Portabilité des données RGPD : guide article 20

Un client vous demande de lui transmettre toutes ses données dans un fichier exploitable, pour les importer chez un concurrent. Avez-vous l’obligation d’accéder à cette demande ? Sous quel délai ? Dans quel format ? L’article 20 du RGPD crée un droit à la portabilité des données souvent mal compris — et mal appliqué — par les entreprises. Ce guide fait le point sur ce que la loi exige réellement.

Ce qu’est réellement le droit à la portabilité

Le droit à la portabilité, prévu à l’Art. 20 du RGPD, permet à toute personne concernée de recevoir les données à caractère personnel la concernant dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement.

Ce droit est fondamentalement différent du droit d’accès (Art. 15 RGPD). Le droit d’accès permet à la personne de consulter ses données. La portabilité lui permet de les récupérer dans un format réutilisable — pour les importer dans un autre service. L’objectif du législateur européen était de favoriser la concurrence et de lutter contre les effets de verrouillage (lock-in) des plateformes numériques.

Les deux conditions cumulatives

Le droit à la portabilité ne s’applique que si les deux conditions suivantes sont réunies :

1. La base légale du traitement est le consentement ou l’exécution d’un contrat

Seuls deux des six fondements juridiques du RGPD ouvrent droit à la portabilité :

• Le consentement (Art. 6(1)(a) ou Art. 9(2)(a) pour les données sensibles)
• L’exécution d’un contrat auquel la personne est partie (Art. 6(1)(b))

Si votre traitement repose sur l’intérêt légitime, l’obligation légale ou la mission d’intérêt public, la portabilité ne s’applique pas. C’est un point crucial que beaucoup d’entreprises ignorent.

2. Le traitement est effectué à l’aide de procédés automatisés

Les traitements entièrement manuels (dossiers papier non numérisés) sont exclus. En pratique, la quasi-totalité des traitements modernes remplit cette condition.

Quelles données sont concernées ?

La portabilité ne porte pas sur toutes les données que vous détenez sur une personne. L’Art. 20 est précis : elle ne couvre que les données fournies par la personne concernée.

Données incluses : les données fournies

Sont incluses les données que la personne a activement communiquées :

• Les données de formulaires (nom, prénom, email, adresse, date de naissance)
• Les données de profil qu’elle a renseignées
• Les contenus qu’elle a générés (messages, publications, commentaires, photos)
• Les données comportementales qu’elle a « fournies » en utilisant le service (historique d’écoute sur une plateforme musicale, historique d’achats, itinéraires sur une appli de navigation)

Données exclues : les données inférées et dérivées

Ne sont pas portables :

• Les données inférées ou déduites par le responsable de traitement à partir des données brutes (score de crédit, profil comportemental calculé, segmentation marketing)
• Les données générées par le responsable de traitement (identifiants internes, logs système, données comptables)

Les lignes directrices 06/2020 du Comité européen de la protection des données (CEPD, anciennement G29) — Guidelines on the right to data portability — confirment cette distinction. Un score de risque calculé par une banque à partir des transactions d’un client n’est pas portable. L’historique des transactions lui-même l’est.

Format et délai de réponse

Le format : structuré, lisible par machine, interopérable

Le RGPD n’impose pas un format spécifique, mais le format choisi doit être :

• Structuré : pas de PDF ou de document Word formaté ; les données doivent être exploitables
• Couramment utilisé : le format doit être répandu, pas propriétaire
• Lisible par machine : le fichier doit pouvoir être traité automatiquement par un logiciel

Dans la pratique, les formats acceptés sont :

• JSON — format de référence pour les API, recommandé pour les données complexes
• CSV — adapté pour les données tabulaires simples (listes de transactions, contacts)
• XML — utilisé dans certains secteurs (banque, santé)

Le PDF, le format Word ou l’impression papier ne satisfont pas à l’exigence de portabilité, même s’ils peuvent être fournis en supplément à titre d’information.

Le délai : 1 mois, prorogeable une fois

Vous disposez d’un mois à compter de la réception de la demande pour y répondre. Ce délai est identique à celui du droit d’accès et du droit à l’effacement.

