Inscrire la portabilité des données dans la loi: pas un remède miracle

La possibilité pour les consommateurs de récupérer leurs données personnelles ou d’obtenir leur transfert à un autre prestataire (ce qu’on appelle la «portabilité des données») est régulièrement évoquée pour renforcer la maîtrise des individus sur leurs informations et désagrérer de grands silos de données sauvegardées. Cependant, à trop idéaliser la portabilité des données, on en néglige des aspects importants. Ainsi, la question fondamentale de l’attitude à adopter face à des entreprises en position dominante relève du droit de la concurrence et non de la protection des données. Imposer légalement la portabilité des données pourrait restreindre la concurrence ainsi que pénaliser notamment les petites entreprises et les start-up. Avec à la clé des risques en matière de protection des données, des hausses de prix et des incertitudes pour les consommateurs. Mieux vaut des solutions adaptées aux branches concernées et aux consommateurs – surtout si elles sont facultatives – qu’une obligation générale de garantir la portabilité des données. Dans le présent dossierpolitique, nous expliquons ce qu’est la portabilité des données, la replaçons dans les contextes international et national et examinons les avantages et les inconvénients de ce concept. Nous évoquons en outre des instruments existants et leur potentiel d’optimisation, tournons le regard vers l’avenir et présentons la position des milieux économiques.

Lorsque nous notons un vendeur sur Internet, «postons» des contenus sur les réseaux sociaux, utilisons des cartes de fidélité ou payons avec une carte de crédit, nous générons des données. L’analyse de grandes quantités de données peut également générer des données, par exemple lorsqu’un responsable du traitement des données analyse le comportement des consommateurs (temps passé en magasin ou comportement d’un internaute, par exemple).

L’idée de la portabilité des données est de faciliter le transfert de données entre fournisseurs. À notre époque caractérisée par des volumes de données toujours plus grands, les consommateurs ont ainsi la garantie que les données qu’ils ont mises à disposition ne sont pas stockées dans la base de données d’un seul fournisseur et donc rendues inaccessibles. Par exemple, si deux plateformes Internet sont techniquement incompatibles, il se peut que le consommateur éprouve des difficultés à changer de plateforme et à transférer les données le concernant à un autre prestataire (effet de «lock-in»). Pour concrétiser la portabilité des données en pratique, des standards techniques uniformes entre les divers prestataires et donc une certaine interopérabilité sont, entre autres, nécessaires.

Exemple: Les utilisateurs de la plateforme sociale Instagram saisissent régulièrement des données. L’outil de portabilité des données proposé depuis l’introduction du règlement européen sur la protection des données (RGPD) permet aux utilisateurs de télécharger une copie des contenus partagés, y compris les photos, vidéos et publications, en vue d’une utilisation sur d’autres réseaux sociaux.

Les partisans d’un droit légal à la portabilité des données souhaitent édicter des prescriptions contraignantes en la matière afin d’éviter que les grandes entreprises accumulent de grands volumes de données et de répartir ces données entre plusieurs prestataires. Cette intervention va toutefois bien plus loin que ce qu’autorise le droit de la concurrence et peut même avoir, en cas de généralisation, des effets préjudiciables dans certaines constellations.

Faciliter le transfert des données doit permettre aux consommateurs d’avoir une meilleure vue d’ensemble et un meilleur contrôle des données qu’ils ont mises à disposition. La portabilité des données aura cependant moins d’impact sur le comportement à l’égard des consommateurs que sur les relations entre les concurrents présents sur le marché – la maîtrise des informations personnelles n’est cependant qu’un phénomène secondaire parmi les répercussions pratiques du concept.

Les administrations recueillent régulièrement des données dans l’exécution de leurs tâches officielles – par exemple concernant la population, la météo ou le trafic. La Confédération a annoncé que ces informations seraient mises gratuitement à la disposition du public. Cela est logique dans la mesure où ces enquêtes ont été financées par les impôts et les taxes et reviennent donc à la collectivité. L’introduction de la portabilité des données exige, par contre, la mise en place d’une infrastructure coûteuse par le prestataire, raison pour laquelle il ne faut pas partir du principe que cette prestation est gratuite.

