RGPD : La portabilité des données, enjeux et opportunités.

Le droit à la portabilité est consacré par le Règlement Général Européen pour la Protection des Données (RGPD) en son Article 20 . Selon le Contrôleur européen de la protection des données (CEPD, l’autorité indépendante de l’UE sur la protection des données), ce droit donnera aux personnes concernées plus de contrôle sur leurs données puisqu’elles pourront décider quand et avec qui partager leurs données personnelles ou quand les reprendre .
L’objectif de la portabilité est ainsi de rendre l’individu maître de ses informations personnelles.

Mais il existe du côté des entreprises une vraie incertitude concernant l’impact de ce droit. Perte de compétitivité, frais supplémentaire de gestion et de développement, atteinte au secret des affaires, etc. Les craintes se multiplient. Les risques identifiés justifient dès lors de se préparer activement à l’entrée en vigueur de ce droit qui est fixée au 25 mai 2018.

Selon le CEPD, ce nouveau droit pourrait être en effet de nature à favoriser l’économie en permettant la création de marchés renouvelés où les services respectant la règlementation sur les données personnelles seraient préférés par les consommateurs, au bénéfice d’une plus grande concurrence et d’une plus grande transparence . A l’instar de toute démarche de conformité à la réglementation « informatique et libertés », la portabilité pourrait ainsi être regardée comme créatrice d’opportunités de business, de création de modèles innovants construits sur une confiance mutuelle entre consommateurs et entreprises . Cette vision est, du reste, partagée par le Groupe de Travail de l’article 29 (G29, organe consultatif européen indépendant sur la protection des données et de la vie privée) qui s’est attaché à expliciter les modalités de mise en œuvre de ce nouveau droit dans ses Guidelines du 13 décembre 2016, revues et mises à jour le 5 avril 2017 .

L’occasion de revenir sur les enjeux et opportunités d’un nouveau droit qui impliquera la définition, au niveau de chaque acteur de principes forts de gouvernance.

I/ En quoi consiste la portabilité ?

Prenons l’exemple des auto-écoles.

L’application prochaine du RGPD obligera les auto-écoles à transférer gratuitement un dossier, sous certaines conditions, à celui qui en fait la demande ou à l’auto-école de son choix.

A/ En effet, le droit à la portabilité octroie :
- Le droit de recevoir ses données personnelles de la part du Responsable de traitement. L’individu est ensuite libre d’en faire ce qu’il veut, de les réutiliser ou pas. Pour le G29, cet aspect du droit à la portabilité complète le droit d’accès de l’article 15 du RGPD.
- Le droit de transférer ses données personnelles d’un responsable de traitement (RT) à un autre.

Ce transfert peut se faire à n’importe quel autre fournisseur, dans le même secteur d’activités ou pas, et le RT peut toujours refuser les données que l’individu souhaite lui transférer ou lui faire transférer. Quoiqu’il en soit, le RT 1 ne sera jamais responsable du traitement des données reçues par la personne concernée ou le RT 2 et du respect que ce dernier aura ou non de la règlementation en vigueur en la matière.

Toutefois, dans la mesure où l’exercice du droit à la portabilité n’entraîne pas l’effacement des données chez le RT 1 , ce dernier reste toujours tenu par les obligations qui s’imposent à lui en vertu des règlementations en vigueur.

D’ailleurs, en cas de sous-traitance du traitement, tel qu’il est prévu à l’article 28 du RGPD, le contrat qui lie le RT 1 à son sous-traitant doit prévoir l’obligation pour ce dernier d’assister le RT 1 par des « mesures techniques et organisationnelles » qui pourront être orientées vers l’organisation de la portabilité. Des procédures de coopération seront ainsi à organiser contractuellement dans le cadre de la relation de sous-traitance.

Si l’on reprend l’exemple de l’auto-école, le prestataire sous-traitant du RT1 qui héberge pour le compte de ce dernier les dossiers des clients apprentis conducteurs pourra utilement prévoir dans le contrat de sous-traitance qui le lie au RT1 une clause de portabilité des données destinée à décrire et faciliter les processus de transfert lors de la réception d’une demande.

