mail_outline Lettre d'informations search Rechercher
Ulys logo
Ulys logo
menu MENU

Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

arrow_back Retour à tous les articles

arrow_backArticle précédent
Article 20
Article suivantarrow_forward

Droit à la portabilité des données

Textes
officiels Guidelines Jurisprudence Analyse du
droit européen
Afficher les articles et mots clés liés à l’article 20 expand_more Cacher les articles et mots clés liés à l’article 20 expand_less

Mots clés liés à l'article 20

Afficher les considérants du Règlement liés à l'article 20 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 20 keyboard_arrow_up

(68) Pour renforcer encore le contrôle qu’elles exercent sur leurs propres données, les personnes concernées devraient aussi avoir le droit, lorsque des données à caractère personnel font l'objet d'un traitement automatisé, de recevoir les données à caractère personnel les concernant, qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé, lisible par machine et interopérable, et de les transmettre à un autre responsable du traitement. Il y a lieu d'encourager les responsables du traitement à mettre au point des formats interopérables permettant la portabilité des données. Ce droit devrait s'appliquer lorsque la personne concernée a fourni les données à caractère personnel sur la base de son consentement ou lorsque le traitement est nécessaire pour l'exécution d'un contrat. Il ne devrait pas s'appliquer lorsque le traitement est fondé sur un motif légal autre que le consentement ou l'exécution d'un contrat. De par sa nature même, ce droit ne devrait pas être exercé à l'encontre de responsables du traitement qui traitent des données à caractère personnel dans l'exercice de leurs missions publiques. Il ne devrait dès lors pas s'appliquer lorsque le traitement des données à caractère personnel est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ou à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. Le droit de la personne concernée de transmettre ou de recevoir des données à caractère personnel la concernant ne devrait pas créer, pour les responsables du traitement, d'obligation d'adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles. Lorsque, dans un ensemble de données à caractère personnel, plusieurs personnes sont concernées, le droit de recevoir les données à caractère personnel devrait s'entendre sans préjudice des droits et libertés des autres personnes concernées conformément au présent règlement. De plus, ce droit ne devrait pas porter atteinte au droit de la personne concernée d'obtenir l'effacement de données à caractère personnel ni aux limitations de ce droit comme le prévoit le présent règlement et il ne devrait pas, notamment, entraîner l'effacement de données à caractère personnel relatives à la personne concernée qui ont été fournies par celle-ci pour l'exécution d'un contrat, dans la mesure où et aussi longtemps que ces données à caractère personnel sont nécessaires à l'exécution de ce contrat. Lorsque c'est techniquement possible, la personne concernée devrait avoir le droit d'obtenir que les données soient transmises directement d'un responsable du traitement à un autre.

(156) Le traitement des données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être soumis à des garanties appropriées pour les droits et libertés de la personne concernée, en vertu du présent règlement. Ces garanties devraient permettre la mise en place de mesures techniques et organisationnelles pour assurer, en particulier, le respect du principe de minimisation des données. Le traitement ultérieur de données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques doit être effectué lorsque que le responsable du traitement a évalué s'il est possible d'atteindre ces finalités grâce à un traitement de données à caractère personnel qui ne permettent pas ou plus d'identifier les personnes concernées, pour autant que des garanties appropriées existent (comme par exemple la pseudonymisation des données). Les États membres devraient prévoir des garanties appropriées pour le traitement de données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Les États membres devraient être autorisés à prévoir, dans des conditions spécifiques et moyennant des garanties appropriées pour les personnes concernées, des dispositions particulières et des dérogations concernant les exigences en matière d'information et les droits à la rectification, à l'effacement, à l'oubli, à la limitation du traitement, à la portabilité des données et le droit d'opposition lorsque les données à caractère personnel sont traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Les conditions et garanties en question peuvent comporter des procédures spécifiques permettant aux personnes concernées d'exercer ces droits si cela est approprié eu égard aux finalités du traitement spécifique concerné, ainsi que des mesures techniques et organisationnelles visant à réduire à un minimum le traitement des données à caractère personnel conformément aux principes de proportionnalité et de nécessité. Le traitement de données à caractère personnel à des fins scientifiques devrait également respecter d'autres dispositions législatives pertinentes, telles que celles relatives aux essais cliniques.

