Article 20 RGPD : le droit à la portabilité décrypté

L’article 20 du RGPD est l’un des plus mal compris du règlement. Présenté comme un outil de lutte contre les effets de verrouillage des plateformes numériques, il est régulièrement confondu avec le droit d’accès — et tout aussi régulièrement appliqué à des traitements qui n’entrent pas dans son champ. Dans mon expérience de conseil, plus d’un responsable de traitement sur deux confond la portabilité avec une simple obligation de transmettre une copie des données, sans voir les conditions cumulatives ni les exceptions. Cet article décrypte l’Art. 20 paragraphe par paragraphe, avec les Lignes directrices 06/2020 du Comité européen de la protection des données (CEPD) et les enseignements pratiques tirés des décisions CNIL.

Ce que dit l’article 20 du RGPD

Le texte de l’Art. 20 comporte quatre paragraphes :

« 1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque : a) le traitement est fondé sur le consentement (…) ou sur un contrat (…) ; et b) le traitement est effectué à l’aide de procédés automatisés. »

« 2. Lorsque la personne concernée exerce son droit à la portabilité des données (…), elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible. »

« 3. (…) [Le droit à la portabilité] s’applique sans préjudice de l’article 17. Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. »

« 4. Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers. »

Quatre paragraphes, quatre logiques différentes. Le paragraphe 1 fixe les conditions et le périmètre. Le paragraphe 2 ajoute une obligation de transmission directe entre responsables. Le paragraphe 3 articule la portabilité avec l’effacement et exclut certains traitements. Le paragraphe 4 protège les tiers. Chaque paragraphe contient des chausse-trappes opérationnelles que je détaille ci-dessous.

Art. 20(1) : les deux conditions cumulatives

Le droit à la portabilité ne s’applique que si deux conditions sont réunies. Ce point est régulièrement ignoré par les responsables qui croient devoir transmettre toutes les données à toute personne qui en fait la demande.

Condition 1 : consentement ou exécution d’un contrat

Seuls deux des six fondements juridiques du RGPD ouvrent droit à la portabilité :

• le consentement au sens de l’Art. 6(1)(a) RGPD ou de l’Art. 9(2)(a) pour les données de catégories particulières ;
• l’exécution d’un contrat auquel la personne concernée est partie au sens de l’Art. 6(1)(b).

Les traitements fondés sur l’obligation légale (Art. 6(1)©), la mission d’intérêt public (Art. 6(1)(e)), la sauvegarde d’intérêts vitaux (Art. 6(1)(d)) ou l’intérêt légitime (Art. 6(1)(f)) sont exclus du champ de la portabilité. Cela signifie qu’une banque interrogée sur la portabilité d’un fichier KYC tenu au titre d’une obligation légale anti-blanchiment doit refuser, motivation à l’appui ; un employeur saisi d’une demande de portabilité sur des données salariales tenues au titre du contrat de travail doit en revanche s’exécuter.

Condition 2 : traitement effectué par des procédés automatisés

Les traitements entièrement manuels — dossiers papier non numérisés, fichiers physiques d’archivage — sont exclus. La condition est habituellement remplie en pratique, sauf cas marginaux. La CNIL et le CEPD considèrent qu’un traitement « partiellement automatisé », par exemple un fichier Excel saisi manuellement mais stocké sur un serveur, satisfait la condition.

La notion centrale de « données fournies »

Le périmètre matériel de la portabilité est défini par les mots « qu’elles ont fournies ». Cette expression est interprétée largement par les Lignes directrices 06/2020 du CEPD (anciennement WP242 du G29). Elle couvre deux catégories distinctes :

• les données fournies activement et sciemment par la personne : nom, prénom, email, adresse postale, numéro de téléphone, contenu des formulaires, profil renseigné sur un service en ligne, contenus créés par l’utilisateur (messages, photos, publications) ;
• les données observées générées par l’utilisation du service : historique d’écoute sur une plateforme musicale, historique de recherches, géolocalisations transmises par une application de mobilité, historique d’achats, données de tracking comportemental issues de la navigation.

