Donnees.net / Privacy by design

Portabilité des données RGPD : Comment en faire une force

Thomas Blanc
Thomas Blanc
DPO externalisé et Formateur RGPD
Mis à jour le juin 23, 2025

Privacy by design : pourquoi nous ?

  • ✅ Privacy dès la conception
  • ✅ Analyse des risques
  • ✅ Intégration simple

C’est quoi, la portabilité des données ? (Et pourquoi ça compte vraiment)

Depuis l’entrée en vigueur du RGPD, un nouveau droit a vu le jour : la portabilité des données personnelles. Peu connu, mais redoutablement puissant.

En deux mots : vous pouvez récupérer vos données personnelles et les transmettre à un autre organisme, sans passer par la case “copier-coller fastidieux”.

Exemple concret : transférer vos playlists de Deezer à Spotify en un clic.
Ou encore : envoyer votre historique bancaire à un comparateur pour changer de banque plus facilement.

Mais ce droit ne concerne pas “toutes” vos données, ni “toutes” les situations. Il s’applique uniquement aux données que vous avez vous-même fournies, dans un cadre bien défini.

👉 Pourquoi c’est stratégique ?
Parce que ce droit :

  • Renforce la maîtrise des utilisateurs sur leurs données
  • Facilite la fluidité numérique entre services
  • Favorise la concurrence en cassant les silos de données

Quand ce droit s’applique-t-il vraiment ? (Pas si simple…)

Le droit à la portabilité des données ne s’applique ni à toutes les données, ni dans toutes les situations. Il est strictement encadré par trois conditions cumulatives définies à l’article 20 du RGPD. Les voici, décortiquées avec des exemples concrets 👇

1. Les données doivent avoir été fournies directement par la personne concernée

Cela inclut :

  • Les données déclarées par l’utilisateur : nom, e-mail, âge, numéro de téléphone, etc.
  • Les données générées activement : historique d’achats, recherches sur un site, playlists créées, préférences renseignées dans une appli
  • Les données observées via l’interaction avec un service (ex. localisation via GPS, temps passé sur une vidéo)

❌ Cela exclut :

  • Les données dérivées ou calculées par l’entreprise (ex : score de solvabilité, segmentation comportementale)
  • Les données enrichies ou inférées (profil marketing, recommandations basées sur l’IA)

💡 Exemple : un utilisateur peut exiger l’historique de ses trajets Uber, mais pas l’algorithme de notation qui lui attribue une note de fiabilité.

2. Le traitement doit être fondé sur le consentement explicite ou l’exécution d’un contrat

Deux bases juridiques rendent la portabilité possible :

  • Le consentement : typiquement, lorsqu’un utilisateur accepte une politique de confidentialité ou coche une case.
  • Le contrat : par exemple, la gestion d’un compte client, d’un abonnement ou d’une commande.

❌ En revanche, la portabilité ne s’applique pas si :

  • Le traitement repose sur une obligation légale (ex : conservation fiscale)
  • Il est fondé sur l’intérêt légitime de l’entreprise
  • Il est réalisé dans le cadre d’une mission d’intérêt public

💡 Exemple : Un salarié ne peut pas exiger la portabilité des données RH traitées par son employeur à des fins légales (ex : déclarations URSSAF).

3. Le traitement doit être entièrement automatisé

Ce droit ne concerne que les données traitées via un système informatique. C’est-à-dire :

  • Bases de données numériques
  • Plateformes SaaS
  • Applications mobiles ou web

❌ Les données sur papier, fax, dossiers manuscrits sont exclues.

En résumé :

✔ Vous pouvez demander la portabilité si les données :

  • Ont été fournies directement
  • Ont été traitées avec votre consentement ou via un contrat
  • Sont issues d’un système automatisé

❌ Vous ne pouvez pas demander :

  • Des analyses ou profils créés par l’entreprise
  • Des données issues de documents papier
  • Des traitements basés sur des obligations légales

🎯 Comprendre ces nuances est essentiel pour éviter les demandes non recevables… et les refus mal justifiés qui peuvent vous exposer à des sanctions.

Portabilité des données et droit d’accès : deux droits différents, souvent confondus

C’est l’un des malentendus les plus fréquents en matière de RGPD. Beaucoup pensent que portabilité et droit d’accès sont synonymes. Pourtant, ils répondent à deux logiques bien distinctes.

Le droit d’accès, c’est quoi exactement ?

Le droit d’accès (article 15 du RGPD) permet à toute personne de :

  • Consulter les données personnelles que vous détenez sur elle
  • Comprendre à quelles fins elles sont utilisées
  • Identifier qui y a accès, combien de temps elles sont conservées, etc.

