Exercez vos droits - Article 20 - Transférez vos données !

Vous avez besoin de transférer les fichiers électroniques de votre ancien gymnase ou de votre ancien centre de santé vers le nouveau ? Souhaitez-vous recevoir une copie lisible du journal des battements cardiaques de votre bande ou moniteur de fitness ? Le GDPR peut faciliter ces tâches grâce à l'introduction d'un droit à la portabilité des données. Si ces scénarios semblent similaires à des changements récents d'informations que vous souhaitez ou dont vous avez besoin, lisez ce qui suit pour savoir comment exercer votre droit de transférer vos données..

Cette page est uniquement disponible en tant que traduction automatique en français. Vous pouvez toujours basculer vers la version anglaise originale.

Votre droit à la portabilité des données

Qu'est-ce qu'un droit à la portabilité des données ?

Le droit à la portabilité des données est un nouveau droit introduit dans le cadre du GDPR. En tant que personne concernée, il vous permet de recevoir, de traiter et de transférer vos données personnelles selon vos souhaits, et de gérer et de réutiliser vous-même vos données personnelles

Avec le droit de portabilité, vous pouvez :

transférer vos données à caractère personnel d'un responsable de traitement à un autre (par exemple, changer de compte) sans autre obstacle ;
stocker vos données à caractère personnel provenant d'un responsable du traitement sur un appareil privé pour votre propre réutilisation ;
recevoir une copie de vos données à caractère personnel dans un format qui vous permet de les réutiliser facilement.

Les éléments techniques du transfert ou de la transmission des données relèvent de la responsabilité du responsable du traitement, et non de la vôtre. La GDPR encourage les responsables du traitement (c'est-à-dire les entreprises ou les organisations qui décident de la manière de stocker, de collecter et d'utiliser vos données) à mettre en œuvre des mécanismes simples et interopérables pour le transfert des données. Elle interdit également aux anciens responsables du traitement d'imposer des obstacles à la transmission, tels que la facturation de frais aux personnes qui font des demandes de transfert, et interdit aux nouveaux responsables du traitement d'utiliser vos données transférées à leurs propres fins.

Étape 1 : Identifiez où envoyer votre demande

Étape 2 : Rédiger votre demande

Étape 3 : Réponse du contrôleur

Étape 4 : Que se passe-t-il si le responsable du traitement ne répond pas ou refuse ma demande ?

Quelles données personnelles puis-je transférer ?

Vous pouvez transférer ou recevoir toute donnée à caractère personnel qui :

que vous avez fournies au responsable du traitement auquel vous adressez la demande ;
utilise un consentement ou un contrat comme base de traitement (si vous ne connaissez pas la base de traitement de vos données, vous pouvez le savoir en faisant une demande d'accès) ;
sont traitées par des moyens automatisés, c'est-à-dire qu'il ne s'agit pas d'un dossier papier.

La notion de "données que vous avez fournies au responsable du traitement" n'est pas limitée aux informations personnelles que vous fournissez directement ou sciemment au responsable du traitement. Elle inclut également les données à caractère personnel générées par votre activité. Parmi les exemples de données générées par l'activité, on peut citer l'historique de vos recherches sur votre ordinateur ou votre téléphone, les données de localisation d'une application en cours d'utilisation ou les données relatives à votre rythme cardiaque recueillies par un appareil portable. Cependant, pour être transférées, ces données ne peuvent bien sûr pas être anonymes : le responsable du traitement doit pouvoir les relier à vous, par exemple via un nom ou un numéro de compte ou un numéro d'appareil

Quand puis-je transférer mes données personnelles ?

Il se peut que vous ne puissiez pas transférer ou recevoir vos données d'un responsable du traitement dans toutes les situations, en particulier si les données à caractère personnel en question ne répondent pas aux critères ci-dessus

Pour que vos données soient transférées directement à un autre responsable du traitement, la GDPR précise que la portabilité doit être "techniquement possible". Si des obstacles techniques interdisent la transmission directe, le responsable du traitement doit vous les expliquer.

