L’article 20 du règlement européen sur la protection des données personnelles, met en avant le principe de portabilité des données. Cela veut dire qu’une personne physique dont les données sont collectées et conservées, ont le droit de les obtenir dans un format bien lisible et structuré, afin de les transférer vers un nouveau responsable du traitement. Concrètement comment ça se passe ?
Plan de l'article
- L’importance du droit à la portabilité des données pour les personnes concernées
- Sur quelles données ce droit à la portabilité peut être appliqué ?
- Simplifier la portabilité des données grâce à l’évolution de la technique
- Les obligations légales des entreprises en matière de portabilité des données
- Les risques encourus en cas de non-respect du droit à la portabilité des données
L’importance du droit à la portabilité des données pour les personnes concernées
Le droit à la portabilité des données permet à toute personne de recevoir dans un format structure et lisibles les données collectées la concernant et de les transmettre à un autre responsable de traitement.
A découvrir également : Comment trouver un contrat d'alternance ?
Il faut préciser que selon le DPO (data protection officer) ou le délégué à la protection des données, le droit à la portabilité est différent du droit d’accès ou encore du droit à l’effacement. Il n’entrave en rien la durée de conservation des données et est indépendant de la fermeture d’un compte. Aussi, il ne concerne que certaines données à caractère personnel (celles transmises au responsable du traitement). Et il n’est appliqué, conformément à la politique de confidentialité des données qu’à certaines informations.
Sur quelles données ce droit à la portabilité peut être appliqué ?
Conformément aux droits des personnes, le principe de portabilite de donnees est appliqué au niveau des informations personnelles suivantes :
A lire également : Les conséquences de la crise sanitaire sur les programmes de formation et les stratégies déployées pour s'adapter
- Les services de vidéo à la demande ou de musique ;
- Les sites internet e-commerce (profilage adresse, numéro de
téléphone…) ; - Ouverture et gestion d’un compte en banque ;
- Services de messagerie en ligne…
Simplifier l’exercice du droit à la portabilité
Conformément aux droits et libertés des personnes concernées, mis en avant par l’autorité de contrôle, toute entreprise se doit de permettre l’exercice du droit à la portabilité des données.
Il faut par exemple permettre à la personne concernée de télécharger ses données dans un format bien lisible. Aussi, il faut prévoir une API assurant la sécurité des données et leur récupération.
A défaut, il faut garantir un niveau de protection élevé selon la CNIL, afin de de respecter les dispositions du règlement général.
Les données concernées par le droit à la portabilité
Traiter les données personnelles est dans l’intérêt légitime des entreprises. Toutefois, les finalités doivent respectées les obligations légales ainsi que les droits et libertés des personnes. Ces dernières justement ont un droit de portabilité sur les données mais sous certaines conditions.
Ainsi les données doivent être collectées sur la base d’un contrat ou d’un consentement. Ce droit ne va pas s’appliquer sur les données traitées sur la base d’un autre fondement légal comme l’intérêt légitime, la mission d’intérêt public, le respect d’une obligation légale…
Aussi, le traitement doit être effectué grâce à des procédés automatisés et la portabilité concerne les informations remises par la personne concernée, donc, les données déclarées par la personne pour créer un compte en ligne ou encore les données générées par l’activité de la personne concernée.
Cette demande peut être faite par la personne concernée par les données, le détenteur de l’autorité parentale ou encore le responsable légal.
Simplifier la portabilité des données grâce à l’évolution de la technique
La personne concernée par le traitement des données peut utiliser un système de gestion des données à caractère personnel afin de les récupérer, de les garder et d’en accorder le droit d’accès à d’autres responsables du traitement et sous-traitants.
C’est aujourd’hui la meilleure façon pour ces personnes physiques de récupérer leurs données recueillies par une entreprise, dans un format acceptable afin de pouvoir les transmettre. Par ailleurs, le responsable du traitement et son sous-traitant, évite d’utiliser des API pour d’autres systèmes de gestion de données.
1
Les obligations légales des entreprises en matière de portabilité des données
Les entreprises ont des obligations légales en matière de portabilité des données. Selon la loi informatique et libertés, elles sont tenues de garantir à leurs clients ou utilisateurs le droit à l’accès, la rectification, la suppression, ainsi que le droit d’opposition et d’utilisation restreinte de leurs données personnelles.
Lorsqu’un utilisateur demande la récupération de ses données personnelles, l’entreprise doit fournir ces dernières dans un format structuré, couramment utilisé et lisible par une machine. Elle doit les transmettre directement au nouvel opérateur désigné par l’utilisateur concerné si celui-ci en émet expressément la demande.
Cette obligation a été renforcée avec le règlement général sur la protection des données (RGPD) qui est entré en vigueur dans tous les États membres de l’Union européenne depuis mai 2018. Le RGPD exige aussi que les entreprises prennent toutes les mesures techniques nécessaires pour permettre aux personnes concernées d’exercer leur droit à la portabilité sans aucune difficulté.
Dans ce contexte contraint par une réglementation stricte pour protéger les droits des individus quant au traitement de leurs informations personnelles sensibles recueillies par une entreprise tierce sous forme numérique, notamment par consommation digitale (sites web, applications mobiles, etc.), pensez à bien mettre tout en œuvre afin qu’elles puissent offrir à ces personnes physiques un accès simple et rapide pour bénéficier légitimement du droit fondamental qu’est celui amenant à assurer sa propre gestion GDPR via cet aspect crucial qu’est la portabilité de ses données.
Les risques encourus en cas de non-respect du droit à la portabilité des données
Le non-respect du droit à la portabilité des données peut entraîner de graves conséquences pour les entreprises. Effectivement, une telle infraction peut être considérée comme un délit pénal et peut entraîner des sanctions administratives ou financières importantes. Dans certains cas, cela pourrait même aller jusqu’à la fermeture de l’entreprise.
Les autorités de protection des données ont le pouvoir d’imposer des amendes aux entreprises qui ne respectent pas les règles en matière de protection des données personnelles. Ces amendes peuvent inclure la suspension temporaire ou définitive du traitement des données personnelles, ainsi que l’imposition d’une amende pouvant atteindre 4% du chiffre d’affaires annuel mondial total de l’entreprise.
Au-delà des sanctions administratives, il faut souligner que le non-respect du droit à la portabilité des données peut aussi porter atteinte à la réputation et à l’image publique d’une entreprise. Si un client se sent maltraité par une organisation parce qu’il n’a pas été en mesure d’exercer pleinement ses droits en matière de protection de ses informations privées lorsqu’il a voulu changer de prestataire dans son domaine précis • notamment lorsque ce dernier est essentiel pour lui • cela aura probablement un impact sur sa perception globale en tant qu’utilisateur potentiel venant solliciter leurs services ultérieurement.
Il est donc primordial pour les entreprises concernées par cette problématique majeure que leur politique interne soit constamment mise à jour afin qu’elle soit conforme aux exigences légales relatives au droit fondamental qu’est celui lié à garantir leur gestion GDPR via cet aspect central qu’est celui permettant leur propre transfert facile entre différents opérateurs.