Sont en revanche exclues les données inférées ou dérivées par le responsable de traitement à partir des données brutes :

• score de crédit calculé par une banque ;
• segmentation marketing ou clustering comportemental ;
• profil psychologique ou recommandation algorithmique ;
• données générées par le responsable lui-même : identifiants internes, logs système, données comptables, données fiscales calculées.

La frontière n’est pas toujours nette. Le CEPD recommande, en cas de doute, de retenir une interprétation favorable à la personne concernée. La banque qui refuse de transmettre l’historique des transactions au motif qu’il s’agirait d’une donnée « générée » se trompera : la transaction est une donnée observée, donc portable. Seul le score de risque calculé à partir de cet historique ne l’est pas.

Format : structuré, couramment utilisé, lisible par machine

Le RGPD n’impose pas un format spécifique mais trois caractéristiques cumulatives. Le format doit être :

• structuré, c’est-à-dire organisé par champs identifiables (la donnée doit pouvoir être lue par une machine sans interprétation humaine) ;
• couramment utilisé, c’est-à-dire répandu et non propriétaire ;
• lisible par machine, c’est-à-dire exploitable automatiquement par un logiciel.

En pratique, JSON, CSV et XML satisfont ces exigences. Le PDF, le format Word ou un export imprimable ne les satisfont pas, sauf à être accompagnés d’un format machine. Le considérant 68 du RGPD encourage en outre les responsables à développer des formats interopérables. L’objectif n’est pas seulement de transmettre la donnée — c’est de permettre sa réutilisation immédiate par un autre responsable.

Art. 20(2) : la transmission directe entre responsables

Le second paragraphe ajoute une obligation que beaucoup de responsables ignorent : lorsque c’est techniquement possible, la personne concernée a le droit d’obtenir que ses données soient transmises directement à un autre responsable de traitement, sans transiter par elle-même.

Cette obligation reste subordonnée à la possibilité technique. Le CEPD précise dans les Lignes directrices 06/2020 que le responsable n’est pas tenu de développer ou de maintenir des passerelles techniques avec tous les concurrents possibles, mais que la simple absence d’une API ne suffit pas à invoquer l’impossibilité — il faut que le coût ou la complexité d’une transmission ponctuelle soit manifestement disproportionné.

En pratique, la transmission directe se rencontre dans deux configurations :

• les secteurs régulés où une norme d’interopérabilité existe (open banking, services de communications électroniques, plateformes de mobilité) ;
• les écosystèmes où des connecteurs sont déjà déployés à d’autres fins (intégrations CRM, SaaS, plateformes de marketplace).

L’absence d’une telle infrastructure est rarement reprochée, mais elle peut être retenue par la CNIL si elle traduit une stratégie délibérée d’empêcher la portabilité. Le considérant 68 le précise : les responsables « devraient être encouragés à mettre au point des formats interopérables ».

Art. 20(3) : articulation avec l’effacement et exclusions

Le troisième paragraphe règle deux points distincts.

Premièrement, l’exercice du droit à la portabilité ne déclenche pas automatiquement l’effacement des données chez le responsable initial. Le texte précise que la portabilité « s’applique sans préjudice de l’article 17 ». Concrètement : l’utilisateur qui transfère ses données vers un concurrent peut, dans un second temps, exercer un droit à l’effacement au titre de l’Art. 17 RGPD, mais c’est une démarche distincte. Le responsable n’est pas autorisé à effacer spontanément les données après portabilité — il doit attendre une demande explicite ou que la base légale du traitement disparaisse.

Deuxièmement, le droit à la portabilité ne s’applique pas aux traitements nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique. Cela exclut une large partie des traitements publics : fichiers fiscaux, fichiers de sécurité sociale, fichiers de police, fichiers de la justice. Il s’agit d’une exclusion plus stricte que la simple exclusion par la base légale (Art. 6(1)(e)) — elle s’applique même si certains éléments du traitement reposent par ailleurs sur le consentement ou un contrat.