💡 C’est une démarche de transparence. L’entreprise fournit une copie simple, souvent en PDF ou en aperçu tableau.

Et la portabilité dans tout ça ?

Le droit à la portabilité (article 20) va un cran plus loin. Il permet non seulement de consulter les données, mais surtout de les transférer vers un autre service.

Exigences clés :

  • Le format doit être structuré, couramment utilisé, lisible par machine
  • Les standards typiques incluent : JSON, CSV, XML
  • L’objectif est que ces données soient réutilisables immédiatement par un autre système

📌 Concrètement :

  • Un PDF ? Trop figé, non structuré.
  • Un fichier JSON ou CSV ? Parfait pour l’intégration automatique via API.

Pourquoi c’est important de faire la distinction ?

Parce que les deux droits ne déclenchent pas les mêmes obligations techniques :

  • Le droit d’accès peut être satisfait manuellement
  • Le droit à la portabilité nécessite une infrastructure IT adaptée (formats standards, APIs, sécurité des transferts)

Et côté utilisateur, bien comprendre la différence évite de formuler une demande inappropriée… ou de se voir opposer un refus incompris.

Mise en œuvre : votre plan d’action RGPD en 5 étapes concrètes

Mettre en place la portabilité des données ne doit pas devenir un casse-tête juridique ou technique. Voici une roadmap claire et actionnable pour être en conformité sans y passer des semaines.

1. Informer vos utilisateurs dès la collecte

C’est la base. Le droit à la portabilité doit être clairement mentionné :

  • Dans vos mentions légales, CGU, CGV
  • À l’étape d’inscription ou de création de compte
  • Dans votre politique de confidentialité, avec un lien direct vers les modalités d’exercice

💡 Pourquoi c’est clé : cela renforce la transparence, évite les incompréhensions et vous protège juridiquement.

2. Identifier précisément les données concernées

Faites le tri : toutes les données personnelles ne sont pas portables.

✔ Celles fournies directement ou générées par l’utilisateur
❌ Celles déduites, anonymisées ou issues de traitements statistiques

Astuce : dressez une cartographie des données portables dans votre registre RGPD pour gagner du temps au moment des demandes.

3. Mettre en place un système de téléchargement simple

Offrez aux utilisateurs la possibilité de :

  • Télécharger leurs données en quelques clics, depuis leur espace personnel
  • Choisir le format (CSV, JSON…), selon vos capacités techniques

L’export doit être lisible, structuré et sécurisé (lien unique, expiration, captcha…).

4. Prévoir un transfert automatique (si faisable)

Quand c’est techniquement possible, proposez un transfert direct des données à un autre prestataire :

  • Via API standardisée
  • Ou en collaboration avec des acteurs interopérables (comme dans la banque, les opérateurs ou les services cloud)

Cela démontre votre engagement à respecter le RGPD au-delà du minimum légal.

5. Former vos équipes pour un traitement fluide des demandes

Le DPO et le support client doivent :

  • Connaître les règles d’éligibilité du droit à la portabilité
  • Maîtriser les outils de réponse (formats, délais, justificatifs)
  • Savoir gérer les cas de refus légitimes et les justifier

Les limites du droit à la portabilité (et comment les gérer sans stress)

Même si le RGPD renforce les droits des personnes, il ne les rend pas absolus. Certaines demandes de portabilité peuvent être refusées, à condition de respecter les règles.

Voici les cas légitimes où vous pouvez dire non sans risquer de vous mettre en faute :

1. Demande manifestement infondée

Exemple : un utilisateur exige un transfert de données alors qu’aucune donnée ne le concerne chez vous, ou demande la portabilité pour des données qu’il n’a jamais fournies directement.

Dans ce cas, vous pouvez refuser en motivant clairement votre décision.

2. Demande excessive ou abusive

Certaines personnes peuvent multiplier les demandes pour perturber l’activité :

  • Répétitions injustifiées
  • Formulations volontairement floues ou contradictoires
  • Volumes de données trop importants, sans objectif valable

💡 Ce n’est pas parce qu’une demande est contraignante qu’elle est abusive. Il faut évaluer la proportionnalité au cas par cas.

3. Données non conservées ou supprimées

Si vous avez légitimement supprimé les données (selon vos délais de conservation ou suite à une demande d’effacement), vous n’êtes plus en mesure de répondre positivement à une demande de portabilité.

Pensez à documenter vos politiques de conservation : elles justifieront votre position si besoin.

Et les délais dans tout ça ?

