Les citoyens européens disposent d'un catalogue de droits à l'égard du traitement de leurs données personnelles qui va bien au-delà du classique droit d'accès ou de rectification. Le droit à la portabilité des données (art. 20 du règlement (UE) 2016/679) et le droit d'opposition (art. 21 du même règlement) sont deux des plus importants et, en même temps, deux de ceux qui génèrent le plus d'interrogations dans les entreprises au moment de gérer les demandes. Quand la portabilité peut-elle être exercée ? Quelle est la différence avec le droit d'accès ? Dans quels cas l'opposition au marketing direct ne peut-elle pas être refusée ? Cet article répond à ces questions avec rigueur normative et propose un guide opérationnel pour les organisations qui doivent traiter ce type de demandes.
Le droit à la portabilité des données (art. 20 RGPD) : définition et champ d'application
Le droit à la portabilité des données est régi par l'article 20 du règlement (UE) 2016/679 (RGPD). Il permet à la personne concernée de recevoir les données à caractère personnel la concernant qu'elle a fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, ainsi que de les transmettre directement à un autre responsable du traitement lorsque cela est techniquement possible.
Sa finalité est de favoriser la mobilité des données et de réduire la dépendance des utilisateurs vis-à-vis d'une plateforme ou d'une entreprise particulière. Si un client souhaite transférer ses données d'un prestataire de services de santé numérique à un autre, ou si un utilisateur désire migrer son historique de transactions d'une application financière, le droit à la portabilité des données est l'instrument juridique qui le rend possible.
Conditions cumulatives devant être réunies
L'article 20, paragraphe 1, du RGPD établit que le droit à la portabilité des données ne peut être exercé que lorsque deux conditions cumulatives sont remplies :
- Le traitement est fondé sur le consentement de la personne concernée (art. 6, par. 1, point a), ou art. 9, par. 2, point a) du RGPD) ou sur l'exécution d'un contrat auquel la personne concernée est partie (art. 6, par. 1, point b) du RGPD).
- Le traitement est effectué à l'aide de procédés automatisés.
Si le traitement repose sur une obligation légale, sur l'exercice de prérogatives de puissance publique ou sur l'intérêt légitime du responsable, le droit à la portabilité ne peut être exercé. Il ne s'applique pas non plus lorsque le traitement est effectué de manière purement manuelle ou sur des fichiers papier.
Cela signifie que la portabilité est particulièrement pertinente pour : les plateformes de services en ligne dont l'utilisateur est un client contractuel, les applications de santé, de bien-être ou de sport qui traitent des données sur la base du consentement, ainsi que les services financiers ou de télécommunications numériques.
Quelles données la portabilité couvre-t-elle ?
Le droit à la portabilité des données ne couvre que les données que la personne concernée a fournies au responsable du traitement. Cela englobe les données communiquées activement (nom, adresse électronique, historique d'achats, préférences déclarées) et les données générées par l'activité de la personne concernée sur le service (historique de navigation, relevés de localisation, transactions). Il ne couvre pas les données inférées ou dérivées que le responsable a générées en interne à partir du traitement : scores de risque, profils de segmentation, analyses prédictives ou toute élaboration intellectuelle propre au responsable.
Portabilité et droit d'accès : différences essentielles
Une confusion fréquente dans les entreprises consiste à assimiler la portabilité au droit d'accès prévu à l'article 15 du RGPD. Il s'agit de droits distincts ayant des finalités différentes. Bien connaître cette distinction est indispensable pour apporter la réponse correcte à chaque demande.
| Caractéristique | Droit d'accès (art. 15 RGPD) | Droit à la portabilité (art. 20 RGPD) |
|---|---|---|
| Finalité | Savoir quelles données sont traitées et comment | Obtenir les données dans un format réutilisable et les transférer |
| Base de traitement requise | Toute base légale de l'art. 6 du RGPD | Uniquement le consentement (art. 6, par. 1, point a)) ou le contrat (art. 6, par. 1, point b)) |
| Format de la réponse | Copie lisible ; format papier également admis | Format structuré, couramment utilisé et lisible par machine (CSV, JSON, XML…) |
| Transmission directe à un autre responsable | Non prévue | Oui : la transmission directe peut être demandée lorsqu'elle est techniquement possible |
| Données couvertes | Toutes les données personnelles de la personne concernée détenues par le responsable | Uniquement les données fournies par la personne concernée (pas les données inférées) |
| Traitement automatisé | Non requis | Oui, condition obligatoire |
D'un point de vue opérationnel, lorsqu'une entreprise reçoit une demande que la personne concernée qualifie de « portabilité », elle doit vérifier avant de répondre si la base juridique du traitement est le consentement ou le contrat. Si ce n'est pas le cas, elle doit en informer la personne concernée et lui indiquer qu'elle peut à la place exercer le droit d'accès, dans la mesure où celui-ci est applicable.
Le service de gestion des droits des personnes concernées de Summum Consultoría comprend la conception des procédures internes permettant d'identifier la base juridique applicable à chaque catégorie de traitement et de formuler des réponses correctes, complètes et documentées dans le délai légal.