Cette articulation est cohérente avec la philosophie de l’Art. 20 : favoriser la concurrence dans les marchés privés, sans déstabiliser les missions de service public.

Art. 20(4) : la protection des droits des tiers

Le quatrième paragraphe est court mais décisif : « Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers. »

Cette clause s’active dès qu’une donnée transmise par la personne concernée concerne aussi un tiers. Trois cas pratiques typiques :

1. Un utilisateur de messagerie demande la portabilité de l’historique de ses échanges. Cet historique contient les messages reçus, c’est-à-dire des données personnelles de ses correspondants. Ces données peuvent être transmises uniquement si elles servent à l’usage strictement personnel du demandeur (art. 2(2)© RGPD : exception domestique). Si le but est de les exporter vers un service commercial qui les exploitera, il faut anonymiser ou caviarder les tiers.
2. Une personne demande la portabilité de la liste de ses contacts dans un réseau professionnel. La même logique s’applique : les contacts ne peuvent être exportés vers un service tiers qu’avec une anonymisation suffisante, sauf consentement explicite des contacts ou usage strictement personnel.
3. Un employeur demande la portabilité de l’historique d’un salarié dans un outil collaboratif. Les données concernent par construction d’autres salariés ou clients ; la portabilité s’effectue dans la limite où elle ne révèle pas leurs données.

La CNIL recommande, en cas de doute, de procéder par lots : transmettre les données « propres » à la personne sans inclure les données de tiers, et documenter le tri opéré. La traçabilité de ce tri doit pouvoir être démontrée — c’est l’application directe de l’Art. 5(2) sur l’accountability.

Délai, gratuité, identification du demandeur

Comme pour tous les droits des personnes, l’Art. 20 se lit à la lumière de l’Art. 12 RGPD sur les modalités d’exercice.

Délai : un mois à compter de la réception de la demande, prorogeable de deux mois supplémentaires en cas de complexité ou de pluralité de demandes (Art. 12(3)). La prorogation doit être motivée et notifiée à la personne dans le mois initial.

Gratuité : la première demande est gratuite (Art. 12(5)). Une demande manifestement infondée ou excessive peut donner lieu à un refus motivé ou à des frais raisonnables.

Identification du demandeur : le responsable doit s’assurer de l’identité de la personne concernée avant de transmettre les données — particulièrement pour la portabilité, où la transmission à un tiers crée un risque accru. La CNIL préconise une identification proportionnée : une connexion authentifiée à l’espace client suffit dans la plupart des cas, et la demande de pièce d’identité ne doit pas être systématique. La pratique de l’envoi systématique d’une carte d’identité est régulièrement sanctionnée comme excessive (CNIL, Recommandation n° 2024-003 sur l’usage des copies de pièces d’identité).

Sanctions : un manquement régulièrement retenu

Les sanctions exclusivement fondées sur l’Art. 20 sont rares, mais l’article est régulièrement retenu en accompagnement d’autres manquements aux droits des personnes.

SAN-2022-022 Free Mobile (300 000 €). Au-delà des manquements aux Art. 12 et 16, la CNIL a relevé que l’opérateur ne disposait pas de canal opérationnel pour transmettre les données dans un format exploitable, et que les demandes de portabilité étaient traitées par envoi de PDF non structurés. La CNIL a retenu un manquement à l’Art. 20 sur le format.

SAN-2024-001 Hubside (525 000 €). Outre les manquements à l’information et à l’exercice des droits, la société ne disposait d’aucune procédure de portabilité, et les demandes étaient systématiquement requalifiées en demandes d’accès, ce qui privait la personne concernée du bénéfice du format structuré.

SAN-2023-013 Doctissimo. La plateforme ne mettait pas à disposition de mécanisme de portabilité pour les contenus utilisateurs (publications, commentaires sur les forums), alors même que la base légale du traitement était le consentement.

L’enseignement opérationnel est constant : la CNIL contrôle la réalité du dispositif, pas seulement son existence sur le papier. Une politique de portabilité affichée mais non opérationnelle est sanctionnée comme une absence de politique.