En pratique, cette disposition donne par exemple le droit à un utilisateur d’Airbnb de recevoir les données à caractère personnel le concernant qu’il a mises à la disposition de la plateforme (profil d’évaluation dans le rôle du locataire ou du bailleur, photos de l’appartement loué, etc.) dans un format permettant une réutilisation. Il a en outre le droit de demander le transfert de ces données directement à un autre prestataire, Wimdu par exemple, sans qu’Airbnb ne puisse s’y opposer. Concrètement, la norme soulève d’ores et déjà des questions de mise en œuvre.

La Suisse s’est fixé pour objectif de mettre en place une législation appropriée pour la gestion des données et de positionner notre pays comme un site attrayant pour la création de valeur grâce à l’exploitation de données. La Confédération a également chargé l’Institut suisse de droit comparé à Lausanne de mener une étude dans ce contexte. Celle-ci présente une comparaison internationale de la portabilité des données et d’autres réglementations relatives à l’utilisation des données et à l’accès à celles-ci.

Elle montre que le concept légal en vigueur dans l’UE, sous cette forme globale et intersectorielle, constitue une nouveauté appliquée avec beaucoup de retenue en comparaison internationale (réglementations analysées: États-Unis, Japon, UE, Allemagne, France, Suède). Au niveau mondial, l’introduction effective de ce concept n’a été discutée que dans de rares pays – alors que dans l’UE, les effets possibles en pratique ont été examinés de manière exhaustive. Au sein de l’Union européenne, le règlement a été appliqué pour la première fois en France à compter du 25 mai 2018 (dans l'esprit d’une transposition précoce du droit européen dans le droit national).

Les banques et les établissements financiers sont visés par une directive de l’UE touchant le trafic des paiements. Les banques de l’UE ont notamment l’obligation d’ouvrir des interfaces clients pour les prestataires tiers et d’accorder à ces derniers l’accès aux comptes bancaires. Une différence par rapport à la portabilité des données réside dans le fait que la DSP 2 régit l’accès aux interfaces, ce qui signifie que les systèmes sont constamment en réseau, alors que la portabilité se réfère à un transfert unique des données.

En Suisse, l’idée de l’interopérabilité dans le trafic des paiements est mise en pratique en l’absence d’obligation légale. Il n’est pas nécessaire d’instaurer une obligation d’étendre les droits d’accès. Ce serait plutôt contre-productif et pourrait se répercuter sur les coûts à la charge des clients des établissements bancaires, créer des distorsions et menacer la sécurité des données des clients justement.

En Suisse, un projet de révision a été lancé pour adapter la loi fédérale sur la protection des données (LPD) aux développements internationaux et aux progrès technologiques. L’économie s’engage pour l’adoption d’une réglementation raisonnable en comparaison internationale et libre de tout excès inutile («Swiss finish»). La nouvelle loi devra être en phase avec la réalité et tenir compte suffisamment de la protection des données. Elle ne devra cependant entraîner aucune charge administrative qui n’améliore pas simultanément la protection des données des consommateurs. La prochaine mise sous toit du projet de révision par le Parlement est une étape importante pour garantir la sécurité du droit de tous les acteurs, tant du côté de l’économie que de celui des consommateurs.