Le droit d'opposition (art. 21 RGPD) : fondement et modalités
Le droit d'opposition permet à la personne concernée de s'opposer, à tout moment, au traitement de ses données à caractère personnel. Il est régi par l'article 21 du RGPD et présente deux modalités dont les régimes juridiques sont substantiellement différents.
Opposition au traitement fondé sur l'intérêt légitime ou l'exercice de prérogatives de puissance publique
Lorsque le traitement est fondé sur l'article 6, paragraphe 1, point e) du RGPD (mission d'intérêt public ou exercice de l'autorité publique) ou sur l'article 6, paragraphe 1, point f) (intérêt légitime du responsable), la personne concernée peut s'opposer au traitement pour des motifs tenant à sa situation particulière. Dès réception de la demande, le responsable doit cesser de traiter les données, à moins qu'il ne démontre qu'il existe des motifs légitimes impérieux pour le traitement qui prévalent sur les intérêts, droits et libertés de la personne concernée, ou que le traitement est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice.
En pratique, ce cas de figure est le plus complexe, car il exige du responsable qu'il effectue un examen de mise en balance concret pour chaque demande : l'opposition ne peut être rejetée de façon générique, ni des modèles standard appliqués sans analyser les circonstances particulières invoquées par la personne concernée.
Opposition au marketing direct : régime absolu
L'article 21, paragraphes 2 et 3, du RGPD établit un régime spécifique et bien plus protecteur pour le marketing direct. Lorsque le traitement a pour finalité le marketing direct — y compris le profilage dans la mesure où il est lié à ce marketing direct —, la personne concernée a le droit de s'opposer à tout moment au traitement des données à caractère personnel la concernant. Dans ce cas, le responsable doit cesser le traitement immédiatement, sans possibilité de refus et sans que la personne concernée ait à motiver sa demande.
Cela est particulièrement important pour les entreprises qui envoient des communications commerciales par courrier électronique, SMS, notifications push ou tout autre canal. Si le destinataire s'y oppose, la cessation doit être totale pour cette finalité : il ne suffit pas de le désabonner d'un type de communication si d'autres communications à caractère commercial continuent d'être envoyées.
L'article 21, paragraphe 4, du RGPD oblige en outre à informer explicitement la personne concernée de ce droit d'opposition au marketing direct, au plus tard lors de la première communication avec elle, et de manière clairement visible et séparément de toute autre information.
Procédure opérationnelle en entreprise : guide étape par étape
Gérer correctement les demandes de portabilité et d'opposition nécessite une procédure documentée et appliquée de manière homogène par l'ensemble du personnel susceptible de les recevoir. Nous décrivons ci-dessous un flux recommandé applicable aux organisations de toute taille et de tout secteur.
Étape 1 : canal de réception et accusé de réception
L'organisation doit disposer d'un canal clair et accessible pour recevoir les demandes d'exercice des droits : formulaire web dédié, adresse électronique dédiée ou guichet physique. Un accusé de réception mentionnant la date de réception doit être adressé à la personne concernée, car le délai de réponse — un mois à compter de cette date, conformément à l'article 12, paragraphe 3, du RGPD — commence à courir à partir de ce moment. Ce délai peut être prolongé de deux mois supplémentaires lorsque la demande est complexe, mais la prolongation doit être communiquée à la personne concernée dans le premier mois.
Étape 2 : vérification de l'identité du demandeur
Avant de fournir des données ou de prendre des mesures, le responsable du traitement doit vérifier l'identité du demandeur. L'article 12, paragraphe 6, du RGPD autorise à demander des informations supplémentaires lorsqu'il existe des doutes raisonnables quant à l'identité de la personne concernée. Cette vérification doit être proportionnée au risque : il n'y a pas lieu d'exiger une documentation exhaustive pour des demandes à faible risque, mais il est légitime de la demander lorsque les données concernées sont sensibles ou que le volume est élevé.
Étape 3 : analyse et qualification de la demande
Pour les demandes de portabilité : vérifier que le traitement concerné est fondé sur le consentement ou le contrat et qu'il est effectué à l'aide de procédés automatisés. Identifier les données fournies par la personne concernée qui sont susceptibles d'être portées, en les distinguant des données inférées qui sont exclues du champ du droit.
Pour les demandes d'opposition : déterminer si la finalité concernée est le marketing direct — auquel cas l'opposition est absolue et immédiate — ou s'il s'agit d'une autre finalité fondée sur l'intérêt légitime ou l'intérêt public, qui nécessite la mise en balance prévue à l'article 21, paragraphe 1, du RGPD. Si la personne concernée invoque une situation particulière, le responsable doit l'évaluer individuellement et documenter le raisonnement.
Étape 4 : réponse et exécution de la mesure
Pour la portabilité : fournir les données dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON, XML ou tout autre format ouvert et interopérable), ou les transmettre directement au nouveau responsable si la personne concernée le demande et que cela est techniquement possible. Il n'est pas valide de remettre les données dans un format propriétaire que seul le logiciel de l'entreprise peut traiter.
