Changer de service de streaming, transférer ses historiques d’achat ou récupérer les données générées par une application de santé : ces gestes sont devenus courants, mais ils reposent sur un principe juridique précis. Depuis l’entrée en application du RGPD, le droit à la portabilité des données permet aux citoyens européens de reprendre une partie de leurs informations personnelles pour les réutiliser ailleurs. Encore faut-il savoir ce que ce droit couvre réellement, comment l’exercer et dans quelles limites il s’applique.
Le droit à la portabilité des données est prévu par l’article 20 du Règlement général sur la protection des données, plus connu sous le sigle RGPD. Applicable depuis le 25 mai 2018 dans l’Union européenne, ce texte a profondément modifié les obligations des entreprises et des administrations qui collectent des informations personnelles. La portabilité fait partie des droits accordés aux personnes, aux côtés du droit d’accès, de rectification, d’opposition ou d’effacement.
Son objectif est simple : permettre à une personne de récupérer certaines données qu’elle a fournies à un organisme, dans un format exploitable, afin de les conserver ou de les transmettre à un autre service. Ce mécanisme répond à une réalité numérique très concrète. Les utilisateurs accumulent des années de données sur des plateformes : listes de contacts, photos, préférences, historiques de consommation, playlists, relevés d’activité sportive ou informations bancaires. Sans portabilité, quitter un service peut signifier perdre une partie de cette mémoire numérique.
Ce droit vise donc à renforcer la maîtrise individuelle des données personnelles, mais aussi à encourager la concurrence. Lorsqu’un utilisateur peut transférer facilement ses informations vers un concurrent, il est moins captif d’une plateforme. Dans certains secteurs, comme la banque, les télécommunications ou les services en ligne, la portabilité peut réduire les coûts de changement et favoriser l’innovation.
Le droit à la portabilité ne concerne pas toutes les données détenues par une entreprise. Il vise uniquement les données à caractère personnel que la personne a fournies elle-même à l’organisme. Cela inclut les informations déclarées directement, comme un nom, une adresse e-mail, une date de naissance ou un numéro de téléphone, mais aussi certaines données générées par l’activité de l’utilisateur.
Par exemple, les historiques de recherche, les données de localisation enregistrées par une application, les relevés d’utilisation d’un service ou les playlists créées sur une plateforme musicale peuvent entrer dans le champ de la portabilité. La logique retenue par les autorités européennes est que l’utilisateur doit pouvoir récupérer les informations issues de son propre comportement lorsqu’elles sont traitées automatiquement.
En revanche, les données déduites ou créées par l’organisme ne sont généralement pas concernées. Un score de solvabilité calculé par une banque, un profil marketing élaboré par une plateforme ou une recommandation algorithmique produite à partir de plusieurs sources ne sont pas automatiquement portables. Ces éléments relèvent davantage de l’analyse interne de l’entreprise. La distinction est essentielle : le droit à la portabilité porte sur les données fournies par la personne, non sur toute la valeur ajoutée créée par le responsable du traitement.
Le RGPD fixe plusieurs conditions cumulatives. D’abord, les données doivent être traitées de manière automatisée. Cela signifie que les fichiers papier, lorsqu’ils ne sont pas intégrés dans un système informatique, ne sont pas concernés par la portabilité. Le droit s’applique surtout aux services numériques, aux bases de données clients, aux applications mobiles et aux plateformes en ligne.
Ensuite, le traitement doit reposer sur le consentement de la personne ou sur l’exécution d’un contrat. C’est le cas, par exemple, lorsqu’un internaute crée un compte sur une plateforme de vidéo à la demande, souscrit une offre d’énergie, ouvre un compte bancaire en ligne ou utilise une application de suivi sportif. En revanche, si le traitement repose sur une obligation légale ou sur l’intérêt légitime de l’organisme, la portabilité ne s’applique pas nécessairement.
