Avantages et inconvénients de la portabilité des données

En introduisant la portabilité des données dans le RGPD, le législateur européen avait d’abord en tête les réseaux sociaux et les services de cloud. Dans la réalité, toutefois, la règle s’étend bien au-delà et inclut aussi par exemple le transfert de données en cas de changement d’employeur ou le transfert des évaluations de clients entre portails en ligne . D’une manière générale, il n’est pas clairement établi quelles données exactement tombent dans le champ d’application du RGPD: des points très différents sont à prendre en compte. Des données peuvent être fournies par les utilisateurs, être obtenues par traitement ou résulter de ces deux possibilités à la fois. Un utilisateur de Facebook choisit ses amis. Facebook de son côté distingue les amis actifs des amis inactifs , et les demandes d’amitié en suspens des demandes d’amitié refusées. Compte tenu de ces questions en suspens et des nombreux interdépendances entre données, quelles sont celles à transférer?

Selon le texte de l’art. 20 RGPD, seules les données qui ont été fournies par l’utilisateur doivent être transférées. Mais même cette disposition laisse une marge d’interprétation considérable. C’est pourquoi la doctrine se prononce pour une application restrictive pour que la règle n’ait pas d’effets dans les situations où aucun risque de «lock-in» n’existe. Si le prestataire détermine lui-même quelles données doivent être transférées, il est possible d’apporter une réponse utile aux besoins spécifiques d’un client ou aux particularités d’une branche. La situation au sein de l’UE révèle cependant que l’obligation de la portabilité des données fait certainement déjà des gagnants: les avocats, qui tirent profit des incertitudes juridiques ainsi créées.

La disposition RGPD énumère un certain nombre de conditions pour aménager le système. Les données doivent être fournies dans un «format structuré, couramment utilisé et lisible par machine». Dans les textes explicatifs, il est précisé que ce format doit être interopérable. Nul ne sait cependant ce que cela signifie exactement. La doctrine décrit parfois l’interopérabilité comme la capacité à «échanger des informations et à pouvoir utiliser collectivement les informations échangées». La manière de présenter et d’examiner ces formats et standards soulève des questions pratiques. On attend souvent des représentants de branche et des associations professionnelles qu’ils apportent des réponses dans le cadre de leur capacité d’autorégulation.

Le RGPD pose également d’autres exigences. Ainsi, les données doivent pouvoir être transmises sans que le responsable du traitement «y fasse obstacle». La transmission doit avoir lieu directement «lorsque cela est techniquement possible». En pratique, il sera toutefois difficile de distinguer entre entrave injustifiée et impossibilité technique. Il n’est pas non plus clair si le nouveau responsable qui reçoit les données est tenu d’intégrer celles-ci dans ses propres systèmes. De nombreuses autres questions devraient encore se poser. Il devrait également être plus facile de transférer des données entre deux réseaux sociaux qu’entre une plateforme de remise en forme et une caisse maladie.

La disposition RGPD exige par ailleurs que le droit à la portabilité ne porte pas atteinte aux droits et libertés de tiers (art. 20, par. 3). Les données d’un utilisateur s’entremêlent souvent avec des données d’autres personnes. À qui appartient par exemple un «J’aime» sur Facebook? À la personne dont la publication a été «aimée», à celle qui a « aimé » la publication ou à un tiers?

Il est possible de fournir le cas échéant une quantité restreinte de données «désenchevêtrées» , ce qui réduit toutefois considérablement le champ d’application de la disposition. La portabilité des données entraîne de nombreuses autres difficultés de mise en œuvre qui ne seront mentionnées ci-après que sous forme de mots clés (interprétation de la «fourniture», du «procédé automatisé» et des bases légales «consentement» et «contrat»).

Pour les entreprises, proposer la portabilité des données peut apporter un avantage concurrentiel. Cela leur permet d’accéder à des données conservées par d’autres entreprises et de développer de nouveaux modèles d’affaires sur la base de ces données. La portabilité des données comme nouvelle prestation requiert cependant des investissements et l’instauration de systèmes de gestion des données. La doctrine reconnaît que les autorités chargées de la protection des données et les tribunaux doivent au moins limiter l’obligation légale aux cas où la protection de la personne concernée le nécessite effectivement. En outre, les données à fournir peuvent avoir une valeur économique ou contenir des secrets d’affaires. Dès ce moment au plus tard, on peut se demander comment des entreprises peuvent être obligées à fournir ces données sans être indemnisées en bonne et due forme.

Le modèle européen de la portabilité des données se déploie dans toutes les directions et les nouvelles règles s’appliquent de manière identique aussi bien aux grandes entreprises qu’aux PME et aux start-up. Ces dernières disposent rarement d’une position dominante sur le marché, déterminante en droit de la concurrence. Les coûts auxquels les PME et les starts-ups devront faire face pour respecter cette nouvelle obligation seront régulièrement plus élevés que les avantages qui en résulteront effectivement pour leurs utilisateurs. De plus, la capacité d’innovation des petites entreprises sera aussi freinée en raison des obstacles techniques particuliers qu’elles devraient surmonter. Enfin, les petites entreprises sont plus rapidement sensibles à des transferts de données.

