Lorsqu’une entreprise, un réseau social, un organisme public indique : « nous protégeons vos données personnelles », que signifie réellement le déterminant « vos » ?
Mes données personnelles sont telles les miennes au sens où je les possède au même titre que n’importe quel objet, ou m’appartiennent-elles en tant qu’élément indissociable de ma personnalité ?
Ce débat contemporain, né du modèle économique extrêmement florissant et basé sur les données à caractère personnel des géants du numérique regroupés sous l’acronyme GAFAM (Google, Apple, Facebook, Amazon et Microsoft), confronte deux approches : le patrimonial et l’extrapatrimonial. Nous distinguons ici l’avoir et l’être : la donnée vue comme un bien et la donnée vue comme un attribut de la personnalité. Voici, pour l’un et l’autre camp, quelques arguments, loin de résumer l’intégralité des termes du débat sur la patrimonialisation des données personnelles.
La première position qu’il est possible d’adopter est celle de considérer la donnée à caractère personnel comme un bien appropriable, c’est-à-dire sur lequel peut se greffer un droit de propriété. Des arguments théoriques et pratiques viennent alimenter cette approche tout comme d’autres viennent la contredire.
La genèse de l’approche patrimoniale des données à caractère personnel se trouve dans la pratique et notamment le modèle économique à l’ère du tout numérique fondé sur la valorisation et la monétisation de la donnée à caractère personnel. Cette approche consiste à dire que si, dans les faits, nos données sont collectées, traitées et revendues de façon massive, la seule manière pour la personne concernée par ces données de retrouver un contrôle sur celles-ci et, par la même, de pouvoir prendre part à la chaîne de la valeur qu’elles génèrent, est l’instauration d’un droit de propriété sur lesdites données.
Il est vrai que la propriété semble la manière la plus primaire que l’on puisse imaginer pour avoir un monopole sur une chose et en contrôler les moindres utilisations. Elle est définie depuis 1804 et la création du Code civil comme « le droit de jouir et disposer des choses de la manière la plus absolue, pourvu qu’on n’en fasse pas un usage prohibé par les lois ou par les règlements » (Art. 544).
Le propriétaire se voit reconnaître à ce titre trois prérogatives : l’usus, le fructus et l’abusus. L’usus permet d’user ou pas de la chose et ce de n’importe quelle manière. Le fructus confère le droit de jouir de la chose, soit de récolter les fruits qu’elle produit ou les revenus qu’elle génère. L’abusus, quant à lui, autorise à procéder à tous les actes de disposition sur la chose : la transformer, la vendre, la consommer etc., jusqu’à la détruire. C’est ainsi que de reconnaître un droit de propriété à la personne concernée sur ses données personnelles permettrait de lui donner le contrôle sur ce qu’elle veut en faire et surtout la possibilité de récupérer une partie de la valeur créée par leur exploitation. Les données personnelles des individus sont en effet actuellement monétisées au seul bénéfice des plateformes, publicitaires, courtiers en données (plus souvent désignés sous le nom de « data brokers ») et autres acteurs intervenant dans la chaîne de valeur, à l’exception de la personne sur qui elles portent et de qui elles émanent.
Les défenseurs de la thèse patrimoniale appuient leur argumentation en expliquant que la contractualisation pourrait permettre une utilisation des données à caractère personnel des individus de façon contrôlée par ces derniers puisqu’ils conviendraient avec les plateformes des usages autorisés et de la rémunération qui leur serait due en contrepartie de la fourniture de leurs données personnelles. Sinon, les personnes concernées pourraient choisir le paiement d’un prix pour jouir des services offerts par les plateformes sans collecte et revente de leurs données.
Ils avancent également que des outils propices à la réalisation d’un tel modèle propriétaire existent déjà. Tout d’abord, la technologie blockchain, littéralement « chaîne de blocs » assurerait la sécurité des transactions et permettrait de gérer des contrats intelligents ou « smart contracts », adaptés à l’automatisation de ces transactions et des paiements, qui interviendraient sous forme de micro-paiements grâce aux cryptomonnaies, étant donné les petites sommes que générerons les retours de valeur à l’individu à chaque transaction. Sur le plan juridique, ils analysent également le droit à la portabilité des données prévu par l’article 20 du Règlement Général sur la Protection des Données (RGPD) comme un outil favorable. Il permet à la personne concernée de récupérer les données à caractère personnel qu’elle a fournies à un responsable de traitement et de les transmettre à un nouveau ou de voir ce transfert effectué directement entre les deux responsables de traitement lorsque cela est possible techniquement parlant. Dès lors, il s’agirait d’un droit réel, qui porte directement sur une chose, et non personnel, qui donnerait l’illusion d’une appropriation comme la personne peut reprendre et transmettre ses données.
