Le droit à la portabilité des données : mode d'emploi pour vrais humains
Le droit à la portabilité des données, c’est comme le droit au remboursement dans un magasin : tout le monde sait que ça existe, personne ne sait exactement comment ça marche, et le vendeur fait tout pour que vous n’y pensiez pas. L’article 20 du RGPD vous donne le droit de récupérer vos données « dans un format structuré, couramment utilisé et lisible par machine ». Magnifique sur le papier. En pratique, si vous êtes arrivé ici depuis le guide sur la réversibilité cloud, vous commencez à sentir l’écart entre le droit théorique et la réalité opérationnelle.
Pour exercer ce droit, vous devez envoyer une demande écrite au responsable du traitement — en clair, au fournisseur cloud. La CNIL recommande d’utiliser le formulaire de contact du fournisseur ou d’envoyer un email au DPO (Data Protection Officer) en précisant que vous exercez votre droit au titre de l’article 20 du règlement UE 2016/679. Le fournisseur a alors un mois pour répondre — extensible à trois mois « en cas de complexité » (et devinez, c’est toujours complexe).
La procédure concrète, étape par étape
Première étape : identifiez le DPO ou le point de contact vie privée de votre fournisseur. Chez les gros (Google, Microsoft, Dropbox), il y a généralement un portail dédié. Chez les plus petits, c’est souvent un email générique type privacy@ ou dpo@. Si vous ne trouvez rien, la politique de confidentialité du service doit obligatoirement mentionner le contact — c’est une obligation RGPD que même les moins rigoureux respectent, ne serait-ce que pour éviter les amendes.
Deuxième étape : rédigez votre demande. Inutile de rédiger un mémoire juridique. Un email clair suffit : « Je soussigné [nom], titulaire du compte [identifiant], exerce mon droit à la portabilité des données prévu à l’article 20 du RGPD. Je demande à recevoir l’ensemble de mes données personnelles dans un format structuré, couramment utilisé et lisible par machine. » Joignez une copie de votre pièce d’identité si le fournisseur la demande (et il la demandera).
Troisième étape : attendez. Le délai légal est d’un mois. Si le fournisseur dépasse le délai sans répondre, vous pouvez saisir votre autorité de contrôle nationale — la CNIL en France, l’APD en Belgique, le PFPDT en Suisse. La plainte est gratuite et peut être déposée en ligne.
Quatrième étape : vérifiez ce que vous recevez. C’est là que les surprises commencent. « Format structuré et lisible par machine » ne signifie pas « format utilisable ». Recevoir un dump JSON de 40 Go avec des identifiants internes au lieu de noms de fichiers, c’est techniquement conforme. C’est aussi techniquement inutile.
L’article 20 du RGPD en détail : ce qu’il couvre et ce qu’il ne couvre pas
Le cadre juridique de la portabilité RGPD est plus nuancé qu’il n’y paraît. L’article 20 ne couvre que les données que vous avez fournies au responsable du traitement, sur la base de votre consentement ou d’un contrat. Les données dérivées (analyses, scores, métadonnées générées par le service) ne sont pas concernées. Concrètement, vos fichiers oui, l’historique de versions peut-être, les logs d’accès probablement pas.
Le droit à la portabilité ne s’applique pas non plus aux traitements nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique. En clair : les administrations ne sont pas tenues de vous fournir vos données dans un format portable. Ce qui est ironique quand on sait que les administrations sont souvent les plus grands utilisateurs de formats propriétaires.
Aller au-delà du minimum légal : l’export complet
Le droit à la portabilité vous donne le minimum. Pour récupérer tout — métadonnées, arborescence, permissions, liens de partage — il faut aller plus loin que l’article 20. L’export complet des données cloud détaille ce que chaque fournisseur propose au-delà du strict minimum RGPD, et la différence est souvent considérable.
Certains fournisseurs jouent le jeu. Google Takeout, malgré ses défauts, propose un export relativement complet. Infomaniak permet le téléchargement direct de l’arborescence kDrive avec conservation de la structure. D’autres fournisseurs — généralement ceux qui n’ont pas envie que vous partiez — se contentent du minimum syndical : un zip de fichiers convertis, sans métadonnées, sans historique, dans un format qui demande trois heures de tri pour retrouver quoi que ce soit.
Le droit à la portabilité est un outil, pas une solution. Il fixe un plancher en dessous duquel un fournisseur ne peut pas descendre, mais il ne garantit pas une migration fluide. Pour ça, il faut choisir un fournisseur qui va au-delà de ses obligations légales — non pas par altruisme, mais parce que la facilité de migration est un argument commercial. Un fournisseur confiant dans son produit n’a pas peur que vous partiez. Un fournisseur qui vous retient par la complexité de l’export vous dit tout ce que vous avez besoin de savoir sur la qualité de son service.