Afficher les considérants de la Directive 95/46 liés à l'article 20 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 20 keyboard_arrow_up

La Directive ne comporte pas de droit correspondant.

Guidelines

Ici viendront les guidelines

Sommaire

Union Européenne

Union Européenne

Retour au sommaire

Groupe 29

Lignes directrices relatives au droit à la portabilité des données - wp242rev.01 (5 avril 2017)

(Approuvées par le CEPD)

L’article 20 du règlement général sur la protection des données crée un nouveau droit à la portabilité des données, qui est étroitement lié au droit d’accès aux données, tout en différant de celui-ci à de nombreux égards. Il confère aux personnes concernées le droit de recevoir les données à caractère personnel qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement. Ce nouveau droit a pour objectif de responsabiliser les personnes concernées et de leur permettre de contrôler davantage les données à caractère personnel les concernant.

Dans la mesure où il permet la transmission directe des données à caractère personnel d’un responsable du traitement à un autre, le droit à la portabilité des données constitue également un instrument important qui facilitera la libre circulation des données à caractère personnel dans l’Union et qui stimulera la concurrence entre les responsables du traitement. Il facilitera le passage d’un prestataire de services à un autre et encouragera dès lors la mise au point de nouveaux services dans le contexte de la stratégie pour un marché unique numérique.

Le présent avis fournit des orientations sur la manière d’interpréter et de mettre en oeuvre le droit à la portabilité des données, tel qu’il a été introduit par le règlement général sur la protection des données. Il a pour objet d’examiner la question du droit à la portabilité des données et son champ d’application. Il précise les conditions dans lesquelles ce nouveau droit s’applique compte tenu de la base juridique du traitement des données (soit le consentement de la personne concernée, soit la nécessité d’exécuter un contrat) et du fait que ce droit est limité aux données à caractère personnel fournies par la personne concernée. Le présent avis fournit également des exemples et des critères concrets pour expliquer les circonstances dans lesquelles ce droit s’applique. À cet égard, le groupe de travail «Article 29» considère que le droit à la portabilité des données couvre les données fournies sciemment et activement par la personne concernée, ainsi que les données à caractère personnel générées par son activité. Ce nouveau droit ne peut être remis en cause et limité aux informations à caractère personnel que la personne concernée communique directement, par exemple sur un formulaire en ligne.

À titre de bonne pratique, les responsables du traitement devraient commencer à élaborer les moyens qui contribueront à répondre aux demandes de portabilité des données, comme des outils de téléchargement et des interfaces de programme d’application. Ils devraient garantir que les données à caractère personnel sont transmises dans un format structuré, couramment utilisé et lisible par machine et doivent être encouragés à garantir l’interopérabilité du format de données fourni dans le cadre de l’exercice d’une demande de portabilité des données.

Le présent avis aide également les responsables du traitement à comprendre clairement leurs obligations respectives et recommande des bonnes pratiques et des outils visant à soutenir le respect du droit à la portabilité des données. Enfin, il recommande que les parties prenantes du secteur et les associations professionnelles travaillent de concert sur une série commune de normes et de formats interopérables afin de satisfaire aux exigences liées au droit à la portabilité des données.

Lien

Retour au sommaire
arrow_back Article précédentArticle 20Article suivant arrow_forward

Sommaire

Belgique

Union Européenne


Belgique

Bruxelles – Section Cour des marchés n° 2020/AR/582 (28 octobre 2020)

Le tribunal précise qu'un avertissement (avec publication) constitue une sanction et qu'il découle du seul fait qu'il s'agit d'une mesure corrective qu'il peut être susceptible d'avoir un effet préjudiciable sur la personne à qui il s'adresse.

Le tribunal a estimé que, bien que la chambre contentieuse puisse être un organe administratif, elle a un pouvoir étendu, ce qui en fait un organe semi-judiciaire. En conséquence, les principes généraux de bonne administration s'appliquent au processus.

