Droit à la portabilité : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

Le droit à la portabilité désigne, au sens du RGPD, la prérogative reconnue à toute personne concernée de recevoir les données la concernant qu'elle a fournies à un responsable de traitement, dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement sans que le premier responsable n'y fasse obstacle.

Le droit à la portabilité désigne, au sens du RGPD, la prérogative reconnue à toute personne concernée de recevoir les données la concernant qu'elle a fournies à un responsable de traitement, dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement sans que le premier responsable n'y fasse obstacle. L'article 20 du Règlement (UE) 2016/679 organise ce droit innovant qui constitue l'une des contributions les plus originales du RGPD à la protection des données personnelles.

L'enjeu pratique de la portabilité dépasse la simple récupération de données. Elle vise à favoriser la fluidité concurrentielle entre les services numériques en réduisant les coûts de bascule pour les utilisateurs. Une personne souhaitant changer de service de messagerie, de plateforme de streaming musical, de réseau social ou d'opérateur de cloud peut obtenir le transfert de ses données plutôt que de devoir les recréer à zéro. Cette logique pro-concurrentielle distingue le droit à la portabilité des autres droits RGPD, plus strictement orientés vers la protection individuelle.

L'EDPB a précisé dans ses Lignes directrices 8/2020 sur le droit à la portabilité les modalités d'application opérationnelle. La pratique des contrôles CNIL et les sanctions des grandes plateformes numériques ont structuré une doctrine relativement précise des conditions de mise en œuvre, qui guide aujourd'hui l'ensemble des secteurs concernés.

Vous souhaitez exercer ou défendre une demande de portabilité ? Le Cabinet Aurore Bonavia accompagne les organisations dans la mise en place et la défense des procédures de portabilité. → Voir l'accompagnement en droit du numérique

Les conditions d'application du droit à la portabilité

L'article 20 paragraphe 1 du RGPD circonscrit le périmètre du droit :

« Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque : a) le traitement est fondé sur le consentement en application de l'article 6, paragraphe 1, point a), ou de l'article 9, paragraphe 2, point a), ou sur un contrat en application de l'article 6, paragraphe 1, point b) ; et b) le traitement est effectué à l'aide de procédés automatisés. »

Trois conditions cumulatives caractérisent l'application du droit :

  • les données doivent avoir été fournies par la personne concernée au responsable de traitement ; cette notion couvre les données fournies activement (formulaires, contributions, contenus créés) et les données générées par l'usage du service (historique d'écoute, parcours de navigation, données de localisation actives), mais exclut les données dérivées ou inférées par le responsable (scores, profils, segments) ;
  • le traitement doit être fondé sur le consentement ou sur l'exécution d'un contrat ; les traitements fondés sur les autres bases légales (obligation légale, intérêts légitimes, mission d'intérêt public) sont exclus du droit à la portabilité, ce qui réduit significativement le champ d'application en matière administrative ou réglementaire ;
  • le traitement doit être effectué à l'aide de procédés automatisés ; les traitements purement manuels (fichiers papier, archives non numérisées) sont exclus du droit, ce qui reflète l'orientation pro-concurrentielle dans le secteur numérique.

L'EDPB a précisé que la notion de « données fournies » doit être interprétée largement pour inclure les données d'usage générées par l'interaction de la personne concernée avec le service, à l'exclusion des données purement inférées par le responsable.

Le format structuré et lisible par machine

L'exigence d'un format structuré, couramment utilisé et lisible par machine constitue le pivot opérationnel du droit à la portabilité. Le format retenu doit permettre à un autre responsable de traitement de récupérer les données et de les exploiter sans transformation préalable lourde.

L'EDPB recommande dans ses Lignes directrices :

  • les formats JSON, XML et CSV comme formats par défaut pour la plupart des cas d'usage ;
  • les formats standardisés sectoriellement lorsqu'ils existent (FHIR pour les données de santé, vCard pour les contacts, ICS pour les calendriers) ;
  • les formats propriétaires interopérables lorsqu'ils sont largement adoptés (formats Microsoft Office, formats Google Workspace) ;
  • l'accompagnement par une documentation technique facilitant la réutilisation par un autre responsable.

Les formats simplement consultables (PDF non structuré, captures d'écran) ne satisfont pas à l'exigence de lisibilité par machine. Le responsable de traitement doit donc anticiper, dès la conception de ses traitements, la possibilité d'une exportation conforme aux exigences du règlement.

L'interopérabilité entre responsables de traitement constitue un objectif pratique du règlement, sans qu'une obligation contraignante ne soit imposée. Le responsable initial doit garantir un format raisonnablement exploitable, mais n'est pas tenu de garantir la compatibilité parfaite avec un système particulier choisi par la personne concernée.

Le transfert direct entre responsables de traitement

L'article 20 paragraphe 2 du RGPD prévoit la possibilité d'un transfert direct entre responsables de traitement, sans passer par la personne concernée :

« Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible. »

Cette disposition ouvre la voie aux API d'interopérabilité entre fournisseurs de services concurrents. La pratique reste toutefois limitée par la condition de faisabilité technique, qui dispense le responsable initial de mettre en place une infrastructure d'échange ad hoc avec chaque concurrent du marché.

