RGPD : Qu’est ce que la portabilité des données ?

Les conditions d’accès au droit à la portabilité des données

Le droit à la portabilité des données est notamment issu, en France, du droit de la concurrence. Nous connaissons tous la Loi Châtel de 2008 qui a consacré le droit à la portabilité d’un numéro de téléphone, par les réseaux de télécommunications. Le droit à la portabilité des données, en réalité, est un principe similaire.

Depuis le début des années 2000, les géants de l’internet ont rapidement compris que les données seraient au cœur d’une économie numérique dont la marchandisation de nos données personnelles a été mis au centre de nombreuses stratégies d’entreprise.

Ainsi, l’Open data correspond aux données auxquelles l’accès est totalement public et libre de droit, au même titre que l’exploitation et la réutilisation, afin d’être mis au service de l’innovation et de l’amélioration de nos services. Seulement, avec une circulation massive des données, grâce à des outils très puissants, et une confiance des utilisateurs nettement en déclin, il est question de redonner aux internautes le contrôle concernant leurs données personnelles.  On parle alors de Self Data, désigné comme la capacité offerte aux individus de collecter, stocker, comprendre et utiliser leurs données personnelles et de les partager avec des acteurs ou services tiers. C’est sur cette logique de symétrie que le Règlement général sur la protection des données (RGPD) est venu apporter des réponses dans ce domaine, avec l’article 20 intitulé « Droit à la portabilité des données ».

Article 20 : « les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable de traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle ».

Ce nouvel article est subordonné à deux conditions principales : le traitement des données doit être fondé sur le consentement d’une part, conformément à l’article 6 du RGPD, et effectué à l’aide de procédés automatisés. L’objectif est donc de d’offrir un moyen facile à utiliser, accessible, permettant la réception de données de manière sécurisée et minimisant les risques de violations lors du traitement des données.

Compte tenu du format, l’article parle d’un format « structuré, couramment utilisé et lisible par la machine ». On en déduit qu’aucun format n’est spécifiquement imposé, du moment qu’il est interopérable.

Le droit à la portabilité des données avait déjà été introduit lors de l’entrée en vigueur de la Loi pour une République Numérique de 2016. Cette dernière a intégré dans une nouvelle sous-section 4, dans la section 3 du chapitre IV du livre II du Code de la consommation, un intitulé « Récupération et portabilité des données. » C’est donc à l’article L224-42-1 du Code de la consommation que l’on trouve la disposition suivante : « le consommateur dispose en toutes circonstances d’un droit de récupération de l’ensemble des données ».

Tout l’enjeu de la loi de 2016 était d’anticiper les futures dispositions en vue de l’entrée en vigueur du RGPD, afin qu’elle soit conforme avec le droit de l’Union Européenne. Or, l’article L244-4-2 prévoyant une récupération des données ayant un caractère personnel, est conforme avec les dispositions de l’article 20 du RGPD. Toutefois, il est important de relever une différence entre la loi pour une République Numérique et le nouveau règlement : la loi consacre un droit de récupération des données par l’utilisateur alors que le RGPD consacre une véritable portabilité des données.

En effet, le RGPD, ayant pour objet de protéger les personnes physiques à l’égard du traitement de leurs données personnelles, vise également la libre circulation des données, conformément à l’ouverture de l’Union Européenne. La portabilité illustre alors la libéralisation des données afin de permettre un transfert effectif d’un organisme à l’autre.

Droit d’accès et droit à la portabilité ?

Le droit à la portabilité est à distinguer du droit d’accès, qui tout d’abord ne permet pas le transfert de données directement à un autre.

Le droit d’accès est en effet applicable à tous les traitements et toutes les données, ce qui n’est pas le cas pour le droit à la portabilité. L’article 20 consacre un droit applicable seulement sur des traitements automatisés d’une part, et fondés sur le consentement ou sur un contrat de l’autre. De plus, on ne prend en compte que les données communiquées par les personnes concernées.

L’idée générale consiste donc à matérialiser les données personnelles. Elles deviennent un bien meuble à part entière qui peut faire l’objet d’une appropriation par leur propriétaire à savoir la personne physique visée.