Bien entendu, toute thèse connaît des arguments pour et des arguments contre.
Le premier argument se dressant contre l’idée de la reconnaissance d’un droit de propriété sur les données à caractère personnel réside dans l’exact opposé de ce qui a pu être vu précédemment car il consiste à affirmer que les trois prérogatives du propriétaire sont inapplicables en matière de données à caractère personnel. Effectivement, si l’usus, le droit d’user de la chose, se traduirait pour l’individu par la libre utilisation de ses données (nom, prénom, adresse email, adresse postale…) pour s’abonner à une newsletter ou créer un compte sur un site Internet par exemple, comment imaginer que cette prérogative puisse être transmise à une autre personne en cas de transfert de propriété sans constituer une usurpation d’identité ?
Pour ce qui est du fructus, soit du droit de récolter les fruits produits par le bien dont on a la propriété, le modèle économique des plateformes repose sur le ciblage des caractéristiques (âge, sexe…) et préférences de l’utilisateur basées sur la collecte et le traitement de ses données personnelles afin de revendre ces informations aux publicitaires pour qu’ils puissent personnaliser les pop-ups en conséquence, en fonction de nos dernières recherches sur Google par exemple. A en voir les chiffres d’affaires des géants du secteur, le marché de la donnée à caractère personnel semblait pouvoir être rémunérateur pour l’individu. Toutefois, c’est la multitude, le nombre très élevé de données recueillies qui fait la valeur, donc si chacun récupérait la valeur représentée par ses propres données personnelles, cela constituerait une somme dérisoire, de l’ordre de quelques centimes d’euro par transaction.
Enfin, l’abusus, le droit de disposer de la chose, se trouve très vite limité car la disposition juridique du bien, sa vente notamment, est techniquement réalisable, mais elle entraînerait un dessaisissement de l’individu de ses données qui pourraient alors être vendues et revendues à de multiples propriétaires ultérieurs, entrant en profonde contradiction avec l’objectif premier de redonner le contrôle à la personne concernée sur ses données.
Par ailleurs, l’idée que la contractualisation des utilisations des données à caractère personnel entre les plateformes et les personnes concernées pourrait rendre à ces dernières la maîtrise sur le sort de leurs données paraît purement utopique. En effet, le contrat est en pratique le modèle qui peut précisément sceller l’individu dans sa position de partie faible. Le contrat passé entre un individu et une entreprise et surtout les GAFAM, multinationales parmi les plus puissantes et riches du monde, ne pourra, dans la grande majorité des cas, n’être qu’un contrat d’adhésion, prérédigé par la partie forte et auquel la partie faible n’a plus qu’à acquiescer, ou de toute façon, un contrat dont le rapport entre les parties durant la phase de négociations aura été déséquilibré. La conséquence immédiate est un déséquilibre du contrat lui-même avec des clauses en faveur de l’entreprise au détriment de l’individu. Quant à la solution de payer un prix pour profiter des services proposés actuellement gratuitement par ces plateformes contre une absence totale de collecte et de revente des données à caractère personnel des utilisateurs, il faut se poser une question là aussi pragmatique : est-on prêt à payer pour accéder aux réseaux sociaux ? L’absence totale de monétisation des données est-elle souhaitable ?
Enfin, pour contrer l’argument portant sur les outils qui pourraient permettre de réaliser un modèle propriétaire de façon technique, il faut souligner que ces technologies : la blockchain, les smart contracts, les micro-paiements, ne sont pas maîtrisées par le grand public. Bâtir un modèle de gestion de ses données personnelles sur celles-ci sera donc inévitablement vecteur d’inégalités entre les individus rompus à l’utilisation des nouvelles technologies et ceux qui ne le sont pas, ceux qui gèrent habituellement la fructification de leur patrimoine et ceux qui ne le font pas. La maîtrise de ses données à caractère personnel sera réservée à une élite, excluant les autres de toute évolution de la situation. Pour ce qui est de l’outil juridique qu’est le droit à la portabilité des données, il est plus raisonnable de le voir comme une façon pour l’individu de choisir quel responsable de traitement pourra exploiter ses données, d’autant que lorsque l’on étudie ses conditions de mise en œuvre, ce droit est déterminé dans son exercice et les prérogatives qu’il octroie, ce qui le met en contradiction avec le droit de propriété qui, par définition, n’est limité que par le respect des lois et règlements.
