<< Retour aux articles
Image  Getty

L’économie de la donnée personnelle sera une économie de la confidentialité

Tech&droit - Données
11/06/2018
La vie numérique investit un grand pan de notre vie sociale et, peu à peu, notre vie privée est dévoilée par pan entier. Que reste-t-il du droit à l’intimité de notre vie privée à l’ère des plateformes et des réseaux sociaux ? Au-delà d’une meilleure maîtrise de nos données, la reconnaissance d’un droit de propriété est-elle une piste de solution ? L’avis de maître Isabelle Landreau, docteur en droit, avocate et DPD (DPO).
Le concept de vie privée est large et de nombreux textes y font référence : l’article 12 de la Déclaration Universelle des droits de l’homme, l’article 8 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales, l’article 7 de la Charte des droits fondamentaux de l’Union européenne et surtout l’article 9 du Code civil, qui permettent une large reconnaissance par les tribunaux.
 
Bien que la vie privée ait une conception légèrement différente (englobant ou non la religion) au sein des pays membres de l’Union européenne, un socle commun existe au-delà de nos frontières et toutes les démocraties tendent à reconnaître un droit à l’intimité de la vie privée du citoyen, en reconnaissant deux axes, à savoir la confidentialité et l’autonomie de décision. La CEDH a élargi cette conception en y incluant « la capacité à être soi-même » (CEDH, 29 avril 2002, req. n° 2346/02, P. c/Royaume-Uni).
 

Le citoyen du XXIsiècle, englué dans l’usage intensif d’internet, laisse un peu de lui partout sur la toile, le plus souvent de façon inconsciente.


Nous sommes passés de l’information à peu près maîtrisée à une information de masse, sans contrôle, dont les enjeux dépassent le simple internaute. C’est un enjeu de société et de démocratie.
 
Les récentes affaires dont celle de Cambridge Analytica ont bien démontré l’usage intensif de l’or de ce siècle : nos données. 87 millions d’utilisateurs floués, volés, trompés… Un mea culpa télévisuel et un road show européen suffiront-ils à calmer le cybercitoyen abusé, dont l’intimité de la vie numérique est exploitée sans qu’il en est conscience ?
 
Le vrai rempart contre ces nouveaux monopoles est et reste les droits fondamentaux. Or l’un d’eux est le droit de propriété.
 
Le dépôt d’une plainte contre Google et Facebook incluant Whatsapp et Instagram le 25 mai 2018, date de l’entrée en vigueur du RGPD, tend à démontrer que le RGPD n’est pas respecté, s’agissant à la fois du consentement clair et explicite que des règles de la collecte et de l’exploitation de la donnée.
 
Nous réclamons un droit de propriété sur les données avec son corollaire un revenu qui en découle selon le choix du cybercitoyen pour l’exploitation de ces données.
 
Un droit de propriété sur nos données
De quelles données parle-t-on ? - Le citoyen est le premier générateur de données par son activité numérique.  C’est un état de fait et un consensus. Certains parlent même de « travailleur de la donnée » (Casilli A., Avec le RGPD, il devient possible de défendre collectivement nos données, Libération, 24 mai 2018).
 
La donnée est difficile à définir. Elle se caractérise comme une information stockée, enregistrée sur un support numérique, liée à une personne physique la permettant de la distinguer, issue de la personne elle-même ou de ses objets connectés, ou de son humanoïde dont elle a le contrôle. Ces données sont au cœur de l’économie de la donnée.
 
La donnée première est produite par le citoyen et recouvre ses données d’identité (nom, prénom, date et lieu de naissance, domicile, statut) et ses données sensibles (d’orientation sexuelle, de santé, d’appartenance religieuse ou à des groupes politiques).
 
La donnée générée est celle qui est collectée par diverses entités ayant une démarche lucrative ou non (sites web, fournisseurs d’accès à internet, plateformes, entreprises du e-commerce, institutions, associations, ONG) par des traqueurs, des cookie, etc., sur la base de la donnée première. Cela concerne les données de consommation (habitudes d’achat), les données financières (moyens de paiement, état des prêts et financement) entre autres.
 