 

  • La donnée à caractère personnel

Ainsi, pour comprendre ce qu’est réellement le droit à la portabilité de ses données, il faut surtout comprendre ce qu’est une donnée à caractère personnel. Cette notion, très large, suscite souvent la confusion, c’est pourquoi nous nous devons d’éclaircir ce point.

Est une donnée personnelle toute information permettant d’identifier une personne. L’article 4 du Règlement Général à la Protection des Données Personnelles (dit « RGPD »), donne une définition plus précise de la donnée personnelle : « toute information se rapportant à une personne physique identifiée ou identifiable, la personne concernée ». Ainsi, la définition du Règlement se veut la plus large possible. La personne identifiable est alors « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant ».

Bien évidemment, lorsque l’on parle d’identification d’une personne, on pense automatiquement au nom et au prénom, à la date de naissance. Mais une donnée personnelle est bien plus qu’une simple identité telle que nous la connaissons. Une donnée à caractère personnel peut donc être également un numéro de sécurité sociale, une adresse IP, une donnée de localisation, une photo ou plus généralement tous les éléments spécifiques propres à son identité physique, génétique, psychique, économique, culturelle ou sociale.

Ainsi, le droit à la portabilité s’exerce sur toutes ces données, c’est-à-dire, dès que la personne peut être identifiée et de manière gratuite, sauf si la demande est infondée ou manifestement excessive.

 

  • Les droits fondamentaux du RGPD appliqués au droit à la portabilité

 Avant toute chose, pour qu’une personne puisse valablement exercer son droit à la portabilité des données, il faut que cette dernière ait, depuis le 25 mai 2018, soit la date d’entrée en vigueur du Règlement, consenti au traitement de ces données car le droit à la portabilité fait partie des traitements applicables aux données personnelles.

Il faut donc rappeler que le consentement au traitement de ses données est un des principes les plus fondamentaux de ce Règlement Général sur la Protection des Données Personnelles. Ce dernier doit prendre la forme d’un acte positif clair, c’est-à-dire que le consentement doit être explicite, libre, spécifique, informé et préalable au traitement des données.

De manière moins théorique, il faut que la personne ait dit, de manière claire, qu’elle souhaite que l’entreprise ou l’organisme collecte et traite ses données, avant ces derniers. Un exemple concret d’acte positif clair est le fait de cocher une case comme quoi vous autorisez l’entreprise ou l’organisme à collecter et traiter vos données.

De même, l’information donnée concernant le droit à la portabilité doit être concise, transparente, compréhensible et aisément accessible. Le Groupe des CNIL Européennes, ancien G29 (sous l’égide duquel sont rendues toutes les décisions citées dans ce développement) recommande de donner cette information au moment de la collecte des données mais également de renouveler cette information à la clôture d’un compte utilisateur.

Deux types de droits sont compris dans ce droit à la portabilité :

  • le droit de récupérer ses données pour son usage personnel ou pour stocker ces données
  • le droit de transférer ses données personnelles soit par la personne elle-même soit par l’organisme ou l’entreprise qui détient les données.

 

  • Les données exclues du droit à la portabilité et les responsabilités des différents acteurs

Ce droit à la portabilité des données n’est possible que si les données sont dématérialisées, numérisées. Pour toutes les données collectées sous forme papier, le droit à la portabilité n’est pas effectif. De même, certaines données ne peuvent pas être transférées, aussi bien directement à la personne concernée qu’à un autre organisme. C’est notamment le cas des données collectées et traitées dans le cadre d’une mission d’intérêt public ou des données traitées dans le cadre d’une mission relevant de l’exercice de l’autorité publique.

De manière plus précise, toutes les données collectées et traitées par un responsable du traitement exerçant une mission de service public ou relevant de l’autorité publique comme par exemple les services administratifs ou les services régaliens, ne peuvent en aucun cas être transférées.

De même, ce droit à la portabilité est limité aux données personnelles fournies par la personne concernée, soit lorsqu’elles sont déclarées consciemment par la personne soit lorsqu’elles sont générées par l’activité de cette dernière (c’est notamment l’exemple des achats en ligne) et aux données fournies sur la base d’un consentement préalable (comme vu précédemment) ou sur une base contractuelle.

Les données anonymes sont également exclues de ce droit à la portabilité. Pour ce qui est des données pseudonymisées, le droit à la portabilité des données est opérable. De même, le droit à la portabilité des données ne concerne que les relations B to C et non les relations entre professionnels. Egalement et pour l’aspect plus technique, les données calculées par le traitement de données brutes initiales sont exclues de ce droit à la portabilité.