  • Délai standard : 1 mois à compter de la réception de la demande
  • Prolongation possible : jusqu’à 2 mois supplémentaires si la demande est complexe ou volumineuse

Dans tous les cas, vous devez :

  • Accuser réception de la demande
  • Informer la personne concernée de la prolongation, et expliquer pourquoi

Portabilité et sécurité des données : un équilibre indispensable

On l’oublie trop souvent : le droit à la portabilité n’efface en rien vos obligations de sécurité prévues par le RGPD. Bien au contraire, le transfert de données d’un système à un autre est un moment critique, propice aux fuites, erreurs ou mauvaises interprétations.

Voici les 3 piliers à respecter scrupuleusement :

1. Vérifiez l’identité du demandeur, systématiquement

Avant de transmettre quoi que ce soit, vous devez vous assurer que la personne à l’origine de la demande est bien le véritable titulaire des données.
Moyens acceptables :

  • Authentification via l’espace personnel
  • Demande de pièce d’identité
  • Validation via un canal secondaire (e-mail, téléphone déjà connu)

Un contrôle d’identité solide évite les abus… et protège vos utilisateurs.

2. Sécurisez le transfert de bout en bout

Pas question d’envoyer des fichiers sensibles en clair par e-mail. Vos envois doivent être :

  • Chiffrés (via lien sécurisé, clé unique, mot de passe séparé)
  • Temporairement accessibles (lien à expiration automatique)
  • Journalisés (trace des accès et téléchargements)

💡 En cas de transfert direct vers un tiers, privilégiez des solutions API sécurisées avec authentification forte.

3. Documentez tout, pour prouver votre conformité

Chaque demande de portabilité doit laisser une trace :

  • Date de réception
  • Identité vérifiée
  • Format de restitution
  • Moyen de transfert utilisé
  • Délai de traitement

🔍 En cas de contrôle ou de litige, vous devez pouvoir démontrer votre bonne foi et la régularité de la procédure.

Outils pratiques pour une portabilité maîtrisée

Voici quelques solutions concrètes déjà éprouvées par des organisations :

  • Google Takeout : téléchargement de l’ensemble des données en quelques clics, par service
  • API RESTful : permet à deux services de s’échanger les données automatiquement et de manière standardisée
  • Bouton “Exporter mes données” dans l’espace client : la simplicité qui rassure

Bon à savoir : la plupart des CMS, CRM et plateformes e-commerce modernes (WordPress, Shopify, HubSpot…) proposent des modules ou plugins de portabilité natifs ou à installer.

FAQ – Aller plus loin sur la portabilité des données RGPD

La portabilité peut-elle concerner les données issues d’objets connectés ?

Oui, sous conditions. Si les données (par exemple, nombre de pas quotidiens, fréquence cardiaque, localisation) ont été collectées automatiquement via un appareil connecté et transmises à un compte utilisateur identifié, elles peuvent être considérées comme fournies par la personne concernée.

⚠️ Mais attention : les analyses dérivées, comme les prédictions de pathologie ou recommandations santé basées sur IA, ne sont pas portables.

Comment concilier portabilité et conservation minimale des données ?

Le RGPD impose de ne pas conserver les données au-delà de ce qui est nécessaire. Cela pose un défi : comment garantir le droit à la portabilité si les données sont régulièrement supprimées ?

La solution : définir une politique de conservation claire, et informer les utilisateurs du délai pendant lequel les données restent disponibles à l’export. Exemple : “vos données sont portables pendant 6 mois après leur création”.

Est-il obligatoire d’assurer la compatibilité technique avec le service récepteur ?

Non. Le RGPD n’impose pas que vous rendiez les données interopérables avec le système tiers. Votre seule obligation est de fournir un fichier :

  • Structuré
  • Couramment utilisé (JSON, CSV, XML)
  • Lisible par machine

C’est ensuite au récepteur de prévoir les outils d’intégration. Toutefois, proposer des formats bien documentés ou une API standard facilite l’expérience et renforce la confiance.

Peut-on conditionner l’exercice du droit à la portabilité à la suppression du compte ?

Non, ce serait une violation du RGPD. Un utilisateur peut demander la portabilité de ses données sans supprimer son compte, sans clôturer un service, ni renoncer à ses autres droits.

💡 Astuce juridique : prévoyez des clauses précises dans vos CGU pour distinguer clairement le droit à la portabilité du droit à l’effacement.

Quels sont les indicateurs clés à suivre pour piloter ce droit ?

Voici les KPIs RGPD à suivre côté portabilité :

  • Taux de demandes de portabilité reçues / traitées
  • Délai moyen de traitement
  • Nombre de refus motivés
  • Format le plus utilisé (CSV, JSON…)
  • Taux d’erreur ou d’échec de transfert

🎯 Ces indicateurs sont essentiels pour piloter votre maturité RGPD et préparer un éventuel audit de la CNIL.

Posez une question

Un expert vous répondra

Publications similaires