C’est dans le cadre du code de la consommation, et non de la loi informatique et libertés, que la loi du 7 octobre 2016 pour une République numérique a introduit un droit à la portabilité des données, en application des nouvelles règles du Règlement Général pour la Protection des Données 2016/679 (RGPD). La loi apporte des précisions au régime prévu par le RGPD et entrera en vigueur à la même date que celui-ci. Articles L224-42-1 et suivants du code de la consommation

L’article 20 précise notamment que :

- Le droit à la portabilité s’applique lorsque :

° le traitement est fondé sur le consentement ou sur un contrat; et

° le traitement est effectué à l'aide de procédés automatisés.

- La personne concernée a notamment le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible.

- L'exercice du droit, est sans préjudice du droit à l’effacement.

- Le droit à la portabilité ne porte pas atteinte aux droits et libertés de tiers.

- Par ailleurs le texte s’interprète au vu des considérants du RGPD.

Les fournisseurs de services de communications au public en ligne doivent offrir au consommateur une fonctionnalité gratuite pour la récupération, par une requête unique, de l'ensemble des fichiers ou données concernés.

Ils doivent prendre toutes les mesures nécessaires à cette fin, en termes d'interface de programmation et de transmission des informations nécessaires au changement de fournisseur.

1. Limites

Cette obligation s’applique sous réserve du secret en matière industrielle et commerciale et des droits de propriété intellectuelle.

Il y a aussi des limites selon la nature des données en question, comme cela est précisé ci-dessous.

L’obligation ne s’imposera pas aux petits fournisseurs (dont le nombre de comptes d'utilisateurs ayant fait l'objet d'une connexion au cours des six derniers mois est inférieur à un seuil fixé par décret).

2. Données concernées

Sont concernés :

- Tous les fichiers mis en ligne par le consommateur ;

- Toutes les données résultant de l’utilisation du compte d’utilisateur :

° Il s’agit des données du compte d’utilisateur du consommateur, consultables en ligne par celui-ci, Ces données sont récupérées dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé. A défaut, il faut en informer le consommateur ainsi que des solutions alternatives de récupération.

° Les données ayant fait l’objet d’un enrichissement significatif par le fournisseur sont exclues. C’est au prestataire d’en apporter la preuve. Cette exception est une question cruciale pour les prestataires. Pour éviter les abus, il est prévu qu’un décret détermine une liste de types d’enrichissements présumés non significatifs et ne pouvant donc pas justifier un refus.

- « D’autres données » « associées » au compte utilisateur du consommateur :

° Il s’agit de données qui facilitent le changement de fournisseur de service ou permettent d’accéder à d’autres services ;

° L’identification des données prend en compte l’importance économique des services concernés, l’intensité de la concurrence entre les fournisseurs, l’utilité pour le consommateur, la fréquence et les enjeux financiers de l’usage de ces services. Il s’agit, là aussi, d’un élément crucial pour les prestataires.

Le G29 a publié les documents suivants qui viennent compléter le RGPD :

- Lignes directrices sur le droit à la portabilité des données WP 242 du 13 décembre 2016[2]

- FAQ [3]

Ces lignes directrices apportent quelques nuances par rapport au texte français, mais il est encore trop tôt pour évaluer leur importance. Il s’agit là d’une règlementation dont les enjeux sont significatifs pour les sociétés internet. Un certain nombre des questions sont encore sujettes à interprétation. C’est un sujet que nous suivons de près pour nos clients.