Dans le cadre des travaux préparatoires de la révision, le Conseil fédéral s’est demandé s’il fallait emboîter le pas à l’UE et inscrire le droit à la portabilité des données dans la nouvelle LPD. Il a toutefois estimé que ce droit vise plus à permettre aux personnes concernées de réutiliser leurs données afin de faire jouer la concurrence qu’à protéger leur personnalité, et qu’il serait problématique d’édicter une telle législation. Le Conseil fédéral considère en outre que la mise en œuvre de ce droit serait difficile, car elle nécessiterait une concertation des responsables du traitement des données et au minimum un accord implicite sur les supports et standards informatiques utilisés. L’étude d’impact de la réglementation a montré que les coûts d’une telle disposition seraient disproportionnés pour les entreprises. Celles avec plus de 50 employés devraient engager du personnel supplémentaire. Le Conseil fédéral se montre prudent dans son appréciation. Il conclut qu’il serait prématuré d’ancrer une telle disposition dans la loi et préfère attendre les retours d’expérience au sein de l’Union européenne avant de songer à introduire un droit à la portabilité des données en Suisse.

En résumé, le Conseil fédéral juge que le droit à la portabilité des données ne doit pas figurer dans la LPD pour les raisons suivantes:

(i) La question relève d’abord du droit de la concurrence.
(ii) Elle relève de la protection de la personnalité dans un deuxième temps.
(iii) Application difficile
(iv) Coûts disproportionnés
(v) Décision prématurée; il faut d’abord observer les développements dans l’UE.

Selon l’UE, la Suisse dispose actuellement d’une réglementation adéquate sur la protection des données (décision d’équivalence). Le but de la révision de la LPD est, entre autres, de maintenir cette décision. Au niveau européen, durant le processus législatif déjà, l’art. 20 RGPD avait été largement considéré hors-sujet et il avait été suggéré de ne pas inscrire ce droit dans le règlement. La Convention du Conseil de l’Europe STE 108, qui règle le principe d’équivalence avec le droit en vigueur dans les États tiers, est également critique vis-à-vis de ce concept. Aucune obligation de droit à la portabilité ne peut être déduite de cette convention. Il apparaît ainsi que la portabilité des données n’est pas un élément central à transposer en droit suisse pour garantir l’équivalence avec la législation de l’UE sur la protection des données.

Sur la scène politique suisse aussi pourtant, certains demandent d’ancrer le droit à la portabilité des données dans la nouvelle LPD. Avec les arguments que l’on sait: la portabilité est présentée comme un instrument qui permettrait de renforcer le contrôle des citoyens sur leurs données personnelles et de créer des écosystèmes de données. De son côté, le professeur Ernst Hafen cherche à lancer une initiative populaire pour ancrer un «droit de copie» concernant les données personnelles dans la Constitution. Il faudra attendre de disposer du texte concret de l’initiative pour savoir s’il est prévu d’atteindre ce but en introduisant le droit à la portabilité des données dans la législation.

En introduisant la portabilité des données dans le RGPD, le législateur européen avait d’abord en tête les réseaux sociaux et les services de cloud. Dans la réalité, toutefois, la règle s’étend bien au-delà et inclut aussi par exemple le transfert de données en cas de changement d’employeur ou le transfert des évaluations de clients entre portails en ligne. D’une manière générale, il n’est pas clairement établi quelles données exactement tombent dans le champ d’application du RGPD: des points très différents sont à prendre en compte. Des données peuvent être fournies par les utilisateurs, être obtenues par traitement ou résulter de ces deux possibilités à la fois. Un utilisateur de Facebook choisit ses amis. Facebook de son côté distingue les amis actifs des amis inactifs, et les demandes d’amitié en suspens des demandes d’amitié refusées. Compte tenu de ces questions en suspens et des nombreux interdépendances entre données, quelles sont celles à transférer?

Selon le texte de l’art. 20 RGPD, seules les données qui ont été fournies par l’utilisateur doivent être transférées. Mais même cette disposition laisse une marge d’interprétation considérable. C’est pourquoi la doctrine se prononce pour une application restrictive pour que la règle n’ait pas d’effets dans les situations où aucun risque de «lock-in» n’existe. Si le prestataire détermine lui-même quelles données doivent être transférées, il est possible d’apporter une réponse utile aux besoins spécifiques d’un client ou aux particularités d’une branche. La situation au sein de l’UE révèle cependant que l’obligation de la portabilité des données fait certainement déjà des gagnants: les avocats, qui tirent profit des incertitudes juridiques ainsi créées.

