Décryptage complet de l’article 20 du RGPD
Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine. Elles ont également le droit de transmettre ces données à un autre responsable du traitement, sans que cela soit empêché par le premier responsable.
Ce droit s’applique uniquement si :
- Le traitement est fondé sur le consentement (article 6.1.a ou 9.2.a), ou sur un contrat (article 6.1.b).
- Le traitement est effectué par des moyens automatisés.
Lorsque cela est techniquement possible, la personne concernée peut demander un transfert direct de ses données à un autre responsable du traitement.
- Ce droit ne s’applique pas si le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.
- Il s’exerce sans préjudice de l’article 17 (droit à l’effacement).
- Il ne doit pas porter atteinte aux droits et libertés de tiers.
📦 Cette demande de portabilité est-elle recevable ?
Portabilité des données : de quoi parle-t-on (vraiment) ?
Le droit à la portabilité, inscrit à l’article 20 du RGPD, vise à renforcer le contrôle des individus sur leurs données personnelles. Concrètement, toute personne peut exiger de récupérer les données qu’elle a fournies directement, et ce dans un format lisible et réutilisable, pour :
- Les conserver à titre personnel ;
- Les transmettre à un autre organisme (ex. changer de fournisseur ou de prestataire) ;
- Ou demander le transfert direct entre deux entités si cela est techniquement possible.
Mais ce droit n’est pas universel :
🧷 Il ne s’applique que si :
- Le traitement repose sur le consentement ou un contrat ;
- Le traitement est réalisé de manière automatisée (exit les fichiers papier ou traitements manuels).
DPO, juriste, responsable IT : qui doit faire quoi ?
Ce droit engage plusieurs maillons de la chaîne RGPD :
- Le DPO doit s’assurer que le périmètre est défini et que l’entreprise est prête à répondre.
- Le service IT prépare les exports, vérifie la structure et sécurise la transmission.
- Le service juridique supervise les fondements légaux, le registre des demandes, et la relation avec les personnes concernées.
Ce travail d’équipe est crucial pour éviter erreurs, retards ou violations de données.
Et côté sous-traitants, que dit le RGPD ?
Article 28 RGPD, rappel :
Le responsable de traitement doit s’assurer que ses sous-traitants sont techniquement capables de garantir l’exercice des droits, dont la portabilité.
Cela implique :
- Des clauses spécifiques dans les contrats (DPA)
- Des tests réguliers de restitution des données
- Une documentation partagée sur les formats d’export et les API disponibles
💡 Exemple : si vous utilisez un CRM en SaaS, vérifiez s’il permet l’export automatisé des données utilisateur dans un format exploitable.
Comment structurer une procédure de portabilité efficace ?
Beaucoup d’organisations improvisent au moment où une demande arrive. Mauvaise idée : chaque erreur peut entraîner un non-respect du RGPD, voire une sanction de la CNIL.
Voici une procédure-type, robuste, conforme et directement applicable :
1. Qualification de la demande
Avant tout, vérifiez que la demande est valable et légitime :
- A-t-elle été reçue via un canal prévu (formulaire RGPD, adresse dédiée, portail utilisateur) ?
- L’identité du demandeur est-elle vérifiée (pièce jointe, authentification, mandat si tiers) ?
- Le traitement repose-t-il sur un consentement explicite ou un contrat actif ?
- Le traitement est-il réalisé de manière automatisée (pas de fichier papier, pas de traitement manuel isolé) ?
🎯 Astuce : avoir un modèle de réponse automatique avec délai et rappel des conditions d’éligibilité vous fait gagner un temps précieux.
2. Identification du périmètre
Objectif : ne transmettre que ce qui est pertinent et exigible.
- Inclure uniquement les données activement fournies par la personne (ex. : nom, email, préférences, historique de commande, réponses à un questionnaire).
- Exclure les inférences, données observées (ex : temps passé sur une page) ou enrichies (ex : scoring marketing).
💡 Un tri préalable dans le SI est souvent nécessaire pour éviter de divulguer trop… ou pas assez.
3. Extraction des données
La qualité de l’export est essentielle :
- Utilisez des formats interopérables : CSV (UTF-8), JSON, XML.
- Organisez clairement les données, rendez-les compréhensibles et éliminez tout jargon technique inutile.
- Évitez les erreurs fréquentes : colonne “autre” fourre-tout, acronymes internes non expliqués, champs vides ou illogiques.
🛠️ L’idéal : avoir une structure d’export standardisée par type de demande.
4. Transmission
L’envoi des données doit être sécurisé et traçable :
- Utilisez des liens chiffrés à durée limitée, une plateforme sécurisée, ou un transfert SFTP.
- Ne jamais envoyer d’export en pièce jointe par email classique.
- Si la personne demande un transfert direct à un tiers : assurez-vous que le destinataire est prêt à le recevoir, et définissez ensemble les modalités (format, protocole).
🎯 Conseil pro : documentez chaque étape du transfert, même si la personne renonce.
5. Suivi et documentation
Enfin, gardez une traçabilité complète :
- Enregistrez la demande dans votre registre des droits des personnes (type de demande, date, action réalisée).
- Conservez une preuve de réponse (mail final, lien de téléchargement utilisé, logs techniques).
- En cas de refus (demande inéligible), archivez la justification claire et datée.
🔁 Pensez à mettre à jour la procédure en fonction des retours d’expérience ou des incidents rencontrés.
Les erreurs fréquentes à éviter (et comment les corriger)
| ❌ Erreur fréquente | ⚠️ Conséquence | ✅ Bonne pratique |
|---|---|---|
| Fournir tout le dossier CRM | Violation du principe de minimisation | Sélectionner uniquement les données explicitement fournies |
| Export dans un fichier Excel mal encodé | Illisibilité ou rejet par le destinataire | Utiliser des formats standard et documentés (CSV UTF-8, JSON) |
| Transfert par e-mail non chiffré | Fuite de données | Utiliser des solutions sécurisées (portail RGPD, lien chiffré, SFTP) |
Gérer une demande de portabilité : méthode express en 5 étapes
1. Centralisez les demandes
Mettez en place un canal unique : adresse email dédiée ou formulaire avec une option spécifique « portabilité ». Automatisez l’accusé de réception avec rappel du délai légal (1 mois).
2. Vérifiez l’identité
Avant d’agir, authentifiez le demandeur : pièce d’identité, connexion à l’espace client, ou mandat signé s’il s’agit d’un tiers. Cette étape protège contre les demandes frauduleuses.
3. Validez la recevabilité
Cochez 3 critères essentiels :
✅ Le traitement repose sur un contrat ou consentement
✅ Il est automatisé
✅ Les données ont été fournies directement
❌ Sinon : refus possible, avec motif explicite communiqué à la personne
4. Collaboration DPO/IT
Le DPO précise le périmètre et encadre juridiquement ; l’IT extrait les données dans un format structuré (CSV, JSON, XML), clair et lisible. Test préalable conseillé pour vérifier la cohérence des fichiers.
5. Répondez dans les délais
– 1 mois pour répondre (2 max avec justification)
– Transmettez via un canal sécurisé (lien chiffré, portail, SFTP)
– Archivez la réponse, et mettez à jour le registre des droits des personnes
Ce qu’il faut retenir
Le droit à la portabilité n’est pas un gadget RGPD : c’est une exigence concrète, souvent mal anticipée.
Pour les DPO, juristes et responsables IT, c’est un test de solidité du système RGPD.
Avec une procédure claire, des formats standards, et un registre bien tenu, vous transformez un risque juridique en levier de confiance.