Comment un droit de portabilité des données interagit-il avec mes autres droits de la GDPR ?

Pour confirmer si l'exercice de votre droit à la portabilité est le plus approprié pour vous, nous vous recommandons d'abord d'examiner comment il interagit avec les autres droits de la GDPR

Le droit d'accès complète votre droit à la portabilité en vous permettant de confirmer si le responsable du traitement peut effectivement transférer ou transmettre les données que vous souhaitez transférer ou utiliser. L'exercice de votre droit d'accès peut vous permettre de le confirmer :

si vos données sont traitées sur une base qui permet la portabilité des données ;
si le responsable du traitement a conservé les données en question, par exemple s'il ne les a pas supprimées en raison de l'expiration d'une période de conservation légale ;
Si le responsable du traitement traite vos autres données à caractère personnel dont vous n'aviez pas connaissance, mais que vous souhaitez désormais également transférer

Le transfert ne garantit pas l'effacement. L'exercice de votre droit à la portabilité des données n'activera pas automatiquement votre droit à l'effacement des données. Cela signifie que le transfert de vos données d'un responsable du traitement à un autre ne garantira pas que le premier responsable du traitement les effacera. Pour garantir que vos données soient effacées des systèmes d'un responsable du traitement, vous devrez exercer votre droità l'effacement

Comme tout autre droit de GDPR, le droit à la portabilité des données ne vous empêche pas de continuer à utiliser et à bénéficier des services d'un contrôleur après que vous lui avez fait une demande de portabilité.

Comment puis-je exercer mon droit à la portabilité ?

Étape 1 : Déterminez où envoyer votre demande

Une demande de transfert de vos données doit être adressée au responsable du traitement (l'organisation/entité/administration/société qui traite vos données)

Une demande de transfert peut être faite par courrier électronique, par lettre ou même par télécopie, à condition de laisser une trace écrite de la demande. Vous pouvez simplement envoyer un courriel (ou adresser votre lettre à) une entreprise ou un organisme public qui traite les données à caractère personnel que vous souhaitez transférer à un autre responsable du traitement ou vous transmettre.

L'adresse électronique pertinente se trouve généralement dans la section "Politique de confidentialité" ou "Contactez-nous" du site web du responsable du traitement. Elle portera généralement un nom tel que privacy@company.com ou legal@publicauthority.eu. Si elle est difficile à trouver, ou s'il n'y a pas d'adresse spécifique à laquelle vous pouvez envoyer votre demande, c'est la faute du contrôleur, pas la vôtre - la GDPR exige des contrôleurs qu'ils rendent ces informations facilement accessibles. Lorsqu'il n'y a pas d'adresse électronique spécifique, vous pouvez utiliser les coordonnées générales du contrôleur.

Étape 2 : Rédiger votre demande

Informez le responsable du traitement que vous demandez le transfert de vos données et où vous souhaitez qu'ils soient transférés (par exemple, réception d'une copie sur votre appareil privé, réception d'une copie pour réutilisation avec un autre fournisseur, ou transmission directe à un autre fournisseur).
Précisez votrenom ouautre identifiant utilisé par le responsable du traitement (par exemple, un nom d'utilisateur de compte). Pour aider le responsable du traitement à traiter votre demande plus efficacement, incluez certaines informations qui permettraient d'identifier votre compte, comme votre numéro de téléphone (si vous l'avez donné lors de votre inscription), votre nom d'utilisateur ou le nom de votre compte, ou encore votre adresse IP. Cela sera particulièrement utile si vous avez un prénom et un nom de famille communs.
Indiquez la date dans le texte, si vous faites votre demande dans une pièce jointe au courriel ou dans une lettre. Cela clarifie le délai dans lequel le responsable du traitement doit fournir les informations.

Si vous préférez, vous pouvez également utiliser les outils fournis parmydatadoneright.euLeur système rédigera et enverra la demande de transfert pour vous.

