le responsable du traitement doit s’assurer que toutes ces personnes sont d’accord sur la demande^[9] .

Enfin, il convient de souligner qu’il n’existe pas de droit d’accès aux données déduites, puisque celles-ci ne sont PAS fournies par les personnes concernées. Néanmoins, les personnes concernées peuvent toujours utiliser leur “droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel les concernant sont ou ne sont pas traitées et, lorsque c’est le cas, l’accès à ces données”, ainsi que des informations sur “l’existence d’une prise de décision automatisée, y compris le profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins dans ces cas, des informations significatives sur la logique utilisée, ainsi que sur l’importance et les conséquences envisagées de ce traitement pour la personne concernée”, conformément à l’article 15 du RGPD (qui fait référence au droit d’accès)^[10] .

Dans le domaine de la recherche, la portabilité des données pourrait permettre le développement de “plateformes de plus en plus centrées sur l’utilisateur pour la gestion des données à caractère personnel”^[11] , tout en offrant aux personnes concernées un contrôle effectif sur leurs informations personnelles. En particulier, la portabilité des données pourrait être utile pour l’établissement d’un vaste réseau de recherche, la facilitation de l’utilisation secondaire et la réalisation de la science citoyenne (à savoir que les individus devraient pouvoir transférer leurs données de diverses ressources vers les institutions de recherche)^[12] .

1. Groupe de travail Article 29 sur la protection des données (éd.), ” Lignes directrices sur le droit à la portabilité des données “, 2017, WP 242 rev.01, p. 4-5. À l’adresse : https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611233 ↑
2. Pour un autre exemple, voir :ibid. p. 9. ↑
3. Information Commissioner’s Office (ed.), op. cit. , p. 140 ↑
4. Groupe de travail Article 29 sur la protection des données (ed.), “Lignes directrices sur le droit à la portabilité des données”, op. cit. p. 15. ↑
5. Le manuel est disponible à l’adresse suivante : https://opendatahandbook.org/ [dernier accès : 30.10.2020]. ↑
6. Ce terme est défini au considérant 21 de la directive 2013/37/UE17 comme (…) un format de fichier structuré de manière à ce que les applications logicielles puissent facilement identifier, reconnaître et extraire des données spécifiques, y compris des énoncés de faits individuels, et leur structure interne. Les données encodées dans des fichiers qui sont structurés dans un format lisible par machine sont des données lisibles par machine. Les formats lisibles par machine peuvent être ouverts ou propriétaires ; ils peuvent être des normes formelles ou non. Les documents codés dans un format de fichier qui limite le traitement automatique, parce que les données ne peuvent pas, ou difficilement, en être extraites, ne doivent pas être considérés comme étant dans un format lisible par machine. Les États membres devraient, le cas échéant, encourager l’utilisation de formats ouverts et lisibles par machine. ↑
7. Groupe de travail Article 29 sur la protection des données, “Lignes directrices sur le droit à la portabilité des données”, op. cit. , p. 6 ↑
8. Ibid. , p. 7 ↑
9. Information Commissioner’s Office (ed.), op. cit. p. 139 ↑
10. Groupe de travail Article 29 sur la protection des données (ed.), “Lignes directrices sur le droit à la portabilité des données”, op. cit. p. 15. ↑
11. P. De Hert, V. Papakonstantinou, G. Malgieri, L. Beslay, I. Sanchez, ” Le droit à la portabilité des données dans le RGPD : Vers une interopérabilité des services numériques centrée sur l’utilisateur “, Revue de droit informatique et de sécurité, vol. 34, n° 2, 2018, p. 203. ↑
12. P. Quinn P., ” Le RGPD et son droit à la portabilité des données sont-ils un catalyseur majeur de la science citoyenne ? “, Global Jurist, juin 2018, p. 8-9. ↑