3. Atelier portabilité – mai 2019
3
Une opportunité d’innovation tirée par le droit et la Loi
e-commerce
Musique en
streaming
Vidéo à la
demande
Banque en
ligne
Réservation
de billets
Réseaux
sociaux
Suite
bureautique
Partage de
photos
Messagerie
Recherches
Transport
Blogs
Presse en
ligneAgendas
Jeux
Les responsables de traitement
ne sont pas propriétaires des
données personnelles
4. Atelier portabilité – mai 2019
4
Article 20
« droit à la portabilité »
1. Les personnes concernées ont le droit de recevoir les données à
caractère personnel les concernant qu'elles ont fournies à un
responsable du traitement, dans un format structuré, couramment
utilisé et lisible par machine, et ont le droit de transmettre ces données
à un autre responsable du traitement sans que le responsable du
traitement auquel les données à caractère personnel ont été
communiquées y fasse obstacle (…)
5. Atelier portabilité – mai 2019
5
e-commerce
Musique en
streaming
Vidéo à la
demande
Banque en
ligne
Réservation
de billets
Réseaux
sociaux
Suite
bureautique
Partage de
photos
Messagerie
Recherches
Transpor
t
Blogs
Presse en
ligneAgendas
Jeux
Un format de
données
réutilisable
1. 2. 3.
hors du contrôle du responsable de traitement qui les a collectés.
Le droit à la portabilité repose sur 3 exigences
Rendre les données personnelles « utilisables » par
l’individu
6. Atelier portabilité – mai 2019
6
Comment mettre à disposition les données ?
Interopérabilité
Interfaces
connues
• « Un format structuré, communément utilisé et lisible par une
machine » et interopérable.
• Un format de fichier structuré de telle manière que des
applications logicielles puissent facilement identifier,
reconnaître et extraire des données spécifiques, notamment
chaque énoncé d’un fait et sa structure interne.
• Pas d'obligation d'adopter ou de maintenir des systèmes de
traitement qui sont techniquement compatibles.
7. Atelier portabilité – mai 2019
7
Format de mise à disposition
• Format le plus interprétable possible et sans restriction d’usage ;
• Des formats appropriés peuvent déjà exister (par exemple Vcard
pour les contacts ou GPX pour données de géolocalisation) ;
• Si pas de standard de fait, privilégier un format ouvert
couramment utilisé (XML, JSON, CSV, etc.), complété par toute
métadonnée utile à l’interprétation et bien documenté ;
• « Le G29 encourage les acteurs de l’industrie et les associations
professionnelles à travailler sur un ensemble de standards et
formats interopérables pour respecter ces prérequis du droit à
la portabilité. »
Interprétable
(sémantique + syntaxe)
Image PDF
HTML ?
CSV
JSON
Ad hoc
- Vcard
- GPX
- M3U
- MBox
- iCal
- …..
8. Atelier portabilité – mai 2019
8
Sans obstacle ?
• Peut être caractérisé comme obstacle tout moyen (juridique, technique ou financier)
posé par le responsable du traitement afin d'empêcher ou de ralentir l'accès, la
transmission ou la réutilisation par la personne concernée ou par un autre responsable.
• Le Responsable de Traitement ne peut pas faire payer la fourniture de données
personnelles (dans le cadre de l’exercice des droits garantis par le règlement), sauf si la
demande est manifestement infondée ou excessive, « notamment en raison de (son)
caractère répétitif ».
• L’exercice de ce droit n’affecte pas l’exercice des autres droits garantis par le
règlement européen (pas d’obstacle à leur exercice, ne diminue pas leur portée, etc.).
10. Atelier portabilité – mai 2019
10
1. Les personnes concernées ont le droit de recevoir les données (…)
qu'elles ont fournies à un responsable du traitement(…), lorsque :
a) Le traitement est fondé sur le consentement (…) ou sur un contrat (…)
b) Le traitement est effectué à l'aide de procédés automatisés.
(…)
3. Ce droit ne s'applique pas au traitement nécessaire à l'exécution d'une
mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont
est investi le responsable du traitement.
4. Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de
tiers.
Quelles sont les données concernées ?
11. Atelier portabilité – mai 2019
Ø Porte sur un sous-ensemble des données
La portée de l’art. 20 est limitée
Toutes les données
de l’entreprise
Toutes les données
personnelles traitées
Toutes les données
portables
• Consentement
• Contrat
• Obligation légale
• Sauvegarde des
intérêts vitaux
• Intérêt légitime
- Les données déclarées activement et
consciemment par la personne
concernée, telles que des données fournies
pour créer un compte en ligne (ex. adresse
électronique, nom d’utilisateur, âge)
- Les données générées par l’activité
de la personne concernée, lorsqu’elle
utilise un service ou un appareil (par ex. les
données brutes collectées par des compteurs
communicants, les achats enregistrés sur une carte
de fidélité, un historique d’événements, etc.).
≠ Les données personnelles qui sont
dérivées, calculées ou inférées à partir
des données fournies par la personne
concernée (profil, …)
Portabilité ≠ droit d’accès
12. Atelier portabilité – mai 2019
Données éligibles
1.
Est-ce que les
données concernent
bien la personne
qui fait la demande
et sont des données
personnelles ?
2.
Est-ce que les
données sont traitées
par des moyens
automatisés ?
3.
Est-ce que le
traitement de
données se fonde
sur le
consentement ou
du contrat?
4.
Est ce que les
données sont
fournies par la
personne
concernée?
5.
Est-ce que la
portabilité de ces
données ne portent
pas atteinte aux
droits et libertés de
tiers?
Si la réponse est oui à toutes ces
questions, les données sont portables.
5.