La Cour d'appel ne peut user de sa plénitude de compétence lorsqu'elle est saisie d'un recours contre des mesures provisoires et correctives.

En l'espèce, le tribunal a annulé la décision de la chambre contentieuse de la DPA pour non-respect des principes de bonne administration, notamment parce que l'obligation d'être entendu n'a pas été respectée.

Arrêt rendu (néerlandais)

Bruxelles – Section Cour des marchés n° 2021/AR/205 (26 mai 2021)

La Cour d'appel a annulé la décision de la DPA.

Elle a estimé que, malgré la résiliation du contrat de gestion, la société de musique avait toujours un intérêt légitime à gérer la fanpage. En effet, selon un contrat d'artiste du 26 juillet 2008, un contrat de licence du 20 novembre 2015, et conformément aux droits du producteur de musique conformément à l'article XI.209 du Code belge de droit économique ("Wetboek van Economisch recht', 'WEB'), la société de musique est exclusivement autorisée à utiliser le nom et l'image de l'artiste musical des œuvres musicales qui font l'objet de ces accords, pendant la durée des droits d'auteur (70 ans à compter du premier enregistrement). Le plaignant perçoit des redevances en retour. Dans ce contexte, la page Facebook a été créée et utilisée, entre autres, pour promouvoir le nom de l'artiste et favoriser la vente des œuvres musicales concernées. La Cour a déclaré que les données personnelles sur la fanpage sont en tout état de cause très limitées et que l'intérêt légitime du défendeur à traiter ces données, qui aide le plaignant à accroître sa portée, est plus important. Aucune violation de l'article 21(1) lu conjointement avec l'article 12(3) n'a donc pu être constatée par l'APD

Arrêt rendu (Néerlandais)

Retour au sommaire
arrow_back Article précédentArticle 20Article suivant arrow_forward

Le GDPR

L’article 20 confère à la personne concernée un nouveau droit : le droit à la portabilité des données. Ce dernier apparaît comme un droit d’accès amélioré, auquel est associée une exigence d’interopérabilité. L’objet du droit serait, selon l’exposé des motifs de la première proposition de Règlement « de transmettre des données d’un système de traitement automatisé à un autre, sans que le responsable du traitement puisse y faire obstacle ». Pour ce faire, il permet à la personne concernée de recevoir les données qu’elle a fournies au responsable du traitement dans un « format structuré, couramment utilisé et lisible par machine ». Nouveauté dans la version finale du Règlement, il peut même exiger que les données soient transmises directement par le premier responsable au second, lorsque cela est techniquement possible.

Notons d’emblée que les autres données -que le responsable aurait par exemple obtenu de tiers- ne sont pas couvertes par ledit droit puisque ces données n’ont pas été communiquées par la personne concernée au dit responsable.

L’exercice de ce droit est soumis à une double condition : il doit nécessairement s’agir d’un traitement effectué à l’aide de procédés automatisés, d’une part, et, fondé sur le consentement de la personne  -fusse concernant des données sensibles- ou sur un contrat conclu entre la personne concernée et le responsable, d’autre part.

La ratio de ce nouveau droit serait de permettre aux personnes concernées de récupérer l'utilisation qui est faite des données les concernant et de renforcer leur droit d’accès, en leur reconnaissant un rôle plus actif (cfr considérant n° 68). L’article 20 précise que le droit à la portabilité des données s’entend sans préjudice du droit à l’effacement, au sens de l’article 17 du Règlement.

Le paragraphe 3 précise que le droit à la portabilité n’est pas applicable au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.

Une exception au droit à la portabilité a été rajoutée par la seconde proposition de Règlement à l’article 20, paragraphe 4, lorsque la divulgation des données est susceptible de porter atteinte aux droits et libertés de tiers.

La Directive

Ni la Directive, ni les législations belge et française ne connaissaient le droit à la portabilité des données.

Difficultés probables

Ce nouveau droit est une des grandes nouveautés du Règlement et, de manière générale, exprime sans doute une évolution très importante dans le mouvement de reprise du contrôle des données par la personne elle-même.

