Portabilité des données

La portabilité des données est un droit institué par le règlement européen général sur la protection des données (RGPD, règlement 2016/679), à son article 20. Il permet à toute personne physique de récupérer les données personnelles qu’elle a fournies à un responsable de traitement et de les transmettre à un autre opérateur, sans que le premier puisse y faire obstacle.

Conditions d’exercice du droit

Le droit à la portabilité n’est pas universel : il ne joue que lorsque trois conditions sont réunies.

D’abord, la base légale du traitement doit être le consentement de la personne ou l’exécution d’un contrat auquel elle est partie. Les traitements fondés sur l’intérêt légitime ou sur une obligation légale en sont exclus.

Ensuite, le traitement doit être effectué par des procédés automatisés. Les traitements purement manuels ne sont pas concernés.

Enfin, les données doivent avoir été activement fournies par la personne. Cela inclut les données saisies directement, mais aussi celles issues de son activité ou de son comportement (historique de navigation, données de localisation). En revanche, les données déduites ou inférées par le responsable (score, segmentation) sont généralement exclues.

Le responsable de traitement dispose d’un mois pour répondre à une demande de portabilité, délai prorogeable de deux mois supplémentaires en cas de complexité.

Format et transmission

Le RGPD impose que les données soient fournies dans un format structuré, couramment utilisé et lisible par machine. Il ne prescrit pas de format technique spécifique, mais la CNIL et les autres autorités de contrôle européennes ont orienté vers des formats comme JSON, CSV ou XML.

La personne peut demander que les données soient transmises directement d’un responsable à un autre, lorsque cela est techniquement possible.

Extension sectorielle : le Data Act

Le principe de portabilité dépasse désormais le seul cadre des données personnelles. Le règlement européen dit Data Act (règlement 2023/2854, applicable progressivement à partir de 2025) l’étend aux données générées par les objets connectés et les services associés, qu’elles soient personnelles ou non. Il impose aux fabricants de rendre accessibles les données produites par leurs produits, y compris aux utilisateurs professionnels et aux tiers autorisés.

Pourquoi c’est utile en affaires publiques

La portabilité est un levier de politique de concurrence et de régulation numérique autant qu’un droit individuel. Pour les professionnels des affaires réglementaires, suivre son évolution est indispensable dans les secteurs bancaire, énergétique, de la santé et du numérique, où les régulateurs sectoriels développent leurs propres cadres d’interopérabilité. Les obligations de portabilité figurent régulièrement dans les consultations publiques et les travaux législatifs européens, ce qui en fait un terme de veille stratégique.