Le RGPD (ou GDPR en anglais) a étendu et renforcé les droits des individus concernant le traitement de leurs données à caractère personnel. Dans ce cadre, un droit tout à fait nouveau a été créé, à savoir le droit à la portabilité des données (« right to data portability »). Ce droit permet à un individu, d’une part, de demander ses données à caractère personnel dans un format structuré et, d’autre part, de pouvoir transférer ses données d’un responsable du traitement à un autre.
Le groupe de travail Article 29, ci-après « G29, - l’organe consultatif réunissant les autorités de protection de données à caractère personnel des Etats Membres a publié, le 13 décembre 2016, des directives relatives à l’application concrète du droit à la portabilité. Vous pouvez retrouver ces directives en cliquant ici.
1. Droit à la portabilité des données
Le droit à la portabilité des données est repris à l’article 20 du RGPD. Il donne à un individu le droit de recevoir ses données à caractère personnel sous une forme structurée, courante et lisible par machine et ce, sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle.
Pour autant que cela soit techniquement possible, un individu peut demander lui-même que ses données soient directement transférées de l’ancien au nouveau responsable du traitement.
2. Conditions d’application
Le droit à la portabilité est soumis à une série de conditions d’application strictes :
(i) Les données à caractère personnel fournies par l’individu et le concernant
Seules les données que l’individu a fournies lui-même et qui le concernent, rentrent en ligne de compte.
Selon le G29, le terme « fournir » doit être interprété en ce sens qu’il ne vise pas uniquement des données fournies activement et consciemment, mais également des données qui naissent et sont fournies via l’utilisation de services ou d’appareils (historiques, playlists, liste des livres recommandés, etc.).
Cependant, cette interprétation ne peut selon nous impliquer qu’un candidat aurait par exemple le droit d’imposer de faire transférer des résultats de tests de personnalité qu’il a réalisés chez un potentiel employeur, vers un autre potentiel employeur. Il s’agit dans ce cas d’évaluations subjectives et d’analyses de la personnalité du candidat, et non pas de données à caractère personnel qu’il a fournies lui-même ou produites.
Compte tenu de la limitation aux données à caractère personnel fournies par l’individu lui-même, il semble que le droit à la portabilité a relativement peu d’impact dans le cadre des RH (pour ce qui est de la pertinence lors de la fin des relations de travail, voy. cependant point 5).
(ii) Les traitements fondés sur le consentement ou l’exécution d’un contrat
Il doit s’agir d’un traitement pour lequel l’intéressé a marqué son accord ou qui est nécessaire pour l’exécution d’un contrat.
Les traitements fondés sur d’autres bases juridiques (par exemple, une obligation légale) tombent en dehors du champ d’application.
(iii) Traitements effectués via des procédés automatisés
Le traitement doit avoir été effectué via des procédés automatisés. Par conséquent, les données papiers sont exclues.
(iv) Pas d’atteinte aux droits et libertés d’autrui
Le droit à la portabilité ne peut pas porter atteinte aux droits et libertés d’autrui (par exemple, le droit à la vie privée, le droit d’accès et d’information, etc.).
3. Devoir d’information préalable
Le responsable du traitement devra informer l’intéressé de ce nouveau droit à la portabilité. Le moment précis auquel cette information devra être communiquée varie selon qu’il s’agira ou non de données fournies par l’intéressé (voy. articles 13 et 14 du RGPD).
4. Traitement de la demande
En cas de demande de transfert, le responsable du traitement devra fournir immédiatement et, au plus tard, dans le mois, l’information par rapport aux suites données à la demande.
Le transfert doit en principe être gratuit, à moins que les demandes soient manifestement infondées ou excessives, notamment en raison de leur caractère répétitif.
5. Pertinence lors de la fin de la relation de travail
La question se pose de savoir jusqu’où va le droit à la portabilité lors de la fin de la relation de travail. Un ex-travailleur a-t-il, par exemple, droit au transfert des numéros de GSM mis à sa disposition ou des coordonnées de ses personnes de contact dans Outlook ?
Le G29 souligne que pour l’application du droit à la portabilité dans un contexte RH, il convient de systématiquement vérifier, concrètement, dans quelle mesure il est satisfait aux différentes conditions (voy. point 2).
Compte tenu de ces conditions, il nous semble que le droit au transfert des données vers un nouvel employeur doit être interprété de manière restreinte, dans la mesure où il s’agit seulement de données à caractère personnel de base que le travailleur fournit et qui le concerne (par exemple, l’adresse, le numéro de compte en banque, la situation familiale).
Le transfert d’autres données, comme le numéro de GSM ou les données des contacts dans Outlook, semble en effet rapidement porter atteinte aux droits et libertés de l’employeur (par exemple, le droit à la conservation du numéro, le droit au secret des affaires) et/ou des tiers (par exemple, le droit à la vie privée). La pratique devra montrer où se situent précisément les limites.