La disposition RGPD énumère un certain nombre de conditions pour aménager le système. Les données doivent être fournies dans un «format structuré, couramment utilisé et lisible par machine». Dans les textes explicatifs, il est précisé que ce format doit être interopérable. Nul ne sait cependant ce que cela signifie exactement. La doctrine décrit parfois l’interopérabilité comme la capacité à «échanger des informations et à pouvoir utiliser collectivement les informations échangées». La manière de présenter et d’examiner ces formats et standards soulève des questions pratiques. On attend souvent des représentants de branche et des associations professionnelles qu’ils apportent des réponses dans le cadre de leur capacité d’autorégulation.

Le RGPD pose également d’autres exigences. Ainsi, les données doivent pouvoir être transmises sans que le responsable du traitement «y fasse obstacle». La transmission doit avoir lieu directement «lorsque cela est techniquement possible». En pratique, il sera toutefois difficile de distinguer entre entrave injustifiée et impossibilité technique. Il n’est pas non plus clair si le nouveau responsable qui reçoit les données est tenu d’intégrer celles-ci dans ses propres systèmes. De nombreuses autres questions devraient encore se poser. Il devrait également être plus facile de transférer des données entre deux réseaux sociaux qu’entre une plateforme de remise en forme et une caisse maladie.

La disposition RGPD exige par ailleurs que le droit à la portabilité ne porte pas atteinte aux droits et libertés de tiers (art. 20, par. 3). Les données d’un utilisateur s’entremêlent souvent avec des données d’autres personnes. À qui appartient par exemple un «J’aime» sur Facebook? À la personne dont la publication a été «aimée», à celle qui a « aimé » la publication ou à un tiers?

Il est possible de fournir le cas échéant une quantité restreinte de données «désenchevêtrées» , ce qui réduit toutefois considérablement le champ d’application de la disposition. La portabilité des données entraîne de nombreuses autres difficultés de mise en œuvre qui ne seront mentionnées ci-après que sous forme de mots clés (interprétation de la «fourniture», du «procédé automatisé» et des bases légales «consentement» et «contrat»).

Pour les entreprises, proposer la portabilité des données peut apporter un avantage concurrentiel. Cela leur permet d’accéder à des données conservées par d’autres entreprises et de développer de nouveaux modèles d’affaires sur la base de ces données. La portabilité des données comme nouvelle prestation requiert cependant des investissements et l’instauration de systèmes de gestion des données. La doctrine reconnaît que les autorités chargées de la protection des données et les tribunaux doivent au moins limiter l’obligation légale aux cas où la protection de la personne concernée le nécessite effectivement. En outre, les données à fournir peuvent avoir une valeur économique ou contenir des secrets d’affaires. Dès ce moment au plus tard, on peut se demander comment des entreprises peuvent être obligées à fournir ces données sans être indemnisées en bonne et due forme.

Le modèle européen de la portabilité des données se déploie dans toutes les directions et les nouvelles règles s’appliquent de manière identique aussi bien aux grandes entreprises qu’aux PME et aux start-up. Ces dernières disposent rarement d’une position dominante sur le marché, déterminante en droit de la concurrence. Les coûts auxquels les PME et les starts-ups devront faire face pour respecter cette nouvelle obligation seront régulièrement plus élevés que les avantages qui en résulteront effectivement pour leurs utilisateurs. De plus, la capacité d’innovation des petites entreprises sera aussi freinée en raison des obstacles techniques particuliers qu’elles devraient surmonter. Enfin, les petites entreprises sont plus rapidement sensibles à des transferts de données.

