Non-conformité RGPD : la responsabilité personnelle du dirigeant d’entreprise

portabilité données Depuis l’adoption de la Loi pour une République numérique, le droit à la récupération et à la portabilité des données fût introduit en France. Selon l’article L. 222-42-1 du Code de la consommation, cette récupération s’effectue selon les conditions prévues à l’article 20 du règlement n° 2016/679 (UE). Il prévoyait que les consommateurs disposaient du droit de récupérer leurs fichiers en ligne, leurs données provenant de l’exploitation d’un compte utilisateur et d’autres données rattachées à ce compte qui répondent à quelques conditions. Toutefois, avec la loi n°2018-493, le législateur a abrogé ces dispositions concernant les données personnelles. Aussi, il convient désormais de s’intéresser au Règlement Général sur la Protection des Données et à la façon dont le droit à la portabilité est mis en application.

Qu’est-ce que le droit à la portabilité de données ?

Le droit à la portabilité désigne la possibilité pour une personne de récupérer ses données sous un format lisible et structuré et de les transférer à un autre responsable de traitement que le premier. Respecter ce droit fondamental est indispensable pour assurer la mise en conformité rgpd. Il permet de :
  • Faciliter la circulation des données à caractère personnel dans l’Union Européenne
  • De transmettre ces données d’un responsable de traitement à un autre
  • De favoriser la concurrence entre les différents responsables de traitement
  • D’améliorer la relation entre responsable de traitement et personne concernée
  • De favoriser la création de nouveaux services
Il faut savoir que le droit à la portabilité ne concerne qu’une partie des traitements de données personnelles. Il s’applique quand :
  • Il concerne des données fournies uniquement par la personne physique concernée
  • Il se fonde sur son consentement ou sur l’exécution de mesures pré-contractuelles ou contractuelles
  • Des procédés automatisés sont utilisés pour traiter les données
Il couvre donc :
  • Le droit de traiter les données comme le souhaite la personne concernée
  • Le droit de transférer les données d’un responsable de traitement à un autre
  • Le droit de recevoir les données du responsable de traitement et de les sauvegarder sur un cloud privé ultérieurement.
La portabilité des données ne s’ensuit pas forcément de l’effacement de données. Toutes ces actions doivent être inscrites dans le registre des traitements rgpd.

Quel est le rôle du responsable de traitement ?

Le responsable de traitement qui reçoit la demande de portabilité des données :
  • N’est pas tenu de vérifier et contrôler la qualité des données
  • Doit transférer les données si les personnes concernées en font la demande
  • Doit être assisté par un ou plusieurs sous-traitants pour répondre à la demande
  • Doit se tenir à disposition des personnes concernées
Le responsable de traitement qui reçoit les données à caractère personnel :
  • Doit assurer de la pertinence et la nécessité des données. Ces dernières ne doivent pas être excessives vis-à-vis du traitement envisagé.
  • N’a aucune obligation d’accepter les données personnelles des personnes concernées
  • Est désigné comme le responsable de traitement des données collectées. Il doit donc appliquer les grands principes du RGPD tels que le principe de licéité, de transparence, de confidentialité, d’intégrité, de limitation des finalités, de la responsabilité et de la conservation.
La G29 recommande de mettre en place les bonnes pratiques suivantes :
  • Mettre en place des outils pour que les personnes concernées puissent choisir les données qu’elles souhaitent recevoir et transmettre
  • Travailler sur les formats et normes interopérables pour que le droit soit plus facile à exercer
  • Informer les personnes concernées du droit à la portabilité au moment de résilier le service ou de clôturer le compte
  • Mettre en place un mécanisme de consentement pouvant s’appliquer à d’autres personnes concernées
  • Définir un délai de réponse

Le secret professionnel et la propriété intellectuelle

Les droits et libertés fondamentaux des personnes peuvent concerner le secret professionnel et la propriété intellectuelle, comme le droit d’auteur qui couvre le logiciel.

Les obstacles à la fourniture de données personnelles

Le premier responsable de traitement ne doit pas empêcher la fourniture des données, même les données biométriques, en :
  • Obscurcissant délibérément les données
  • Fournissant des données non exploitables
  • Facturant la demande de portabilité
  • Arguant la normalisation sectorielle

Comment s’applique le droit à la portabilité ?

Les données concernées

  • Celles fournies par les personnes concernées
  • Celles à caractère personnel fournies au responsable de traitement
  • Celles ne portant pas atteinte aux droits et libertés d’autres personnes concernées
  • Celles observées et données par la personne lors de l’utilisation du service
Le droit à la portabilité ne concerne pas les données dérivées et les données réduites

Les informations à transmettre aux personnes concernées au préalable

La personne concernée doit être informée de l’existence du droit à la portabilité au moment de la collecte. Si cette dernière se fait de manière indirecte, le délai d’information ne doit pas dépasser un mois.

Le délai de réponse

Le responsable de traitement doit informer les personnes concernées des mesures prises dans un mois après avoir reçu la demande. Ce délai pourra être prolongé à 3 mois selon les cas.

L’identification de la personne avant toute réponse

En cas de doutes sur l’identité de la personne concernée, le responsable de traitement pourra lui demander de confirmer son identité.

La demande de paiement et la possibilité de rejeter la demande

Des frais peuvent être requis en cas de demande répétée ou excessive. En revanche, les refus se font rares.

Le mode de transfert des données

Si cela est possible, le responsable de traitement devra lui-même transférer les données à un autre responsable de traitement. Selon le G29, un outil automatisé devrait permettre d’extraire les données pertinentes.

Le format de données souhaité

Le format doit permettre une lecture facile et une réutilisation sans problèmes. Il doit être interopérable. Aucune recommandation spécifique n’est émise par le RGPD concernant le format de données souhaité.