La difficile détermination du titulaire du droit de propriété sur les données et de l’étendue des prérogatives qui s’y attachent

______________________________

532 A ce titre, v. l'aff. Langevin devant la Cour d'appel de Californie (People c/ Langevin, n° 12905. 7 mai 1984, 155 Cal. App. 3D 520). Dan cette espèce, un employé d'un cabinet de conseil financier a utilisé un code confidentiel qui lui a été confié par son ex-employeur à la banque centrale américaine et qui lui permettait d'avoir accès à des informations financières réservées au personnel de la banque. V. ég. R. Deger, « Putting a price on our Internet identities », The Recorder/Cal Law, 14 juin 1999. V. ég ; le rapport de l'Administration Nationale de l'Information et des Communications américaine (US National Telecommunications and Information Administration) intitulé « Privacy and Self-Regulation in the Information Age », juin 1997, adresse : http://www.ntia.doc.gov/report/1997/privacy-and-self-regulation-information-age.

533 L. Marino, R. Perray, « Les nouveaux défis du droit des personnes : la marchandisation des données personnelles », in « Les nouveaux défis du commerce électronique », dir. J. Rochfeld, LGDJ, Paris 2010, p. 55 à 70.

151

176. - Lorsqu'ils décident par eux-mêmes du « design de leur visibilité »535, les utilisateurs alimentent plus ou moins la base d'informations dont disposera par la suite le fournisseur du service donné. Le paradoxe de cette situation est que les individus, selon la tendance générale à s'exposer, deviennent eux-mêmes, souvent inconsciemment, leur propre « régie

publicitaire »536_{, sans que les entreprises aient besoin de les solliciter pour qu'ils communiquent}

des informations. La condition de consentement à l’utilisation se voit donc considérablement fragilisée. Par voie de conséquence, la marchandisation des données est un phénomène à double tranchant : certes, elle contribue au développement du e-commerce en stimulant la libre circulation des données (« free flow of information »), mais elle risque également de compromettre le déploiment du commerce électronique en raison de la méfiance que peuvent ressentir les internautes.

177. - Dans ce contexte, l'idée de reprendre le contrôle sur les données personnelles en aménageant le droit de propriété commence à séduire les intellectuels et les juristes de tous les horizons. Comme conséquence, la marchandisation consentie des données personnelles est déjà une réalité aux États-Unis, assurée notamment par le biais d'intermédiaires agissant comme des « courtiers » de données (« data brokers ») et proposant aux individus de reprendre le contrôle sur leurs données ou d'en redevenir propriétaires en les portant sur une place de marché destinée aux annonceurs. Il est donc acquis que la donnée personnelle est valorisable, cessible et commercialisable, avec comme seule obligation de recevoir une contrepartie. A ce titre, les conditions générales de tels services américains de courtage de données que Datacoup stipulent explicitement que les données des utilisateurs qui leurs sont soumises leurs sont en réalité cédées, ce qui les autorisent à les revendre par derrière. Ainsi, pour le prix de huit dollars par mois ils obtiennent l'accès libre aux profils sociaux (notamment Facebook et Twitter), ainsi qu'à l’historique des achats en ligne d'utilisateurs souhaitant réaliser la transaction. Telle n'est pas encore l'actuelle approche de la réglementation française ni européenne, reposant plutôt sur une conception « personnaliste », considérant les données personnelles comme un prolongement de la personne humaine et les protégeant à ce titre. Dans la conception européenne, le droit que détient le propriétaire de données n'est pas tant un droit de propriété – avel le même sens que dans la doctrine américaine – mais plutôt un droit de contrôle sur les traitements. Cette approche se justifie par le fait que, par sa nature et particulièrement dans le contexte numérique, la donnée se clone facilement et rapidement, ce qui fait qu'on a du mal à reconnaître un droit réel dessus dans la mesure où la notion de « propriété » implique une dimension exclusive dans le rapport à la possession. Ainsi, en Europe, une donnée personnelle est donc inaliénable et théoriquement non-commercialisable, en vertu du principe de non- commercialisation du corps humain. Le droit de propriété se réduit à un droit de contrôle sur l'exploitation qui est un droit personnel et qui s'exerce par l'intermédiaire d'un tiers537. Mais les limitations apportées à la marchandisation des données personnelles sont critiquées par ceux ______________________________

535 D. Cardon, « Le design de la visibilité : un essai de cartographie du web 2.0 », Réseaux, n° 152, 2008, Paris, Lavoisier, p. 93-137.

