Par Gérard HAAS et Stéphane ASTIER

Le principe de portabilité des données, introduit aux articles L.224-42-1 et s. du Code de la consommation par la loi pour une République Numérique du 7 octobre 2016[1], consacre le droit, pour tout consommateur, de récupérer l’ensemble de ses données et de les transférer vers un autre opérateur.

Destiné à faciliter les changements de prestataires de service de communication en ligne, ce droit protecteur des utilisateurs pose de nombreuses questions du côté « fournisseurs » s’agissant de sa mise en œuvre et des risques associés.

L’occasion de revenir sur un double régime juridique instauré non seulement par le Code de la consommation mais également par l’article 20 du Règlement Européen pour la protection des données du 26 avril 2016[2] qui entreront en vigueur le 25  mai 2018.

1/ S’agissant des données-utilisateurs n’ayant pas le statut de données à caractère personnel

Le Code de la consommation prévoit en effet un régime spécifique pour ce type de données détaillé à l’article L.224-42-3. Cet article posant de nombreuses questions quant à son application, il convient de revenir sur les points clés suivants :

• Quelles sont les sociétés concernées ?

Le texte vise un droit opposable à « tout fournisseur d’un service de communication en ligne », ce qui constitue une notion très large précédemment définie par la loi pour la confiance dans l’économie numérique du 21 juin 2004. Par « fournisseur d’un service de communication en ligne » il faut en effet entendre toute société proposant un service de « transmission, sur demande individuelle, de données numériques n’ayant pas un caractère de correspondance privée, par un procédé de communication électronique permettant un échange réciproque d’informations entre l’émetteur et le récepteur »[3].

Entrent donc dans le champ de cette catégorie les sociétés éditrices de plateformes de services permettant aux utilisateurs de créer un compte et de diffuser des contenus. Les réseaux sociaux sont ainsi directement visés, mais plus généralement toute plateforme de services disposant d’un nombre conséquent de comptes utilisateurs. En effet, l’article L.224-42-4 prévoit qu’un Décret fixera un seuil de nombre de connexion au cours des 6 derniers mois, permettant d’exclure l’application du principe de portabilité.

• Quelles sont les données concernées ?

En dehors des données à caractère personnel qui bénéficient d’un régime particulier (Cf. supra), le Code de la consommation vise :

1° (…) tous les fichiers mis en ligne par le consommateur ; 

2° (…) toutes les données résultant de l’utilisation du compte d’utilisateur du consommateur et consultables en ligne par celui-ci, à l’exception de celles ayant fait l’objet d’un enrichissement significatif par le fournisseur en cause(…) ; 

3° D’autres données associées au compte utilisateur du consommateur et répondant aux conditions suivantes : 
a) Ces données facilitent le changement de fournisseur de service ou permettent d’accéder à d’autres services ;
b) L’identification des données prend en compte l’importance économique des services concernés, l’intensité de la concurrence entre les fournisseurs, l’utilité pour le consommateur, la fréquence et les enjeux financiers de l’usage de ces services. 

Il s’agit donc de permettre aux utilisateurs de récupérer leurs emails, photos, listes de contacts, playlists et autres données auprès de leurs prestataires de services numériques afin de les transférer à d’autres prestataires.

Attention toutefois : le texte exclut les données « ayant fait l’objet d’un enrichissement significatif » tout en posant le principe suivant lequel le droit à la portabilité doit s’appliquer sans préjudice des « dispositions protégeant le secret en matière commerciale et industrielle et des droits de propriété intellectuelle ».

En d’autres termes, le droit à la portabilité n’est pas un droit absolu. Le fournisseur qui voit son client se tourner vers la concurrence ne sera pas contraint de fournir à son concurrent des données sur lesquelles il a investi, et pour lesquelles il peut revendiquer des droits de propriété intellectuelle.

Ces limitations posent toutefois une grande difficulté d’interprétation : comment en effet apprécier ce qu’est un « enrichissement significatif » ? Comment estimer la valeur économique du service concerné, ou encore des données facilitant le transfert ?