Plusieurs initiatives sectorielles ont émergé pour faciliter cette interopérabilité. Le Data Transfer Project lancé par Google, Facebook, Microsoft, Twitter et Apple en 2018 constitue une tentative remarquable de standardisation des transferts entre grandes plateformes. Le règlement européen sur les marchés numériques (DMA, Règlement (UE) 2022/1925) impose en outre aux gatekeepers identifiés des obligations renforcées d'interopérabilité, qui complètent et amplifient le droit à la portabilité dans les secteurs concernés.

Les exceptions et restrictions au droit à la portabilité

L'article 20 paragraphe 4 du RGPD pose une exception importante :

« Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers. »

Cette restriction protège les données concernant des tiers qui figureraient dans la portabilité demandée. Une personne demandant l'exportation de ses données de messagerie ne peut obtenir l'inclusion des messages reçus de tiers identifiés (qui sont à la fois ses données et leurs données), sauf accord de ces tiers ou anonymisation effective. La pratique impose alors une exportation expurgée, qui peut significativement réduire l'utilité de la portabilité.

L'article 20 paragraphe 3 du RGPD précise par ailleurs que le droit ne s'applique pas aux traitements nécessaires à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique. Les traitements administratifs, fiscaux, sociaux ou liés à l'ordre public sont exclus du droit à la portabilité, conformément à la logique pro-concurrentielle qui sous-tend le mécanisme.

Les modalités d'exercice et le délai d'un mois

L'article 12 paragraphe 3 du RGPD impose un délai d'un mois pour répondre à une demande de portabilité, prorogeable de deux mois en cas de complexité. La pratique impose plusieurs aménagements opérationnels :

  • la mise en place d'un canal de contact dédié identifié dans la politique de confidentialité ;
  • la mise en place d'une procédure interne garantissant le respect du délai et la traçabilité ;
  • la vérification de l'identité du demandeur, qui ne peut excéder ce qui est nécessaire ;
  • la collecte des données auprès des différents systèmes concernés ;
  • l'exportation dans un format conforme aux exigences de l'article 20 ;
  • la transmission sécurisée au demandeur ou au responsable destinataire désigné.

L'article 12 paragraphe 5 du RGPD pose le principe de gratuité de la première réponse. Le responsable peut toutefois exiger des frais raisonnables pour les demandes manifestement infondées ou excessives, sous réserve de prouver le caractère abusif de la demande.

Spécificité juridique sur l'articulation avec le secret des affaires et la propriété intellectuelle

Le droit à la portabilité se heurte à plusieurs droits concurrents invocables par le responsable de traitement, dont l'articulation reste complexe en pratique :

  • le secret des affaires (loi n° 2018-670 du 30 juillet 2018 transposant la directive 2016/943) qui peut s'opposer à la divulgation d'informations confidentielles incluses dans les données portables ;
  • les droits de propriété intellectuelle sur des éléments structurants des données (formats propriétaires, algorithmes de classification, métadonnées générées par le service) ;
  • les droits voisins sur les contenus protégés produits par des tiers et inclus dans les services concernés (par exemple les œuvres protégées dans une bibliothèque musicale en streaming).

La jurisprudence et la pratique CNIL résolvent ces tensions par une interprétation restrictive des contre-droits invoqués, conforme à la logique protectrice du règlement. Le responsable de traitement doit démontrer concrètement l'atteinte que la portabilité porterait à ses droits propres, sans pouvoir invoquer une protection abstraite ou théorique.

L'EDPB précise dans ses Lignes directrices que la portabilité ne s'applique qu'aux données personnelles concernant la personne qui en demande l'exportation. Elle ne couvre pas les éléments d'environnement de service (modèles algorithmiques, taxonomies, infrastructure technique) qui restent la propriété du responsable initial. Cette distinction permet de préserver les actifs immatériels du responsable tout en garantissant l'effectivité du droit pour les données personnelles strictement définies.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de droit à la portabilité

  • la mise en place de procédures internes de gestion des demandes de portabilité ;
  • la définition des formats d'exportation conformes aux exigences de l'article 20 du RGPD ;
  • la rédaction des canaux de contact dédiés et des modèles de réponse types ;
  • la formation des équipes opérationnelles à l'identification et au traitement des demandes ;
  • la gestion des demandes complexes incluant des données concernant des tiers ;
  • la défense face aux réclamations CNIL relatives au défaut de portabilité ;
  • l'accompagnement des opérations de transfert direct entre responsables de traitement ;
  • l'analyse de l'articulation entre portabilité et secret des affaires ou propriété intellectuelle ;
  • l'accompagnement des secteurs régulés (banque, assurance, santé) face aux exigences DMA et sectorielles.

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Règlement (UE) 2016/679 (RGPD) art. 12, art. 20, EDPB Lignes directrices 8/2020 sur le droit à la portabilité, Règlement (UE) 2022/1925 sur les marchés numériques (DMA), loi n° 2018-670 du 30 juillet 2018 sur le secret des affaires, CNIL guide pratique sur le droit à la portabilité, Data Transfer Project (datatransferproject.dev). Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.