B/ Le droit à la portabilité VS Les autres droits de la personne concernée.

Comme cela est rappelé par le G29, l’exercice du droit à la portabilité ne doit pas porter préjudice aux autres droits dont l’individu dispose au regard du RGPD. Ainsi, il peut continuer de les exercer auprès du RT 1.

Par exemple, si l’individu veut exercer son droit à l’oubli (article 17 RGPD), le droit à la portabilité ne doit pas servir d’excuse au RT pour retarder ou refuser l’effacement demandé.

C/ Le rôle du DPO (Data Protection Officer) ou délégué à la protection des données.

Il appartiendra au Délégué à la protection des données également désigné DPO de gérer les demandes d’exercice de droit à la portabilité.

Le DPO est en effet le « nouveau » CIL : il est le e garant d’une mise en conformité globale des traitements avec le RGPD, dans un cadre destiné à renforcer la protection des droits des personnes dont la portabilité.

C’est le DPO qui, entre autres :
- Informe et conseille le RT afin d’assurer la mise en œuvre de la portabilité sur les traitements concernés
- Contrôle le respect du droit en la matière
- Fait office de point de contact avec la CNIL
- L’article 38.4 du RGPD précise en outre que les personnes concernées peuvent prendre contact avec lui pour toute question relative aux traitements et pour l’exercice de leurs droits.

C’est également au DPO que les RT confieront toutes les demandes d’exercice du droit à la portabilité, et c’est lui qui les gérera, de la réclamation jusqu’à l’incident. Il sera le point de contact entre les RT et les personnes concernées, puis entre les RT eux-mêmes.

II/ Les données concernées par la portabilité.

A/ Le champ d’application de l’article 20 du RGPD.

Au préalable, rappelons que l’article 20 du RGPD ne s’applique qu’aux données traitées exclusivement par des moyens automatisés, informatiques et non papier.

1/ Les deux cas à l’origine du traitement automatisé.

Selon l’article 20.1 a) du RGPD, la personne concernée par un traitement automatisé ne peut revendiquer son droit à la portabilité que si :

- Ses données ont été collectées et sont traitées sur la base de son consentement (article 6.1. a) et 9.2. a) RGPD).
- Ses données ont été collectées et sont traitées sur la base d’un contrat auquel la personne concernée est partie (article 6.1. b) RGPD). A titre d’exemple, le G29 cite les titres de livres achetés par un individu sur un site e-commerce mais aussi les données traitées par un employeur dans le cadre d’un contrat de travail : fichiers de paye ou de recrutement interne.

Une vérification au cas par cas sera nécessaire pour savoir si le traitement se situe dans l’un de ces deux cas. Ce qui est certain, c’est que le droit à la portabilité ne couvre pas les données traitées en BtoB lorsqu’elles ne proviennent d’aucun des deux cas cités, ou les données traitées par les administrations dans le cadre de leur mission de service public ou d’intérêt général, de prévention et de recherche des infractions…

2/ Les données en question

Deux conditions sont à réunir.

- Condition 1 : les données personnelles doivent concerner la personne qui revendique le droit à la portabilité
Cela exclut les données anonymes mais permet de retenir les données seulement pseudonymisées.

- Condition 2 : les données personnelles doivent avoir été fournies par la personne concernée

Cela inclut toutes les données qu’un individu fournit volontairement en ligne, lorsqu’il s’inscrit par exemple sur un site de rencontres : adresse mail, téléphone, adresse postale, photo, taille, poids…

Mais selon le G29, la formulation « fournies par la personne concernée » doit également englober toutes les données résultant de l’observation de l’activité en ligne de la personne concernée, tels que les historiques de recherche.

Toutefois, cette dernière catégorie n’englobe pas les données créées par le RT sur la base d’une analyse des données fournies par l’individu, tels que les profils de clients, leur solvabilité…Ces dernières données restent la propriété du RT 1, richesse intellectuelle et patrimoine informationnel qu’il est en droit de conserver.