La donnée agrégée est celle qui est analysée selon un objectif précis et utilisée à des fins de mega data, sur la base de la donnée générée. Le citoyen seul ne peut pas accomplir cette tâche, qui est effectuée par des entreprises privées, grands groupes, parfois monopolistiques. C’est la vitesse et la capacité de calcul de multiples sources de données qui fait la richesse du résultat.
 

Mais la source est toujours la donnée première, produite par les citoyens qui est donc devenu le premier fournisseur gratuit de la richesse du XXIe siècle.

 
La donnée est-elle un bien comme un autre ? - Les critiques à la propriété des données sont nombreuses et on fait état souvent d’une maîtrise plutôt que d’une propriété. Pour les opposants à ce droit de propriété, les données personnelles ne doivent pas être dans le patrimoine. Elles doivent rester des biens extrapatrimoniaux, droits incessibles, pour éviter les abus d’exploitation et éviter de voir aussi se multiplier les cas d’usurpation de la donnée personnelle (Dr. Matatia F et Yaïche M., Être propriétaire de ses données personnelles : peut-on recourir au régime traditionnel de propriété ?, RLDI 2015/114, p. 60).
 
Bien au contraire, la donnée personnelle est un bien dans le commerce, qui nécessite non seulement une maîtrise par le citoyen (Peugeot V., Nous ne sommes pas propriétaires mais maîtres de nos données,  https://www.franceculture.fr, 10 févr. 2018), mais aussi un réel droit de propriété de la res numericus.
 
L’économie de la donnée nous fournit des exemples de monétisation de la donnée soit par des achats de base de données, soit par l’achat d’applications avec des bases clientes importantes. Nous en avons aussi le prix dans le darknet : on peut ainsi connaître la valeur marchande d’une adresse e-mail, d’un numéro de compte bancaire, etc.
 
Nous aurions tort de ne pas considérer la donnée comme un bien, une chose (res), un bien qui relève du domaine de la propriété, car elle est déjà, en fait, un bien qui se vend.
 
Deux logiques s’opposent : la logique économique et la logique de propriété. Les tenants de la donnée comme prolongement des droits de la personnalité se drapent dans l’épouvante d’un marché de la donnée exacerbé qu’ils désirent éviter, une monétisation de soi, qu’ils ne veulent pas. Ils soulèvent aussi le risque d’un monde numérique divisé avec ceux qui peuvent se payer la confidentialité et les autres qui ont besoin d’un revenu complémentaire au détriment de leur confidentialité.
 
Cette vision est erronée et s’appuie plus sur des peurs que sur une véritable analyse juridique, dans la mesure où des prolongements de soi sont déjà dans le commerce sans que personne y trouve à redire. D’autres actifs immatériels dont déjà dans le commerce. Ainsi, on monétise son image, on vend sa réputation, on valorise sa confiance, on monétise ses secrets. Pourquoi n’appliquerait-on pas à la donnée cette monétisation ?
 

La logique de la maîtrise n’est pas suffisante face au déséquilibre que nous subissons face aux grands groupes du digital.

 
Maintenir cette maîtrise sans propriété est faire de l’internaute un métayer de la data. Nous laisser dans l’illusion que la maîtrise de nos données nous protège contre une exploitation abusive va renforcer cette dissymétrie et nous rendre des internautes serfs de seigneurs de la data.
 
La donnée personnelle est un bien, issu de l’activité numérique de la personne. C’est par le truchement d’une machine (ordinateur, tablette, téléphone, objets connectés, etc.) que la personne crée cette richesse. Le numérique est un outil de production de la donnée. Or ne pas reconnaître un droit de propriété sur la donnée qu’il crée, c’est le déposséder de son bien. Nous assistons à un pillage collectif subi.
 