En échange, la portabilité des données en général peut encourager de nouveaux modèles d’affaires pour les entreprises. Cela pourra par exemple se produire avec la transmission directe de données d’une entreprise à une autre. Le prétexte selon lequel les entreprises suisses devront de toute façon se conformer au droit européen est un peu court. Comme le montrent les contours de la révision en cours de la LPD, il existe une marge de manœuvre suffisante pour une solution suisse spécifique. Le droit de l’UE ne doit pas être repris tel quel. Seul ce qui est utile doit l’être; le fait de renoncer à la portabilité des données apporte des avantages de situation importants aux PME suisses qui ne tombent pas directement dans le champ d’application du RGPD ou qui l’évitent sciemment.

Dans certaines circonstances, la portabilité des données peut être bonne pour la concurrence: un marché numérique profite d’écosystèmes dynamiques. Les marchés et les entreprises ne sont cependant pas tous identiques et ils réagissent diversement à une obligation légale. Dans le cas de plateformes en ligne, il faut distinguer les constellations suivantes:

1. Des plateformes en ligne peuvent proposer des services similaires (Airbnb et Wimdu, par exemple, sont des plateformes de location à court terme entre particuliers).
2. Il existe également des plateformes en ligne qui proposent des services complémentaires. Dans ce cas, les prestataires profitent les uns des autres, car ces plateformes permettent d’améliorer l’offre. Exemple: un achat sur une plateforme commerciale avec un paiement à l’aide d’un service d’une plateforme de paiement.

La croyance selon laquelle la portabilité des données encourage toujours la concurrence a des opposants de poids. Quand deux prestataires fournissent des prestations similaires et qu’ils se font concurrence, une portabilité légale des données n’est pas forcément bonne pour la concurrence et l’innovation. Les entreprises auraient à craindre qu’une entreprise légèrement «meilleure» qu’elles puisse leur voler des clients. En conséquence, l’intensité de la concurrence faiblirait et des entreprises en place étendraient leur position sur le marché au détriment des utilisateurs.

Dans le second exemple, celui de marchés avec des produits qui se complètent, la portabilité des données peut encourager l’innovation et la concurrence en simplifiant l’accès au marché et en favorisant les incitations à innover. Les nouvelles plateformes peuvent conquérir plus facilement de nouveaux utilisateurs. En outre, elles peuvent partager les coûts d’innovation et les innovations avec d’autres prestataires.

Le droit de la concurrence punit déjà l’abus de position dominante lorsque certaines conditions sont remplies. La portabilité légale des données est pourtant en contradiction avec les principes du droit de la concurrence. Ainsi, la disposition RGPD sur la portabilité des données est applicable même en l’absence de position dominante (et donc sans que les consommateurs ne soient touchés). L’application de la disposition peut aller si loin qu’elle pourrait forcer l’interdiction d’un logiciel particulier lorsque celui-ci ne garantit aucune interopérabilité. Or le propre du droit de la concurrence n’est pas de se caractériser par des règles, mais de se référer à des cas particuliers.

De nombreux experts considèrent que la portabilité des données selon le RGPD n’est pas la solution adéquate pour relever les défis de l’ère numérique. L’obligation légale de portabilité des données encourage plutôt la négociabilité des données. Si de grandes plateformes de données proposent à l’utilisateur d’acheter les données qu’il fournit à un certain prix, celui-ci aura tendance à accepter l’offre. Ce type de transmission pourra entraîner une commercialisation accrue des données. On risque de voir apparaître de nouvelles catégories sociales, avec d’un côté les personnes aux données chères et de l’autre celles aux données bon marché. En d’autres termes, des utilisateurs pourraient être amenés à livrer toutes leurs données à vil prix en échange de prestations très modestes en comparaison.

Selon le «paradoxe de la vie privée», le sentiment d’un individu en matière de protection des données diverge régulièrement de son comportement réel au quotidien. Dans ce cas, une amélioration de l’information et de la transparence est plus utile qu’une réglementation légale de la portabilité.