Pour l'opposition au marketing direct : procéder à la suppression immédiate sur tous les canaux concernés et enregistrer la date de l'opposition. Pour l'opposition fondée sur l'intérêt légitime : communiquer à la personne concernée la décision motivée — favorable ou défavorable — dans le délai légal, en l'informant de son droit d'introduire une réclamation auprès de l'AEPD (Agencia Española de Protección de Datos — l'autorité espagnole de protection des données).
Étape 5 : documentation interne du dossier
Consigner la demande reçue, la vérification d'identité effectuée, l'analyse juridique réalisée, la décision prise et la date à laquelle elle a été communiquée à la personne concernée. Cette documentation est indispensable pour attester du respect des obligations devant l'AEPD si la personne concernée introduit ultérieurement une réclamation. La LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales — loi organique 3/2018 du 5 décembre relative à la protection des données personnelles et à la garantie des droits numériques) ne modifie pas ce régime procédural, mais son article 74 qualifie d'infraction mineure le simple fait de ne pas donner suite aux demandes d'exercice des droits des articles 15 à 22 du RGPD, tandis que le fait d'empêcher, d'entraver ou de ne pas y donner suite de façon réitérée constitue une infraction grave (art. 73 LOPDGDD).
Si votre organisation a besoin de concevoir ou de revoir ces procédures, l'équipe de Summum Consultoría peut vous accompagner dans la mise en conformité au RGPD en matière de droits des personnes concernées, avec des protocoles adaptés à votre secteur et au volume de demandes habituel dans les organisations de Castille-et-León et des Îles Canaries.
Régime de sanctions applicable
Le non-respect des obligations relatives aux droits à la portabilité et à l'opposition peut être sanctionné dans le cadre de l'article 83 du règlement (UE) 2016/679. La violation des droits des personnes concernées régis par les articles 12 à 22 du RGPD relève de l'article 83, paragraphe 5, point b), qui prévoit des amendes pouvant atteindre 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
L'AEPD est l'autorité compétente en Espagne pour surveiller le respect du RGPD et de la LOPDGDD ; elle peut agir d'office, à la demande d'une personne concernée ou de sa propre initiative après avoir détecté des indices de non-conformité. Le traitement correct des demandes d'exercice des droits — avec une réponse dans les délais, la documentation du dossier et l'exécution effective de la mesure — est l'un des facteurs que l'AEPD prend en compte pour déterminer la responsabilité et la proportionnalité de la sanction.
Questions fréquemment posées
Une entreprise peut-elle facturer le traitement d'une demande de portabilité ?
En règle générale, non. L'article 12, paragraphe 5, du RGPD établit que les demandes d'exercice des droits sont gratuites. Ce n'est que lorsque les demandes sont manifestement infondées ou excessives — en particulier en raison de leur caractère répétitif — que le responsable peut percevoir des frais raisonnables basés sur les coûts administratifs ou refuser de donner suite. Dans les deux cas, il doit démontrer le caractère manifestement infondé ou excessif de la demande ; la charge de la preuve incombe au responsable, et non à la personne concernée.
Quel format utiliser pour remettre les données dans le cadre d'une demande de portabilité ?
Le RGPD n'impose pas de format spécifique, mais exige qu'il soit structuré, couramment utilisé et lisible par machine. Les formats les plus courants sont le CSV, le JSON et le XML. L'AEPD recommande d'utiliser des standards ouverts et interopérables. Il n'est pas valide de remettre les données dans un format propriétaire que seul le logiciel de l'entreprise peut lire, car cela priverait le droit à la portabilité des données de tout effet pratique : la personne concernée ne pourrait ni les réutiliser ni les transmettre à un nouveau responsable.
L'opposition au marketing direct englobe-t-elle aussi le profilage ?
Oui. L'article 21, paragraphe 2, du RGPD est explicite : le droit d'opposition au marketing direct inclut également le profilage dans la mesure où il est lié au marketing direct. Dès lors, si une entreprise élabore des profils pour segmenter des campagnes publicitaires et que la personne concernée s'y oppose, l'entreprise ne peut pas conserver le profil même si elle cesse d'envoyer des communications : elle doit cesser à la fois l'envoi et l'élaboration du profil à cette fin. Cette interprétation est renforcée par les lignes directrices du Comité européen de la protection des données.
Que se passe-t-il si la personne concernée s'oppose pour des motifs d'intérêt légitime et que l'entreprise estime que ses motifs ne prévalent pas ?
Le responsable peut rejeter l'opposition s'il démontre l'existence de motifs légitimes impérieux qui prévalent sur les intérêts de la personne concernée, ou si le traitement est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice (art. 21, par. 1, du RGPD). Il doit communiquer à la personne concernée le refus motivé dans le délai légal, en l'informant de son droit d'introduire une réclamation auprès de l'AEPD ou d'exercer des recours juridictionnels. La charge de la preuve concernant la prévalence des motifs incombe au responsable : invoquer l'intérêt légitime de manière générique ne suffit pas ; la mise en balance doit être concrète et documentée.