Le scandale Cambridge Analytica le démontre bien,  avec ces millions d’utilisateurs dont les données produites sur Facebook ont été pillées : cela revient pour les utilisateurs de ces services numériques prétendument gratuit à se soumettre aux propriétaires des outils du numérique (et tout particulièrement des plateformes), au détriment de celui qui génère cette richesse.
 
Le citoyen a un patrimoine de données, pris dans la conception large de la propriété, chère au professeur Ginossar (Ginossar S., Pour une meilleure définition du droit réel et du droit personnel, RTD civ. 1960, p. 37), qui permet d’englober dans le patrimoine personnel les droits et obligations d’une personne juridique. Cela comprend donc les choses animées ou inanimées, mobilières ou immobilières, corporelles ou incorporelles, actuelles ou futures relevant d’une personne physique ou morale.
 
La donnée personnelle est donc un bien meuble incorporel, tel que l’ont bien décrit Fabrice Matatia et Morgane Yaïche (Dr. Matatia F et Yaïche M., Être propriétaire de ses données personnelles : peut-on recourir au régime traditionnel de propriété ? RLDI 2015/114, p. 60) ?
 
Faut-il rappeler les articles 544, 545 et 46 du Code civil :
  • Article 544 : « La propriété est le droit de jouir et de disposer des choses de la manière la plus absolue, pourvu qu’on n’en fasse pas un usage prohibé par les lois et règlements ».
  • Article 545 : « Nul ne peut être contraint de céder sa propriété, si ce n’est pour cause d’utilité publique, et moyennant une juste et préalable indemnité »
  • Article 546 « "La propriété d’une chose soit mobilière, soit immobilière, donne droit sur tout ce qu’elle produit, et sur ce qui s’y unit accessoirement soit naturellement, soit artificiellement. Ce droit s’appelle « droit d’accession » ».

Le citoyen est bien propriétaire de la donnée première et des données générées dont il a la jouissance. Il peut donc en déterminer les exploitations et pouvoir la maîtriser : la vendre, la louer, la céder, voire la gager. C’est une opportunité énorme qui s’ouvre à lui : ne passons pas à côté.

 
Un droit de propriété déjà reconnu. Ce droit de propriété est reconnu tant par le droit pénal, la jurisprudence que par le règlement UE n° 2016/679 du 27 avril 2016, dit RGPD. Le célèbre jugement du 26 septembre 2011 du tribunal correctionnel de Clermont-Ferrand (TGI Clermont-Ferrand, 26 sept. 2011) a reconnu que le vol de données était caractérisé par le fait de transférer des données (fichiers clients et fournisseurs) sur une clé USB. Cela revient donc à reconnaître le statut de chose à la donnée, au sens de l’article 311-1 du Code pénal, par le vol d’informations incorporelles enfermées dans une clé USB, donc un véritable droit de propriété.
 
Les articles 323-1 à 323-8 du Code pénal consacrent pour leur part les atteintes aux systèmes de traitement automatisé de données. Les sanctions pécuniaires révèlent qu’un prix est accordé indirectement à la donnée. C’est autant l’infraction au système que le dommage aux données qui est visé.
 
En outre, un arrêt de la Cour de justice de l’Union européenne du 15 janvier 2015 (CJUE, 2e ch., 15 janv. 2015, Ryanair Ltd c/ PR Aviation BV) permet, lorsque la base de données n’est ni protégée par le droit d’auteur, ni par le droit sui generis, que le créateur de la base de données fixe les limites de son usage commercial par contrat. Il serait donc possible de reconnaître le citoyen comme créateur d’une base de données, non protégée par le droit d’auteur, ni par le droit sui generis des bases de données, mais par le contrat.
 