Plan opérationnel : six chantiers pour mettre l’Art. 20 en conformité

Mettre l’Art. 20 en conformité dans une PME suppose six chantiers articulés.

Chantier 1 — Cartographier les traitements éligibles. Le préalable est de croiser le registre des traitements avec les bases légales. Tout traitement reposant sur le consentement ou l’exécution d’un contrat, et utilisant des procédés automatisés, est dans le champ de l’Art. 20. Tout autre traitement en est exclu — et le refus, le cas échéant, doit être motivé sur ce fondement.

Chantier 2 — Identifier les données fournies. Au sein des traitements éligibles, tracer la frontière entre données fournies (incluses), données inférées (exclues) et données générées par le responsable (exclues). Cette cartographie doit être documentée : c’est elle qui justifiera, en cas de contrôle, le périmètre transmis.

Chantier 3 — Industrialiser le format de sortie. Définir un format unique de sortie (JSON ou CSV typiquement), avec un schéma documenté. La transmission doit être automatisée pour les traitements à fort volume — un export manuel n’est pas tenable.

Chantier 4 — Concevoir la procédure d’identification du demandeur. Privilégier l’authentification via espace client. Réserver la pièce d’identité aux cas de doute caractérisé. Tracer le motif de l’identification renforcée le cas échéant.

Chantier 5 — Documenter la gestion des tiers. Pour les traitements impliquant des données de tiers (messageries, réseaux sociaux, outils collaboratifs), définir une règle de tri : que transmettre, que caviarder, que documenter. Cette règle protège le responsable au titre de l’Art. 20(4).

Chantier 6 — Préparer la transmission directe. Pour les responsables exposés à la portabilité (services SaaS, plateformes B2C), évaluer la faisabilité technique d’une transmission directe vers les principaux concurrents. Une API publique documentée est l’optimum ; à défaut, un format d’export importable par les principaux concurrents constitue une approche acceptable.

Dans mon expérience, ces six chantiers représentent typiquement 20 à 45 jours-homme pour une PME ayant un système d’information moyennement complexe. C’est précisément ce type d’orchestration que Legiscope automatise pour les responsables n’ayant pas les ressources internes pour le déployer manuellement.

Articulation avec les autres articles du RGPD

L’Art. 20 ne se lit jamais seul. Il s’articule avec plusieurs piliers du règlement.

Avec l’Art. 12 RGPD sur les modalités d’exercice des droits — délai, gratuité, identification du demandeur, motivation du refus.

Avec l’Art. 15 RGPD sur le droit d’accès. Les deux droits se cumulent : la personne peut demander l’accès et la portabilité dans la même demande. Mais le périmètre et le format sont différents — l’accès permet la consultation, la portabilité permet la réutilisation.

Avec l’Art. 17 RGPD sur le droit à l’effacement, par renvoi explicite de l’Art. 20(3). La portabilité n’éteint pas l’effacement, et inversement.

Avec l’Art. 19 RGPD sur la notification aux destinataires. Une demande de portabilité ne déclenche pas automatiquement la notification — sauf si elle s’accompagne d’une demande de rectification ou d’effacement.

Avec l’Art. 24 RGPD sur la responsabilité du responsable de traitement, qui impose des mesures techniques et organisationnelles appropriées. Une procédure de portabilité documentée est l’une de ces mesures.

Avec l’Art. 25 RGPD sur la protection des données dès la conception. Le format structuré et la transmission directe doivent être anticipés dès la conception du système d’information — l’ajout a posteriori d’une fonctionnalité de portabilité est typiquement coûteux et imparfait.

Sanctions encourues en cas de manquement

Un manquement à l’Art. 20 relève du régime de l’Art. 83(5)(b) — le plafond le plus élevé : jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. À cela peuvent s’ajouter :

• des sanctions accessoires : injonction de mise en conformité, astreinte journalière, publication de la décision sur le registre des sanctions de la CNIL ;
• des actions en réparation au titre de l’Art. 82 par les personnes concernées qui auraient subi un préjudice ;
• une atteinte réputationnelle, particulièrement coûteuse pour les acteurs B2C dans des marchés concurrentiels où la portabilité est attendue par les utilisateurs.