Un accès accru aux données augmente régulièrement la vulnérabilité et le risque de sécurité. D’abord, parce que les interfaces requises pour la portabilité augmentent la vulnérabilité des systèmes. Ensuite, parce que la transmission et l’accroissement des données peuvent aussi être une menace pour la sécurité. Cet aspect n’est guère pris en compte dans le débat actuel. La portabilité des données permet de collecter de grandes quantités de données (sensibles) sur un individu. Il convient donc de s’assurer que les données à transmettre ne parviennent effectivement qu’à la personne qui est autorisée à les recevoir. Il ne faut pas non plus sous-estimer le risque de transmission de données incorrectes par un responsable du traitement ni celui de circulation incontrôlée des données en général.

Selon le RGPD, le transfert de données n’oblige pas le responsable du traitement à les effacer, elles ne représentent pas une résiliation, ni un changement de prestataire. Cette solution est pertinente, car la personne concernée, dans de nombreux cas, ne souhaite ni changer de prestataire, ni que ses données soient effacées. En pratique, la portabilité des données pourrait ainsi souvent doubler, voire multiplier le nombre de prestataires. Une telle multiplication de la quantité de données augmente cependant les risques de confidentialité et contrevient au principe de la minimisation des données.

La réglementation relative à la portabilité des données était contestée dès le début du processus d’élaboration du RGPD. La portabilité en tant qu’élément du nouveau règlement visant en priorité le renforcement de la protection des données était notamment largement critiquée, car en contradiction avec le système. Au lieu de prévoir une portabilité globale, il était également suggéré de régler la question à l’art. 15 du RGPD comme un aspect plus étendu du droit d’obtenir des renseignements.

En Suisse également, le droit d’accès prévu par la LPD (art. 8) et de manière plus détaillée dans le nouveau projet de loi sur la protection des données (art. 23) concède déjà des droits étendus à la personne concernée. Celle-ci a ainsi le droit de savoir si des données la concernant sont traitées et peut exiger de s’en faire remettre gratuitement une copie. Il n’existe cependant pas de droit explicite d’obtenir un fichier structuré pouvant plus facilement faire l’objet d’une évaluation et être réutilisé par la personne concernée. Aucune disposition ne prévoit d’ailleurs le transfert de ces informations sous une forme standardisée. Cependant, la personne concernée peut, comme avec le RGDP, exiger la transmission directe de ses données à une entreprise tierce en s’appuyant sur les instruments légaux existants (concept juridique de représentation). Si la portabilité est mise en œuvre dans la pratique de façon à compenser les divergences par rapport au RGDP, le droit à l’information actuel prévu par la législation suisse permet d’ores et déjà d’atteindre largement les objectifs de la portabilité des données.

La protection de la personnalité au sens du code civil (CC) suisse prévoit notamment le droit à la sphère privée, le droit de disposer de ses données et le droit à sa propre image. En ce qui concerne les prétentions juridiques, la LPD actuelle se réfère déjà expressément aux voies de droit selon le droit de la personnalité au sens du CC. Malgré ce lien, l’exercice de droits de contrôle peut cependant être compliqué par rapport à d’autres domaines juridiques. Dans son évaluation de la nouvelle loi sur la protection des données, le Conseil fédéral prévoit déjà à juste titre de ne pas la mettre en œuvre au travers d’une extension des prétentions juridiques prévues par la LPD (art. 15), mais grâce à une transparence accrue, un meilleur contrôle des données et une sensibilisation de la personne concernée.

Les questions relatives à la portabilité des données peuvent également être traitées en application de l’art. 7 de la loi sur les cartels (LCart, pratiques illicites d’entreprises ayant une position dominante). Les médias sociaux actifs au niveau mondial et les fournisseurs d’accès Internet détiennent souvent des parts de marché suffisamment importantes pour être considérés comme ayant une position dominante. Des difficultés pratiques doivent parfois être surmontées rien que pour établir ce constat. Ainsi, certaines catégories de cas relevant de l’abus de position dominante ne peuvent pas toujours être utilisées judicieusement aux fins de la portabilité des données.