Encore faut-il pour cela avoir préalablement cloisonné les bases et identifié ce qui ressort des enrichissements, propriétés du RT1 et ce qui entre dans le périmètre de la portabilité. Ce cloisonnement et cette identification supposent de fixer en amont des principes de gouvernance clairs destinés à protéger le savoir-faire de l’entreprise pris au sens large du terme. Nul doute que le DPO aura ici un rôle important à jouer.

B/ Les conditions d’application de l’article 20 du RGPD

Le droit à la portabilité ne doit pas non plus mettre en danger d’autres droits.

Quid si les données personnelles concernent également des tiers à la personne concernée ?

Certes, les données personnelles doivent concerner la personne qui revendique le droit à la portabilité, mais cette première condition n’est pas à interpréter de manière trop rigide : les données personnelles d’un individu peuvent aussi concerner des tiers. Par exemple, une liste des numéros appelés ou reçus.

Dans ce cas, l’exercice du droit à la portabilité d’un opérateur téléphonique à un autre pourrait impacter les droits des tiers concernés qui n’auraient pas consenti à ce que le RT 2 traite leurs données et qui seraient ainsi privés des autres droits du RGPD (droit à l’information, accès…).

Aussi, le RT 2 ne doit pas traiter les données ainsi transférées dans un autre but que celui pour lequel le traitement avait été autorisé en premier lieu par la personne concernée.

En outre, le RGPD encourage les RT à implémenter des outils permettant à la personne concernée de sélectionner les données à transférer et permettant aux tiers concernés de donner leur consentement pour ce transfert.

Quid si les données personnelles mettent en danger la PI ou le secret des affaires ?

Le transfert de données personnelles ne doit pas entraîner une perte de secrets d’affaires ou la contrefaçon d’un logiciel de traitement de données.
De même, des considérations contractuelles litigieuses, telles que le refus de paiement du client, ne permet en aucun cas au RT de refuser l’exercice de ce droit.

Au-delà du respect des dispositions de la réglementation européenne, l’anticipation et la mise en œuvre du droit à la portabilité doit constituer une opportunité pour chaque responsable de traitement.

Cette opportunité réside dans le renforcement de la confiance des personnes concernées par les traitements mis en œuvre. Il serait en effet contreproductif de se focaliser sur la perte de données vers la concurrence dans la mesure où cette même concurrence sera soumise aux mêmes contraintes. En d’autres termes, il est clair que les personnes visées par un traitement se tourneront naturellement vers l’opérateur qui leur inspirera le plus confiance dans la gestion des données et qui aura par conséquent mis à leur disposition une information claire précise et suivie d’effet sur le droit à la portabilité et ses modalités d’exercice.

Le Cabinet HAAS Avocats assiste ses clients dans la définition de leur stratégie digitale et stratégie PI (propriété intellectuelle) intégrant ce type de problématiques.

En effet, justifiant d’une triple labellisation CNIL, le Cabinet HAAS Avocats intervient depuis près de 20 ans, de manière transversale, auprès des acteurs de l’innovation que ce soit en matière :
- d’audit et de mise en conformité de bases de traitements au regard du GDPR ;
- de définition de politique contractuelle (CGS, CGU, CGV, politique de confidentialité, etc.) ;
- d’accompagnement à la mise en œuvre de solutions SaaS, cloud, Big Data ;
- d’étude d’impact ;
- de sécurité informatique

Pour plus d’informations,cliquez ici.

Stéphane Astier et Laetitia Levasseur
Cabinet HAAS Avocats.

HAAS AVOCATS défend et protège les clients nationaux et internationaux intervenant dans les secteurs de la propriété intellectuelle, du droit des nouvelles technologies, de l’information et de la communication, de la protection des données, de l’e-commerce, de l’e-marketing et du droit des affaires.
http://www.haas-avocats.com
https://www.avocat-rgpd.com