Le droit du consommateur
Le consommateur a « en toutes circonstances » un droit à récupération de « l’ensemble » de ses données.
Cette récupération s’exerce conformément aux conditions à l’article 20 du RGPD[1].
Article 20 du RGPD
L’article 20 précise notamment que :
– Le droit à la portabilité s’applique lorsque :
° le traitement est fondé sur le consentement ou sur un contrat; et
° le traitement est effectué à l’aide de procédés automatisés.
– La personne concernée a notamment le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible.
– L’exercice du droit, est sans préjudice du droit à l’effacement.
– Le droit à la portabilité ne porte pas atteinte aux droits et libertés de tiers.
– Par ailleurs le texte s’interprète au vu des considérants du RGPD.
Obligations des fournisseurs de services de communications au public en ligne
Les fournisseurs de services de communications au public en ligne doivent offrir au consommateur une fonctionnalité gratuite pour la récupération, par une requête unique, de l’ensemble des fichiers ou données concernés.
Ils doivent prendre toutes les mesures nécessaires à cette fin, en termes d’interface de programmation et de transmission des informations nécessaires au changement de fournisseur.
1. Limites
Cette obligation s’applique sous réserve du secret en matière industrielle et commerciale et des droits de propriété intellectuelle.
Il y a aussi des limites selon la nature des données en question, comme cela est précisé ci-dessous.
L’obligation ne s’imposera pas aux petits fournisseurs (dont le nombre de comptes d’utilisateurs ayant fait l’objet d’une connexion au cours des six derniers mois est inférieur à un seuil fixé par décret).
2. Données concernées
Sont concernés :
– Tous les fichiers mis en ligne par le consommateur ;
– Toutes les données résultant de l’utilisation du compte d’utilisateur :
° Il s’agit des données du compte d’utilisateur du consommateur, consultables en ligne par celui-ci, Ces données sont récupérées dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé. A défaut, il faut en informer le consommateur ainsi que des solutions alternatives de récupération.
° Les données ayant fait l’objet d’un enrichissement significatif par le fournisseur sont exclues. C’est au prestataire d’en apporter la preuve. Cette exception est une question cruciale pour les prestataires. Pour éviter les abus, il est prévu qu’un décret détermine une liste de types d’enrichissements présumés non significatifs et ne pouvant donc pas justifier un refus.
– « D’autres données » « associées » au compte utilisateur du consommateur :
° Il s’agit de données qui facilitent le changement de fournisseur de service ou permettent d’accéder à d’autres services ;
° L’identification des données prend en compte l’importance économique des services concernés, l’intensité de la concurrence entre les fournisseurs, l’utilité pour le consommateur, la fréquence et les enjeux financiers de l’usage de ces services. Il s’agit, là aussi, d’un élément crucial pour les prestataires.
Date d’entrée en vigueur
Le dispositif entre en vigueur le 25 mai 2018, soit à la même date que le RGPD.
Lignes directrices du Groupe de l’article 29
Le G29 a publié les documents suivants qui viennent compléter le RGPD :
– Lignes directrices sur le droit à la portabilité des données WP 242 du 13 décembre 2016[2]
– FAQ [3]
Ces lignes directrices apportent quelques nuances par rapport au texte français, mais il est encore trop tôt pour évaluer leur importance. ***
Il s’agit là d’une règlementation dont les enjeux sont significatifs pour les sociétés internet. Un certain nombre des questions sont encore sujettes à interprétation. C’est un sujet que nous suivons de près pour nos clients.
Contact : stephanie.faber@squirepb.com
[1] Il est à noter qu’il faut aussi prendre en compte les considérants 68, 73 [2] Version anglaise http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_en_40852.pdf [3] Version anglaise http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_annex_en_40854.pdf