Face à l’attitude consistant à vouloir faire intervenir des droits patrimoniaux, et au premier chef le droit de propriété, pour pouvoir permettre à la personne concernée de prendre part à la chaîne de valeur de la patrimonialisation de ses données, se dresse la vision extrapatrimoniale. Cette dernière se veut encadrer ce phénomène par la reconnaissance d’un droit de la personnalité afin de faire primer la protection des données personnelles comme attributs de la personnalité.
La seconde conception derrière laquelle se ranger est celle de voir la donnée à caractère personnel cette fois non comme un bien, mais comme un attribut de la personnalité. La dimension personnelle des données ne se veut pas ignorer la patrimonialisation des données qui se réalise, mais elle appelle à son encadrement dans le but de préserver les intérêts fondamentaux de la personne concernée. C’est ici que la démonstration proposée cesse d’être purement impartiale dans la mesure où cette conception semble la mieux adaptée à l’heure actuelle, en témoignent les nombreux arguments qui viennent à son soutien.
La base de l’approche extrapatrimoniale ou personnaliste réside dans l’idée que la donnée à caractère personnel ne peut pas faire l’objet d’un droit de propriété car c’est un élément reflétant la personnalité de l’individu auquel elle se rapporte. Les données personnelles selon cette conception ne peuvent pas être considérées comme des choses ordinaires. Elles peuvent, en effet, intéresser relativement à la personne concernée son identité, son comportement, sa vie privée (notamment lorsqu’il s’agit de données sensibles à l’instar de l’orientation sexuelle, des opinions politiques, des croyances religieuses…). C’est pourquoi, il apparaît plus judicieux aux tenants de la conception personnelle de reconnaître sur les données un droit de nature extrapatrimoniale et plus précisément de faire entrer les données à caractère personnel dans le lot des attributs de la personnalité protégés par des droits de la personnalité aux côtés du nom, de l’image, de la voix, du droit moral de l’auteur…
D’ailleurs, le régime juridique attaché aux droits de la personnalité a déjà montré son adaptabilité à un contexte de patrimonialisation tout en respectant la dimension éminemment personnelle des objets sur lesquels portent ces droits. Comme étant extrapatrimoniaux, ce sont des droits indisponibles, insaisissables, intransmissibles et imprescriptibles, à l’inverse donc des droits patrimoniaux comme le droit de propriété. On ne peut donc pas, respectivement, louer ou vendre ce droit, ni renoncer à le défendre, même contre récompense, il ne peut être saisi, être transmis à des héritiers après la mort du titulaire, ni être perdu pour cause de non-usage. Chacun peut se rendre compte qu’il n’en demeure pas moins que ces droits peuvent faire l’objet de contrats à des fins d’exploitation et générer des revenus dans le domaine de la musique, de la publicité, de la presse, du cinéma, du théâtre… Cela est dû au fait que ces attributs de la personnalité ont été extériorisés de l’individu pour être fixés sur des objets, matériels ou immatériels, qui peuvent donc être communiqués et même vendus. Les décisions de justice rendues relativement aux droits de la personnalité ont su s’adapter et s’accommoder de ces éléments patrimoniaux sans pour autant remettre en cause le caractère extrapatrimonial des droits de la personnalité.
Un autre exemple de droits de la personnalité que l’on peut citer dont le régime juridique aboutit à une patrimonialisation encadrée par des limites de nature extrapatrimoniale est celui des droits moraux, ou du droit moral, de l’auteur d’une œuvre de l’esprit. En effet, le droit d’auteur est double, il se compose de droits patrimoniaux encadrant son exploitation, notamment commerciale, et de droits moraux prenant en compte le lien entre l’œuvre et son auteur et lui permettant de préserver ses intérêts extrapatrimoniaux car cette œuvre est le reflet de sa personnalité. Parmi ces droits moraux, l’auteur dispose du droit de divulgation qui lui permet de déterminer le moment et les moyens selon lesquels son œuvre sera rendue publique, le droit de voir associer son nom ou pseudonyme à l’œuvre, c’est ce que lui permet son droit de paternité. Enfin, l’auteur peut user de son droit au respect de l’intégrité de l’œuvre et de son droit de retrait et de repentir pour, respectivement, s’opposer à des modifications de l’œuvre initiale qui ne lui conviennent pas et récupérer son œuvre en indemnisant celui qui l’exploitait à tout moment et sans avoir besoin de ne donner aucune justification. Voilà la preuve de ce qu’il est possible d’avoir un renforcement du contrôle de l’individu sur des éléments par l’octroi de droits, mais des droits extrapatrimoniaux, pour tenir compte du lien essentiel existant entre l’individu et ces éléments.
