Article 20 du RGPD

Article 20 - Droit à la portabilité des données

RGPD » chapitre 3 - droits de la personne concernée » section 3 - rectification et effacement »  article 20

  1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque:
    • a) le traitement est fondé sur le consentement en application de l’article 6, paragraphe 1, point a), ou de l’article 9, paragraphe 2, point a), ou sur un contrat en application de l’article 6, paragraphe 1, point b); et
    • b) le traitement est effectué à l’aide de procédés automatisés.
  2. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible.
  3. L’exercice du droit, visé au paragraphe 1 du présent article s’entend sans préjudice de l’article 17. Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
  4. Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers.

Article 20 du RGPD : Ce qu'il faut comprendre

L’article 20 du RGPD concerne le droit à la portabilité des données. Ce droit permet aux personnes concernées de recevoir les données personnelles qu’elles ont fournies à un responsable du traitement dans un format structuré, courant et lisible par machine (comme un fichier CSV ou JSON). Elles peuvent ensuite transmettre ces données à un autre responsable du traitement sans que l’entreprise d’origine puisse s’y opposer, à condition que :

  • Le traitement des données repose sur le consentement ou un contrat, et
  • Le traitement soit réalisé par des moyens automatisés (c’est-à-dire, sans intervention humaine).

La personne concernée peut également demander que ses données soient transférées directement d’une entreprise à une autre, si cela est techniquement possible.

Cependant, ce droit n’affecte pas les données nécessaires à une mission d’intérêt public, et ne doit pas porter atteinte aux droits d’autres personnes (comme des informations confidentielles sur d’autres individus).

Article 20 du RGPD – Exemples concrets

  • Exemple 1 : Transfert de données d’un service de streaming à un autre
    Un utilisateur peut demander à un service de streaming de musique de lui fournir toutes les playlists et informations personnelles qu’il a fournies lors de son inscription, dans un fichier lisible. Il peut ensuite transférer ces données à un autre service de streaming.
  • Exemple 2 : Changement de fournisseur d’e-mail
    Une personne change de fournisseur de services d’e-mail et demande à ce que toutes ses données personnelles (contacts, paramètres de compte, etc.) soient transmises directement à son nouveau fournisseur, sans qu’elle ait à faire cela manuellement. Si c’est techniquement faisable, le fournisseur doit répondre à cette demande.
  • Exemple 3 : Portabilité non applicable
    Un citoyen ne peut pas exiger que ses données administratives collectées par un gouvernement (par exemple, pour des services fiscaux) soient transférées à une autre organisation, car ces données sont liées à une mission d’intérêt public.

← Article 19 – Obligation de notification en ce qui concerne la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement
Article 21 – Droit d’opposition →

Les articles du RGPD mentionnant l'article 20