Droit à la portabilité des données : Art. 20 RGPD

Le droit portabilité données RGPD, consacré par l’Art. 20, représente une innovation majeure du règlement. Il permet à toute personne de recevoir ses données personnelles dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement. Ce droit vise à réduire l’enfermement propriétaire (vendor lock-in) et à renforcer le contrôle des individus sur leurs données. Son champ d’application est toutefois plus restreint que celui des autres droits.

Points Clés

• L’Art. 20(1) RGPD accorde le droit de recevoir ses données dans un format structuré, couramment utilisé et lisible par machine.
• Le droit à la portabilité ne s’applique que lorsque le traitement repose sur le consentement (Art. 6(1)(a) ou Art. 9(2)(a)) ou un contrat (Art. 6(1)(b)), et qu’il est effectué à l’aide de procédés automatisés.
• L’Art. 20(2) RGPD prévoit un droit à la transmission directe des données d’un responsable à un autre, « lorsque cela est techniquement possible ».
• Le CEPD (lignes directrices WP242 rév.01) précise que la portabilité couvre les données fournies par la personne, y compris les données générées par son activité (historique d’achats, données de géolocalisation).
• Le droit à la portabilité est sans préjudice du droit à l’effacement (Art. 17) : demander la portabilité n’implique pas automatiquement l’effacement.

Champ d’application : trois conditions cumulatives

L’Art. 20(1) RGPD soumet le droit à la portabilité à trois conditions qui doivent être réunies simultanément :

Condition 1 : Base légale limitée — Le traitement doit reposer sur le consentement de la personne (Art. 6(1)(a) RGPD pour les données ordinaires, Art. 9(2)(a) pour les données sensibles) ou sur l’exécution d’un contrat (Art. 6(1)(b) RGPD). Les traitements fondés sur l’intérêt légitime (Art. 6(1)(f)), l’obligation légale (Art. 6(1)©) ou une mission de service public (Art. 6(1)(e)) sont exclus du champ de la portabilité.

Condition 2 : Traitement automatisé — Le traitement doit être effectué à l’aide de procédés automatisés. Les données conservées sur des supports papier uniquement ne sont pas concernées.

Condition 3 : Données fournies par la personne — L’Art. 20(1) vise les données « que la personne a fournies » au responsable de traitement. Le CEPD (lignes directrices WP242 rév.01, adoptées le 5 avril 2017) a interprété cette notion largement : elle couvre non seulement les données activement communiquées (formulaire, profil) mais aussi les données observées générées par l’activité de la personne (historique de navigation, historique d’achats, données de géolocalisation, données de capteurs IoT).

En revanche, les données inférées ou dérivées — par exemple un score de crédit calculé par le responsable, un profil marketing généré par algorithme — sont exclues de la portabilité.

Format des données : exigences techniques

L’Art. 20(1) RGPD impose que les données soient fournies dans un format structuré, couramment utilisé et lisible par machine. Le CEPD a précisé les implications :

Structuré : les données doivent être organisées selon une structure permettant leur traitement automatisé. Un document PDF contenant du texte brut ne satisfait pas cette exigence. Les formats JSON, XML et CSV sont les plus couramment utilisés.

Couramment utilisé : le format doit être répandu dans le secteur d’activité concerné. Le responsable de traitement n’est pas tenu d’utiliser un format ouvert, mais doit choisir un format que d’autres acteurs du marché peuvent raisonnablement exploiter.

Lisible par machine : les données doivent pouvoir être traitées automatiquement par un logiciel, sans intervention humaine pour les interpréter. Un tableau Excel structuré ou un fichier JSON satisfait cette exigence ; un scan de documents papier ne la satisfait pas.

La CNIL recommande l’utilisation de formats standards et ouverts (JSON, CSV, XML) et encourage le développement d’API de portabilité permettant des transferts automatisés.

Transmission directe entre responsables : Art. 20(2)

L’Art. 20(2) RGPD prévoit un droit supplémentaire : la personne peut demander que ses données soient transmises directement d’un responsable de traitement à un autre, « lorsque cela est techniquement possible ».

Cette condition de faisabilité technique est importante : le CEPD a précisé qu’elle ne crée pas une obligation pour les responsables de développer des systèmes techniques compatibles. Si une API existe et permet le transfert direct, le responsable doit l’utiliser. En l’absence d’infrastructure technique, le responsable doit fournir les données à la personne dans un format portable, et celle-ci se chargera de les transmettre au nouveau responsable.

En pratique, certains secteurs ont développé des mécanismes de portabilité structurés : le secteur bancaire avec la directive DSP2 pour les données de paiement, les réseaux sociaux avec les outils d’export de données (Facebook, Google Takeout), et le secteur des télécommunications pour le changement d’opérateur.

