Ai-je le droit de refuser une demande de portabilité des données d'un client vers un concurrent ?

Le droit à la portabilité des données

Le droit à la portabilité des données, prévu par l'article 20 du RGPD, permet aux clients de demander que leurs données personnelles soient transmises directement à eux ou à un autre responsable de traitement (par exemple, un concurrent). 

Ce droit s'applique aux données :

• Fournies par le client lui-même (comme par exemple : nom, adresse, historique d'achats) 
• Traitées de manière automatisée 
• Basées sur le consentement ou l'exécution d'un contrat

Délimitation précise du champ d’application du droit à la portabilité

Le droit à la portabilité concerne uniquement les données que la personne concernée a fournies au responsable de traitement. Cette notion englobe deux catégories distinctes : d'une part, les données déclarées activement et consciemment par la personne (coordonnées, préférences) et d'autre part, les données générées par son activité lors de l'utilisation d'un service.

Les données dérivées, calculées ou inférées à partir des informations fournies par la personne concernée ne sont pas soumises à la portabilité, précisément parce qu'elles ne sont pas directement fournies par cette personne mais créées par l'organisme. Par exemple, une note attribuée par d'autres utilisateurs sur un site de vente en ligne ou une catégorisation marketing basée sur des algorithmes ne relèvent pas du droit à la portabilité.

Base légale du traitement : une condition clé pour exercer le droit à la portabilité

Le droit à la portabilité ne s'applique que lorsque le traitement de données personnelles est fondé sur le consentement de la personne concernée ou sur l'exécution d'un contrat. Cette restriction exclut automatiquement les traitements basés sur d'autres fondements juridiques tels que l'intérêt légitime du responsable de traitement, le respect d'une obligation légale ou l'exécution d'une mission d'intérêt public.

Le processus pour un transfert de données simple et efficace

La CNIL précise que les formats couramment utilisés incluent notamment les fichiers CSV, JSON ou XML. 

Un format "couramment utilisé" correspond à un format de fichier rencontré de manière habituelle pour le traitement ou le stockage des données, connu par une vaste majorité d'une population donnée. Le caractère "lisible par machine" implique que le format choisi soit utilisé dans le cadre des transferts automatisés ou des intégrations de données au sein des systèmes d'information.

Procédure et délais de réponse

Le responsable du fichier dispose d'un délai de réponse maximal d'un mois à compter de la date de réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires (soit trois mois au total) si la demande est complexe, à condition d'en informer le demandeur dans le délai initial d'un mois. Dans tous les cas, une réponse doit être apportée dans le délai d'un mois, même si elle consiste à informer de la prolongation.

Authentification du demandeur

Bien que le RGPD ne contienne aucune exigence spécifique quant à l'authentification de la personne demanderesse, le Groupe de travail Article 29 (G29) a apporté des précisions importantes. Lorsqu'une personne fournit des informations sur son identité, le responsable de traitement ne peut refuser sa demande. En cas de doute raisonnable sur l'identité, le responsable peut demander des informations supplémentaires. Pour les données liées à un pseudonyme ou un identifiant unique, une procédure appropriée doit être créée pour permettre l'exercice du droit.

Transmission directe entre responsables de traitement

Lorsque cela est techniquement possible, la personne concernée peut demander que ses données soient transmises directement d'un responsable de traitement à un autre. Cette transmission directe doit respecter des exigences de sécurité strictes, notamment l'utilisation de canaux sécurisés (HTTPS), le chiffrement des données avant envoi et l'authentification forte.

Les exceptions à la portabilité

Vous pouvez refuser une demande de portabilité si :

• Les données ne remplissent pas les critères du droit à la portabilité (par exemple, des données dérivées ou anonymisées)
• Le transfert des données porte atteinte aux droits et libertés d'autres personnes

Des données exclues du droit à la portabilité

Plusieurs catégories de données sont explicitement exclues du champ d'application du droit à la portabilité. Les images de vidéosurveillance, les déclarations d'impôts, les données de badgeuse ne sont pas concernées par ce droit. De même, les données anonymisées échappent à ce régime car elles ne permettent plus d'identifier une personne physique.

Les données traitées dans le cadre de missions de service public ou d'intérêt général ne relèvent pas non plus du droit à la portabilité. Cette exclusion s'explique par le fait que ces traitements sont fondés sur la base juridique de la mission d'intérêt public, qui ne figure pas parmi les bases juridiques éligibles au droit à la portabilité.

Quand et pourquoi une entreprise peut refuser une demande de portabilité

L'entreprise peut refuser une demande de portabilité à condition de motiver sa décision. Elle peut également ne pas répondre aux demandes manifestement abusives, notamment en raison de leur nombre et de leur caractère répétitif ou systématique. Le refus doit s'appuyer sur des critères objectifs et être clairement expliqué au demandeur.

Cas particuliers et données sensibles

Les données de santé bénéficient d'un régime spécifique avec des délais de réponse réduits (8 jours, ou deux mois si les données ont plus de cinq ans). Pour les données sensibles au sens de l'article 9 du RGPD, des précautions supplémentaires doivent être prises lors de la transmission, notamment en matière de sécurisation du transfert.

Une question la gestion de portabilité des données d'un client ?

Notre équipe chez Inkivari est à votre disposition pour toute interrogation concernant la gestion des données personnelles.