La question de la propriété des données à caractère personnel est un vaste sujet qui ne cesse d’être débattu. La data est devenue un enjeu économique, politique et stratégique d’envergure. Ce sujet qui a fait couler beaucoup d’encre est plus que jamais d’actualité (cf. le rapport de Génération Libre, ainsi que les prises de position de Mounir
Ce débat a été plus particulièrement ravivé à deux occasions avant l’été 2018 :
– lors de l’entrée en application du règlement européen sur la protection des données personnelles (RGPD ou, selon l’acronyme anglophone, GDPR), lequel a notamment pour objectif affirmé de donner davantage de contrôle aux personnes physiques sur les données à caractère personnel les concernant (bien que d’aucuns soutiennent qu’un droit de propriété y parviendrait mieux que le règlement) ;
– par l’actualité économique, avec des scandales tels que Cambridge Analytica ayant conduit à une prise de conscience de la valeur des données personnelles captées et vendues (bien que d’aucuns soutiennent qu’il serait possible et légitime pour les personnes concernées de s’attribuer une part des bénéfices de cette économie, grâce au droit de propriété).
De manière générale, l’ensemble des « décideurs » – notamment la CNIL, le Secrétaire d’État au Numérique, le Sénat (du moins ses rapporteurs), le Conseil
I. L’ETAT DU DROIT POSITIF : L’ABSENCE D’UN DROIT DE PROPRIETE GENERAL SUR LES DONNEES A CARACTERE PERSONNEL
1. La logique personnaliste de la loi Informatique et Libertés et du GDPR (par opposition à une logique patrimoniale)
La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après « loi Informatique et Libertés ») puis le RGPD conçoivent la protection des données personnelles dans une logique de droits de la personnalité, « non propriétaire ».
Historiquement, le droit à la protection des données personnelles est en effet un corollaire du droit à la vie privée. Il est organisé entre, d’une part, les obligations à la charge des responsables de traitements et, d’autre part, les droits personnels (par opposition aux droits réels) au bénéfice des personnes concernées (droit d’accès, rectification, etc.).
De fait, il n’existe pas de consécration, en Europe (au niveau du droit de l’Union européenne comme des droits des États membres), d’un droit de propriété sur les données personnelles elles-mêmes, et ce, tant sur les données « non personnelles » que sur les données personnelles. À cet égard, une proposition de règlement sur la libre circulation des données non personnelles a été déposée en septembre 2017 auprès de la Commission
Seuls quelques textes et jurisprudences ont toutefois (très subtilement) évoqué la possibilité (même indirecte) d’une telle propriété : la proposition de directive de 2015 sur les contrats de fourniture de contenus numériques (toujours en discussion au sein des institutions européennes) évoque ainsi la possibilité de fournir une contrepartie non pécuniaire en échange d’un contenu numérique « sous forme de données personnelles » ; l’arrêt de la Cour de cassation, Civile, chambre commerciale du 25 mai 2013 reconnaît la figure de la vente d’un fichier de données personnelles (jugée, en l’espèce, nulle pour objet illicite, faute de conformité du fichier à la réglementation sur la protection des données personnelles), laquelle implique nécessairement un transfert de propriété.
2. La superposition/friction avec des logiques patrimoniales sectorielles (propres à d’autres branches du droit)
La donnée à caractère personnel peut être appréhendée (en tant que donnée) par d’autres branches du droit : la propriété intellectuelle (droit d’auteur, brevet, droit sui generis sur les bases de données) et le secret d’affaires peuvent ainsi reconstituer un droit exclusif au bénéfice de la personne concernée (voire d’un tiers) sur des données qui par ailleurs relèvent de la qualification de données à caractère personnel.
Cette propriété est cependant limitée au regard de la notion de propriété « classique » appliquée aux biens matériels en droit français. En effet, la protection est limitée dans le temps, le droit d’auteur et le brevet constituent des droits de propriété sujets à extinction dans la durée, et les droits de propriété industrielle sont limités dans l’espace puisque soumis au principe de territorialité. Cette propriété est également limitée dans la protection, le droit de propriété intellectuelle n’étant pas absolu. En effet, il ne permet de s’opposer qu’à certains actes limitativement énumérés (par exemple : reproduction/représentation en droit d’auteur), et sous réserve d’exceptions (L. 122-5 du Code de la propriété intellectuelle pour le droit d’auteur).
De plus, ces mécanismes n’octroient qu’un droit de propriété indirect sur la donnée : ce n’est pas la donnée elle-même qui fait l’objet d’une propriété, mais plutôt la propriété d’une œuvre de l’esprit, d’une invention ou d’un secret d’affaires qui permet de contrôler le flux de certaines données reproduisant ou – plus généralement – portant atteinte aux droits attachés à cette œuvre, cette invention ou ce secret d’affaires.
De même, le droit pénal tend à se rapprocher d’une logique patrimoniale (cf. arrêt Bluetouff du 20 mai 2015 sur le vol de données).
II. L’OPPORTUNITE D’UNE « PATRIMONIA-LISATION » DU DROIT DES DONNEES A CARACTERE PERSONNEL
1. La donnée comme actif immatériel
D’un point de vue pragmatique, les données à caractère personnel sont valorisées, vendues, exploitées au même titre que des actifs, leur caractère personnel constituant une composante de leur valeur pour les business concernés.