Pour aller plus loin dans la recherche d’une solution pour doter l’individu de moyens de contrôle de l’utilisation de ses données à caractère personnel, il paraît souhaitable de reconnaître au profit de la personne concernée un droit de la personnalité spécifique qu’est le droit à l’autodétermination informationnelle consacré chez nos voisins allemands dès 1983. Ce droit met l’accent sur le pouvoir de décision de l’individu quant à la communication de ses informations personnelles, ce qui est montré rien que par le recours au terme d’« autodétermination », et sa consécration autonome permet de l’élever en droit « cadre » de l’exercice des droits d’accès, de rectification, d’opposition etc. détenus par la personne concernée.
Les divers scandales rendus publics et massivement relayés par les médias, que ce soit l’affaire Cambridge Analytica ou encore le rachat de WhatsApp par Facebook pour ne citer qu’eux, ont montré les limites de la patrimonialisation des données à caractère personnel. Ils ont, en effet, révélé des utilisations ultérieures à celles auxquelles les personnes concernées avaient consenti initialement auprès du premier Responsable de traitement, dérégulées et occultes, pouvant porter atteinte à la protection de nos données à caractère personnel, mais également à l’exercice de nos libertés fondamentales.
Les soutiens d’une conception extrapatrimoniale des données personnelles qui passerait par la reconnaissance d’un droit à l’autodétermination informationnelle en droit français comme premier pas d’une nouvelle dynamique de renforcement des outils mis à la disposition des personnes concernées sont multiples. Ils sont, de plus, corroborés par quelques remarques finales qui achèvent que cette solution apparaît comme la plus souhaitable à l’heure actuelle, lorsque l’encadrement de l’exploitation massive des données personnelles est le but, non pas une abolition de la monétisation qui est purement utopique et ne serait pas forcément bénéfique, ni un encouragement de celle-ci par le basculement de la protection des données vers un régime juridique patrimonial.
Cette façon d’appréhender le lien juridique entre la personne concernée et ses données par le prisme de l’approche personnaliste transparaît dans la réglementation actuelle relative à la protection des données à caractère personnel. Cette protection repose sur l’octroi de droits à l’individu qu’il peut exercer à l’encontre du ou des responsables de traitement. Par ailleurs, même si le RGPD adopté le 27 avril 2016 et entré en vigueur en mai 2018 porte aussi, comme l’indique son titre entier, sur la libre circulation des données, il n’empêche que la logique sous-jacente est celle d’une exploitation des données à caractère personnel des personnes concernées qu’à la condition de permettre à ces dernières d’intervenir en utilisant les droits qui leur sont octroyés et de respecter certaines obligations pour les responsables de traitement, à commencer, au préalable, par un devoir d’information. L’esprit du texte tend plutôt à renforcer l’encadrement des traitements de données suivant une conception extrapatrimoniale.
Les droits que la personne concernée a sur ses données à caractère personnel dans le RGPD et la loi Informatique et Libertés modifiée : droit d’accès, droit de rectification, droit à l’effacement, droit d’opposition ou droit à la limitation du traitement s’inscrivent dans cette philosophie d’accentuation du contrôle de l’individu sur ses données, via des outils de nature extrapatrimoniale pour appréhender le rapport essentiel entre la personnalité de l’individu et ses données à caractère personnel.
Ce modèle personnaliste ou extrapatrimonial, mis en œuvre par la reconnaissance d’un droit à l’autodétermination informationnelle, apparaît le plus convenable pour permettre d’assurer un contrôle de l’individu sur l’utilisation faite de ses données personnelles. Cependant, les soucis d’efficacité qui peuvent être reprochés à ce modèle résident dans le manque de connaissance du grand public des droits qui sont les leurs en matière de protection de leurs données à caractère personnel, qui découle lui-même d’un manque de sensibilisation au RGPD dans sa globalité. Un travail d’éducation et de pédagogie, déjà initié par la CNIL, reste encore à intensifier.
– Alizée VAAST