Aller au contenu principal

Considérant 35

Les données relatives à un produit ou les données relatives à un service connexe ne devraient être mises à la disposition d'un tiers qu'à la demande de l'utilisateur. Le présent règlement complète en conséquence le droit, prévu à l'article 20 du règlement (UE) 2016/679, des personnes concernées de recevoir les données à caractère personnel les concernant dans un format structuré, couramment utilisé et lisible par machine, et de porter ces données vers un autre responsable du traitement, lorsque ces données sont traitées par des procédés automatisés sur la base de l'article 6, paragraphe 1, point a), ou de l'article 9, paragraphe 2, point a), ou sur la base d'un contrat en application de l'article 6, paragraphe 1, point b), dudit règlement. Les personnes concernées ont également le droit d’obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, mais uniquement lorsque cela est techniquement possible. L'article 20 du règlement (UE) 2016/679 indique qu'il porte sur les données fournies par la personne concernée, mais ne précise pas si cela nécessite un comportement actif de la part de la personne concernée ou s'il s'applique également aux situations dans lesquelles un produit connecté ou un service connexe, par sa conception, observe le comportement d'une personne concernée ou d'autres informations relatives à une personne concernée de manière passive. Les droits prévus par le présent règlement complètent de plusieurs manières le droit de recevoir et de porter des données à caractère personnel prévu à l'article 20 du règlement (UE) 2016/679. Le présent règlement accorde aux utilisateurs le droit d'accéder à toutes données relatives à un produit ou données relatives à un service connexe et de mettre celles-ci à la disposition d'un tiers, quelle que soit leur nature en tant que données à caractère personnel, sans distinction entre les données fournies activement et les données observées passivement, et quelle que soit la base juridique du traitement. À la différence de l'article 20 du règlement (UE) 2016/679, le présent règlement impose et garantit la faisabilité technique de l'accès des tiers à tous les types de données relevant de son champ d'application, qu'elles soient à caractère personnel ou non personnel, garantissant ainsi que les obstacles techniques n'entravent plus ou n'empêchent plus l'accès à ces données. Il permet également aux détenteurs de données de fixer une compensation raisonnable à la charge des tiers, mais pas de l'utilisateur, pour les frais encourus liés à l'octroi d'un accès direct aux données générées par le produit connecté de l'utilisateur. Si un détenteur de données et un tiers ne sont pas en mesure de s'entendre sur les conditions d'un tel accès direct, la personne concernée ne devrait en aucun cas être empêchée d'exercer les droits prévus par le règlement (UE) 2016/679, y compris le droit à la portabilité des données, en introduisant un recours conformément audit règlement. Il convient de comprendre dans ce contexte que, conformément au règlement (UE) 2016/679, un contrat ne permet pas le traitement de catégories particulières de données à caractère personnel par le détenteur de données ou le tiers.