Le RGPD conforte cette conception de la propriété des donnée, en accordant notamment un droit à la portabilité des données, inscrite dans le  Livre II du Code de la consommation, à l’article L. 224-42-1 : « Le consommateur dispose en toutes circonstances d’un droit de récupération de l’ensemble de ses données » (Régl. UE n° 2016/679, 27 avr. 2016, art. 20). La récupération de ses données et la transmission des données personnelles à un autre système (opérateur en pratique) est autorisée, étant précisé que le responsable de traitement ne peut s’y opposer. Mais reste à définir dans le concret quelles sont les modalités de la transmission et les normes techniques. Les données doivent être récupérables par le cybercitoyen dans un standard ouvert réutilisable et exploitable par un autre système de traitement automatisé (C. consom., art. L. 224-42-3). La portabilité consacre donc bien l’abusus du cybercitoyen sur ses données personnelles. Il ne faut pas confondre portabilité et transfert. De fait, la portabilité n’implique pas l’effacement des données. Les données pourront toujours être conservées par l’opérateur en ligne avec sa finalité de traitement. La portabilité des données n’est, en pratique, pas très effective aujourd’hui. Des questions d’interopérabilité des données et des traitements voient le jour. Quid des traitements effectués par un fournisseur d’accès à internet qui utiles pour des déclarations administratives et fiscales et qui ne me seraient plus accessibles par mon changement de fournisseur ? Il y a là un verrouillage technique par l’opérateur.
 
L’article 17 est par ailleurs tout à fait intéressant car il met en place un droit à l’effacement. Le citoyen numérique peut demander la cessation de la diffusion de ses données lorsque ces données ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées ou traitées ou parce que le citoyen numérique retire son consentement car la finalité a changé (Régl.UE n° 2016/679, 27 avr. 2016, art. 6.1).
 
D’autres droits sont consacrés, tel le droit à l’effacement de vos données en ligne, le droit de s’opposer au profilage ou à une décision automatisé (v. Régl. UE n° 2016/679, 27 avr. 2016, art. 16 à 22). Ces droits reconnaissent la donnée comme un bien, une chose numérique dont le cybercitoyen est de facto propriétaire ou, à tout le moins, le possesseur unique.
 
Le droit de tirer un revenu de nos données
Le business modèle des GAFA qui fait du citoyen un fournisseur "endormi" de données peut être bousculé par une prise en compte française et européenne des droits de l’homo numericus (terminologie de Ghernaouti S.) et la mise en place d’un nouveau modèle économique basé sur une réversion des revenus générés au citoyen, prix de son consentement à une exploitation catégorielle et pour une finalité préalablement définie de ses données.
 

Nous passerons donc d’un modèle gratuit à un modèle rétribué qui sera non seulement facteur de croissance mais aussi générateur de sécurité.

 
Si on s’en tient à la définition de l’agrégat telle donnée dans le dictionnaire Larousse 2015, l’agrégat est un « ensemble d’éléments constituant un tout mais n’ayant pas de forme définie, d’organisation, d’unité véritable ou de finalité ». La donnée appartient à celui qui la fournit (conception classique) et le business modèle doit se fonder sur le premier fournisseur de donnée, le citoyen, qui sera rétribué sur la plus-value produite par la donnée, qu’elle soit première, générée ou agrégée.
 
Les acteurs de la chaîne de l’exploitation de la donnée.- Différents acteurs interviendront dans la chaîne d’exploitation de la donnée :
  1. Le citoyen d’un patrimoine de données : premier fournisseur de données (données personnelles Le citoyen devient ici créateur de base de données ;
  2. Le collecteur de données (data centers, FAI)
  3. L’agrégateur de données sera l’entité privée (commerciale ou associative) ou publique (pourquoi pas une API d’État qui collecterait les données catégorielles des EPIC ?) qui aura la capacité technique et financière de gérer et analyser ces données. Le citoyen doit avoir un revenu de cette collecte sur la base du volume de la donnée et de sa pertinence. L’agrégateur peut vendre ces données aux plateformes.
  4. La plateforme.  Il faut aussi réformer le statut des plateformes. Le Conseil d’État dans son rapport annuel (Conseil d’État, rapport annuel 2014, Le numérique et les droits fondamentaux, p. 175) suggère de réserver un statut particulier aux plateformes qui proposent ses services de classement ou de référencement de contenus, biens ou services mis en ligne par des tiers.
  5. le détaillant (expression de  Peliks G.) (ou analyseur) de données : le détaillant ou courtier est celui qui va vendre un service lié à l’exploitation des données
  6. Le Délégué à la protection de la donnée (DPD ou en anglais DPO=Data Privacy officer) : le chargé de la donnée personnelle dans l’entreprise selon le nouveau RGPD. Le DPD deviendra celui qui sera chargé de définir le contenu de la donnée exploitable et pourrait être à même, au-delà de l’application du RGPD, de décider à qui la vendre sur les instructions du citoyen.
 