Décrets d’application et dispositions réglementaires sont prévus pour clarifier ces points. De telles notions resteront par nature sujettes à interprétations et, par voie de conséquence, sources d’insécurité juridique.

Réflexe : la mise en œuvre du dispositif de portabilité des données imposé par le législateur supposera pour le fournisseur d’opérer un audit de sa base CRM au regard de la propriété intellectuelle afin d’identifier ses actifs incorporels protégeables, tant au titre du droit d’auteur (logiciel) qu’au titre du droit sui generis des producteurs de bases de données. En effet, c’est sur la base des conclusions d’un tel audit que le fournisseur de service pourra sereinement fixer sa politique en matière de portabilité et protéger efficacement son patrimoine informationnel.

• Comment s’organise la portabilité ?

Le texte prévoit que le fournisseur propose « une fonctionnalité gratuite permettant la récupération » de l’ensemble des données concernées avant de préciser qu’il appartient également au fournisseur de prendre « toutes les mesures nécessaires à cette fin, en termes d’interface de programmation et de transmission des informations nécessaires au changement de fournisseur ».

A l’instar de certaines fonctionnalités de réversibilité prévues dans les plateformes de service SaaS en matière de relation B to B, la portabilité impose aujourd’hui de généraliser des fonctionnalités d’export de données en privilégiant des standards ouverts et aisément réutilisables par l’utilisateur. A défaut, le fournisseur devra informer l’utilisateur de façon claire et transparente en proposant le cas échéant des modalités alternatives de récupération des données.

Réflexe : en dehors de la nécessité de prévoir un bouton dans l’espace client permettant à celui-ci d’obtenir ses données en application de ce texte, il est ainsi recommandé de prévoir une mention particulière dans les conditions générales d’utilisation. Par cette clause, le client sera utilement informé des modalités pratiques de la portabilité et de ses limites.

SANCTIONS ENCOURUES

Le non-respect du droit à la portabilité organisé par l’article 224-42-3 du code de la consommation pourra être sanctionné par une amende administrative dont le montant ne peut excéder 3.000 euros pour une personne physique et 15.000 euros pour une personne morale (242-20 Code de la consommation). Cette sanction prononcée par la DGCCRF est susceptible de publication.

 2/ S’agissant des données utilisateurs ayant le statut de données à caractère personnel

Le Règlement Européen pour la protection des données du 26 avril 2016 prévoit en son article 20 un « droit à la portabilité des données » qui s’applique en sus des dispositions du Code de la consommation dès lors que l’on est en présence de données à caractère personnel[4]. Concrètement, ce droit permet à une personne visée par un traitement de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers.

Répondant au principe d’autodétermination précédemment évoqué par le Conseil d’Etat[5], le législateur entend donner aux personnes la maîtrise de leurs données. Là encore, l’application de ce texte pose plusieurs questions.

•  Quelles sont les sociétés et traitements concernés ?

Le droit à la portabilité des données à caractère personnel sera opposable par tout utilisateur à tout responsable de traitement automatisé de données. En effet, le texte prévoit une application limitée :

• Aux traitements automatisés (excluant donc les traitements manuels)
• Aux traitements auxquels la personne a consenti pour une ou plusieurs finalités, mais également aux traitements nécessaires à l’exécution d’un contrat.

L’alinéa 3 de l’article 20 du Règlement exclut toutefois tout « traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement ». Cette exclusion sera là encore à préciser, notamment pour identifier quels traitements sont concernés, par exemple au niveau des collectivités territoriales ou encore des établissements publics industriel et commercial.

Réflexe : la portabilité des données à caractère personnel constitue a priori un traitement de données à part entière. Il devra par conséquent faire l’objet d’une inscription au registre des traitements du CIL/DPO ou l’objet des formalités préalables requises. De même, la personne visée devra être informée de son droit au titre de l’article 32 de la loi informatique et libertés. Cette information pourra utilement figurer dans la politique de confidentialité diffusée sur la plateforme. 

• Quelles sont les données concernées ?

