Qu'est-ce que le droit u00e0 la portabilitu00e9 sous la Loi 25?

Le droit u00e0 la portabilitu00e9 (en vigueur depuis sept. 2024) permet u00e0 tout citoyen d'obtenir une copie de ses donnu00e9es personnelles dans un format structuru00e9 (JSON, CSV) pour les ru00e9utiliser ou les transfu00e9rer vers un autre fournisseur. Il couvre les donnu00e9es fournies et gu00e9nu00e9ru00e9es, mais pas les donnu00e9es infu00e9ru00e9es par algorithme.

Quelles donnu00e9es doit-on fournir en ru00e9ponse u00e0 une demande de portabilitu00e9?

Les donnu00e9es portables sont : celles fournies directement par l'utilisateur (profil, pru00e9fu00e9rences, formulaires) et celles gu00e9nu00e9ru00e9es par son activitu00e9 (historique de commandes, journaux d'interaction). Sont exclues les donnu00e9es infu00e9ru00e9es par algorithme (scores, catu00e9gories comportementales) , propriu00e9tu00e9 intellectuelle de l'entreprise.

En quel format les donnu00e9es doivent-elles u00eatre exportu00e9es?

La Loi 25 exige un format technologique structuru00e9 et couramment utilisu00e9 : JSON, CSV ou XML. Les PDF statiques, captures d'u00e9cran et images sont refusu00e9s car non lisibles par machine. Un format propriu00e9taire nu00e9cessitant un logiciel payant est aussi proscrit.

En combien de temps doit-on ru00e9pondre u00e0 une demande de portabilitu00e9?

La loi requiert une ru00e9ponse u00abdans les meilleurs du00e9laisu00bb. Par analogie avec le droit d'accu00e8s (30 jours), c'est la pratique standard. Invoquer des u00abdifficultu00e9s pratiques su00e9rieusesu00bb pour refuser serait difficile u00e0 du00e9fendre pour une architecture web standard devant la CAI.

12 min

Leçon 4.2 : Le droit à la portabilité des données (septembre 2024)

La dernière grande phase de la Loi 25

Le 22 septembre 2024 a marqué l’entrée en vigueur de la dernière grande obligation de la Loi 25 : le droit à la portabilité des données. Ce droit permet à tout citoyen d’obtenir, dans un format technologique structuré, une copie des renseignements personnels qu’il a fournis à une organisation ou qui ont été générés par son activité.

Ce que les citoyens peuvent réclamer

Données portables :

Données fournies directement : nom, courriel, adresse, préférences de profil saisis dans un formulaire.
Données générées par l’activité : historique de commandes, journaux d’interactions, historique de navigation sur le site.

Données EXCLUES de la portabilité :

Données inférées ou créées par l’algorithme de l’entreprise : scores de risque, catégories comportementales, recommandations CRM.
Ces déductions algorithmiques sont la propriété intellectuelle de l’entreprise, elles ne doivent pas être révélées.

Le format : structuré, lisible par machine

La loi exige un format technologique structuré et couramment utilisé :

Acceptés : JSON, CSV, XML.
Refusés : PDF statique, captures d’écran, images JPEG/PNG, formats propriétaires nécessitant un logiciel payant.

Fournir un PDF avec les données de l’utilisateur constitue une violation du droit à la portabilité. Le format doit être lisible par machine pour permettre le réemploi.

Délais de réponse

La loi n’impose pas de délai précis pour la portabilité mais requiert une réponse « dans les meilleurs délais ». Par analogie avec le droit d’accès, la pratique standard est de 30 jours. En cas de « difficultés pratiques sérieuses », un refus motivé est possible, mais invoquer ce motif pour une architecture WordPress standard serait difficile à défendre devant la CAI.

L’enjeu stratégique : fin du vendor lock-in

L’objectif législatif est d’abolir la captivité des données (vendor lock-in) et de permettre aux citoyens de transférer leurs informations vers un concurrent. Pour les entreprises, c’est une incitation à améliorer leur valeur-service plutôt que de compter sur la friction du changement.

SiteQC et la portabilité

SiteQC génère automatiquement les exports JSON et CSV des données utilisateurs sur demande. L’interface DSAR centralise les demandes, vérifie l’identité du demandeur et génère le fichier d’export conforme en quelques clics.

Points clés

Droit en vigueur depuis septembre 2024.
Données portables : fournies + générées par l’activité. Exclues : données inférées algorithmiquement.
Format obligatoire : JSON, CSV ou XML, PDF refusé.
Délai : meilleurs délais (pratique : 30 jours).