La Cour fédérale de justice (BGH) allemande a récemment dû se pencher sur la question de savoir s’il était possible d’accorder aux parents, en tant qu’héritiers, l’accès au compte utilisateur bloqué de leur fille décédée. La BGH a décrété qu’il n’y avait aucune raison de prévoir pour les contenus numériques un autre traitement que celui réservé aux lettres et journaux intimes, qui sont remis aux héritiers, et que les parents étaient entrés en tant qu’héritiers dans le contrat d’utilisation conclu entre Facebook et leur fille. Par conséquent, il n’est pas exclu de se référer à des règles existantes du droit des successions en tant qu’aide à l’interprétation pour la transférabilité des données.

En pratique, les parties contractantes appliquent souvent des solutions privées développées de manière autonome pour réglementer le transfert des données. Les contrats informatiques incluent fréquemment des dispositions prévoyant la restitution des données en cas de dénonciation du contrat. De tels droits sont également mentionnés dans les conditions générales (CG) des principaux fournisseurs d’accès à internet. La doctrine voit un potentiel d’amélioration dans le fait que cette pratique n’a pas encore été adoptée par tous les prestataires de services (services de streaming, trackeur de fitness, comparateurs, par exemple). Une description des données à porter, du format du transfert et de la répartition des coûts occasionnés fait par ailleurs encore souvent défaut à l’heure actuelle.

L’autorégulation des branches concernées en matière de portabilité des données peut non seulement contribuer à la mise en œuvre technique de celle-ci, mais également apporter d’autres avantages. Des propositions d’autorégulation dans les rapports B2B et B2C peuvent conduire à des simplifications pour toutes les parties concernées et servir d’aide pour la conclusion d’accords contractuels et de CG équilibrés.

Les systèmes de gestion des informations personnelles (PIMS ou Personal Information Management Systems) doivent permettre aux utilisateurs d’accéder à une sorte de plateforme neutre pour gérer leurs données, laquelle leur permet de garder en permanence le contrôle de celles-ci. De tels PIMS sont parfois décrits comme des infrastructures techniques permettant de collecter, gérer et transférer des données «propres». Les fournisseurs de PIMS doivent respecter les dispositions de la loi sur la protection des données ainsi que certaines règles découlant de lois spécifiques, toutefois en plaçant les rapports contractuels avec leurs clients au centre. Une réglementation légale de la portabilité des données est considérée comme une mesure d’encouragement possible. Du fait des questions soulevées en lien avec un concept légal, les PIMS devraient cependant être autorisés sans une telle codification expérimentale pour la mise en œuvre pratique.

De nombreuses nouvelles possibilités technologiques n’ont pas encore pu être prises en considération depuis l’adoption par la Commission européenne du paquet sur la protection des données en janvier 2012 et la discussion subséquente sur l’élaboration du RGPD. En conséquence, d’importants bouleversements se dessinent en matière de gestion des données. Cela grâce à la technologie du Distributed Ledger, également appelée «blockchain» pour faire simple. Une comparaison des éléments essentiels de la blockchain et des principes de la protection des données montre que la blockchain pourrait être conçue de façon à permettre une protection effective des données. Cela signifie que l’utilisateur peut conserver le pouvoir de disposer de ses données, comme c’est le cas avec un objet actuellement. Il est possible que la technologie à la base de la blockchain ait un impact considérable sur la compréhension actuelle de l’univers des données. La focalisation sur un schéma de pensée obsolète tel que celui décrit dans le concept de portabilité imposée légalement peut entraver l’évolution en direction d’un renforcement du contrôle (technologique) de ses propres données.

