<< Retour aux articles
Image  Getty @sorbetto

Vendre ses données personnelles : la nouvelle tendance ?

Tech&droit - Données
01/06/2018
Alors que le règlement général sur la protection des données vient tout juste d’entrer en vigueur, la prochaine étape sera-t-elle la possibilité de céder ses données contre rémunération ?
La masse des données générés par les particuliers ou les objets connectés explose. L’idée de valoriser ce stock informationnel n’est pas nouvelle, mais de plus en plus de sociétés réfléchissent à un business modèle autour de leur exploitation. C’est le cas, en BtoB, des constructeurs automobiles qui étudient l’immense potentiel de monétisation des données générées par les véhicules autonomes. C’est aussi le cas, cette fois en BtoC, de certaines start-up. Le 25 mai 2018, soit le jour d’entrée en vigueur du tant attendu (et redouté) RGPD, la start-up française My Data Is Rich a ainsi lancé un service qui propose aux particuliers de reprendre le contrôle de leurs données personnelles et de leur valeur.
 
L’éthique française et européenne en matière de protection des données
À la suite du scandale impliquant Facebook et Cambridge Analytica (v. Touati A. et Cohen G., Facebook (à nouveau) dans la tourmente, Actualités du droit, 21 mai 2018), la tendance est plutôt à la sacralisation de la donnée personnelle, considérée en Europe et surtout en France comme un élément de la vie privée, par nature inaliénable, dont il serait même dangereux de se déposséder.
 
Et dont, bien entendu, la valeur commerciale doit être occultée. Ainsi, et contrairement à l’approche adoptée outre-Atlantique visant à faire de la « data » le moteur de l’économie numérique, l’Union européenne veut insuffler son éthique des données à travers une nouvelle dynamique de protection des données personnelles : droit d’accès (Règl. UE n° 2016/679, 27 avr. 2016, art. 15), droit de rectification (Règl. UE n° 2016/679, 27 avr. 2016, art. 16), portabilité (Règl. UE n° 2016/679, 27 avr. 2016, art. 20), Droit à la limitation du traitement (Règl. UE n° 2016/679, 27 avr. 2016, art. 18), ou encore droit à l’oubli (Règl. UE n° 2016/679, 27 avr. 2016, art. 17).
 
Faut-il aller plus loin et permettre la cession de certaines données ?
À l’heure actuelle, chaque individu génère une quantité importante de données personnelles, récupérées, structurées et valorisées par des grandes multinationales, Google et Facebook en premier lieu. Et demain, avec la multiplication des objets connectés, ce volume de données va fortement progresser.
 
Deviendra-t-il possible de générer des revenus avec ces informations ? C’est en tout cas ce qu’entend proposer cette société française. Concrètement, la start-up propose de céder certaines données personnelles (la position GPS par exemple, par le biais d’un boitier branché sur l’allume-cigare), données qui pourraient être utiles aux villes pour mieux gérer la mobilité urbaine, mais surtout aux annonceurs pour mieux planifier leurs stratégies publicitaires.  
 
Les données ainsi légalement collectées seront par la suite revendues par la société, après une étape importante pour rendre ce service RGPD compatible : les données personnelles seront anonymisées et perdront ainsi leur caractère « personnel » avant d’être revendues à des tiers.
 
La collecte de ces données semble, en l’état, conforme à la réglementation issue du RGPD. L’article 6 du règlement (Règl. UE n° 2016/679, 27 avr. 2016, art. 6) prévoit effectivement que le traitement des données n’est licite que si la personne concernée y a consenti. En acceptant volontairement de céder à titre onéreux nos données personnelles, nous consentons donc au traitement. Toutefois, en l’absence de jurisprudence et d’une patrimonialité des données personnelles, difficile de dire si ce consentement viole ou non l’ordre public. Et encore faudra-t-il s’assurer de la bonne anonymisation des données et de leur hébergement en France…
Source : Actualités du droit