Skip to content
Droits & Demandes calendar_today Mis à jour: 11 avril 2026 schedule 5 min de lecture

Droit à la Portabilité des Données: Ce Que Vous Devez Fournir

verified Dernière révision 11 avril 2026 · l'équipe juridique GDPRWise

Un client souhaite récupérer ses données dans un format qu'il peut emporter chez un autre prestataire. Il s'agit d'une demande de portabilité. Cet article explique étape par étape quelles données fournir, dans quel format et quand vous pouvez refuser.

summarize Points clés
  • check_circle La portabilité ne s'applique qu'aux données fournies par la personne, pas aux données que vous avez déduites ou inférées
  • check_circle Vous devez fournir les données dans un format structuré, couramment utilisé et lisible par machine comme CSV ou JSON
  • check_circle Seules les données traitées sur la base du consentement ou d'un contrat sont concernées
  • check_circle Vous disposez d'un mois pour répondre, comme pour les autres droits des personnes concernées

Reconnaître une demande de portabilité

Une demande de portabilité des données survient lorsqu’une personne dit : “Donnez-moi mes données pour que je puisse les emporter chez un autre prestataire.” C’est différent d’une simple demande d’accès. L’objectif n’est pas seulement de consulter les données, mais de les réutiliser ailleurs.

La demande n’a pas besoin d’utiliser les mots “portabilité des données”. Si un client écrit “je veux exporter mes données” ou “envoyez mes données à [autre entreprise]”, cela compte comme une demande de portabilité.

Étape 1 : Enregistrer la demande

Comme pour toute demande de personne concernée, enregistrez-la immédiatement :

  • Qui fait la demande
  • Quand vous l’avez reçue (le délai d’un mois commence maintenant)
  • Par quel canal elle est arrivée
  • Ce qui est exactement demandé - la personne veut-elle recevoir les données elle-même, ou souhaite-t-elle que vous les envoyiez directement à un autre responsable du traitement?
description

Modèle : Registre des demandes

Gardez une trace de chaque demande dans un registre : qui, quand, ce qui a été demandé et comment cela a été traité.

Voir le modèle arrow_forward

Étape 2 : Vérifier si la portabilité s’applique

C’est ici que la portabilité devient spécifique. Elle ne s’applique que lorsque les trois conditions sont remplies :

  1. Les données ont été fournies par la personne concernée. Cela inclut les données qu’elle a activement fournies (nom, e-mail, fichiers téléchargés) et les données générées par son activité (historique d’achats, journaux d’utilisation, données de localisation). Cela n’inclut pas les données que vous avez créées vous-même, comme les notes internes, les évaluations de risques ou les analyses.

  2. Le traitement est fondé sur le consentement ou un contrat. Si vous traitez les données sur la base de l’intérêt légitime, d’une obligation légale ou de l’intérêt public, la portabilité ne s’applique pas à ces données.

  3. Le traitement est effectué par des moyens automatisés. Les dossiers papier sont exclus, mais en pratique, la quasi-totalité des traitements est aujourd’hui automatisée.

Si ces conditions ne sont pas remplies, vous n’êtes pas tenu de satisfaire la demande de portabilité. Vous devrez peut-être la traiter comme une simple demande d’accès.

Étape 3 : Déterminer ce qu’il faut inclure et exclure

C’est là que la plupart des entreprises se perdent. Utilisez ce tableau comme guide :

Type de donnéesInclure dans la portabilité?Pourquoi?
Nom, e-mail, adresse fournis par le clientOuiFournis par la personne concernée
Historique d’achats, données de commandeOuiGénérés par l’activité de la personne
Photos ou documents téléchargésOuiFournis par la personne concernée
Journaux d’utilisation, comportement de clicOuiDonnées observées de leur activité
Vos notes internes sur le clientNonCréées par vous, pas fournies par eux
Score de crédit ou profil de risque que vous avez calculéNonDonnées dérivées/inférées
Données traitées uniquement sur la base de l’intérêt légitimeNonMauvaise base juridique pour la portabilité
Données des employés traitées pour des obligations légalesNonMauvaise base juridique pour la portabilité

En cas de doute, posez-vous la question : ces données proviennent-elles de la personne, ou les avons-nous créées? Si vous les avez créées, elles ne font pas partie de la réponse de portabilité.

