La portabilité des données RGPD : ce que la loi impose vraiment aux fournisseurs cloud
Le RGPD est un peu comme la Constitution : tout le monde y fait référence, peu de gens l’ont lu, et ceux qui l’ont lu ne sont pas toujours d’accord sur ce qu’il dit. L’article 20, celui qui consacre le droit à la portabilité des données, ne fait pas exception. Sur le papier, c’est révolutionnaire : le droit de récupérer vos données « dans un format structuré, couramment utilisé et lisible par machine » et de les transmettre à un autre responsable de traitement. En pratique — et si vous venez du guide sur la réversibilité cloud, vous commencez à voir le motif — c’est plus compliqué.
Le texte intégral du RGPD est accessible en ligne dans toutes les langues de l’UE. L’article 20, paragraphe 1, est clair : le droit s’applique aux données que la personne concernée a fournies au responsable du traitement, lorsque le traitement est fondé sur le consentement ou sur un contrat, et que le traitement est effectué à l’aide de procédés automatisés. Quatre conditions cumulatives. Et chaque condition est un terrain de bataille juridique.
Les quatre conditions de l’article 20 (et pourquoi elles sont toutes discutables)
La première condition : les données doivent avoir été fournies par la personne concernée. Les fichiers que vous uploadez dans un cloud, c’est évident — vous les avez fournis. Les métadonnées générées par le service (date de dernier accès, logs de partage, historique de versions), c’est moins clair. Le Groupe de travail Article 29 (devenu le Comité européen de la protection des données) a adopté une interprétation large dans ses lignes directrices sur la portabilité : les données « fournies » incluent les données observées (activité, localisation) mais pas les données dérivées (scores, profils). La frontière reste floue.
La deuxième condition : le traitement doit être fondé sur le consentement ou un contrat. Pour un cloud personnel, c’est un contrat d’abonnement — la condition est remplie. Pour un cloud d’entreprise, ça dépend : si le traitement repose sur l’intérêt légitime du responsable de traitement, l’article 20 ne s’applique pas. Ce qui signifie qu’un employé n’a pas forcément le droit de portabilité sur les fichiers qu’il a créés dans le cloud de son employeur.
La troisième condition : le traitement doit être automatisé. Pour un cloud, c’est systématiquement le cas. Cette condition vise surtout à exclure les traitements papier (oui, ça existe encore).
La quatrième condition : l’exercice du droit ne doit pas porter atteinte aux droits et libertés d’autrui. C’est la clause de sécurité. Si vos fichiers contiennent des données personnelles de tiers (un carnet d’adresses, un fichier RH), le fournisseur peut refuser l’export direct pour protéger ces tiers. En pratique, cette exception est rarement invoquée pour le stockage cloud, mais elle existe.
Du droit théorique à l’exercice concret : le mode d’emploi
Connaître ses droits, c’est bien. Savoir les exercer, c’est mieux. Le mode d’emploi du droit à la portabilité traduit l’article 20 en actions concrètes : à qui écrire, quoi demander, quel délai attendre, et quoi faire quand le fournisseur traîne les pieds (spoiler : saisir l’autorité de contrôle).
Le délai de réponse est d’un mois, extensible à trois mois « compte tenu de la complexité et du nombre de demandes ». L’extension doit être notifiée dans le premier mois avec une justification. Un fournisseur qui ne répond pas du tout dans le mois s’expose à une plainte auprès de la CNIL (France), de l’APD (Belgique) ou du PFPDT (Suisse) — et à des amendes qui peuvent atteindre 4% du chiffre d’affaires mondial.
L’interopérabilité comme complément au cadre légal
Le RGPD fixe un plancher, pas un plafond. Le droit à la portabilité vous garantit le minimum — vos données dans un format lisible. Pour une vraie liberté de migration, il faut aller au-delà du cadre légal et choisir un fournisseur qui fait de l’interopérabilité un critère de conception. Un fournisseur qui supporte WebDAV, qui expose une API standard, qui ne convertit pas vos fichiers à l’entrée, et qui vous permet d’exporter l’arborescence complète avec métadonnées.
La Suisse offre un cadre intéressant pour la portabilité : bien que non membre de l’UE, la Confédération a révisé sa Loi fédérale sur la protection des données (nLPD, entrée en vigueur en 2023) pour s’aligner largement sur le RGPD. Infomaniak, basé à Genève, est donc soumis à la fois à la nLPD et, pour ses clients européens, au RGPD — ce qui offre une double couche de protection juridique.
Le droit à la portabilité est un outil puissant mais imparfait. Il ne couvre pas les métadonnées dérivées, il ne garantit pas un format pratique (un dump JSON est techniquement conforme), et il ne s’applique pas à toutes les situations. Considérez-le comme un filet de sécurité, pas comme une stratégie de migration. La vraie stratégie, c’est de choisir un fournisseur que vous pouvez quitter facilement — pas un fournisseur que la loi oblige à vous laisser partir difficilement.