Plus
Navigation
CHAPITRE I Dispositions générales (1-4)
Article premier. Objet et objectifsArticle 2. Champ d'application matérielArticle 3. Champ d'application territorialArticle 4. Définitions
CHAPITRE II Principes (5-11)
Article 5. Principes relatifs au traitement des données à caractère personnelArticle 6. Licéité du traitementArticle 7. Conditions applicables au consentementArticle 8. Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'informationArticle 9. Traitement portant sur des catégories particulières de données à caractère personnelArticle 10. Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractionsArticle 11. Traitement ne nécessitant pas l'identification
CHAPITRE III Droits de la personne concernée (12-23)
Article 12. Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernéeArticle 13. Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernéeArticle 14. Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernéeArticle 15. Droit d'accès de la personne concernéeArticle 16. Droit de rectificationArticle 17. Droit à l'effacement («droit à l'oubli»)Article 18. Droit à la limitation du traitementArticle 19. Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement
Article 20. Droit à la portabilité des données
Article 21. Droit d'oppositionArticle 22. Décision individuelle automatisée, y compris le profilageArticle 23. Limitations
CHAPITRE IV Responsable du traitement et sous-traitant (24-43)
Article 24. Objet et objectifsArticle 25. Protection des données dès la conception et protection des données par défautArticle 26. Responsables conjoints du traitementArticle 27. Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'UnionArticle 28. Sous-traitantArticle 29. Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitantArticle 30. Registre des activités de traitementArticle 31. Coopération avec l'autorité de contrôleArticle 32. Sécurité du traitementArticle 33. Notification à l'autorité de contrôle d'une violation de données à caractère personnelArticle 34. Communication à la personne concernée d'une violation de données à caractère personnelArticle 35. Analyse d'impact relative à la protection des donnéesArticle 36. Consultation préalableArticle 37. Désignation du délégué à la protection des donnéesArticle 38. Fonction du délégué à la protection des donnéesArticle 39. Missions du délégué à la protection des donnéesArticle 40. Codes de conduiteArticle 41. Suivi des codes de conduite approuvésArticle 42. CertificationArticle 43. Organismes de certification
CHAPITRE V Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales (44-50)
Article 44. Principe général applicable aux transfertsArticle 45. Transferts fondés sur une décision d'adéquationArticle 46. Transferts moyennant des garanties appropriéesArticle 47. Règles d'entreprise contraignantesArticle 48. Transferts ou divulgations non autorisés par le droit de l'UnionArticle 49. Dérogations pour des situations particulièresArticle 50. Coopération internationale dans le domaine de la protection des données à caractère personnel
CHAPITRE VI Autorités de contrôle indépendantes (51-59)
Article 51. Autorité de contrôleArticle 52. IndépendanceArticle 53. Conditions générales applicables aux membres de l'autorité de contrôleArticle 54. Règles relatives à l'établissement de l'autorité de contrôleArticle 55. CompétenceArticle 56. Compétence de l'autorité de contrôle chef de fileArticle 57. MissionsArticle 58. PouvoirsArticle 59. Rapports d'activité
CHAPITRE VII Coopération et cohérence (60-70)
Article 60. Coopération entre l'autorité de contrôle chef de file et les autres autorités de contrôle concernéesArticle 61. Assistance mutuelleArticle 62. Opérations conjointes des autorités de contrôleArticle 63. Mécanisme de contrôle de la cohérenceArticle 64. Avis du comitéArticle 65. Règlement des litiges par le comitéArticle 66. Procédure d'urgenceArticle 67. Échange d'informationsArticle 68. Comité européen de la protection des donnéesArticle 69. IndépendanceArticle 70. Missions du comitéArticle 71. RapportsArticle 72. ProcédureArticle 73. PrésidentArticle 74. Missions du présidentArticle 75. SecrétariatArticle 76. Confidentialité
CHAPITRE VIII Voies de recours, responsabilité et sanctions (77-84)
Article 77. Droit d'introduire une réclamation auprès d'une autorité de contrôleArticle 78. Droit à un recours juridictionnel effectif contre une autorité de contrôleArticle 79. Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitantArticle 80. Représentation des personnes concernéesArticle 81. Suspension d'une actionArticle 82. Droit à réparation et responsabilitéArticle 83. Conditions générales pour imposer des amendes administrativesArticle 84. Sanctions
CHAPITRE IX Dispositions relatives à des situations particulières de traitement (85-91)
Article 85. Traitement et liberté d'expression et d'informationArticle 86. Traitement et accès du public aux documents officielsArticle 87. Traitement du numéro d'identification nationalArticle 88. Traitement de données dans le cadre des relations de travailArticle 89. Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiquesArticle 90. Obligations de secretArticle 91. Règles existantes des églises et associations religieuses en matière de protection des données
CHAPITRE X Actes délégués et actes d'exécution (92-93)
Article 92. Exercice de la délégationArticle 93. Comité
CHAPITRE XI Dispositions finales (94-95)
Article 94. Abrogation de la directive 95/46/CEArticle 95. Relation avec la directive 2002/58/CEArticle 96. Relation avec les accords conclus antérieurementArticle 97. Rapports de la CommissionArticle 98. Réexamen d'autres actes juridiques de l'Union relatifs à la protection des donnéesArticle 99. Entrée en vigueur et application
RGPD > Article 20. Droit à la portabilité des données
Télécharger le PDF