Enfin, le droit à la portabilité des données n’est pas effectif si une obligation légale ou l’intérêt légitime l’exigent. Un exemple concret serait les données collectées par les établissements bancaires. En effet, les établissements bancaires ne sont pas soumis à ce droit car le traitement de données est obligatoire dans leur cas, dans le cadre de l’obligation légale de lutte contre le blanchiment d’argent.

La demande de portabilité est donc examinée au cas par cas. Ces principes ont été dégagés par les lignes directrices du G29 et finalement, on se rend compte que les exclusions sont extrêmement nombreuses en matière de droit à la portabilité. Il est donc difficile de connaître à l’avance l’efficacité d’un tel droit, aussi bien pour les personnes que pour les entreprises et organismes.

Les fournisseurs de service de communication en ligne doivent, selon le RGPD et son article 20, « restituer toutes les données résultant de l’utilisation du compte utilisateur et consultables en ligne par celui-ci, à l’exception de celles ayant fait l’objet d’un enrichissement significatif par le fournisseur en cause ». Le régime pour les fournisseurs de service de communication en ligne est donc plus rigide.

 

  • Les moyens mis en œuvre pour le droit à la portabilité et le principe de l’interopérabilité

Le principe de l’interopérabilité des données est essentiel pour le droit à la portabilité. En effet, l’interopérabilité se définit comme étant la « capacité de matériels, de logiciels ou de protocoles différents à fonctionner ensemble et à partager des informations ». Ce principe de l’interopérabilité nous ramène donc au fait que le droit à la portabilité est uniquement utilisé pour les données dématérialisées. Toutes les données doivent avoir un format interopérable, c’est-à-dire « structuré, couramment utilisé et lisible par une machine ».

Les responsables de traitement doivent prévoir des outils pour faciliter la portabilité des données personnelles, comme par exemple ceux permettant de sélectionner les données pertinentes et exclure les données de tiers ; les outils permettant de télécharger directement ses données comme le Blue Button pour les données de santé aux Etats-Unis,  des outils permettant de transférer directement les données (API). Ces différents outils seront abordés dans la partie technique de cet exposé. C’est d’ailleurs le G29 qui, dans ses lignes directrices, a recommandé ces moyens. Il a également précisé que le responsable de traitement ne devait pas faire obstacle à un quelconque transfert qui serait autorisé par le Règlement.

Il est simplement nécessaire de retenir à ce stade que les moyens utilisés pour la portabilité doivent être faciles à utiliser, accessibles et qui doivent permettre la réception de données de manière sécurisée tout en minimisant les risques de violation de données.

 

La mise en œuvre du droit à la portabilité des données

Cas pratique : Jean est étudiant. Depuis quelque temps, il ne cesse d’entendre parler dans tous les médias du RGPD. A part sa signification, Jean connaît mal les dispositions du RGPD, il trouve notamment ce règlement relativement abstrait. Friand d’écologie, l’étudiant porte une attention particulière à sa consommation énergétique et met un point d’honneur à privilégier autant que possible le vélo à des modes de transports plus polluants. Amateur de sport, Jean s’est acheté une montre connectée afin de passer du statut « sportif du dimanche » à celui d’athlète. Au cours de ses recherches, Jean apprend que le Règlement Européen traite des données personnelles. Au regard de ses activités hebdomadaires, le jeune homme aimerait savoir s’il peut accéder à ses données personnelles afin de les réutiliser. Après avoir lu brièvement les grandes lignes d’articles relatifs au RGPD, Jean prend connaissance de l’existence d’un « droit à la portabilité », l’étudiant se pose ainsi une multitude de questions à laquelle nous tacherons de répondre. Pour cela, nous nous sommes appuyé sur les lignes directrices relative au droit à la portabilité des données fixées par le groupe des Cnils Européennes ( G29) qui occupera  une part prépondérante de nos recherches.

 

Le droit à la portabilité m’offre-t-il différentes possibilités pour contrôler mes données personnelles ?