Cette précision a des conséquences pratiques. Une administration qui conserve certaines données pour remplir une mission légale n’est pas soumise aux mêmes obligations qu’un service commercial fonctionnant sur la base d’un contrat. De même, une entreprise qui traite des données pour prévenir la fraude peut avoir un fondement juridique distinct du consentement ou du contrat. Le fondement juridique du traitement devient donc un critère déterminant pour savoir si la demande est recevable.
La demande peut être adressée directement à l’organisme qui détient les données. Elle peut être formulée par e-mail, via un formulaire en ligne, dans l’espace client ou par courrier. Aucune formule juridique complexe n’est exigée. Il suffit d’indiquer clairement que l’on souhaite exercer son droit à la portabilité et de préciser, si nécessaire, les données concernées.
L’organisme peut demander une preuve d’identité lorsqu’il a un doute raisonnable sur l’identité du demandeur. Cette vérification doit rester proportionnée. Il ne serait pas justifié d’exiger systématiquement une copie de pièce d’identité si l’utilisateur est déjà connecté à son compte sécurisé. Le principe reste celui de la minimisation des données, qui impose de ne collecter que les informations nécessaires à la finalité poursuivie, comme le rappelle cette analyse sur les enjeux pratiques de la collecte limitée des données.
Le responsable du traitement dispose en principe d’un délai d’un mois pour répondre. Ce délai peut être prolongé de deux mois supplémentaires lorsque la demande est complexe ou lorsqu’un grand nombre de requêtes sont en cours, mais l’organisme doit alors informer la personne de cette prolongation. La réponse doit être gratuite, sauf en cas de demandes manifestement infondées ou excessives, notamment lorsqu’elles sont répétitives.
Le RGPD impose que les données soient transmises dans un format structuré, couramment utilisé et lisible par machine. Cette formulation technique a une portée très concrète. Il ne suffit pas de fournir une capture d’écran ou un document PDF difficile à exploiter. L’utilisateur doit pouvoir réutiliser les données, par exemple dans un tableur, une autre application ou un système concurrent.
Les formats CSV, JSON ou XML sont souvent cités comme des exemples adaptés, car ils permettent une lecture automatisée par des logiciels. Dans le secteur bancaire, des interfaces de programmation sécurisées, appelées API, peuvent également faciliter la transmission des données entre établissements. Le choix du format dépend du type de service, mais il doit répondre à une exigence centrale : rendre la donnée effectivement réutilisable.
Le texte prévoit aussi la possibilité d’une transmission directe d’un responsable de traitement à un autre lorsque cela est techniquement possible. Dans les faits, cette option reste inégale selon les secteurs. Certaines plateformes proposent déjà des outils d’exportation relativement simples, tandis que d’autres se limitent à un fichier téléchargeable. La portabilité n’impose pas à une entreprise de rendre ses systèmes parfaitement compatibles avec tous ses concurrents, mais elle doit éviter les obstacles artificiels qui rendraient le transfert inutilement difficile.
Le droit à la portabilité se comprend mieux à travers des situations quotidiennes. Un utilisateur d’un service de musique en ligne peut demander l’export de ses playlists, de ses titres favoris ou de son historique d’écoute, si ces données sont liées à son compte et résultent de son activité. Il pourra ensuite les conserver ou tenter de les importer dans un autre service, selon les possibilités techniques offertes.
Dans le domaine de la santé connectée, une personne peut vouloir récupérer les données enregistrées par une application de suivi d’activité : nombre de pas, fréquence cardiaque, séances de course, poids ou temps de sommeil. Ces informations peuvent être utiles pour changer d’application, les partager avec un professionnel de santé ou simplement les archiver. Leur sensibilité impose toutefois des précautions renforcées, car les données de santé bénéficient d’une protection particulière au titre du RGPD.
Autre exemple : un client d’une banque en ligne peut souhaiter transférer certaines données de compte vers un agrégateur financier ou un nouvel établissement. Dans l’Union européenne, la directive DSP2 sur les services de paiement a également contribué à structurer l’accès sécurisé à certaines données bancaires, notamment via des prestataires autorisés. La portabilité s’inscrit ici dans un écosystème plus large, où la sécurité des échanges est aussi importante que la liberté de circulation des données.
