Un utilisateur inscrit à un service de courrier électronique (personne concernée) a demandé au fournisseur de services de courrier électronique (responsable du traitement) de lui communiquer ses données dans un format structuré, couramment utilisé et lisible par machine, conformément à l’art. 20 du RGPD. Le responsable du traitement a rejeté la demande, déclarant que la personne concernée pouvait exporter ses courriels un par un dans un format « .eml ». En outre, le responsable du traitement a fait valoir qu’il n’était pas encore certain que l’article 20 du RGPD s’applique aux courriers électroniques. Le responsable du traitement a aussi déclaré qu’il était en train de développer un outil d’importation/exportation. Cet outil n’était toutefois pas encore disponible pour tous les utilisateurs à l’époque. La personne concernée a donc demandé à l’autorité finlandaise de protection des données (APD ; Tietosuojavaltuutetun toimisto) de vérifier si le responsable du traitement avait respecté ses obligations au titre de l’article 20 du RGPD.

L’APD a demandé une explication au responsable du traitement afin de comprendre comment celui-ci avait facilité le droit à la portabilité des données en ce qui concerne le service de courrier électronique. En outre, l’autorité de protection des données a cherché à déterminer si le responsable du traitement traitait ce droit différemment selon que l’utilisateur payait ou non pour le service.

Selon le responsable du traitement, son intention était de fournir des outils d’importation et d’exportation de données à tous les utilisateurs. Toutefois, pour des raisons techniques, les utilisateurs devaient effectuer ces tâches manuellement. Le responsable du traitement a indiqué qu’il travaillait sur un outil automatisé pour faciliter l’exportation massive de données. Toutefois, il a expliqué qu’il n’était pas en mesure de le proposer à l’ensemble des utilisateurs en raison de difficultés techniques et de problèmes de développement. Dans un premier temps, l’accès à l’outil a été limité aux utilisateurs ayant souscrit un abonnement (payant) en tant que version bêta, ce qui a permis de tester sa stabilité et sa fonctionnalité à une échelle progressivement plus grande. À la demande de l’APD, l’outil a également été mis à la disposition des utilisateurs du plan gratuit. La version mise à leur disposition était la même que celle qui était disponible pour les clients payants depuis plus d’un an.

La personne concernée a notamment soutenu que le responsable du traitement avait généré des revenus en facturant aux utilisateurs la mise en œuvre des droits garantis par le RGPD [soit la portabilité de l’art. 20 RGPD], ce qui lui avait permis de réaliser un gain financier pendant au moins deux ans.

L’APD, dans une décision 10048/182/20 du 22.03.2023, présentée et commentée par Eetu Salpaharju sur le site GDPRhub (https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_10048/182/20&mtc=today) a estimé que le responsable du traitement avait violé l’article 20, paragraphe 1, et l’article 12, paragraphe 5, du RGPD.

En effet, la mise à disposition de l’outil automatisé uniquement pour les clients payants a pratiquement conduit au fait que l’exercice complet du droit à la portabilité des données conformément à l’article 20 du RGPD a été payant. L’APD a estimé que le responsable du traitement n’avait pas mis en œuvre gratuitement le droit de la personne concernée comme l’exige l’article 12, paragraphe 5, du RGPD.

L’ADP a souligné qu’un utilisateur du plan gratuit du service de courrier électronique peut envoyer 150 courriels par jour. Ainsi, après seulement un mois d’utilisation, l’utilisateur peut avoir plus de 4 000 messages électroniques stockés dans le service. L’exportation manuelle des messages un par un est lente et le transfert de toutes les données prendrait beaucoup trop de temps. En conséquence, l’APD a considéré que la contrainte d’exporter les messages électroniques un par un a pratiquement empêché les utilisateurs d’exercer leurs droits en vertu de l’article 20 RGPD.

Texte du RGPD : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

Sur la portabilité en droit suisse : https://droitdutravailensuisse.com/2021/07/16/le-droit-a-la-portabilite-des-donnees/ (pas mis à jour avec la nouvelle version de l’ordonnance et la nouvelle date d’entrée en vigueur)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)