Est ce que ces
données ne portent
pas atteintes aux
droits et libertés de
tiers?
14. Atelier portabilité – mai 2019
14
La portabilité directe de RT à RT
1. Les personnes concernées ont le droit de recevoir les données à caractère
personnel les concernant qu'elles ont fournies à un responsable du
traitement (…) et ont le droit de transmettre ces données à un autre
responsable du traitement (…)
2. Lorsque la personne concernée exerce son droit à la portabilité des
données (…), elle a le droit d'obtenir que les données à caractère
personnel soient transmises directement d'un responsable du traitement à
un autre, lorsque cela est techniquement possible.
(…)
15. Atelier portabilité – mai 2019
Techniquement
possible?
15
La portabilité directe
e-commerce
Musique en
streaming
Vidéo à la
demande
Banque en
ligne
Réservation
de billets
Réseaux
sociaux
Suite
bureautique
Partage de
photos
Messagerie
Recherches
Transport
Blogs
Agendas
Jeux
Demande
de transfert
16. • Le RGPD n’est pas prescriptif en ce qui concerne la manière de répondre à une demande de
portabilité,néanmoins elle doit répondre exigences générales suivantes :
Répondre à une demande de portabilité
Responsable de
traitement 1
Autre responsable de
traitement
Utilisateur
Sécuriser le
transfert des
données
• Par un canal
sécurisé
(HTTPS)
• En chiffrant les
données avant
envoi
S’assurer
qu’elles
sont
transmises
à la bonne
destination
• Authentification
forte
• Certificat
Continuer à
protéger les
données qui
restent dans
son système
• Procédures en
cas de violation
de données
• Etc.
17. Atelier portabilité – mai 2019
17
Blogs
Rendre les données personnelles « utilisables » par
l’individu
Responsable de
traitement 1
Responsable de
traitement 2
Transfert des
données
sécurisé ?
Transmises à
la bonne
destination ?
Les données
qui restent
dans le
système sont
protégées?
19. Atelier portabilité – mai 2019
Les schémas de la portabilité directe 2/4
Multicentrique
Import &
adaptation
Export &
adaptation
Depuis un service tiers
Service cibleService source
Service Tiers
22. Atelier portabilité – mai 2019
Exemples de cas d’usage
• Pour changer de service : par ex. déplacer ses mails d’un service à un autre.
• Pour essayer de nouveaux services : par ex. offrir un service d'impression photo depuis son
réseau social.
• Pour limiter les dépendances aux services : par ex. ne pas accepter la nouvelle politique
de confidentialité de son service ou fait face à une fermeture imminente du service.
• Pour éviter le « démarrage à froid » : par ex. lors de l’inscription à un nouveau service doté
d’un système de recommandation.
• Pour produire des services à valeur ajoutée: par ex. pour permettre à ses clients de
transférer leur historique d'achat d'un membre à un autre, afin d’obtenir des coupons basés
sur les habitudes d'achat.
24. Atelier portabilité – mai 2019
Le Data Transfer Project (DTP)
• Initié par Data Liberation Front (Google) en 2018,
puis rejoint par Microsoft, Facebook et Twitter.
• Projet open-source visant à faciliter la mise en œuvre
de l’exercice du droit à la portabilité directe entre
les plateformes.
• Dispose d’un ensemble de connecteurs permettant
l’authentification et la communication aux services
ainsi que l’interopérabilité des formats.
25. Atelier portabilité – mai 2019
La portabilité à travers le DTP
1
L’utilisateur s’authentifie au service duquel il
souhaite extraire ses données.
2
Un connecteur du service source transfère et
convertit les données depuis son compte d’origine
vers un format standard.
3
Le connecteur du service cible convertit et
transfère les données depuis ce format standard
vers le compte de destination.
26. Atelier portabilité – mai 2019
Sécurisation du transfert
Service
source
Service
cible
opéré par le service
source/cible/tiers
3 Authentification
Service de
portabilité
2
• Identifiant du service de
portabilité
• Périmètre des données
concernées
2
5
Jeton de délégation
(OAuth, OpenID,…) 5
Rappel du périmètre de la
portabilité, de l’identité du
destinataire et des moyens de
révocations de l’autorisation
44
6 6Transfert sur lien chiffré
Demande de portabilité1
30. Atelier portabilité – mai 2019
§ Des données concernant d’autres
personnes peuvent-elles être
transmises dans le cadre d’une
demande de portabilité ?
• Quelle est la responsabilité des
responsables du traitement s’agissant des
données personnelles transférées ou
reçues ?
• Comment informer les personnes de
l’existence de ce nouveau droit ?
• Comment le responsable du traitement peut-il
s’assurer de l’identité de la personne concernée
avant de répondre à une demande de portabilité ?
• Le droit à la
portabilité est-il
gratuit ?
• Les autres droits garantis par le règlement
sont-ils impactés lorsqu’une personne
exerce son droit à la portabilité ?
https://www.cnil.fr/fr/le-droit-la-portabilite-en-questions
FAQ
31. Cette présentation, comme toutes les productions LINC, est mise à disposition, sous réserve des droits de propriété
intellectuelle de tiers et sauf mention contraire, selon les termes de la licence Creative Commons CC-BY.
Aux conditions suivantes :
- Attribution : vous devez créditer la source des contenus, intégrer un lien vers la licence et préciser la date à laquelle le
contenu a été récupéré. Vous devez indiquer ces informations par tous les moyens raisonnables, sans toutefois suggérer que la
CNIL vous soutient ou soutient la façon dont vous avez utilisé ses contenus.
- Lorsque ces contenus intègrent des éléments produits par des tiers, le contenu en question contient les mentions des droits de
ces tiers (généralement en bas de page). Vous devez vous y conformer.