Si l’objectif est louable, reste à savoir comment il sera mis en pratique, d’autant qu’il suppose une concertation des responsables de traitement et sans doute un accord –au moins implicite- sur les supports et standards utilisés pour la récupération des données.

Le texte ne dit rien sur l’utilisation ultérieure des données par le premier responsable auprès duquel ce droit est exercé. On en conclut que les principes généraux de protection continuent à s’appliquer et qu’il ne pourra le conserver que dans la mesure strictement nécessaire aux finalités annoncées.

Il ne dit rien non plus sur le sort des données « générées » par l’utilisation d’un produit ou service et qui ne sont pas à proprement parlé « communiquées » par la personne : données de facturation, données de trafic, données de localisation, etc. Sont-elles visées par ce nouveau droit ?

arrow_back Article précédentArticle 20Article suivant arrow_forward
arrow_back Article précédentArticle 20Article suivant arrow_forward
Règlement
1e 2e

Art. 20

1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque:

a) le traitement est fondé sur le consentement en application de l'article 6, paragraphe 1, point a), ou de l'article 9, paragraphe 2, point a), ou sur un contrat en application de l'article 6, paragraphe 1, point b); et

b) le traitement est effectué à l'aide de procédés automatisés.

2. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible.

3. L'exercice du droit, visé au paragraphe 1 du présent article s'entend sans préjudice de l'article 17. Ce droit ne s'applique pas au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.

4. Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers.
Proposition 1 close

 1. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé dans un format structuré et couramment utilisé, la personne concernée a le droit d'obtenir auprès du responsable du traitement une copie des données faisant l'objet du traitement automatisé dans un format électronique structuré qui est couramment utilisé et qui permet la réutilisation de ces données par la personne concernée.

2. Lorsque la personne concernée a fourni les données à caractère personnel et que le traitement est fondé sur le consentement ou sur un contrat, elle a le droit de transmettre ces données à caractère personnel et toutes autres informations qu'elle a fournies et qui sont conservées par un système de traitement automatisé à un autre système dans un format électronique qui est couramment utilisé, sans que le responsable du traitement auquel les données à caractère personnel sont retirées n'y fasse obstacle.

 3. La Commission peut préciser le format électronique visé au paragraphe 1, ainsi que les normes techniques, les modalités et les procédures pour la transmission de données à caractère personnel conformément au paragraphe 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.
Proposition 2 close

1. (...)

2. Les personnes concernées ont le droit de recevoir les données les concernant qu'elles ont communiquées au responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque:

a) le traitement est fondé sur le consentement en application de l'article 6, paragraphe 1, point a), ou de l'article 9, paragraphe 2, point a), ou sur un contrat en application de l'article 6, paragraphe 1, point b);

et b) le traitement est automatisé

 2 bis. L'exercice de ce droit s'entend sans préjudice de l'article 17. Le droit visé au paragraphe 2 ne s'applique pas au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.

2 bis bis. Le droit visé au paragraphe 2 ne s'applique pas lorsque la divulgation des données à caractère personnel pourrait porter atteinte aux droits de propriété intellectuelle pour ce qui relève du traitement de données à caractère personnel.

3. (...)

4. (…)
Directive close

Aucune disposition correspondante.
France
Ancienne loi

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 55

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Le droit à la portabilité des données s'exerce dans les conditions prévues à l'article 20 du règlement (UE) 2016/679 du 27 avril 2016.
Ancienne loi
en France close

Aucune disposition correspondante dans la loi du 6 janvier 1978. Celle-ci n’est pas complète puisqu’elle ne mentionne pas tous les nouveaux droits ou obligations posés par le RGPD, pourtant également applicables (exemple : droit à la portabilité, obligation de réaliser des analyses d’impact, etc.).

Décret d'application. 

CF chapitre II TITRE VI décret pris pour l'application de la loi n°78-17 du 6 janvier 1978.
Belgique
Ancienne loi

Aucune disposition spécifique
Ancienne loi
en Belgique close

Aucune disposition correspondante.
arrow_back Article précédentArticle 20Article suivant arrow_forward
Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK