A la portabilité des données

163 La portabilité des données est une suite naturelle à la portabilité des services. Le concept est donc introduit dans le Règlement (1), Le législateur français a, à tort ou à raison, anticiper le droit à la portabilité ; il convient d'étudier l'articulation entre les textes (2).

1/ L’introduction du concept dans le Règlement

164 Avant son adoption définitive, le droit à la portabilité des données a été l'objet de vives

discussions et désaccords. La portabilité, telle que proposée par la Commission européenne, a fait l'objet de nombreux commentaires. Pour exemple, la Chambre de commerce et d'industrie de la région Paris Ile-de-France a pris position sur cette proposition le 14 février 2013, et estimait que l'article posait de nombreux problèmes, notamment en ce qu'il permettait une transmission de données à d'éventuels concurrents. D’autres risques ont peu être avancés par la possibilité de porter les données d’un service à un autre, notamment les risques d'une usurpation d'identité. Ces risques sont contradictoires avec une volonté de renforcer la protection des personnes physiques à l'égard des données à caractère personnel. Le Parlement européen, dans sa résolution législative du 12 mars 2014 sur la proposition de règlement, avait même supprimé l'article 18158 de la proposition de Règlement.

165 Conformément à l'article 20 paragraphe 1 du Règlement, les personnes concernées ont

« le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à

un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle ». Conformément au paragraphe 2, la personne concernée a

également le droit d'obtenir que les données soient transmises directement d'un responsable du traitement à un autre, « lorsque cela est techniquement possible ». Ce droit comporte donc deux volets :

Page 60 sur 81

– le droit de récupérer, sous certaines conditions, des données à caractère personnel concernant une personne

– le droit de demander au responsable du traitement de les transmettre à un autre responsable et directement

166 Pour illustrer de manière pratique la notion de portabilité et son application dans le cadre du e-commerce, l'exemple peut être pris d'un utilisateur d'un service d'écoute de musique en streaming payant. Avec ce nouveau droit à la portabilité, ce même utilisateur pourra très bien récupérer les données le concernant et même demander le transfert de ses données à un nouveau prestataire.

2/ L’anticipation du concept en droit interne

167 Le législateur français a souhaité anticiper l'entrée en application du Règlement européen par la loi pour une République numérique159. Le succès de l'introduction prématuré de ce droit, et de la loi pour Une république numérique en général, est mitigé. Outre la consécration d’un droit à l’oubli numérique, la loi pour une République numérique consacre un « droit à la portabilité et à la récupération des données ».

168 Ce droit à la portabilité et à la récupération des données est prévu par l'article 48 de la loi et ne vise que les données détenues par les fournisseurs d'un service de communication au public en ligne, et ne concerne que les données « autres que personnelles ». Un renvoi est effectué au règlement pour les données à caractère personnel. Les données concernées par la loi sont finalement peu nombreuses. Il s'agira des données constituées par des « fichiers mis en ligne » ainsi que de toutes les données résultant de l'utilisation d'un « compte utilisateur et consultable en ligne ». Cette loi est désormais applicable, mais l'on peut être soulagé de ce que les dispositions relatives à la portabilité et à la récupération des données ne le seront qu'à compter de mai 2018. Une application immédiate aurait conduit à moins bien protéger les données à caractère personnel que les autres données du fait de l'entrée en application du Règlement en mai 2018160_.

159_{L. n°2016-1321 du 7 oct. 2016 pour une République numérique}

160_{Sur cet opinion, v. N. Martial-Braz, « Les nouveaux droits consacrés par la loi pour une République}

numérique – Quelles innovations ? Quelle articulation avec le Règlement européen ? », Dalloz IP / IT 2016 p. 525

Page 61 sur 81

169 La portée de ce droit est assez incertaine, l'exclusion des données à caractère personnel de son champ d'application risque de réduire à néant l’intérêt de la portabilité, dans la mesure où l'utilisation de la plupart des services de communication en ligne implique le traitement de données à caractère personnel des utilisateurs. L'adoption de ce texte a été fortement critiquée, notamment par l'Association française des Editeurs de Logiciels et Solutions Interne et la FEVAD, qui avait demandé à ce que le droit à la portabilité soit renvoyé au Règlement, afin de ne pas pénaliser la compétitivité des entreprises françaises par rapport à leurs concurrents européens.

170 La juxtaposition de ces deux dispositions, qui risquent de s’enchevêtrer ne sera sans

doute pas aisée. Si la superposition de deux droits à la portabilité n'était pas suffisante, une proposition de directive « sur certains aspects des contrats de fourniture de contenu numérique » du 9 décembre 2015 vient prévoir un droit de récupération des données par suite de l’utilisation d’un contenu numérique, au profit du consommateur, en cas de résiliation du contrat161_{. Cette}

proposition de directive trouve à s’appliquer « à tout contrat par lequel un fournisseur fournit un contenu numérique au consommateur (…) en échange duquel un prix doit être acquitté ou une contrepartie non pécuniaire, sous la forme de données personnelles ou de toutes autres données, doit être apportée de façon active par le consommateur ». Ainsi, trois droits à la portabilité trouveraient à s’appliquer à diverses situations qui pourraient se recouper entre elles. En effet, si la segmentation de la règlementation selon la nature personnelle ou non des données permet d’attribuer l’applicabilité des dispositions du Règlement ou au Code de la consommation, la distinction n’est plus entre la proposition de directive et le Règlement. Et ainsi, dans le cas où la portabilité s’exercerait à compter de la résiliation du contrat, il n’y a pas forcément lieu à favoriser l’application du projet de directive qui a une conception plus patrimoniale de la donnée que celle du règlement162_.

171 Concernant le droit à la portabilité consacré par le Règlement, celui-ci a été clarifié par le Groupe de l'article 29 dans ses lignes directrices163_{. De par sa nouveauté, le thème de la}

portabilité faisait partie des thèmes identifiés par l'article 29 comme méritant une clarification avant l'entrée en application du règlement164.

161 _{Proposition de directive, article 13}

162 _{C. Berthet, C. Zolynski, N. Anciaux, al., « Contenus numériques, récupération des données et}

empouvoirement du consommateur », Dalloz IP / IT 2017 p.29

163_{G29, Guidelines on the right to data portability annex, WP242, 13 déc. 2016}

164_{Les autres thèmes ayant fait l'objet de lignes directrices étant le délégué à la protection des données et}

Page 62 sur 81

§2 : Les modalités d'exercice du droit à la portabilité

172 L'article 20 du Règlement conditionne fortement l'exercice du droit à la portabilité. Outre le fait qu'il ne puisse s'effectuer que lorsque le traitement est fondé sur le consentement de la personne concernée sur l'exécution d'un contrat165, le droit à la portabilité ne sera possible que si le transfert d'un responsable du traitement à un autre est techniquement possible (A). Surtout, les données concernées par la portabilité viennent nettement limiter le volume de données pouvant être « portées » (B).