Tout à fait ! Une fois que l’utilisateur se sera identifié, ce dernier pourra exercer en tout gratuité son droit à la portabilité des données. Le droit à la portabilité comporte deux possibilités[1] pour l’utilisateur :

  • Le droit de récupérer ses données pour un usage personnel : L’utilisateur pourra ainsi stocker les données collectées sur un cloud privé ou sur un appareil.
  • S’il souhaite augmenter ses performances, en utilisant un objet connecté lors de ses entraînements à vélo, Jean pourra obtenir ses données personnelles (vitesse, temps, date…).
  • Le droit de transférer ses données d’un organisme à un autre : Le paragraphe 2 de l’article 20 du RGPD énonce que l’utilisateur « a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible. La possibilité de transmission directe des données personnelles devra s’apprécier au cas par cas. Cela signifie que l’organisme initial de traitement des données devra transmettre les données concernant l’utilisateur à un autre organisme de traitement des données. Pour ce faire, le G29 reconnaît deux possibilités[2]:
  • une transmission directe de l’intégralité de l’ensemble des données portables
  • un outil automatisé permettant l’extraction des données pertinentes [3](conseillé lorsqu’il s’agit de données volumineuses et complexes).

 

La transmission directe des données sera donc facilitée par l’interopérabilité du format que nous traiterons ultérieurement.

Si l’organisme collectant les données de mobilités de Jean via sa montre connectée a mis en place un système permettant un transfert direct et automatique des données, celles-ci pourront être transmises, à sa demande, automatiquement vers un servicequi pourrait lui permettre de calculer son empreinte écologique.

 

Existe-t-il un délai imparti pour répondre à une demande de portabilité ?

Oui, il existe en effet un délai imputable au responsable de traitement qui sera toutefois variable. L’article 12, paragraphe 3 du RGPD incite le responsable de traitement à répondre « dans les meilleurs délais ». Le même article apporte néanmoins plusieurs précisions en accordant un délai de principe d’1 mois à compter de la réception de la demande. Cependant, le délai de réponse pourra être prolongé de 2 mois supplémentaires en cas de circonstances exceptionnelles (affaires complexes). Le responsable de traitement devra justifier la prolongation du délai de réflexion et informer le demandeur de la prolongation.

 

Si j’exerce mon droit à la portabilité, cela signifie-t-il que les données que j’ai récupérées sont effacées des systèmes d’exploitation du responsable de traitement initial ?

Attention ! Qui dit droit à la portabilité des données ne dit pas droit à la suppression de celles-ci ! Le responsable de traitement qui transfère vos données est en droit de garder une copie de ces dernières pour la durée qui a été définie préalablement. En effet, ces données sont gardées mais seront soumises à une durée de conservation. Les données personnelles doivent nécessairement poursuivre une finalité particulière.

Ce droit est effectif tant que les données sont disponibles, il faut donc faire attention à la durée de conservations de chaque type de données. Pour se repérer, le CIL (Correspondant Informatique et Libertés) qui est l’ancêtre du DPO (ou DPD en français, Délégué à la Protection des Données) a publié un référentiel des durées de conservation applicable aux entreprises[4]. Ainsi, ce référentiel nous apprend par exemple que la durée de conservation de l’historique de connexion est de 6 mois ou encore que la durée de conservation d’un dossier médical dans les établissements de santé publics et privés est de 20 ans.

Ainsi, l’exercice du droit à la portabilité n’efface pas les données stockées par le responsable de traitement. La personne concernée pourra exercer son droit à la portabilité aussi longtemps que le responsable de traitement continue de traiter les données[5].

Si Jean désire supprimer ses données personnelles du système d’exploitation du responsable de traitement de données, il pourra toutefois bénéficier d’un droit à l’effacement ou droit « à l’oubli ».

 

Le responsable de traitement initial doit-il être être tenu pour responsable des données transmises suite à l’exercice du droit à la portabilité ?

Non, le premier responsable de traitement ne saurait être tenu indéfiniment responsable des données qu’il a transmises[6], soit à l’utilisateur pour son usage personnel, soit à un second organisme de traitement des données. Dans ce cas, la responsabilité revient à la personne qui a reçu les données (l’utilisateur ou l’organisme de traitement qui reçoit les données).

Les obligations relatives au responsable du traitement sont alors de s’assurer d’être en présence de données pertinentes et non excessives au regard de la finalité du traitement à effectuer.

