# 05 / 2019
01.02.2019

Inscrire la portabilité des données dans la loi: pas un remède miracle

Évolutions internationales

Depuis le 25 mai 2018, le règlement général sur la protection des données (RGPD) s’applique au sein de l’UE. Son article 20 prévoit le droit à la portabilité. Il est formulé comme suit:

règlement général sur la protection des données

En pratique, cette disposition donne par exemple le droit à un utilisateur d’Airbnb de recevoir les données à caractère personnel le concernant qu’il a mises à la disposition de la plateforme (profil d’évaluation dans le rôle du locataire ou du bailleur, photos de l’appartement loué, etc.) dans un format permettant une réutilisation. Il a en outre le droit de demander le transfert de ces données directement à un autre prestataire, Wimdu par exemple, sans qu’Airbnb ne puisse s’y opposer. Concrètement, la norme soulève d’ores et déjà des questions de mise en œuvre.

La Suisse s’est fixé pour objectif de mettre en place une législation appropriée pour la gestion des données et de positionner notre pays comme un site attrayant pour la création de valeur grâce à l’exploitation de données. La Confédération a également chargé l’Institut suisse de droit comparé à Lausanne de mener une étude dans ce contexte. Celle-ci présente une comparaison internationale de la portabilité des données et d’autres réglementations relatives à l’utilisation des données et à l’accès à celles-ci.

Elle montre que le concept légal en vigueur dans l’UE, sous cette forme globale et intersectorielle, constitue une nouveauté appliquée avec beaucoup de retenue en comparaison internationale (réglementations analysées: États-Unis, Japon, UE, Allemagne, France, Suède). Au niveau mondial, l’introduction effective de ce concept n’a été discutée que dans de rares pays – alors que dans l’UE, les effets possibles en pratique ont été examinés de manière exhaustive. Au sein de l’Union européenne, le règlement a été appliqué pour la première fois en France à compter du 25 mai 2018 (dans l'esprit d’une transposition précoce du droit européen dans le droit national).

Figure 2

Digression: Directive de l’UE sur les services de paiement (DSP 2)

Les banques et les établissements financiers sont visés par une directive de l’UE touchant le trafic des paiements. Les banques de l’UE ont notamment l’obligation d’ouvrir des interfaces clients pour les prestataires tiers et d’accorder à ces derniers l’accès aux comptes bancaires. Une différence par rapport à la portabilité des données réside dans le fait que la DSP 2 régit l’accès aux interfaces, ce qui signifie que les systèmes sont constamment en réseau, alors que la portabilité se réfère à un transfert unique des données.

Figure 3

En Suisse, l’idée de l’interopérabilité dans le trafic des paiements est mise en pratique en l’absence d’obligation légale. Il n’est pas nécessaire d’instaurer une obligation d’étendre les droits d’accès. Ce serait plutôt contre-productif et pourrait se répercuter sur les coûts à la charge des clients des établissements bancaires, créer des distorsions et menacer la sécurité des données des clients justement.