Skip to content
Droits & Demandes calendar_today Mis à jour: 11 avril 2026 schedule 5 min de lecture

Droit a la Portabilite des Donnees: Ce Que Vous Devez Fournir

Un client souhaite recuperer ses donnees dans un format qu'il peut emporter chez un autre prestataire. Il s'agit d'une demande de portabilite. Cet article explique etape par etape quelles donnees fournir, dans quel format et quand vous pouvez refuser.

summarize Points clés
  • check_circle La portabilite ne s'applique qu'aux donnees fournies par la personne, pas aux donnees que vous avez deduites ou inferees
  • check_circle Vous devez fournir les donnees dans un format structure, couramment utilise et lisible par machine comme CSV ou JSON
  • check_circle Seules les donnees traitees sur la base du consentement ou d'un contrat sont concernees
  • check_circle Vous disposez d'un mois pour repondre, comme pour les autres droits des personnes concernees

Reconnaitre une demande de portabilite

Une demande de portabilite des donnees survient lorsqu’une personne dit : “Donnez-moi mes donnees pour que je puisse les emporter chez un autre prestataire.” C’est different d’une simple demande d’acces. L’objectif n’est pas seulement de consulter les donnees, mais de les reutiliser ailleurs.

La demande n’a pas besoin d’utiliser les mots “portabilite des donnees”. Si un client ecrit “je veux exporter mes donnees” ou “envoyez mes donnees a [autre entreprise]”, cela compte comme une demande de portabilite.

Etape 1 : Enregistrer la demande

Comme pour toute demande de personne concernee, enregistrez-la immediatement :

  • Qui fait la demande
  • Quand vous l’avez recue (le delai d’un mois commence maintenant)
  • Par quel canal elle est arrivee
  • Ce qui est exactement demande - la personne veut-elle recevoir les donnees elle-meme, ou souhaite-t-elle que vous les envoyiez directement a un autre responsable du traitement?
description

Modele : Registre des demandes

Gardez une trace de chaque demande dans un registre : qui, quand, ce qui a ete demande et comment cela a ete traite.

Voir le modele arrow_forward

Etape 2 : Verifier si la portabilite s’applique

C’est ici que la portabilite devient specifique. Elle ne s’applique que lorsque les trois conditions sont remplies :

  1. Les donnees ont ete fournies par la personne concernee. Cela inclut les donnees qu’elle a activement fournies (nom, e-mail, fichiers telecharges) et les donnees generees par son activite (historique d’achats, journaux d’utilisation, donnees de localisation). Cela n’inclut pas les donnees que vous avez creees vous-meme, comme les notes internes, les evaluations de risques ou les analyses.

  2. Le traitement est fonde sur le consentement ou un contrat. Si vous traitez les donnees sur la base de l’interet legitime, d’une obligation legale ou de l’interet public, la portabilite ne s’applique pas a ces donnees.

  3. Le traitement est effectue par des moyens automatises. Les dossiers papier sont exclus, mais en pratique, la quasi-totalite des traitements est aujourd’hui automatisee.

Si ces conditions ne sont pas remplies, vous n’etes pas tenu de satisfaire la demande de portabilite. Vous devrez peut-etre la traiter comme une simple demande d’acces.

Etape 3 : Determiner ce qu’il faut inclure et exclure

C’est la que la plupart des entreprises se perdent. Utilisez ce tableau comme guide :

Type de donneesInclure dans la portabilite?Pourquoi?
Nom, e-mail, adresse fournis par le clientOuiFournis par la personne concernee
Historique d’achats, donnees de commandeOuiGeneres par l’activite de la personne
Photos ou documents telechargesOuiFournis par la personne concernee
Journaux d’utilisation, comportement de clicOuiDonnees observees de leur activite
Vos notes internes sur le clientNonCreees par vous, pas fournies par eux
Score de credit ou profil de risque que vous avez calculeNonDonnees derivees/inferees
Donnees traitees uniquement sur la base de l’interet legitimeNonMauvaise base juridique pour la portabilite
Donnees des employes traitees pour des obligations legalesNonMauvaise base juridique pour la portabilite

En cas de doute, posez-vous la question : ces donnees proviennent-elles de la personne, ou les avons-nous creees? Si vous les avez creees, elles ne font pas partie de la reponse de portabilite.

