Commercialisation des données : quels enjeux ?
Article partenaire - Julien Smadja, avocat chez DJS Avocats
Photo d'illustration
Reuters
Article partenaire - Julien Smadja, avocat chez DJS Avocats
Photo d'illustration
Reuters
Pour rappel, les données à caractère personnel se définissent comme toutes informations se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, par référence à un identifiant. Cette définition résulte de l'article 4 du Règlement général sur la protection des données personnelles dit « RGPD » ayant repris en partie la définition donnée par la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dites « Loi Informatique et Libertés ».
La notion de données à caractère personnel est ainsi plus large que celle d'éléments relatifs à la vie privée et aux données relatives à des personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, sous réserve que les personnes concernées se trouvent sur le territoire de l'Union Européenne. En principe, elle ne couvre donc pas le traitement des données à caractère personnel qui concernent les personnes morales.
Aujourd'hui les données personnelles constituent de véritables actifs incorporels pour les entreprises dans la mesure où celles-ci constituent des sources de revenus très importants pour des activités reposant sur des données relatives aux consommateurs. Ces données font ainsi l'objet de contrats de transfert, lesquels pourraient être qualifiés, en droit civil, de contrats de vente, compte tenu du transfert de propriété à titre onéreux qu'ils opèrent.
Toutefois, celles-ci ne sont pas les seules convoitées. En effet, toutes les données personnelles ou non-personnelles sont utilisées, sont exploitables et sont potentiellement commercialisées.
Le concept de données non-personnelles, souvent associé au Big Data, est défini par le législateur européen comme « les données autres que les données à caractère personnel », sans que celui-ci ne précise quels types de données sont concernés. Dès lors, il n'est pas évident d'énoncer une typologie de catégories de données non-personnelles. A titre d'exemple, les données statistiques, marketings, commerciales, et les informations relatives aux clients d'une entreprise comme leurs goûts, habitudes, localisations géographiques peuvent illustrer le concept de données non-personnelles.
Ces données, qu'elles soient personnelles ou non-personnelles, peuvent être commercialisées par les entreprises elles-mêmes - typiquement les géants du web (tels que Google, Apple, Facebook, Amazon, Microsoft) qui les revendent ensuite. Cette monétisation des données personnelles constitue une nouvelle strate commerciale pour ceux que l'on nomme les data brokers.
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
Ces data brokers ne sont pas en lien direct avec les personnes dont les données sont utilisées. Ils achètent ces données personnelles à des entreprises, récoltées aux fins de revente. Après la récolte, ces données sont croisées selon certains critères, permettant ensuite la commande et la vente à des entreprises suivant différents objectifs. En réalité, ces courtiers de données agissent dans l'ombre, obtenant les données convoitées grâce aux plateformes d'intermédiation - comme Facebook - sans que les personnes concernées par ces données ne soient averties de ce commerce. Cela pourrait ainsi confirmer la tendance à douter d'un droit de propriété de l'information en général, même si le sujet est ouvert.
En outre, si le croisement des données suit des considérations d'ordre commerciales, il arrive que les data brokers les utilisent à des fins toutes autres, comme a pu le mettre en évidence le scandale auquel a fait face la société Cambridge Analytica, chargée par des équipes politiques de cibler le message politique à transmettre. Les médias avaient alors révélé que cette dernière avait collecté, utilisé et exploité des données de millions d'utilisateurs du réseau social Facebook, sans leur consentement. Ce scandale a ainsi pu permettre de soulever d'importantes questions.
Néanmoins, en guise de garde-fou, le texte du RGPD pose comme condition que le consentement soit nécessairement donné pour une ou plusieurs finalités spécifiques à l'utilisation et au traitement des données. L'entreprise chargée de la collecte et du traitement des données personnelles se trouve ainsi contrainte d'indiquer les objectifs de traitement poursuivis.
Le RGPD adosse également le droit à l'effacement à la volonté individuelle. Ce primat de la volonté de la personne concernée s'exprime dans la Loi Informatique et Libertés et dans le RGPD au travers de l'exigence d'un consentement à certains traitements des données ou du recours à la faculté d'opposition. A cet égard, la Loi Informatique et Libertés avait, dès l'origine, promu, à titre préventif le droit d'opposition de la personne concernée à certains traitements portant sur des données personnelles, des sanctions pénales étant applicables en cas de violation.
De même, le RGPD conçoit un droit à l'effacement lorsque la personne concernée retire le consentement sur lequel est fondé le traitement et qu'il n'existe pas d'autre fondement juridique au traitement. Il applique ainsi le principe d'autodétermination de l'individu, ce principe étant renforcé quand celui-ci était mineur au moment de l'exploitation de ses données. Le retrait du consentement vise principalement les hypothèses de consentement au traitement des données sensibles pour une ou plusieurs finalités spécifiques. Cela peut concerner le traitement des données qui révèlent l'origine raciale ou ethnique, les opinions politiques, convictions religieuses, l'orientation sexuelle, la génétique, la biométrique, etc.
Toutefois, le moyen le plus évident de lutter contre une mauvaise utilisation d'informations personnelles reste assurément de s'y opposer. Il est donc important de veiller à encadrer l'utilisation des données, le RGPD pouvant être une ébauche de cet encadrement. En outre, il pourrait être opportun de s'interroger sur la notion de droit de propriété, qui pourrait être le plus à-même de permettre la maîtrise de la personne sur l'utilisation de ses données.
Enfin, se pose la question de la commercialisation de ces données par les internautes eux-mêmes, de leur volonté, qui leur permettrait effectivement de bénéficier d'un revenu supplémentaire. Cette pratique relevant de la volonté de la personne concernée par les données elle-même pourrait s'apparenter à une vente mais n'en serait pas véritablement une.
Le RGPD posant le principe de finalité du traitement des données, la commercialisation des données ne peut être qualifiée de vente, la vente d'un bien impliquant un véritable transfert de propriété. Ce mécanisme pourrait éventuellement répondre à une simple location très précaire ou à l'octroi d'une simple licence. Toutefois, une cession de droits ne pouvant être opérée en matière de données personnelles, cette analyse n'apparaît pas comme la plus pertinente. En outre, l'individu devant pouvoir retirer son consentement d'un hochement de tête, ce que l'auteur, une fois ses droits cédés, ne peut pas faire, la nature du mécanisme de commercialisation des données ne peut être l'octroi d'une licence.
Ainsi l'utilisation et la commercialisation des données continuent de poser de nombreuses problématiques, celles-ci n'ayant toujours pas, à ce jour, trouvé de réponses.
Article partenaire - Julien Smadja, avocat chez DJS Avocats
L’IA redéfinit le networking professionnel et fait évoluer les pratiques sur les salons
Entrepreneuriat : pourquoi le LYVE Festival est devenu un passage obligé à Lyon
Omar Harfouch et Charles Kushner, l’ambassadeur américain, réunis à Paris pour la paix
Quand KparK réinvente le confort avec sa nouvelle collection LuniK