Un micro-paiement tiré de l’exploitation catégorielle des données encadrées par les dispositions juridiques du RGPD. - La réversion des acteurs de la chaîne d’exploitation de la donnée peut se faire sur la base d’une contrepartie financière au consentement à l’exploitation catégorielle et temporelle de sa donnée personnelle (pay per loyal use, PPLU, terminologie de l’auteur) intégré dans le système de collecte de données.
 
Le mécanisme serait le suivant :
  1. Le citoyen créateur de base de données, consent par écrit, dans un contrat de licence, à un gestionnaire de plateforme des  données personnelles, l’exploitation catégorielle de sa donnée personnelle, selon une finalité déterminée, pour une transaction précise et limitée dans le temps.  Ceci doit être valable pour tout citoyen mais aussi ouvert à toute entreprise qui travaille sur la mega data (Étude INPI, PI et Économie numérique, 2015), selon le système de déclaration selon l’usage (DSU ou Declare what you use = DWY). Ce consentement requis doit être explicite. On peut imaginer que le citoyen aille sur une plateforme ou une API de gestion de la donnée d’une entreprise gérant de la donnée, où il s’enregistre avec ses données personnelles. Cette plateforme serait un centre de gestion de l’exploitation de la donnée personnelle. Le citoyen recevrait une demande d’exploitation catégorielle de ses données sur cette plateforme à laquelle il pourrait consentir expressément pour accepter un usage loyal et monétisé de ses données.
  2. Le gestionnaire de la plateforme revend l’usage de cette base de données à des plateformes d’entreprise et/ou à des FAI et/ou aux GAFA par un smart conract. Dès lors grâce à la blockchain, la finalité et la catégorie de données seraient enfermées et chiffrées ;
  3. Les plateformes, FAI et GAFA déterminent un pourcentage de rémunération du citoyen au titre de l’exploitation de la catégorie de données et la finalité définies ;
  4. Le gestionnaire de la plateforme de la donnée reverse un revenu par des micro-paiements en fonction de la valeur d’usage de la catégorie de données ;
  5. Les données sont stockées sur la plateforme, qui devient courtier de données.
  6. On introduit un paiement par usage loyal (PUL ou pay per loyal use for what you declare you use (PPLU, expression de l’auteur).
  7. Le contrôle de l’exploitation de la donnée revient à la CNIL. Tout usage illicite et déloyal, dont le citoyen serait averti par un système d’alertes intelligentes, entraînerait la suspension ou le retrait par le citoyen de l’exploitation sélective de ses données sur la plateforme ou l’API. Il faudrait une correspondance égale entre la liste DWYU et celle PPLU, contrôle dont peut se charger la CNIL, pour respecter les droits du citoyen créateur de données. La CNIL resterait l’autorité de sanctions dans le cas de dépassement de l’exploitation catégorielle non conforme à la finalité déclarée.
Ce dernier système est facile à mettre en place car il s’assoit sur une autorité administrative existante, la CNIL, et des mécanismes actuels. Il s’insère dans la chaîne de production de la donnée en respectant l’ensemble des acteurs. Il s’inscrit dans le nouveau règlement général sur la protection de la donnée par le recours au consentement exprès et entérine l’usus et l’abusus de la donnée personnelle posés aux articles 17, 20 notamment.
 