Etape 4 : Preparer les donnees dans le bon format

Le format est ce qui distingue la portabilite d’une demande d’acces. Le RGPD exige que les donnees soient :

  • Structurees - organisees de maniere logique, pas un vidage brut de base de donnees
  • Couramment utilisees - un format que d’autres entreprises et logiciels peuvent traiter
  • Lisibles par machine - un logiciel peut les traiter automatiquement

Formats acceptables :

  • CSV (le plus simple et le plus largement supporte)
  • JSON (adapte aux donnees structurees et imbriquees)
  • XML (plus verbeux, mais acceptable)

Non acceptables :

  • PDF (non lisible par machine)
  • Documents scannes
  • Captures d’ecran

Pour la plupart des petites et moyennes entreprises, un fichier CSV est le meilleur choix. Il peut etre ouvert dans Excel, importe dans d’autres systemes et est facile a generer.

Etape 5 : Verifier les demandes de transfert direct

La personne concernee peut demander que vous envoyiez les donnees directement a un autre responsable du traitement - par exemple, un concurrent. En vertu de l’article 20(2), vous devez le faire lorsque c’est techniquement realisable.

En pratique, “techniquement realisable” signifie :

  • Une API ou un protocole d’echange de donnees standard est disponible
  • Le responsable du traitement destinataire dispose d’un systeme capable d’accepter le transfert

Si aucune interface standard n’existe, vous n’etes pas tenu d’en creer une. Informez la personne concernee que le transfert direct n’est pas techniquement realisable et fournissez-lui les donnees directement.

Etape 6 : Envoyer la reponse

  • Delai - dans le mois suivant la reception de la demande
  • Prolongation - pour les demandes complexes, vous pouvez prolonger de deux mois, mais informez le demandeur dans le premier mois
  • Cout - la fourniture des donnees est gratuite
  • Envoi securise - utilisez un canal securise, surtout si les donnees contiennent des informations sensibles

Portabilite vs. demande d’acces - differences cles

Demande d’acces (Art. 15)Demande de portabilite (Art. 20)
PorteeToutes les donnees personnelles que vous detenezUniquement les donnees fournies par la personne
Base juridiqueS’applique quelle que soit la base juridiqueUniquement consentement ou contrat
FormatTout format lisible (le PDF convient)Doit etre lisible par machine (CSV, JSON)
Transfert directNon applicableOui, si techniquement realisable
Donnees deriveesDoivent etre inclusesNe doivent pas etre incluses

Si vous recevez une demande de portabilite, verifiez si la personne souhaite peut-etre aussi une demande d’acces plus large. Parfois, les clients utilisent le mauvais terme mais veulent en realite voir tout ce que vous detenez a leur sujet.

Erreurs courantes

  • Fournir un PDF - cela ne repond pas a l’exigence de format lisible par machine pour la portabilite
  • Inclure trop de donnees - ajouter vos notes internes ou analyses a une reponse de portabilite va au-dela de ce qui est requis
  • Inclure trop peu de donnees - oublier les donnees d’utilisation ou l’historique des transactions generes par l’activite de la personne
  • Confondre les bases juridiques - verifiez par categorie de donnees si le traitement est fonde sur le consentement ou un contrat avant d’exclure des donnees
auto_awesome Soyez pret pour les demandes

GDPRWise genere des modeles de reponse et vous aide a tenir un registre de toutes les demandes recues.

GW
Rédaction GDPRWise

Cet article a été rédigé par l'équipe GDPRWise et vérifié par nos experts en protection des données.