Ce qu’il faut retenir

• L’Art. 20 RGPD crée un droit à la portabilité conditionnel : il ne s’applique que si la base légale est le consentement ou l’exécution d’un contrat et si le traitement est automatisé.
• Le périmètre matériel se limite aux données fournies par la personne — incluant les données observées (historique d’usage), excluant les données inférées ou générées par le responsable.
• Le format doit être structuré, couramment utilisé et lisible par machine : JSON, CSV ou XML — pas de PDF.
• L’Art. 20(2) ajoute une obligation de transmission directe entre responsables, lorsque c’est techniquement possible.
• L’Art. 20(3) exclut les missions d’intérêt public et l’exercice de l’autorité publique, et précise que la portabilité ne déclenche pas l’effacement.
• L’Art. 20(4) protège les droits des tiers : impossibilité de transmettre les données d’autrui via la portabilité, sauf usage strictement personnel.
• Sanctions : plafond haut de l’Art. 83(5)(b) — 20 M€ ou 4 % du CA mondial. Procédures fictives sanctionnées comme absence de procédure (CNIL, SAN-2022-022, SAN-2024-001).

FAQ

Le droit à la portabilité s’applique-t-il aux données salariées ?

Oui, dès lors que les données sont traitées dans le cadre du contrat de travail (Art. 6(1)(b)) et de manière automatisée. En revanche, les données traitées au titre d’une obligation légale (déclarations sociales, paie, registre du personnel) sont exclues. En pratique, la frontière passe souvent au sein du même fichier RH — d’où l’intérêt d’une cartographie précise au registre des traitements.

Quel format faut-il choisir : JSON, CSV ou XML ?

Le RGPD n’impose pas de format spécifique. Le choix dépend du type de données : JSON est privilégié pour des structures complexes (objets imbriqués, listes), CSV pour les données tabulaires (transactions, contacts), XML pour les secteurs où une norme métier l’impose (santé, banque). L’essentiel est que le format soit documenté et lisible par machine. Le PDF, même s’il est « structuré » au sens commun, ne satisfait pas l’exigence : il n’est pas pensé pour être traité automatiquement par un logiciel.

Que faire en cas de demande de portabilité concernant des données inférées ?

Refuser, en motivant le refus. La motivation doit citer l’Art. 20(1) et expliquer en quoi les données demandées ne sont pas des « données fournies » au sens du règlement. La distinction entre données fournies, observées, inférées et générées doit être documentée en interne et opposable à la personne concernée. En cas de doute, le CEPD recommande une lecture favorable à la personne — c’est-à-dire de transmettre la donnée plutôt que de l’exclure.

La portabilité oblige-t-elle à effacer les données chez le responsable initial ?

Non. L’Art. 20(3) précise expressément que la portabilité s’applique « sans préjudice de l’article 17 ». La personne qui transfère ses données vers un concurrent peut, dans un second temps, demander l’effacement au titre de l’Art. 17 — mais c’est une démarche distincte, soumise à ses propres conditions (Art. 17(1)). Le responsable initial n’est ni autorisé ni obligé à effacer spontanément.

Quelle différence avec le droit d’accès de l’article 15 ?

Le droit d’accès permet à la personne de consulter ses données et d’en obtenir une copie sous tout format intelligible. La portabilité de l’Art. 20 est plus restreinte (consentement/contrat + automatisé) mais plus exigeante sur la forme : format structuré, lisible par machine, exploitable par un autre responsable. En pratique, une demande peut combiner les deux — la réponse devra alors comporter à la fois une copie consultable (Art. 15) et un export machine (Art. 20).

---

Vous souhaitez fiabiliser la procédure de portabilité dans votre organisation ? Recevez nos analyses conformité chaque semaine pour rester à jour des décisions CNIL et des Lignes directrices CEPD qui font évoluer la pratique.