536 K. Douplitzky, « Le commerce du moi, modèle économique du profilage », Hermès, n° 59, 2009, Traçabilité et réseaux, p. 117.

537 Th. Saint-Aubin, « Les nouveaux enjeux juridiques des données (big data, web sémantique et linked data). Les droits de l'opérateur de données sur son patrimoine numérique informationnel. », RLDI, n°102, mars 2014, p. 94-101.

152

qui prône le développement libre de la « société connectée ». L'inaliénabilité des renseignements personnels ne vas pas seulement à l'encontre des intérêts commerciaux des entreprises européennes face à la concurrence américaine en pleine force, mais, et peut-être surtout, à l'encontre des pratiques généralisées venant des individus eux-mêmes qui n’ont aujourd'hui aucun problème à partager leurs données personnelles en fonction de leurs propres préférences et intérêts. Pour répondre aux besoins de ces derniers, des services européens tels que YesProfile ne proposent pour l'instant qu'une demi-mesure par rapport aux solutions américaines, car ils offrent seulement de « louer » les données de l'utilisateur afin de les transmette, avec le consentement de ce dernier, aux annonceurs sélectionnés pour qu'ils puissent lui adresser ses offres commerciales directement à son adresse e-mail. Au retour, l'utilisateur reçoit de l'argent ou peut choisir de transférer les fonds à une association caritative. À cet égard, il garde donc un certain contrôle sur ses données (ce qu'on appelle « empowerment » numérique aux États-Unis), car il en demeure propriétaire exclusif et conserve donc le droit, à tout moment, d'exiger que s'interrompe la collecte et le traitement de ses données à des fins de suggestion commerciale. Cette reconnaissance des droits économiques de l'individu a pour résultat de permettre à l'usager propriétaire des données d'obtenir non pas seulement des dommages et intérêts en cas de violation de ses droits, mais aussi des injonctions pour éviter que le dommage ne se reproduise538.

178. - Le droit de propriété de l'individu sur ses données à caractère personnel est donc mieux garanti en Europe qu'aux États-Unis, les services de courtage étant uniquement des utilisateurs, des exploitants des données - mais jamais leurs propriétaires. Et même dans ce rôle réduit, ils agissent en tant que responsables de traitement des données qui leurs sont soumises et à ce titre sont tenus d'un ensemble d'obligations : de conservation, de la communicabilité, de l'effacement, etc. De surplus, ils doivent veiller à ce que tous leurs partenaires commerciaux – donc, par exemple, les annonceurs à qui ils les transmettront – apportent des garanties suffisantes de sécurité et du respect des choix de confidentialité de l'utilisateur. Par conséquent, l'approche européenne semble plus respectueuse des droits des uns et des autres, et donc mieux adaptée, malgré les opinions selon lesquelles elle constitue un frein à la liberté d'entreprendre des sociétés dont l'activité tourne autour d'échanges de données. Quand bien même des règles plus restrictives soient imposées aux acteurs économiques européens relativement aux pratiques jugées comme attentatoires au droit fondamental à la protection des données à caractère personnel, celles-ci - en laissant le pouvoir décisionnel à l'individu - seront mieux placées pour répondre aux tensions montantes autour de la problématique de la vie privée et de l'usage croissant des données personnelles, en instaurant un environnement de confiance et en modelant une relation avec les usagers susceptible de permettre, à terme, la mise ne place de nouvelles co-constructions de valeur. Or, le système actuel doit être considéré comme une solution à parfaire étant donné qu'il n'est pas encore suffisamment équitable, ni en termes financièrs ni en termes de rapports de force. En effet, alors que la collecte d'informations engendre peu de frais aux entreprises, leur revente procure des bénéfices importants, auxquels l'individu n'est aucunement associé. Le prix de mise à disposition de données est également ______________________________

538 P. Samuelson, « Book review. A new kind of Privacy? Regulating uses of personal data in the global information economy », California Law Review, 1999, vol. 87, p. 751.