En échange, la portabilité des données en général peut encourager de nouveaux modèles d’affaires pour les entreprises. Cela pourra par exemple se produire avec la transmission directe de données d’une entreprise à une autre. Le prétexte selon lequel les entreprises suisses devront de toute façon se conformer au droit européen est un peu court. Comme le montrent les contours de la révision en cours de la LPD, il existe une marge de manœuvre suffisante pour une solution suisse spécifique. Le droit de l’UE ne doit pas être repris tel quel. Seul ce qui est utile doit l’être; le fait de renoncer à la portabilité des données apporte des avantages de situation importants aux PME suisses qui ne tombent pas directement dans le champ d’application du RGPD ou qui l’évitent sciemment.

Dans certaines circonstances, la portabilité des données peut être bonne pour la concurrence: un marché numérique profite d’écosystèmes dynamiques. Les marchés et les entreprises ne sont cependant pas tous identiques et ils réagissent diversement à une obligation légale. Dans le cas de plateformes en ligne, il faut distinguer les constellations suivantes:

1. Des plateformes en ligne peuvent proposer des services similaires (Airbnb et Wimdu, par exemple, sont des plateformes de location à court terme entre particuliers).
2. Il existe également des plateformes en ligne qui proposent des services complémentaires. Dans ce cas, les prestataires profitent les uns des autres, car ces plateformes permettent d’améliorer l’offre. Exemple: un achat sur une plateforme commerciale avec un paiement à l’aide d’un service d’une plateforme de paiement.

La croyance selon laquelle la portabilité des données encourage toujours la concurrence a des opposants de poids. Quand deux prestataires fournissent des prestations similaires et qu’ils se font concurrence, une portabilité légale des données n’est pas forcément bonne pour la concurrence et l’innovation. Les entreprises auraient à craindre qu’une entreprise légèrement «meilleure» qu’elles puisse leur voler des clients. En conséquence, l’intensité de la concurrence faiblirait et des entreprises en place étendraient leur position sur le marché au détriment des utilisateurs.

Dans le second exemple, celui de marchés avec des produits qui se complètent, la portabilité des données peut encourager l’innovation et la concurrence en simplifiant l’accès au marché et en favorisant les incitations à innover. Les nouvelles plateformes peuvent conquérir plus facilement de nouveaux utilisateurs. En outre, elles peuvent partager les coûts d’innovation et les innovations avec d’autres prestataires.

Le droit de la concurrence punit déjà l’abus de position dominante lorsque certaines conditions sont remplies. La portabilité légale des données est pourtant en contradiction avec les principes du droit de la concurrence. Ainsi, la disposition RGPD sur la portabilité des données est applicable même en l’absence de position dominante (et donc sans que les consommateurs ne soient touchés). L’application de la disposition peut aller si loin qu’elle pourrait forcer l’interdiction d’un logiciel particulier lorsque celui-ci ne garantit aucune interopérabilité. Or le propre du droit de la concurrence n’est pas de se caractériser par des règles, mais de se référer à des cas particuliers.

De nombreux experts considèrent que la portabilité des données selon le RGPD n’est pas la solution adéquate pour relever les défis de l’ère numérique. L’obligation légale de portabilité des données encourage plutôt la négociabilité des données. Si de grandes plateformes de données proposent à l’utilisateur d’acheter les données qu’il fournit à un certain prix, celui-ci aura tendance à accepter l’offre. Ce type de transmission pourra entraîner une commercialisation accrue des données. On risque de voir apparaître de nouvelles catégories sociales, avec d’un côté les personnes aux données chères et de l’autre celles aux données bon marché . En d’autres termes, des utilisateurs pourraient être amenés à livrer toutes leurs données à vil prix en échange de prestations très modestes en comparaison.

Selon le «paradoxe de la vie privée», le sentiment d’un individu en matière de protection des données diverge régulièrement de son comportement réel au quotidien . Dans ce cas, une amélioration de l’information et de la transparence est plus utile qu’une réglementation légale de la portabilité.

Un accès accru aux données augmente régulièrement la vulnérabilité et le risque de sécurité. D’abord, parce que les interfaces requises pour la portabilité augmentent la vulnérabilité des systèmes. Ensuite, parce que la transmission et l’accroissement des données peuvent aussi être une menace pour la sécurité. Cet aspect n’est guère pris en compte dans le débat actuel. La portabilité des données permet de collecter de grandes quantités de données (sensibles) sur un individu. Il convient donc de s’assurer que les données à transmettre ne parviennent effectivement qu’à la personne qui est autorisée à les recevoir. Il ne faut pas non plus sous-estimer le risque de transmission de données incorrectes par un responsable du traitement ni celui de circulation incontrôlée des données en général.

Selon le RGPD, le transfert de données n’oblige pas le responsable du traitement à les effacer, elles ne représentent pas une résiliation, ni un changement de prestataire. Cette solution est pertinente, car la personne concernée, dans de nombreux cas, ne souhaite ni changer de prestataire, ni que ses données soient effacées. En pratique, la portabilité des données pourrait ainsi souvent doubler, voire multiplier le nombre de prestataires. Une telle multiplication de la quantité de données augmente cependant les risques de confidentialité et contrevient au principe de la minimisation des données.