La portabilité n’est pas un droit absolu. Elle ne doit pas porter atteinte aux droits et libertés d’autrui. Cette limite est particulièrement importante lorsque les données concernent plusieurs personnes. Par exemple, l’export d’une messagerie peut contenir des messages envoyés par des tiers, des coordonnées ou des informations confidentielles. L’organisme doit alors trouver un équilibre entre le droit du demandeur et la protection des autres personnes concernées.
Le droit à la portabilité ne doit pas non plus être confondu avec le droit à l’effacement. Récupérer ses données ne signifie pas automatiquement qu’elles seront supprimées du service d’origine. Si l’utilisateur souhaite également la suppression de son compte ou de certaines informations, il doit exercer son droit à l’effacement, sous réserve des obligations légales de conservation qui peuvent s’appliquer.
De même, la portabilité ne garantit pas que le nouveau service pourra utiliser parfaitement les données transmises. Un fichier exporté dans un format standard peut ne pas être compatible avec toutes les plateformes. Le RGPD favorise l’interopérabilité, mais il ne crée pas une obligation générale d’uniformisation technique. Cette nuance explique pourquoi le transfert effectif des données peut encore être difficile dans certains secteurs, malgré l’existence du droit.
Pour les entreprises, la portabilité suppose une organisation en amont. Il ne suffit pas de répondre ponctuellement aux demandes. Les responsables de traitement doivent identifier les données concernées, vérifier les bases juridiques applicables, prévoir des formats d’export et sécuriser les transmissions. Les équipes juridiques, informatiques et relation client sont souvent impliquées dans ce processus.
Le respect de ce droit s’inscrit dans une logique plus large de conformité au RGPD. Les entreprises doivent être capables de démontrer qu’elles respectent leurs obligations, selon le principe d’accountability. Cela implique de documenter les procédures, de former les équipes et de conserver la trace des demandes traitées. Pour une organisation manipulant des volumes importants de données, la portabilité peut devenir un sujet opérationnel majeur.
Les sanctions prévues par le RGPD peuvent être lourdes. Les manquements aux droits des personnes peuvent exposer un organisme à une amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Dans la pratique, les autorités de contrôle, comme la CNIL en France, tiennent compte de la gravité du manquement, de sa durée, du nombre de personnes concernées et des mesures correctrices prises. Au-delà du risque financier, une mauvaise gestion du droit à la portabilité des données peut aussi nuire à la confiance des clients.
Six ans après l’entrée en application du RGPD, le droit à la portabilité reste un outil prometteur, mais encore sous-utilisé. Beaucoup d’utilisateurs ignorent son existence ou ne savent pas comment l’exercer. D’autres se heurtent à des exports incomplets, à des formats peu pratiques ou à des interfaces peu lisibles. Le droit existe, mais son efficacité dépend largement de la manière dont les organisations le mettent en œuvre.
Pour les citoyens, l’enjeu dépasse la simple récupération d’un fichier. La portabilité participe à une évolution plus profonde : la possibilité de ne pas être enfermé dans un service en raison des données accumulées au fil des années. Dans une économie numérique fondée sur l’information, pouvoir déplacer ses données renforce la liberté de choix et réduit la dépendance aux grandes plateformes.
Pour les entreprises, ce droit peut aussi devenir un facteur de confiance. Un service qui permet à ses utilisateurs de récupérer facilement leurs informations montre qu’il respecte leur autonomie. Dans un contexte où la protection des données personnelles est devenue un critère de réputation, la transparence et la simplicité des démarches ne sont plus seulement des obligations juridiques. Elles participent à la qualité de la relation entre un organisme et ses utilisateurs.
Le droit à la portabilité ne règle donc pas à lui seul toutes les tensions liées à l’exploitation des données personnelles. Mais il introduit une idée essentielle : les informations produites par les individus dans leur vie numérique ne doivent pas rester prisonnières des systèmes qui les collectent. Bien compris et correctement appliqué, ce mécanisme contribue à rendre l’environnement numérique plus ouvert, plus concurrentiel et plus respectueux des droits fondamentaux.