153

fixé de manière unilatérale, sans participation de l'individu, leur propriétaire. De surplus, le consommateur ne dispose pas de moyens de pression concrets contre les entreprises pour obtenir une vision transparente sur les opérations dont font l'objet ses données, une fois « louées ». Pour éviter certains abus, une partie de la doctrine propose de mettre en place un système proche de celui des « secrets de commerce », et qui aurait donc fonctionné par l'intermédiaire de licences obligatoires539, comme dans certaines licences logicielles. Ainsi, l'individu aurait plus de visibilité sur le sort de ses données et serait en mesure de faire des choix plus responsables sur les échanges qu'il veut ou non autoriser. D'autres initiatives concernent la garantie de la liberté des utilisateurs à choisir la plateforme à qui ils sous- traiteront l'exploitation de leurs données, ainsi que la liberté de pouvoir toujours revenir sur leur choix sans que cela porte atteinte aux données. Dans ce sens, les garanties doivent être apportées quant à la portabilité des données. Tel est, par exemple, une des revendications du « User Data Manifesto 2.0 »540 Pour les rédacteurs de ce document, « les utilisateurs devraient

toujours être en mesure d’extraire leurs données du service à tout moment sans faire l’expérience de l’enfermement propriétaire. ».

179. - Enfin, à l'inverse du mouvement ayant pour but l'aménagement de propriété sur le marché des données, pour protéger les données des individus face aux dérives de cette nouvelle économie, de nombreuses voix se lèvent pour prôner le caractère non-marchand de celles-ci. On s'approche donc ici du concept de l'autodétermination informationnelle des individus, développé plus loin, plutôt que de la création d'un droit privatif sur les données. Une différence non négligeable, lorsqu'on prend en compte le fait qu'à partir du moment où la protection des données ne relève plus des droits de la personnalité inaliénables, elle perd son caractère fondamental puisque le droit de propriété implique un doit d'être dépossédé541. Un récent rapport du Conseil d’État déjà précité542 _{dont l'objectif est de répondre aux différentes}

problématiques émergentes en lien avec le développement du Big Data, déclare avoir pour ambition de sortir la donnée personnelle du champ commercial, pour qu'elle ne soit plus considérée comme une marchandise. Pour le Conseil d’État, le droit de propriété sur les données personnelles est un concept dangereux et susceptible de nombreuses dérives. Le texte met l'appui sur le déséquilibre, déjà mentionné, qui existe dans la répartition des revenus générés par les données, tout en indiquant que : « le rééquilibrage de la relation entre les

éditeurs de services numériques et les internautes, qui découlerait de la reconnaissance d'un tel droit de propriété, apparaît largement illusoire. Sauf pour des personnalités d'une particulière richesse ou notoriété, la valeur des données d'un seul individu est très limitée, de l'ordre de quelques centimes ou dizaines de centimes »543. De même, la résonance de la

______________________________

539 P. Samuelson, « Privacy as Intellectual Property », Stanford Law Review, 2000, vol. 52, p. 1125. 540 Adresse : https://userdatamanifesto.org/2.0/.

541 CNIL, Cahiers IP, n° 1, « Vie privée à l'horizon 2020 », p. 55, adresse : http://www.cnil.fr/fileadmin/documents/Guides_pratiques/Livrets/Cahier-ip/cnil_cahieripn1/files/assets/basic-

html/page55.html .

542 CE, « Le numérique et les droits fondamentaux », étude annuelle du 17 juill. 2014, Doc.fr, Paris, 2014, adresse : http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/144000541.pdf.

154

« Déclaration préliminaire des droits de l'Homme numérique »544 proposée par le Forum d'Avignon est également la dénonciation des risque que portent la patrimonialisation des données. Le texte dévoile huit propositions de réforme ayant pour but de garantir l'utilisation responsable des données des citoyens. Le premier de ces principe énonce que « les données

personnelles, en particulier numériques, de tout être humain traduisent les valeurs culturelles et sa vie privée. Elles ne peuvent être réduites à une marchandise. ». Or, pour l'instant, c'est

une approche qui connaît très peu de succès, dont témoigne l'accueil mitigé qu'a reçu le réseau social « Ello » se prévalant de ne pas procéder à l'exploitation des données personnelles de ses utilisateurs545. En attendant de véritables évolutions sociales, les individus qui ne s'intéressent pas aux usages qui sont faits de leurs données et ceux qui préfèrent les monnayer sont toujours plus nombreux que ceux qui se soucient véritablement de la protection de leurs renseignements personnels.