De plus, les responsables de traitement sont tenus d’une obligation d’information envers les utilisateurs. Il est important pour les entreprises de renseigner l’utilisateur à la fois sur l’existence du droit à la portabilité et la finalité du traitement à effectuer sur les données personnelles. Il incombe également à l’entreprise de renseigner la personne sur la différence entre le droit d’accès et le droit de portabilité sur les données transmises.

 

Comment assurer l’effectivité de la portabilité des données ?

  • L’interopérabilité : L’interopérabilité va assurer l’effectivité du droit à la portabilité en permettant la réutilisation des données. Le responsable de traitement, en l’absence de formats prédéfinies, devra, afin de garantir l’interopérabilité, utiliser des formats « communément utilisés »[7]( XML,JSON,CSV…)
  • API (Interface de programmation): conformément à l’article 12 du RGPD, l’information se doit d’être faite d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. Comme énoncé précédemment, le G29 recommande à ce titre la mise à disposition d’une API (Interface de Programme d’Application) par le responsable de traitement qui permettrait à l’utilisateur de transmettre directement ses données à un autre responsable de traitement.

Le G29 définie l’API comme « les interfaces d’applications ou les services web mis à disposition par les responsables du traitement de sorte que d’autres systèmes ou applications puissent se mettre en relation avec leurs systèmes et travailler avec ceux-ci »[8]. L’API se révèle être un outil en conformité avec le RGPD qui prohibe l’obstruction du transfert des données à un autre fournisseur. Le choix d’une API se révèle adéquat lors de demandes répétés et lorsque les données personnelles à traiter par le responsable de traitement revêtent une certaine ampleur.

  • Le choix d’un PIMS ( Personal Information Management services) : Le G29, dans ses recommandations, voit le droit à la portabilité comme ayant pour « objectif de responsabiliser les personnes concernées et de leur permettre de contrôler davantage les données à caractère personnel les concernant (…) facilitera le passage d’un prestataire de service à un autre et encouragera dès lors la mise au point de nouveaux services dans le contexte de la stratégie pour un marché unique numérique ». Dès lors, le droit à la portabilité représente également une opportunité permettant le développement et l’émergence d’un nouveau marché de plateformes personnelles et de services tiers. Pour les personnes concernées tout d’abord, le G29 a avancé des pistes de mise en œuvre concrète du droit à la portabilité, il a ainsi appelé à la création de services « d’entrepôts de données personnelles » leur permettant de disposer de leurs données en programmant eux même leurs applications ou encore en ayant recours à des PIMS qui sont des services personnels de données permettant de rassembler et interconnecter leurs données personnelles en ligne de manière sécurisée. Ce marché, encore émergent, est une solution permettant également l’importation de certaines données personnelles vers un autre responsable de traitement sous réserve d’une compatibilité entre leurs différents systèmes d’information. Par l’usage de PIMS, l’utilisateur peut disposer ses données dans un environnement propice à leur réutilisation et à leur libre circulation en facilitant leur partage et donner au cas par cas accès à celles-ci.
  • Ainsi, l’exercice de son droit à la portabilité permettrait à Jean de récupérer auprès de son fournisseur d’énergie ses données de consommation afin de pouvoir réaliser par lui-même une étude d’impact permettant de constater si les efforts qu’il a réalisé lui ont permis de faire des économies et calculer son empreinte énergétique. La récupération de ses données de santé collectées par sa montre pourront, au-delà du fait de lui permettre de suivre sa progression personnelle, être réutilisées pour des études cliniques s’il le souhaite ou encore servir à contribuer au développement de services de cartographies urbaines dynamiques.
  • Le rôle structurant des métadonnées : Les métadonnées constituent un outil précieux qui va faciliter la réutilisation des données. A ce propos, on peut parler des métadonnées qui constituent un ensemble structuré d’informations permettant de décrire les données fournies par le responsable de traitement. Le rôle des métadonnées joue un rôle important en matière de portabilité des données car elles vont permettre d’expliciter les données échangées, ce qui sera de nature à permettre leurs réutilisations.

Toutefois, selon les lignes directrices du G29, les métadonnées peuvent être altérées[9] par le format employé, tel que le format PDF, bien que couramment utilisé, empêchera la réutilisation des données personnelles. Ainsi, le responsable de traitement devra prendre garde au format qu’il utilise pour transmettre les données.

