Le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD, soit règlement général sur la protection des données) va révolutionner le cadre légal de l’usage des données personnelles. Il entrera en vigueur le 25 mai 2018.
Révolution parmi d’autres: la création d’un droit à la portabilité des données pour les personnes physiques. Il est différent du simple droit d'accès aux données qui existait (et existe toujours) sous l'ancienne loi Informatique et Libertés. L’idée générale consiste à matérialiser les données personnelles. Elles deviennent un bien meuble à part entière qui peut faire l’objet d’une appropriation par leur propriétaire, à savoir la personne physique visée. Cette dernière peut donc en demander le transfert ou la restitution. Ce droit n’est toutefois pas aussi absolu que le droit de propriété et il est strictement encadré.
Quels types de données?
Il s'agit des données transmises volontairement par la personne (dans le cadre d'un formulaire, par exemple) ou collecté du fait de son activité (l'historique des achats, par exemple). Cela exclut les données générées par le traitement des données brutes initiales, ce qui permet de protéger le savoir-faire des sociétés qui traitent ces données.
Un consommateur qui remplit en ligne un formulaire sur un site de recherche d'emploi: l'éditeur du site sera tenu de restituer ou transférer les données transmises par lui (nom, prénom, expériences professionnelles, diplômes, etc.) ou collectées du fait de son activité (types de recherche sur le site, annonces consultées…). En revanche, l'éventuel profil établi par le site à la suite d'entretiens ou du fait du résultat de recoupement de fichiers ou d'analyses des annonces consultés, refusés, etc., reste la propriété de l'éditeur, qui n'aura pas à le transférer. Par ailleurs, les données traitées sur la base d'une obligation légale ne sont pas concernées (données sociales collectées par l'employeur, par exemple), ni les données qui peuvent porter atteinte aux droits des tiers (échange de message entre deux personnes, par exemple).
Quelles obligations pour le responsable du traitement?
Le responsable du traitement doit informer les personnes concernées de l'existence de ce droit, mais également préciser le type de données pouvant faire l'objet d'un transfert. Le responsable du traitement sera avisé de demander tout justificatif permettant de garantir l'identité du demandeur, pour vérifier qu'il s'agit bien de la personne concernée et éviter les fraudes. Sa responsabilité pourrait être engagée en cas de transmission à un tiers non autorisé. Le transfert doit être réalisé dans un format technique lisible, sans contraintes techniques et sans frais (sauf abus manifeste, notion non définie par le RGPD et que les responsables du traitement auront tout intérêt à déterminer au préalable dans leur politique de gestion des données). Le transfert n'entraîne toutefois pas nécessairement un dessaisissement total des données. Celles-ci sont conservées par le responsable du traitement, pour la durée initialement prévue lors de la collecte (durée qui doit être proportionnée avec la finalité du traitement). Elles peuvent continuer de faire l'objet d'un traitement par le responsable qui reste tenu envers la personne concernée de toutes les obligations habituelles (droit d'accès, de modification, de suppression). La transmission des données entraîne le transfert des risques sur celle-ci, de sorte que le transmettant ne saurait être responsable de l'utilisation des données par la société réceptrice, qui doit également se conformer à la réglementation sur les données personnelles