Le marché numérique se transforme continuellement, indépendamment de toute réglementation légale. On le constate par exemple dans le fait que certains formats techniques se sont imposés et d’autres pas. Les réseaux sociaux jouissent actuellement d’une grande popularité, quand bien même certains d’entre eux ont récemment été ébranlés par des scandales. Afin de regagner la confiance de leurs utilisateurs, on peut s’attendre à ce qu’ils se réinventent et s’adaptent indépendamment de toute réglementation légale. Rien que cela aura déjà une influence sur l’allocation des données.

Dans la doctrine, le droit légal à la portabilité des données selon le modèle européen est qualifié de «projet normatif chimérique» ou d’«épée aux lames émoussées». La pérennité du concept dépend en fait fortement de la mise en œuvre en pratique (et de la réalisation de l’interopérabilité). Le texte de l’art. 20 RGDP soulève cependant de nombreuses questions et les effets souhaités sur la concurrence ne peuvent pas être obtenus avec une solution à l’emporte-pièce valable pour tous. Alors qu’une portabilité sur une base volontaire se révèle plus avantageuse pour les entreprises comme pour les consommateurs, la nouveauté que constitue l’obligation légale de la portabilité imposée par l’UE n’a pas encore fait ses preuves.

Étant donné qu’il n’est pas possible de résoudre la question de la portabilité avec une solution unique, une procédure différenciée s’impose. L’autorégulation et la transparence vis-à-vis des utilisateurs constituent une possibilité. La Suisse et son économie avec une longue tradition d’instruments d’autorégulation bien établis et bénéficiant d’une large acceptation sont justement en mesure de proposer de telles solutions.

Non à une réglementation de la portabilité des données dans la loi suisse sur la protection des données (LPD)

La portabilité des données peut être assurée de manière suffisante avec les moyens légaux existants et l’autonomie privée. Une norme spécifique, à l’instar de l’art. 20 RGPD, n’a pas sa place dans le système suisse et il est inutile d’étendre les droits d’accès actuels.

La portabilité des données relève du droit de la concurrence et non de la protection des données

Proposer volontairement la portabilité des données peut donner un avantage compétitif à une entreprise; instaurer une obligation légale entraînerait, au contraire, des transferts indésirables sur le marché. Le contrôle de ses propres données n’est affecté que de manière secondaire.

La création d’écosystèmes dynamiques – par opposition à des silos de données – étant au centre de la gestion des données, des solutions facultatives et fondées sur des accords de réciprocité créent davantage de valeur pour toutes les parties concernées qu’une réglementation légale à l’emporte-pièce

Toute solution en matière de portabilité doit tenir compte des besoins individuels des consommateurs, des spécificités des branches, de risques sécuritaires concrets et de la faisabilité technique, ce que seules des solutions flexibles permettent. Celles-ci permettent en outre d’éviter des charges supplémentaires lorsqu’il n’y a pas d’avantage pour le consommateur, ce qui est positif pour ce dernier. Il n’est pas pertinent de traiter de manière identique les start-up, les PME et les grandes entreprises, notamment sous l’angle du droit de la concurrence.

Des réglementations légales compromettent une mise en œuvre proportionnée

Les données à transmettre à un utilisateur sont uniquement celles qu’il n’a pas déjà reçues pour d’autres motifs. Ainsi, le bénéfice concret pour l’utilisateur concerné doit être proportionné par rapport aux charges occasionnées pour l’entreprise. Par exemple, lorsque le client d’une banque est informé en permanence, au moyen de décomptes détaillés, de toute transaction boursière effectuée, il n’est pas pertinent de retraiter ces données pour les transmettre à nouveau dans le cadre de la portabilité.

Les charges financières induites par le traitement des données doivent être reconnues

L’obligation légale de portabilité repose sur un principe de gratuité, mais cela n’est pas adapté au vu des investissements nécessaires de la part des prestataires. En particulier, les informations générées moyennant des frais et des développements supplémentaires ne doivent pas faire partie des données à fournir (gratuitement), car cela favoriserait des comportements opportunistes.