Étape 4 : Préparer les données dans le bon format

Le format est ce qui distingue la portabilité d’une demande d’accès. Le RGPD exige que les données soient :

  • Structurées - organisées de manière logique, pas un vidage brut de base de données
  • Couramment utilisées - un format que d’autres entreprises et logiciels peuvent traiter
  • Lisibles par machine - un logiciel peut les traiter automatiquement

Formats acceptables :

  • CSV (le plus simple et le plus largement supporté)
  • JSON (adapté aux données structurées et imbriquées)
  • XML (plus verbeux, mais acceptable)

Non acceptables :

  • PDF (non lisible par machine)
  • Documents scannés
  • Captures d’écran

Pour la plupart des petites et moyennes entreprises, un fichier CSV est le meilleur choix. Il peut être ouvert dans Excel, importé dans d’autres systèmes et est facile à générer.

Étape 5 : Vérifier les demandes de transfert direct

La personne concernée peut demander que vous envoyiez les données directement à un autre responsable du traitement - par exemple, un concurrent. En vertu de l’article 20(2), vous devez le faire lorsque c’est techniquement réalisable.

En pratique, “techniquement réalisable” signifie :

  • Une API ou un protocole d’échange de données standard est disponible
  • Le responsable du traitement destinataire dispose d’un système capable d’accepter le transfert

Si aucune interface standard n’existe, vous n’êtes pas tenu d’en créer une. Informez la personne concernée que le transfert direct n’est pas techniquement réalisable et fournissez-lui les données directement.

Étape 6 : Envoyer la réponse

  • Délai - dans le mois suivant la réception de la demande
  • Prolongation - pour les demandes complexes, vous pouvez prolonger de deux mois, mais informez le demandeur dans le premier mois
  • Coût - la fourniture des données est gratuite
  • Envoi sécurisé - utilisez un canal sécurisé, surtout si les données contiennent des informations sensibles

Portabilité vs. demande d’accès - différences clés

Demande d’accès (Art. 15)Demande de portabilité (Art. 20)
PortéeToutes les données personnelles que vous détenezUniquement les données fournies par la personne
Base juridiqueS’applique quelle que soit la base juridiqueUniquement consentement ou contrat
FormatTout format lisible (le PDF convient)Doit être lisible par machine (CSV, JSON)
Transfert directNon applicableOui, si techniquement réalisable
Données dérivéesDoivent être inclusesNe doivent pas être incluses

Si vous recevez une demande de portabilité, vérifiez si la personne souhaite peut-être aussi une demande d’accès plus large. Parfois, les clients utilisent le mauvais terme mais veulent en réalité voir tout ce que vous détenez à leur sujet.

Erreurs courantes

  • Fournir un PDF - cela ne répond pas à l’exigence de format lisible par machine pour la portabilité
  • Inclure trop de données - ajouter vos notes internes ou analyses à une réponse de portabilité va au-delà de ce qui est requis
  • Inclure trop peu de données - oublier les données d’utilisation ou l’historique des transactions générés par l’activité de la personne
  • Confondre les bases juridiques - vérifiez par catégorie de données si le traitement est fondé sur le consentement ou un contrat avant d’exclure des données
auto_awesome Soyez prêt pour les demandes

GDPRWise génère des modèles de réponse et vous aide à tenir un registre de toutes les demandes reçues.

Partager share LinkedIn mail E-mail
GW
Rédaction GDPRWise

Cet article a été rédigé par l'équipe GDPRWise et vérifié par nos experts en protection des données.