Le piège classique
L'article 20 est l'angle mort des DPO : on confond systématiquement droit d'acces (article 15) et droit a la portabilite (article 20). Résultat sanctionné par la CNIL et la CNPD : une entreprise repond a une demande de portabilite en envoyant un PDF de 80 pages, alors que la règle impose un format structure, couramment utilise et lisible par machine (JSON, CSV, XML). Pire, les lignes directrices EDPB (ex-WP242) precisent que le perimetre couvre les données fournies activement ET les données observees (historique de navigation, géolocalisation, logs d'usage), ce que la majorite des exports oublient.
Les 4 pièges opérationnels qui font tomber les exports de portabilite
- Le format proprietaire : un export PDF, un screenshot ou un fichier Excel verrouille ne satisfont PAS l'exigence machine-readable. Le standard de fait est JSON ou CSV UTF-8 documente.
- Le perimetre tronque : oublier les données observees (logs d'usage, scoring comportemental, historique de transactions) alors que l'EDPB les inclut explicitement quand elles resultent de l'activité de la personne.
- La confusion base legale : appliquer l'article 20 a un traitement fonde sur l'intérêt légitime ou l'obligation legale. Le droit ne couvre QUE consentement et contrat.
- L'impossibilite technique non documentee : refuser le transfert direct d'un responsable a l'autre sans preuve ecrite de l'infaisabilite technique, alors que la CNPD exige une justification opposable.
Comment Luxgap automatise ce risque
Notre Luxgap Portability Export Engine transforme chaque demande article 20 en archive JSON signee, produite en moins de 15 minutes, opposable a la CNPD. L'outil se branche en lecture sur vos systèmes metier (M365, Salesforce, Odoo, Sage BOB 50, Workday, Cegid, bases SQL internes) via connecteurs natifs, identifié automatiquement les champs eligibles a la portabilite selon la base legale du traitement enregistrée dans votre registre article 30, et exclut les données derivees ou inferees qui ne rentrent pas dans le perimetre EDPB.
- Detecte automatiquement la base legale de chaque jeu de données en croisant le registre des traitements et les politiques de consentement, et marque les champs eligibles article 20 versus exclus.
- Genere un export JSON ou CSV UTF-8 documente avec un schema autodescriptif, accompagne d'un dictionnaire des champs lisible par tout autre responsable du traitement.
- Inclut explicitement les données observees (logs d'usage, historique transactionnel, géolocalisation) conformément aux lignes directrices EDPB, sans intervention manuelle du DPO.
- Propose une transmission directe via API REST sécurisée ou SFTP chiffre quand le responsable destinataire est connu, et trace cryptographiquement l'evenement.
- Produit un rapport PDF horodate, scelle SHA-256, attestant du contenu exact transmis, de la date, du délai de reponse (mesure contre le seuil 1 mois article 12) et des champs exclus avec justification juridique.
- Detecte les demandes mal qualifiées (article 15 deguise en article 20) et reoriente automatiquement vers le workflow approprie.
Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre perimetre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos systèmes reels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.