La philosophie du RGPD est bien le contrôle de la donnée personnelle par le citoyen, faculté déjà amorcée dans la loi pour une République numérique (L. n° 2016-1321, 7 oct. 2016, JO 8 oct.). Aucun article du RGPD rejette cette monétisation.

N’oublions pas que la donnée n’est pas cet objet social collectif mais bien un objet personnel de propriété à usage privé ou collectif.

De nombreuses sociétés font, en France, déjà commerce de la donnée personnelle pour améliorer les performances des entreprises, en agrégeant de la donnée personnelle de clients pour le customer relationship management (CRM).
 
Plusieurs expérimentations sur la monétisation des données personnelles sont menées en Europe, comme MiData au Royaume-Uni ou MesInfos par la Fondation Internet Nouvelle Génération (Fing) en France.
 
Aux États-Unis, les databrokers existent déjà. Les courtiers de données, tels ACXIOM (ww.zdnet.fr/actualites/data-brokers-aux-etats-unis) ou BLUEKAI génèrent des revenus sur les données personnelles qu’ils vendent aux entreprises. Acxiom (http://www.acxiom.fr/acxiom-et-starcom-mediavest-group-scellent-leur-partenariat-europeen-pour-ameliorer-lefficacite-des-publicites-online/) aurait déjà recollecté 600 données par foyer sur 6 millions de foyers français. A priori, Acxiom ne fait pas de commerce des données sensibles (données de santé, par exemple). Toutefois, cette société collecte les données des réseaux sociaux, ce qui leur permet de dessiner votre profil de consommateur. La Federal Trade Commission (FTC) enquête précisément sur la collecte effectuée par cette société (https://www.ftc.gov/news-events/press-releases/2018/03/statement-acting-director-ftcs-bureau-consumer-protection).
 
Reconnaître un droit de propriété sur les données est peut-être une « fausse bonne idée » ) comme le souligne Mme Falque-Pierrotin (CNIL, Rapport d’activité 2013, p. 8). Mais l’idée ici est simplement de rééquilibrer l’exploitation non consentie (consentement par défaut par un clic global pour approuver des CGU qu’on ne lit pas) des données personnelles du cyber-citoyen. Et il existe peu d’obstacles techniques à leur exploitation grâce à l’émergence du smart contracts et des bitcoins.
 

L’économie de partage peut donc prospérer avec et pour le citoyen. Cela permettra un rééquilibrage à marche forcée grâce aux recours et actions collectives menées par les citoyens regroupés.

 
Nous avons vu le cas de la cyberattaque d’Equifax qui a engendré des troubles graves pour un certain nombre de citoyens américains, dont la vie repose sur leur faculté d’endettement. Des actions de groupe (https://www.csoonline.com/article/3238076/data-breach/equifax-now-hit-with-a-rare-50-state-class-action-lawsuit.html) sont en cours.
 
En France, la loi n° 2016-1547 du 18 novembre 2016 (JO 19 nov.) et son décret du 6 mai 2017 (D. n° 888-2017, 6 mai 2017, JO 10 mai) ouvrent la possibilité de réaliser des actions de groupe pour défendre sa vie privée.
 
Relevons également que  la Quadrature du net a déposé le 25 mai 2018, une action de groupe contre Google, Apple, Facebook et Amazon pour violation du consentement (la quadrature du net, https://gafam.laquadrature.net) Le consentement explicite visé par le RGPD ne serait pas mis en œuvre dans ces applications, pour l’usage de ces services. C’est une façon de faire pression pour que ces grands groupes changent leur politique de confidentialité.
 
Alors que la Commission nationale consultative des droits de l’homme alerte dans son avis du 22 mai 2018, sur la nécessité de préserver le droit à la vie privée face à des usages numériques de plus en plus intrusifs à notre insu, que reste-t-il, à l’heure du RGPD, de notre confidentialité ?
 
Le combat est lancé, notre arme majeure : le droit et le droit de propriété !
 
Source : Actualités du droit