Étape 3 : Réponse du contrôleur

Une fois que le contrôleur a reçu votre demande, il a un mois pour y répondre. Ce délai ne peut être prolongé qu'une seule fois de deux mois au maximum, en cas de demandes complexes ou multiples

En cas de doute, le responsable du traitement peut vous demander des informations complémentaires pour confirmer votre identité. Toutefois, une telle demande doit se limiter aux informations supplémentaires nécessaires pour confirmer votre identité. Les informations supplémentaires ne peuvent pas être disproportionnées, compte tenu du contexte du traitement de vos données (par exemple, un magasin vous demandant une copie de votre passeport pour changer l'adresse d'une carte de fidélité serait disproportionné)

Le responsable du traitement devra explorer différentes options pour transférer vos données, par exemple une transmission directe de l'ensemble des données portables (ou plusieurs extraits de parties de l'ensemble des données globales), ou un outil automatisé permettant l'extraction des données pertinentes. Le GDPR impose aux responsables du traitement de fournir les données personnelles demandées par l'individu dans un format qui permet leur réutilisation.

En réponse à une demande de transfert, le responsable du traitement doit vous fournir, à vous ou à l'autre responsable du traitement, vos données dans un format structuré, communément utilisé et lisible par machine . Cela signifie que les données doivent être organisées et structurées dans un format que vous pouvez lire, ainsi que dans un format largement utilisé qui peut être lu et traité automatiquement par un ordinateur. Il incombe également au responsable du traitement de veiller à ce que vos données soient envoyées en toute sécurité et à la bonne destination.

Si vous demandez un transfert direct de vos données à un autre fournisseur, le responsable du traitement peut refuser s'il démontre qu'un tel transfert n'est pas techniquement possible et en explique les raisons

Étape 4 : Que se passe-t-il si le responsable du traitement ne répond pas ou refuse ma demande ?

Si le responsable du traitement :

rejette votre demande sans explication satisfaisante,
tente de vous faire payer votre demande de façon injustifiée,
ne répond pas après un mois (ou une période prolongée de 3 mois maximum),

vous avez le droit de déposer une plainte auprès d'une autorité de protection des données (par exemple, la DPD du lieu où vous vivez ou travaillez), et le responsable du traitement doit vous en informer

Si vous avez besoin d'aide pour évaluer les éléments juridiques de la réponse d'un responsable du traitement, vous pouvez nous contacter à l'adresse suivante info@noyb.eu pour discuter des prochaines étapes.

Retour à Exercer vos droits

Soutenez nous!

Financement: notre objectif

72 %

Je contribue!

Suivez nous!

Media Coverage

Auch nach dem EuGH-Urteil zum Datenschutz liefern Internetkonzerne weiter Nutzer-Informationen in die USA. Alan Dahi hat ihnen den Kampf angesagt.

Der österreichische Datenschutzaktivist und Jurist Max Schrems will mit einer einstweiligen Verfügung die irische Datenschutzbehörde DPC zwingen, die EU-US-Datentransfers von Facebook und anderen Firmen zu stoppen. Schrems und sein Datenschutz-Verein noyb teilten am Donnerstag mit, dies solle sicherstellen, dass die DPC hinsichtlich aller rechtlichen Grundlagen für Datenübermittlungen tätig werde.

Der Aktivist Max Schrems klagt in einem offenen Brief an die EU-Datenschutzbehörden über die Arbeit der irischen Datenschutzaufsicht. Diese sei im dritten Jahr der DSGVO ein Nadelöhr für den Datenschutz in Europa.

Privacy activist Max Schrems called on the European authorities to push the Irish regulator to speed up its handling of cases he has brought against Facebook on the second anniversary of the introduction of rules designed to help protect the data of consumers. Schrems, long a thorn in the side of Facebook, bemoaned the lack of progress since the introduction of the General Data Protection Regulation (GDPR) regime across Europe in 2018.

Max Schrems’s group Noyb in an open letter on Monday called on European Union authorities to “take action” against the Irish Data Protection Commission, which has yet to issue any significant fines exactly two years after strict EU rules empowered the regulator to levy hefty penalties for serious privacy violations.