Article 20 RGPD. Droit à la portabilité des données

1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque:

Explication
Explication
Auteur
Siarhei Varankevich
Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Cofondateur & PDG, DPO LLC. Formateur en protection des données et Consultant principal
Poser une question

a) le traitement est fondé sur le consentement en application de l’article 6, paragraphe 1, point a), ou de l’article 9, paragraphe 2, point a), ou sur un contrat en application de l’article 6, paragraphe 1, point b); et

Connexe
Connexe

b) le traitement est effectué à l’aide de procédés automatisés.

2. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible.

3. L’exercice du droit, visé au paragraphe 1 du présent article s’entend sans préjudice de l’article 17. Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

Connexe
Connexe

4. Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers.

Règlement général sur la protection des données (RGPD)

Dernière version consolidée (Rectificatif, JO L 127 du 23.5.2018, p. 2 (2016/679)). EUR-Lex – 02016R0679-20160504 – FR

Explication ISO 27701 Considérants Lignes directrices & Jurisprudence Laisser un commentaire
Explication

(EN) The right to data portability is presented primarily as a way to support “user choice, user control, and user empowerment” (Guidelines on the Right to Data Portability), as it aims at reinforcing an individual’s control over her/his personal information (recital 68). Data portability allows users to receive a copy of their personal data and can be seen in that sense as an extension of the right of access (article 15). It can also help them to switch services without losing their data, enabling users to transfer their information from one service to a potentially better one.

[…]


lire le texte complet

Auteur
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Expert en protection de la vie privée
Poser une question

(EN)

Data Subject Request Letter Sample

Concern: Exercise my right to data portability

Dear Madam, Dear Sir,

I would like to exercise my right to data portability under Article 20 of the General Data Protection Regulation (GDPR)…

[…]


lire le texte complet

Auteur
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Expert en protection de la vie privée
Poser une question
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 20 GDPR:

7.3.8 Providing copy of PII processed

Control

The organization should be able to provide a copy of the PII that is processed when requested by the PII principal.

Implementation guidance

The organization should provide a copy of the PII that is processed in a structured, commonly used, format accessible by the PII principal.

[…]


lire le texte complet

Considérants

(68) Pour renforcer encore le contrôle qu'elles exercent sur leurs propres données, les personnes concernées devraient aussi avoir le droit, lorsque des données à caractère personnel font l'objet d'un traitement automatisé, de recevoir les données à caractère personnel les concernant, qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé, lisible par machine et interopérable, et de les transmettre à un autre responsable du traitement. Il y a lieu d'encourager les responsables du traitement à mettre au point des formats interopérables permettant la portabilité des données. Ce droit devrait s'appliquer lorsque la personne concernée a fourni les données à caractère personnel sur la base de son consentement ou lorsque le traitement est nécessaire pour l'exécution d'un contrat. Il ne devrait pas s'appliquer lorsque le traitement est fondé sur un motif légal autre que le consentement ou l'exécution d'un contrat. De par sa nature même, ce droit ne devrait pas être exercé à l'encontre de responsables du traitement qui traitent des données à caractère personnel dans l'exercice de leurs missions publiques. Il ne devrait dès lors pas s'appliquer lorsque le traitement des données à caractère personnel est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ou à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. Le droit de la personne concernée de transmettre ou de recevoir des données à caractère personnel la concernant ne devrait pas créer, pour les responsables du traitement, d'obligation d'adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles. Lorsque, dans un ensemble de données à caractère personnel, plusieurs personnes sont concernées, le droit de recevoir les données à caractère personnel devrait s'entendre sans préjudice des droits et libertés des autres personnes concernées conformément au présent règlement. De plus, ce droit ne devrait pas porter atteinte au droit de la personne concernée d'obtenir l'effacement de données à caractère personnel ni aux limitations de ce droit comme le prévoit le présent règlement et il ne devrait pas, notamment, entraîner l'effacement de données à caractère personnel relatives à la personne concernée qui ont été fournies par celle-ci pour l'exécution d'un contrat, dans la mesure où et aussi longtemps que ces données à caractère personnel sont nécessaires à l'exécution de ce contrat. Lorsque c'est techniquement possible, la personne concernée devrait avoir le droit d'obtenir que les données soient transmises directement d'un responsable du traitement à un autre.

Lignes directrices & Jurisprudence Laisser un commentaire
[js-disqus]