En cas de demandes nombreuses ou complexes, ce délai peut être prorogé de deux mois supplémentaires, à condition d’en informer la personne dans le délai initial d’un mois, en expliquant les raisons du retard.

La CNIL a précisé que la complexité doit être réelle et documentée — pas invoquée de manière automatique pour toutes les demandes.

La transmission directe à un autre responsable de traitement

L’Art. 20(2) du RGPD prévoit une faculté supplémentaire : la personne peut demander que ses données soient transmises directement d’un responsable de traitement à un autre, si cela est techniquement possible.

Cette disposition est la plus innovante — et la plus rarement appliquée correctement. Elle implique que :

1. La personne vous demande de transférer ses données directement à un tiers (concurrent, nouveau prestataire)
2. Vous êtes obligé de le faire si c’est techniquement possible

La notion de « techniquement possible » laisse une marge d’appréciation. Mais elle ne peut pas être invoquée comme prétexte général pour refuser. Si vous disposez d’une API ou d’un export automatisé, la transmission directe est généralement considérée comme techniquement possible.

Des secteurs entiers ont développé des standards de portabilité directe : la banque open data avec la DSP2, la santé avec l’INS (Identifiant National de Santé) et Mon Espace Santé, ou encore l’énergie avec les données de consommation Enedis.

Cas pratiques : qui est concerné, qui ne l’est pas

Un SaaS B2C : fortement concerné

Une plateforme de gestion (abonnements, données de profil, historique d’activité) reposant sur un contrat d’utilisation avec des particuliers est pleinement soumise à la portabilité. Ses utilisateurs peuvent demander l’export de leurs données à tout moment.

Un employeur : partiellement concerné

Le traitement des données salariés repose en général sur l’obligation légale (paie, déclarations sociales) ou l’exécution du contrat de travail. La portabilité s’applique aux données relevant du contrat (profil employé fourni lors du recrutement, données de congés autorisées). Elle ne s’applique pas aux données de surveillance ou aux données générées par l’entreprise dans le cadre de la relation de travail (évaluations, logs).

Une administration publique : non concernée

Les traitements fondés sur une mission d’intérêt public (Art. 6(1)(e)) sont explicitement exclus du champ de la portabilité par l’Art. 20(3) du RGPD. Une mairie, un tribunal ou une caisse d’assurance maladie n’est pas tenu de fournir des exports portables.

Un cabinet médical : concerné pour les données de soins consenties

Si les données de santé sont traitées avec le consentement du patient (Art. 9(2)(a)) — cas de nombreuses applications de suivi de santé — la portabilité s’applique. En revanche, les données de soins traitées dans le cadre d’une obligation légale (dossier médical obligatoire) y échappent.

Procédure de traitement des demandes

Étape 1 — Vérifier l’identité du demandeur

Avant toute chose, s’assurer que la personne est bien celle qu’elle prétend être. En cas de doute raisonnable, vous pouvez demander un justificatif. La CNIL précise que cette vérification doit rester proportionnée — vous ne pouvez pas exiger une copie de carte d’identité pour une demande banale sur un compte clairement authentifié.

Étape 2 — Qualifier la demande

Identifier :

• Le traitement concerné et sa base légale (consent ou contrat ?)
• La nature des données demandées (fournies par la personne, ou inférées ?)
• Si la personne demande un export personnel ou une transmission directe à un tiers

Étape 3 — Préparer l’export

Générer le fichier dans un format adapté (JSON ou CSV selon la nature des données). L’export doit être complet sur le périmètre couvert par la portabilité — pas de tri arbitraire des données.

Étape 4 — Transmettre de manière sécurisée

Ne pas envoyer un fichier contenant des données personnelles par email non chiffré. Privilégier :

• Un lien de téléchargement sécurisé (expiration à 48-72h)
• Un envoi chiffré (PGP, ZIP avec mot de passe)
• Un espace personnel sécurisé dans votre interface

Étape 5 — Documenter la réponse

Tracer la demande, la date de réception, la date de réponse et les données transmises. Cette documentation est nécessaire pour démontrer votre conformité en cas de contrôle CNIL, conformément au principe d’accountability (Art. 5(2) et Art. 24 RGPD).