Limites du droit à la portabilité

Droits d’autrui (Art. 20(4)) : l’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés de tiers. Si les données portables contiennent des données relatives à d’autres personnes (un historique de messages, par exemple), le responsable doit évaluer l’impact sur ces tiers.

Pas d’obligation d’effacement automatique : l’Art. 20(3) RGPD précise que le droit à la portabilité est sans préjudice de l’Art. 17. Demander la portabilité de ses données ne déclenche pas automatiquement leur effacement chez le responsable initial. La personne doit exercer séparément son droit à l’effacement si elle le souhaite.

Secret des affaires : le responsable de traitement peut refuser de communiquer des données dont la transmission porterait atteinte au secret des affaires ou à la propriété intellectuelle. Cette exception doit être interprétée strictement et ne peut servir de prétexte général pour limiter la portabilité.

Mise en oeuvre pratique pour les organisations

Pour garantir le respect du droit à la portabilité, les organisations doivent prendre plusieurs mesures :

Cartographier les données portables : identifier, pour chaque traitement fondé sur le consentement ou un contrat, les catégories de données fournies par les personnes et les données générées par leur activité. Le registre des traitements (Art. 30 RGPD) est le point de départ de cette cartographie.

Prévoir un format d’export : développer ou configurer un outil d’export des données en format structuré (JSON, CSV, XML). Pour les plateformes SaaS, une fonctionnalité d’export self-service intégrée à l’interface utilisateur est la solution la plus efficiente.

Documenter les limites techniques : si la transmission directe entre responsables n’est pas techniquement possible, documenter les raisons techniques. Cette documentation servira de justification en cas de contrôle.

Former les équipes : s’assurer que les équipes en charge du traitement des demandes de droits savent distinguer les demandes de portabilité des demandes d’accès. Le DPO doit superviser cette formation.

Sanctions et jurisprudence sur la portabilité

Le droit à la portabilité, étant relativement récent, a donné lieu à moins de sanctions spécifiques que les droits d’accès ou d’effacement. Toutefois, plusieurs décisions illustrent l’attention des autorités de contrôle.

CNIL vs DISCORD (Délibération n°SAN-2022-020, 17 novembre 2022) : 800 000 euros. Parmi les multiples manquements relevés, la CNIL a noté que la plateforme ne permettait pas un export complet des données dans un format structuré conforme aux exigences de l’Art. 20 RGPD.

AEPD vs Google LLC (PS/00110/2020, 2021) : l’autorité espagnole a examiné la conformité de l’outil Google Takeout au regard de l’Art. 20 RGPD et a relevé que certaines catégories de données n’étaient pas exportables dans un format structuré.

Le CEPD a rappelé dans ses lignes directrices WP242 rév.01 que le non-respect du droit à la portabilité constitue un manquement sanctionnable au titre de l’Art. 83(5)(b) RGPD, avec une amende pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

FAQ

Quelle est la différence entre droit d’accès et droit à la portabilité ?

Le droit d’accès (Art. 15 RGPD) permet d’obtenir une copie de toutes les données personnelles traitées, quelle que soit la base juridique. Le droit à la portabilité (Art. 20) ne couvre que les données fournies par la personne, uniquement pour les traitements fondés sur le consentement ou un contrat, et impose un format structuré lisible par machine. Le droit d’accès est plus large en périmètre ; la portabilité est plus exigeante en format.

Les données dérivées ou inférées sont-elles portables ?

Non. Le CEPD (lignes directrices WP242 rév.01) exclut expressément les données inférées ou dérivées du champ de la portabilité. Un score de crédit, un profil comportemental ou une classification algorithmique ne sont pas des données « fournies par » la personne. Ces données relèvent du droit d’accès (Art. 15) mais pas du droit à la portabilité.

Quel format utiliser pour la portabilité ?

L’Art. 20(1) RGPD exige un format « structuré, couramment utilisé et lisible par machine ». Les formats les plus adaptés sont JSON, CSV et XML. La CNIL et le CEPD recommandent des formats ouverts et interopérables. Un fichier PDF ou une image scannée ne satisfait pas l’exigence de lisibilité par machine.

Le responsable peut-il facturer la portabilité ?

Non, la portabilité est gratuite pour la personne. Contrairement au droit d’accès qui prévoit la possibilité de facturer les copies supplémentaires (Art. 15(3)), l’Art. 20 RGPD ne contient aucune disposition permettant la facturation. Seule l’Art. 12(5) RGPD s’applique en cas de demande manifestement infondée ou excessive, permettant soit un refus, soit la facturation de frais raisonnables.