Ne pas employer un vocabulaire patrimonial pour décrire ces mécanismes objectivement « transactionnels » n’est pas chose aisée. La cession ou l’achat supposent en effet un bien sur lequel des droits (d’utilisation, d’exploitation, etc.) sont transférés. De fait, les acteurs de ce marché (data brokers, etc.) utilisent ce vocabulaire dans leurs contrats d’achat/vente de données. Il y a donc un vrai hiatus, en apparence du moins, entre la logique de la protection des données personnelles au niveau de la personne concernée (« façon RGPD ») et celle des échanges ultérieurs de ces mêmes données sur le marché. Cela conduit certains à mobiliser l’argument « pragmatique » pour appeler à une reconnaissance globale du droit de propriété.
2. Les limites de la perspective
2.1. Les obstacles pratiques
Les obstacles pratiques sont néanmoins aussi importants que les avantages poursuivis.
Quelle est la valeur attribuée aux données personnelles d’un individu qui les commercialise ?
Qui serait dépositaire du droit de propriété ? Il apparaît que dans l’univers du Big Data les données isolées (à l’exception d’une poignée d’entre elles et pas les moindres telles que l’adresse e-mail, le numéro de téléphone, le numéro de sécurité sociale, etc.) ne présentent que peu d’intérêt (notamment par exemple dans le cadre d’analyses prédictives). Dans ce contexte, octroyer aux individus eux-mêmes un droit de propriété sur ces données s’avérerait contraire à la réalité économique de l’opération ainsi réalisée, et ce d’autant plus que la valeur de ces données est créée par l’exploitant qui l’analyse et l’enrichit (à l’instar des mécanismes de dévolution ab initio des inventions de salariés dans le cadre de leurs fonctions qui consistent à octroyer la propriété à celui qui est le plus à même de l’exploiter). Cela se justifierait néanmoins si le but poursuivi est l’empowerment des personnes concernées.
En toute hypothèse, nous pouvons constater que l’avantage en termes de négociation n’est pas en faveur des personnes concernées. En effet, le rapport de force économique est tel en réalité qu’il est peu probable que les usages et les services majeurs devenus quasiment « essentiels » évoluent. Le cas échéant, les contrats prévoiraient vraisemblablement, en lieu et place d’une vraie politique de confidentialité, uniquement une licence « gratuite » sur les données en échange de l’utilisation du service (aucun bénéfice pécuniaire attendu).
2.2 Les difficultés théoriques
Les difficultés théoriques sont également nombreuses.
Sur quel modèle organiser cette nouvelle propriété ? La propriété « classique » du Code civil français ne semble pas très adaptée. En effet, il apparaît par exemple difficile de parler d’abusus sur un bien immatériel duplicable à l’infini. Nous serions alors plus sur un modèle sui generis, conçu (de la même manière que les droits de propriété intellectuelle) comme le droit d’autoriser ou d’interdire un certain nombre d’actes portant sur la donnée. Mais quels actes ? et avec quelles exceptions ? Beaucoup d’usages des données à caractère personnel sont en réalité parfaitement légitimes (y compris des usages/traitements à risques élevés en matière de droits et libertés fondamentales, comme par exemple les traitements de lutte contre la fraude), au point de ne nécessiter aucun consentement préalable.
En toute hypothèse, le droit de propriété sur la donnée à caractère personnel devrait d’abord être réfléchi dans son ensemble, au regard de la nature technique particulière de cette chose (immatérielle, duplicable et disséminable sans contrainte ou presque, aisément modifiable voire falsifiable, difficile à appréhender ou à identifier dans un ensemble), avant de s’intéresser aux données à caractère personnel comme à un sous-ensemble, sujet à des règles potentiellement plus contraignantes. On voit d’emblée que le chantier est immense, car il paraît évidemment illusoire de s’en remettre aux règles de droit commun du Code civil. Ainsi, il faudrait largement adapter les règles et concepts, voire en inventer de nouveaux.
CONCLUSION
La question de la propriété des données à caractère personnel semble poser bon nombre de difficultés tant théoriques que pragmatiques, au point de s’interroger sur la nécessité de passer par une telle construction pour accorder plus de contrôle aux personnes physiques, individus concernés ? Le RGPD apporte une alternative pour atteindre ce même objectif en s’attachant à renforcer les droits des personnes concernées, notamment avec l’introduction du droit à l’effacement (déjà connu) mais aussi et surtout du droit à la portabilité, qui est un droit opérationnel, inspiré par la réalité du marché. Au lieu de créer un nouveau concept aussi lourd qu’un droit de propriété, le législateur a entendu répondre aux préoccupations spécifiques que posent les usages des données personnelles pour les intérêts privés et collectifs : le droit à la portabilité est un excellent exemple puisqu’il répond (par un instrument juridique relativement simple, bien qu’encore peu évident à mettre en œuvre opérationnellement) aux problématiques de concurrence et de consommation liées aux services utilisant de la donnée personnelle. Le droit à l’effacement en est un autre, qui répond quant à lui à la protection de la vie privée tout en assurant, via un jeu subtil d’exceptions, une véritable mise en balance des intérêts. Car tel est l’enjeu de la data auquel le droit de la propriété ne peut répondre : la mise en balance des droits, des libertés et des intérêts.