 

Comment sécuriser les données portables ?

  • L’authentification : Le responsable de traitement des données va devoir mettre en place une procédure d’authentification afin que l’utilisateur puisse exercer son droit de manière effective. Pour cela, l’utilisateur devra être identifié par exemple à l’aide d’un pseudonyme suivi d’un mot de passe. La longueur du mot sera variable. La sécurité d’un compte d’utilisateur repose sur la complexité d’un mot de passe, un mot de passe trop simple serait trop facile à deviner pour un tiers. La Commission Nationale de l’Informatique et des Libertés  (CNIL) a pu émettre certaines exigences en matière d’authentification par mot de passe[10] tel que la présence de majuscules, minuscules, chiffres et caractères spéciaux. A ce propos, si l’authentification s’effectue avec un mot sans des mesures dites « complémentaires », le mot devra faire a minima faire 12 caractères. En revanche, sur les sites d’e-commerce, de comptes d’entreprises et de webmail, le mot de passe devra faire au minimum 8 caractères. La longueur du mot de passe, plus courte, sera compensée par des « mesures complémentaires » ; par exemple par « le Captcha » ou par le verrouillage du compte après 10 échecs. L’authentification va permettre à Jean un accès privé à ses données personnelles. En l’absence de procédure d’authentification, le responsable de traitement pourra voir sa responsabilité engagée car cela signifierait que les données personnelles de l’utilisateur pourront être récupérée par un tiers. Il convient également de noter que l’utilisateur pourra fermer son compte de manière discrétionnaire. Lors de la clôture du compte, la Commission des CNILS Européenne « G29 » recommande d’informer l’utilisateur de l’existence et des modalités d’exercice du droit à la portabilité.[11]
  •  La mise en garde des utilisateurs exerçant leurs droits à la portabilité des données : Le G29 craint qu’en récupérant leurs données pour un usage personnel, les utilisateurs stockent ces données dans des systèmes moins sécurisées que celui fourni par le responsable de traitement des données[12]. Ainsi, le G29 incite les responsables de traitement des données à mettre en garde les utilisateurs contre les failles potentielles que peuvent présenter leurs systèmes de stockages en leurs recommandant d’utiliser certains outils de sécurité (formats, techniques de chiffrement…).

 

Le droit à la portabilité des données va-t-il révolutionner le marché ?

Pour les organismes de traitement, cela permettra de favoriser le développement de marchés multifaces mis en place par un réseau d’interdépendance entre les différents acteurs. En permettant à l’utilisateur d’exporter ses données, les organismes pourront ainsi accroître leur image de marque en se plaçant au cœur de ce marché. Il faudra néanmoins qu’il adopte pleinement les notions de transparence et de contrôle des données pour que les données puissent être le plus intelligible possible et ainsi circuler librement.

 

Le bilan

Depuis le 25 mai 2018, Jean peut, pour toutes les données personnelles qu’il a activement ou passivement fournies, demander à pouvoir bénéficier de son droit à la portabilité afin d’améliorer son expérience en tant qu’utilisateur en implémentant celles-ci dans des entreprises fournissant des services mais aussi mettre à disposition ses données afin de contribuer à l’amélioration de services de transport dans le cadre de projets en lien avec l’Open Data.

Emeline Guedes, Alexis Mussard, Jan Sunby et Mélanie Billard

 

[1] https://www.cnil.fr/fr/le-droit-la-portabilite-en-questions

[2] Groupe G29, Lignes directrices relatives au droit à la portabilité des données, 13 décembre 2016, p.19

[3] https://www.cnil.fr/fr/verifier-la-pertinence-des-donnees

[4] Commission Nationale de l’Informatique et des Libertés, Référentiel durée de conservation, 20 juillet 2012

[5] Groupe G29, Lignes directrices relatives au droit à la portabilité des données, 13 décembre 2016

[6]Ibid. p.7

[7] Groupe G29, Lignes directrices relatives au droit à la portabilité des données, 13 décembre 2016, p.21

[8]Ibid,p.18

[9]Ibid,  p.22

[10] https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires

[11] https://www.village-justice.com/articles/rgpd-formalisme-droit-portabilite-des-donnees,25941.html

[12]Ibid., p.24

MasterIPIT