Le G29 a publié en avril la version finale de ses lignes directrices concernant la portabilité des données. Entre une interprétation très large (peut-être trop?) et des imprécisions, ces lignes directrices ont une portée ambivalente. Pourtant, le droit à la portabilité de ses données a des avantages importants.

 

 Les avantages du droit à la portabilité de ses données sont le fait d'avoir plus de contrôle sur ses données, de permettre la libre circulation des données et de favoriser la concurrence entre prestataires de service.

Une interprétation large des conditions de portabilité …

La portabilité des données est interprétée très largement par le G29. Par exemple, si les données anonymes ne sont pas concernées, celles qui sont pseudonymisées peuvent faire l’objet d’une portabilité demandée par la personne concernée.

De même, ce droit n’a normalement pas vocation à s’appliquer pour des données qui ne concernent pas la personne qui en fait usage. Pourtant, les lignes directrices soulignent que les responsables de traitement ne doivent pas interpréter trop restrictivement ce principe et doivent appliquer ce droit aux jeux de données qui comprennent des données relatives à des tiers dès lors que celui-ci concerne la personne qui en fait la demande.

« À titre d’exemple, le téléphone, les messages ou les enregistrements VoIP peuvent inclure (dans l’historique du compte de l’abonné) les détails des tiers impliqués dans les appels entrants et sortants. »

La portabilité doit donc s’appliquer à de nombreux cas, ce qui apparait bénéfique d’un point de vue du droit des personnes.

… Peut-être trop large ?

La Commission Européenne a émis des critiques sur une partie du travail du G29 qui aurait interprété trop largement l’article 20 du GDPR.

Pour le groupe de travail européen, le droit à la portabilité inclus non seulement les données personnelles fournies par la personne concernée, mais également toutes les « données observées » à partir de l’activité du consommateur. Ce sont par exemple l’historique de recherche, les données de localisation, de trafic, etc. Particulièrement controversée lors de la publication du projet de lignes directrices en décembre dernier, cette interprétation a été conservée dans la version révisée du 5 avril.

Le porte-parole de la Commission a exprimé sa crainte que le travail du G29 ne dépasse ce qui avait été convenu dans le processus d’adoption du règlement européen. Le texte même du règlement ne parle que de données « fournies » sur la base du consentement ou lorsque le traitement est nécessaire à l’exécution du contrat (considérant 68). Or, d’un point de vue terminologique, les données « observées » sont à l’opposé des données « fournies ».

L’interdiction de l’atteinte aux droits et libertés des tiers : une limite qui n’est pas absolue

L’exercice du droit à la portabilité ne doit pas empêcher les tiers d’exercer leurs droits concernant leurs propres données, mais aussi, ne doit pas porter atteinte aux données protégées par le droit de propriété intellectuelle ou le secret d’affaires.

Concernant la première composante, les données concernant une personne et transférées à un nouveau responsable de traitement avec son consentement peuvent inclure des données des tiers (cf. supra). Mais le nouveau responsable devra disposer d’une base légale pour traiter les données de ces tiers, comme par exemple un intérêt légitime ou le consentement de ceux-ci. Pour cela, le G29 recommande de recourir à des outils techniques.

Concernant le droit de propriété intellectuelle ou le secret d’affaires, ils doivent être pris en compte avant de mettre en œuvre la portabilité des données. En effet, le droit à la portabilité des données ne doit pas servir des pratiques déloyales ou une violation des droits de propriété intellectuelle. Toutefois, ce n’est pas une limite intangible puisque le responsable de traitement peut très bien faire droit à la demande de portabilité en veillant à ne pas divulguer les informations protégées.

Des modalités techniques imprécises

La portabilité des données doit être effectuée dans un format structuré, couramment utilisé et lisible par une machine. Mais aucune précision n’est apportée par le groupe de travail européen à ce sujet.

« Compte tenu de la vaste gamme de types de données potentiels qui pourraient être traités par un contrôleur de données, le GDPR n’impose pas de recommandations spécifiques sur le format des données personnelles à fournir. »

Toutefois, certains formats semblent être appropriés, même si le G29 ne donne pas de liste exhaustive. Il encourage d’ailleurs la coopération entre les acteurs de l’industrie et les associations de professionnels pour déterminer des formats et des standards interopérables. Sans obligation, cela risque d’être difficile à mettre en œuvre.

 

Il y a donc fort à parier que les responsables de traitement auront besoin de plus de précisions s’ils veulent pouvoir faire droit efficacement à une demande de portabilité des données.

 

Retrouvez l’intégralité des lignes directrices du G29.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *