- Délai de réponse : 1 mois maximum (prolongeable de 2 mois en cas de complexité), selon l'article 12.3 du RGPD.
- Conditions cumulatives : traitement automatisé + base légale = consentement ou contrat (article 20 RGPD).
- Piège fréquent : confondre portabilité (format machine, article 20) et droit d'accès (format humain, article 15) — les données inférées ne sont pas portables.
- Format exigé : structuré, couramment utilisé, lisible par machine (CSV, JSON, vCard) — le PDF non structuré ne suffit pas.
Introduction
Le droit à la portabilité, inscrit à l'article 20 du RGPD, vous permet de récupérer vos données personnelles dans un format structuré et lisible par machine (CSV, JSON, vCard) pour les transmettre à un autre service. L'organisme doit répondre dans un délai d'un mois, prolongeable de deux mois en cas de complexité. CNIL — Droit à la portabilité.
Conditions exactes pour exercer le droit à la portabilité en 2026
Deux conditions cumulatives doivent être remplies pour que le droit à la portabilité s'applique (article 20 du RGPD) :
- Traitement automatisé : les données doivent être traitées par des moyens informatiques. Les fichiers papier ou les archives manuelles sont exclus du champ de la portabilité.
- Base légale : consentement ou contrat : le traitement doit reposer sur votre consentement (article 6.1.a du RGPD) ou sur l'exécution d'un contrat (article 6.1.b). Les traitements fondés sur une obligation légale, une mission d'intérêt public ou l'intérêt légitime du responsable ne sont pas éligibles à la portabilité.
Concrètement, ce droit s'applique aux données que vous fournissez à un réseau social, un service en ligne, une application de santé ou une plateforme e-commerce. En revanche, les déclarations d'impôt, les images de vidéosurveillance et les données de badgeuse sont exclues car leur traitement repose sur une obligation légale, pas sur un consentement ou un contrat. Article 20 du RGPD — texte intégral.
Quelles données sont portables et lesquelles ne le sont pas
La portabilité couvre deux catégories de données :
- Données déclarées : coordonnées, préférences, likes, photos que vous avez vous-même fournies.
- Données d'activité : historique d'achats, données enregistrées par une montre connectée, historique de navigation sur la plateforme.
Sont exclues de la portabilité :
- Les données dérivées ou inférées : scoring de crédit, segmentation marketing, profilage algorithmique, notation par d'autres utilisateurs.
- Les données dont le traitement repose sur une base légale autre que le consentement ou le contrat (obligation légale, intérêt public).
- Les données dont la communication porterait atteinte aux droits et libertés de tiers (article 20.4 du RGPD).
Exemple : votre banque peut vous communiquer son analyse de risque de crédit au titre du droit d'accès (format PDF), mais n'est pas tenue de la fournir au format structuré exigé par la portabilité.
Comment demander la portabilité : procédure étape par étape
Étape 1 — Identifiez le responsable de traitement et son DPO (Délégué à la Protection des Données). Ses coordonnées figurent obligatoirement dans la politique de confidentialité du service ou dans les mentions légales.
Étape 2 — Vérifiez si le service propose un dispositif de portabilité intégré. De nombreuses plateformes (Facebook, Google, Twitter/X) offrent un bouton de téléchargement direct dans les paramètres du compte. C'est le chemin le plus rapide.
Étape 3 — Si aucun dispositif n'existe, adressez une demande écrite au responsable de traitement ou à son DPO. La CNIL met à disposition des modèles de courrier pour exercer vos droits RGPD. Précisez que vous invoquez l'article 20 du RGPD et indiquez le format souhaité (CSV, JSON, vCard).
Étape 4 — Conservez une preuve de votre demande : copie du courrier recommandé avec AR, capture d'écran du formulaire en ligne, ou e-mail avec accusé de réception.
Étape 5 — Le responsable dispose d'un délai d'un mois pour répondre. En cas de complexité, il peut prolonger de deux mois supplémentaires, mais doit vous en informer dans le premier mois avec les motifs du report (article 12.3 du RGPD).
Format des données récupérées : ce que la loi exige
L'article 20 exige que les données soient fournies dans un format structuré, couramment utilisé et lisible par machine. La CNIL recommande de privilégier les formats ouverts et interopérables :
- vCard/VCF : pour les contacts et carnets d'adresses.
- CSV : pour les données tabulaires (historique d'achats, relevés).
- JSON : pour les données de localisation, paramètres de compte, historique d'activité.
Les formats inadaptés : images, PDF non structuré, formats propriétaires nécessitant l'achat d'un logiciel ou d'une licence. Si l'organisme vous fournit un PDF image au lieu d'un CSV, il ne respecte pas ses obligations.
Demande de transmission directe entre deux services
L'article 20.2 du RGPD vous permet de demander qu'un organisme A transmette directement vos données à un organisme B, sans que vous n'ayez à les télécharger puis les réimporter. Cette transmission directe n'est obligatoire que lorsqu'elle est techniquement possible. Si l'organisme refuse, il doit justifier pourquoi le transfert direct n'est pas réalisable techniquement (incompatibilité de systèmes, absence d'API, etc.).
Différence entre droit d'accès et droit à la portabilité
Ce sont deux droits distincts avec des objectifs différents :
- Droit d'accès (article 15 RGPD) : consulter toutes les données détenues, y compris les données dérivées, dans un format lisible par un humain (PDF, document écrit). Permet la rectification et l'effacement.
- Droit à la portabilité (article 20 RGPD) : récupérer uniquement les données « portables » dans un format lisible par machine pour les réutiliser ou les transmettre. Ne couvre pas les données inférées.
Conseil : si vous souhaitez à la fois consulter vos données dérivées et récupérer vos données brutes, exercez les deux droits simultanément dans votre demande.
Erreurs fréquentes et comment les éviter
Erreur 1 : confondre portabilité et droit d'accès. Vous demandez un CSV mais l'organisme vous envoie un PDF au titre du droit d'accès. Conséquence : vous ne pouvez pas réutiliser les données automatiquement. Correctif : citez explicitement l'article 20 du RGPD et précisez le format souhaité dans votre demande.
Erreur 2 : demander la portabilité pour des données exclues (scoring bancaire, déclarations fiscales, vidéosurveillance). Conséquence : refus légitime du responsable de traitement. Correctif : demandez ces données au titre du droit d'accès (article 15), pas de la portabilité.
Erreur 3 : ne pas conserver de preuve de la demande. Conséquence : impossible de prouver l'absence de réponse si vous saisissez la CNIL. Correctif : envoyez votre demande par courrier recommandé avec AR ou via un formulaire avec accusé de réception daté.
Recours en cas de refus ou d'absence de réponse
Si l'organisme refuse votre demande ou ne répond pas dans le délai d'un mois :
- Relancez par écrit en demandant les motifs précis du refus ou du retard.
- Saisissez la CNIL en déposant une plainte en ligne sur cnil.fr/adresser-une-plainte ou par courrier à : Commission nationale de l'informatique et des libertés, Service des plaintes, 3 Place de Fontenoy, 75007 Paris. Joignez les preuves de votre demande et de la réponse (ou absence de réponse).
- Délai de traitement CNIL : la CNIL s'engage à vous informer de l'avancement dans un délai de trois mois suivant le dépôt de la plainte.
- Recours juridictionnel : en cas d'insatisfaction, recours gracieux dans les deux mois suivant la décision CNIL, puis saisine du Conseil d'État.
Étapes à suivre5
Étape 1 — Identifier le responsable de traitement et vérifier l'éligibilité
Avant toute demande, vérifiez que le traitement de vos données remplit les deux conditions de l'article 20 du RGPD : traitement automatisé et base légale fondée sur le consentement ou le contrat. Consultez la politique de confidentialité du service (obligation légale de transparence, article 13 RGPD) pour identifier le responsable de traitement et son DPO. Notez ses coordonnées exactes (adresse postale, e-mail du DPO). Si le traitement repose sur une obligation légale (fichiers fiscaux, vidéosurveillance, données de badgeuse), le droit à la portabilité ne s'applique pas — exercez le droit d'accès (article 15) à la place. Vérifiez aussi si la plateforme propose un dispositif intégré de téléchargement de données : Facebook (Paramètres > Vos informations > Télécharger vos informations), Google (Compte Google > Données et confidentialité > Télécharger vos données), Twitter/X (Paramètres > Télécharger une archive de vos données).
Étape 2 — Rédiger et envoyer la demande de portabilité
Si aucun dispositif intégré n'existe, adressez une demande écrite au responsable de traitement ou à son DPO. La CNIL propose des modèles de courrier sur cnil.fr/fr/modeles/courrier. Votre demande doit contenir : vos nom, prénom et coordonnées ; l'identification du service concerné ; la référence explicite à l'article 20 du RGPD ; le format souhaité (CSV pour les données tabulaires, JSON pour les données structurées, vCard pour les contacts). Envoyez-la par courrier recommandé avec accusé de réception, ou par e-mail avec demande de confirmation de réception. Si vous souhaitez que vos données soient transmises directement à un autre service, précisez-le dans votre demande (article 20.2 du RGPD) en indiquant les coordonnées du responsable de traitement destinataire.
Étape 3 — Recevoir et vérifier les données fournies
Le responsable de traitement dispose d'un mois pour répondre à votre demande (article 12.3 du RGPD). En cas de complexité, il peut prolonger ce délai de deux mois supplémentaires mais doit vous en informer dans le premier mois avec les motifs du report. Une fois les données reçues, vérifiez trois points : (1) le format est-il structuré et lisible par machine ? Si vous recevez un PDF image au lieu d'un CSV, le responsable ne respecte pas ses obligations ; (2) les données couvertes sont-elles complètes ? Comparez avec ce que vous savez avoir fourni ; (3) les données exclues (données dérivées, scoring) ne sont pas un refus abusif — elles relèvent du droit d'accès, pas de la portabilité. Pour lire les données : CSV avec LibreOffice Calc ou Excel, JSON avec un navigateur ou un éditeur de texte, vCard avec Thunderbird ou Outlook.
Étape 4 — Contester un refus ou une réponse incomplète
Si le responsable de traitement refuse votre demande, il doit motiver son refus conformément à l'article 12.4 du RGPD. Vérifiez que le motif invoqué est légitime : base légale non éligible, données exclues du champ, atteinte aux droits de tiers. Si le motif vous semble infondé ou si vous n'avez aucune réponse au bout d'un mois, relancez le responsable par écrit en conservant une preuve datée. Précisez que l'absence de réponse constitue une violation de l'article 12.4 du RGPD. Conservez l'ensemble des échanges (courriers, e-mails, captures d'écran du formulaire de demande) : ces preuves seront nécessaires si vous saisissez la CNIL.
Étape 5 — Saisir la CNIL et les voies de recours
Si le responsable ne répond pas ou maintient un refus infondé, déposez une plainte auprès de la CNIL sur cnil.fr/fr/adresser-une-plainte (création de compte obligatoire pour suivre le dossier) ou par courrier à : Commission nationale de l'informatique et des libertés, Service des plaintes, 3 Place de Fontenoy, 75007 Paris. La plainte doit être rédigée en français, identifier l'organisme visé (nom, coordonnées, numéro SIREN), et contenir les copies de vos échanges. La CNIL s'engage à vous informer de l'avancement dans un délai de trois mois. En 2020, la CNIL a traité environ 14 000 plaintes. En cas d'insatisfaction, vous disposez d'un recours gracieux dans les deux mois suivant la décision, puis d'une saisine du Conseil d'État. Vous pouvez aussi engager une action en justice auprès du tribunal judiciaire pour obtenir des dommages et intérêts (article 82 du RGPD).
Conseils pratiques
- Exercez simultanément le droit d'accès (article 15) et le droit à la portabilité (article 20) : le premier couvre les données dérivées en format humain, le second les données brutes en format machine. Une seule demande peut viser les deux droits.
- Précisez toujours le format souhaité dans votre demande (CSV, JSON, vCard). Sans cette précision, le responsable peut vous fournir un PDF non structuré qui ne permet pas la réutilisation automatique.
- Vérifiez le dispositif intégré de la plateforme avant d'envoyer un courrier : Facebook (Paramètres > Vos informations > Télécharger), Google (Compte > Données et confidentialité > Télécharger), Twitter/X (Paramètres > Télécharger une archive). C'est plus rapide et gratuit.
Points d'attention
- Erreur : demander la portabilité pour des données de scoring ou profilage. Ces données dérivées sont exclues de l'article 20. Conséquence : refus légitime de l'organisme. Solution : demandez-les au titre du droit d'accès (article 15).
- Erreur : accepter un PDF image comme format de portabilité. L'article 20 exige un format structuré, couramment utilisé et lisible par machine. Conséquence : impossibilité de réutiliser les données. Solution : relancez en précisant le format CSV ou JSON.
- Erreur : ne pas conserver de preuve de la demande. Conséquence : impossible de prouver l'absence de réponse devant la CNIL. Solution : envoyez par courrier recommandé avec AR ou e-mail avec accusé de réception, et conservez les copies.
Questions fréquentes5
Quelles données sont couvertes par le droit à la portabilité ?
Les données que vous avez fournies (coordonnées, likes, photos) et les données d'activité (historique d'achats, données de montre connectée). Les données dérivées (scoring, segmentation marketing) sont exclues — article 20 du RGPD.
Quel est le délai de réponse pour une demande de portabilité ?
Le responsable de traitement dispose d'un mois pour répondre (article 12.3 du RGPD). Ce délai peut être prolongé de deux mois en cas de complexité, mais le responsable doit vous en informer dans le premier mois avec les motifs du report.
La portabilité s'applique-t-elle aux données fiscales ou de vidéosurveillance ?
Non. Ces traitements reposent sur une obligation légale, pas sur un consentement ou un contrat. Le droit à la portabilité (article 20) ne s'applique que si le traitement est fondé sur le consentement ou l'exécution d'un contrat. Pour ces données, exercez le droit d'accès (article 15 du RGPD).
Un organisme peut-il me fournir les données en PDF au lieu de CSV ?
Non. L'article 20 exige un format structuré, couramment utilisé et lisible par machine. Le PDF non structuré ne permet pas la réutilisation automatique. Exigez CSV, JSON ou vCard. Si l'organisme refuse, saisissez la CNIL.
Comment saisir la CNIL si l'organisme ne répond pas ?
Déposez une plainte en ligne sur cnil.fr/fr/adresser-une-plainte ou par courrier à CNIL, Service des plaintes, 3 Place de Fontenoy, 75007 Paris. Joignez les preuves de votre demande et de l'absence de réponse. La CNIL vous informe de l'avancement dans un délai de trois mois.
Outils utiles
Guides les plus consultés
Découvrez nos guides les plus utiles dans les domaines qui comptent
Guides Démarches Admin
Voir toutComment déclarer un PACS aux impôts
Renouvellement Carte Vitale 2026 : Démarches et Délais
La pré-demande simplifiée — Renouveler votre carte d'identité en ligne en 2026
Que faire dans les 10 jours pour tout sauver ? — Radiation de la CAF à 48 heures près
Comment obtenir titre séjour renouvellement
Poursuivez votre lecture
Multi-catégoriesÉquipe éditoriale GuidePratiquefr
Rédacteurs spécialisés en droit, fiscalité et finances
Rédigé et vérifié par notre équipe de rédacteurs spécialisés. Sources officielles consultées : service-public.fr, legifrance.gouv.fr, impots.gouv.fr, ameli.fr. Dernière vérification : 16 mai 2026.
Sources officielles consultées
Les informations contenues dans ce guide sont fournies à titre indicatif et ne remplacent pas un conseil professionnel personnalisé.