Le périmètre est ici plus restreint que le droit à la portabilité prévu par la loi pour une République Numérique. En effet, il ne concerne que :

• Les données à caractère personnel
• Les données fournies par la personne visée, ce qui exclut donc les enrichissements – significatifs ou non – opérés par le responsable de traitement, ou toute donnée technique rattachée à l’utilisateur permettant par exemple d’en cibler plus facilement les besoins ou les caractéristiques.

Réflexe : la portabilité des données à caractère personnel supposera donc de créer un cloisonnement des bases CRM afin d’anticiper les demandes d’export. Il s’agit notamment d’éviter que ces exports concernent des données non pertinentes ou susceptibles de porter atteintes au patrimoine informationnel du fournisseur.  

• Comment s’organise la portabilité ?

L’article 20 du Règlement prévoit que lors de l’exercice du droit à la portabilité, le responsable de traitement est tenu de transmettre les données « dans un format structuré, couramment utilisé et lisible par machine ». Le texte ajoute que l’utilisateur visé par le traitement peut obtenir que ses données à caractère personnel soient transmises directement d’un responsable de traitement à l’autre « lorsque cela est techniquement possible ».

A l’instar de la portabilité générale prévue par le code de la consommation, le texte Européen rappelle que le droit à la portabilité des données à caractère personnel ne droit pas porter atteinte aux droits et libertés des tiers. Rien n’est toutefois précisé quant à la nature des limites effectives susceptibles d’être opposées aux utilisateurs (limites techniques, droits de propriété intellectuelle etc.)

Réflexe : Le rôle du CIL/DPO sera ici important pour organiser la mise en œuvre opérationnelle de la portabilité en contrôlant la nature des données transférées ainsi que la durée de conservation des données une fois celles-ci transférées 

SANCTIONS ENCOURUES

La CNIL pourra sanctionner le non-respect du droit à la portabilité organisé par l’article 20 du Règlement par une amende administrative pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise, le montant le plus élevé étant retenu (Cf. article 83  5° b du Règlement).

Nouveau droit à deux têtes, la portabilité des données constitue aujourd’hui un enjeu important touchant l’ensemble du monde digital dans la mesure où sont à la fois concernés :

• La fidélisation client et la confiance de ceux-ci dans des services ouverts non captifs ;
• L’organisation et la protection du patrimoine informationnel de l’entreprise et plus généralement des investissements de celle-ci dans la constitution de son fichier clients ;
• La mise en œuvre des traitements de données à caractère personnel à travers notamment les missions du Délégué à la protection des données (DPO) ;
• La gestion des tensions concurrentielles avec le risque de transfert au concurrent de données sensibles, dépassant la simple donnée-client facilitant la reprise du service.

Pour gérer ces problématiques importantes, les fournisseurs de service en ligne doivent impérativement intégrer la « brique juridique » à une réflexion globale tournée non seulement vers la gestion de la relation clients, mais également vers la valorisation des investissements associés à celle-ci.

C’est dans ce contexte que le Cabinet HAAS Avocats assiste ses clients dans la définition de leur stratégie digitale et stratégie PI (propriété intellectuelle).

En effet, bénéficiant d’une triple labellisation CNIL, le Cabinet HAAS Avocats intervient depuis près de 20 ans, de manière transversale, auprès des acteurs de l’innovation que ce soit en matière :

• d’audit et de mise en conformité de bases de données, de plateforme web ;
• de définition de politique contractuelle (CGS, CGU, CGV, politique de confidentialité, etc.) ;
• d’accompagnement à la mise en œuvre de solutions SaaS, cloud, Big Data ;
• d’étude d’impact ;
• de sécurité informatique.

Pour toute demande d’information sur ces prestations contacter nous ICI.

[1] Cf. LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique, https://www.legifrance.gouv.fr

[2] Cf. RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) », http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

[3] Cf. Art. 1.IV, alinéa 4, de la LCEN

[4] C’est-à-dire des données directement ou indirectement identifiantes au sens notamment de l’article 2 de la loi n°78-17 du 6 janvier 1978 modifiée.

[5] Cf. CE Etude annuelle 2014 – Le numérique et les droits fondamentaux