Sanctions en cas de non-respect

Le manquement au droit à la portabilité expose aux sanctions prévues par l’Art. 83(4) du RGPD : jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial — le montant le plus élevé étant retenu.

La CNIL a déjà sanctionné des entreprises pour manquements aux droits des personnes. En 2021, elle a infligé 150 000 € à Google et 60 000 € à Facebook pour non-respect du droit d’accès. Si une entreprise ignorait systématiquement les demandes de portabilité, elle s’exposerait à des sanctions similaires.

En pratique, les personnes qui n’obtiennent pas satisfaction peuvent saisir la CNIL par le biais de la plateforme SignalConso ou directement via le formulaire de plainte en ligne. La CNIL dispose alors d’un pouvoir d’injonction pour forcer la mise en conformité.

Lien avec la portabilité dans le Data Act

Il ne faut pas confondre la portabilité RGPD (données personnelles, droits individuels) avec la portabilité introduite par le Data Act européen, entré en application en septembre 2025.

Le Data Act crée une portabilité des données IoT (objets connectés) au profit des utilisateurs professionnels et des administrations publiques — c’est une portabilité des données industrielles, pas des données personnelles au sens strict. Les deux régimes coexistent et peuvent se chevaucher pour les données d’objets connectés collectant des données personnelles.

Pour les responsables de traitement dans l’industrie connectée (voitures, appareils domestiques, équipements médicaux), les deux textes créent des obligations cumulatives à bien distinguer.

Ce qu’il faut retenir

• Le droit à la portabilité (Art. 20 RGPD) ne s’applique que si le traitement repose sur le consentement ou l’exécution d’un contrat et est automatisé.
• Seules les données fournies par la personne sont portables — pas les données inférées ou générées par l’entreprise.
• Le format doit être structuré, lisible par machine et couramment utilisé (JSON, CSV, XML — pas PDF).
• Le délai de réponse est d’un mois, prorogeable de deux mois supplémentaires en cas de complexité justifiée.
• La transmission directe à un autre responsable est obligatoire si elle est techniquement possible.
• Les traitements fondés sur l’intérêt légitime, l’obligation légale ou la mission d’intérêt public ne sont pas soumis à la portabilité.

FAQ

Le droit à la portabilité s’applique-t-il si notre traitement repose sur l’intérêt légitime ?

Non. L’Art. 20 du RGPD est explicite : seuls les traitements fondés sur le consentement (Art. 6(1)(a)) ou l’exécution d’un contrat (Art. 6(1)(b)) ouvrent droit à la portabilité. Si votre base légale est l’intérêt légitime, l’obligation légale ou la mission d’intérêt public, vous n’êtes pas tenu d’accéder aux demandes de portabilité — bien que le droit d’accès (Art. 15) continue de s’appliquer.

Peut-on facturer des frais pour fournir l’export de données ?

En principe non. Comme pour le droit d’accès, la réponse à une demande de portabilité doit être gratuite. La CNIL n’admet de frais raisonnables que lorsque les demandes sont « manifestement infondées ou excessives » — ce qui suppose des demandes répétitives abusives, pas une première demande légitime.

Doit-on fournir toutes les données ou seulement celles d’un service particulier ?

La portabilité porte sur les données du traitement concerné par la demande. Si une personne demande la portabilité de ses données liées à un contrat de services spécifique, vous devez couvrir ce périmètre. Si elle demande l’ensemble des données que vous détenez à son sujet, vous devez qualifier chaque traitement : quelle est sa base légale ? Les données sont-elles fournies par la personne ? La portabilité ne peut être étendue aux traitements qui n’y sont pas soumis.

Faut-il répondre à une demande de portabilité si la personne est en litige avec nous ?

Oui. Le droit à la portabilité est un droit fondamental qui ne peut pas être suspendu au motif qu’un litige est en cours. Refuser d’y répondre dans ce contexte constituerait un manquement sanctionnable. En revanche, si le litige porte précisément sur la légitimité du traitement, vous pouvez saisir la CNIL pour arbitrage.

---

Recevez chaque semaine nos analyses conformité RGPD directement dans votre boîte mail — inscrivez-vous à notre newsletter.