Le marché des données à caractère personnel

« La valeur de l’économie européenne fondée sur les données pour-68

rait atteindre plus de 700 milliards d’euro d’ici à 2020, ce qui repré-sente 4 pour cent de l’économie de l’UE 27».

Éléments de la personnalité mais également actifs stratégiques de 69

l’entreprise, les données personnelles sont devenues un bien mar-chand, une matière première, répondant à la logique économique de l’o�re et de la demande.

Comme toute matière première disponible en abondance, la donnée 70

a peu de valeur en-soi, c’est le résultat de son traitement qui lui en fait prendre. A titre d’exemple, la valeur d’une donnée disponible sur Facebook correspond à la capitalisation de Facebook, divisée par le nombre d’abonnés, ce qui correspond environ à 40 dollars

26. G�������, Comment assurer l’e�ectivité de la protection des droits à l’ère post-snowden ?, p. 20.

27. C��������� ����������, Achever un marché unique numérique inspirant con�ance pour tous - Communication de la Commission au Parlement Euro-péen, au Conseil euroEuro-péen, au Conseil, au Comité économique et social eu-ropéen et au Comité des régions du 15 mai 2018 (COM(2018) 320 �nal), in : Commission européenne (https ://ec.europa.eu/), Bruxelles 2018, p. « https: //ec.europa.eu/transparency/regdoc/rep/1/2018/FR/COM-2018-320-F1-FR-MAIN-PART-1.PDF » (21/07/2019), p. 2; R������� Anne, Dateneigentum – ein unau�ösbarer Interessenkon�ikt ?, in : Datenschutz und Datensicherheit-DuD 2019 43/6, pp. 353-360.

§1. L’extra-territorialité du droit européen de la protection des données

par personne 28.

La valeur d’une donnée peut également être calculée par le manque 71 à gagner, lors de sa disparition, par exemple à la suite d’un vol de données. Il peut également résulter du risque de sanction adminis-trative ou de versement de dommages-intérêts lors du contrôle a posteriori e�ectué par les autorités de contrôle ou les recours ju-ridictionnels e�ectifs des parties lésées. A titre d’exemple, le vol de données subi par Equifax (perte des données de 147 millions d’américains) va coûter entre 575 millions et 700 millions de dollars à l’établissement de crédit en compensation des dommages indivi-duels et en sanctions civiles, dans le cadre d’un accord avec l’agence de régulation fédérale, l’agence de protection des consommateurs et les 50 États et territoires américains 29.

Considérées comme un bien marchand au États-Unis, les données 72 personnelles font l’objet de transactions á titre rémunéré sur une bourse des données avec des intermédiaires spécialisés dans le cour-tage des données personnelles (data broker) 30. La doctrine euro-péenne reconnaît la double nature de la donnée, notamment son statut de marchandise 31.

Aux États-Unis, une adresse vaut 50 cents, une date de naissance 2 73 dollars, un numéro de sécurité sociale 8 dollars, un livret militaire 35 dollars 32.

A contrario, on peut également estimer la valeur des données per- 74 sonnelles en calculant combien coûte leur non-divulgation. Ainsi,

28. L������� Paul, Vos données personnelles sur internet peuvent valoir de l’or, in : Challenges (https ://www.challenges.fr/), Paris 2014, p. « https://www. challenges.fr/high-tech/vos-donnees-personnelles-sur-internet-peuvent-valoir-de-l-or_57690 » (22/05/2019), p. 1.

29. C�������� Victoria / F��� Brian, Equifax exposed 150 million Americans’ personal data. Now it will pay up to $700 million, in : CNN Business (https ://edition.cnn.com/), Atlanta 2019, p. «https://edition.cnn.com/2019/ 07/22/tech/equifax-hack-ftc/index.html » (22/07/2019).

30. B����� David / D���� Antoine / W��������� Patrick, Selling Strategic In-formation in Digital Competitive Markets, in : HAL Archives-Ouverts 2018, p. 2 ss.

31. N���� Daniele, « Courtoisie internationale » et portée extraterritoriale du droit européen à la protection des données à l’épreuve de la Cour, in : Cahiers de droit europeen 2018 54/2, p. 1.

32. L�������, Vos données personnelles sur internet peuvent valoir de l’or, p. « https://www.challenges.fr/high- tech/vos- donnees- personnelles-sur-internet-peuvent-valoir-de-l-or_57690 » (22/05/2019), p. 1.

une start-up californienne, dénommée "Protect my ID", protège les données personnelles d’une divulgation au prix mensuel de 15,95 dollar par mois 33.

Le marché des données volées a quant à lui la capacité de créer 75

des problèmes politiques de grande ampleur 34. La récente jurispru-dence du Tribunal fédéral suisse 35 rappelle l’existence d’une pré-somption de bonne foi entre États, tel qu’elle découle de la Conven-tion de Vienne sur le droit des Traités 36.

Malgré la volonté des entreprises de limiter les risques de sécurité, 76

et de préserver la con�ance de leurs clients en lien avec les traite-ments des données personnelles 37, la cybersécurité constitue une priorité pour de nombreuses organisations, le nombre de violations de données ne cessant d’augmenter 38.

La gestion de ces risques portent principalement sur l’accès aux 77

données, la « cyber infrastructure » constituée des serveurs, des dorsales internet (backbones), des commutateurs et routeurs 39. La lutte contre les virus et les malwares est également au centre des enjeux de cybersécurité (Exemple du logiciel pirate ransomware

33. B�������� Christophe, Rapport CIGREF « Economie des données person-nelles », Paris 2015, p. 32.

34. T������� �������, Communiqué de presse du TF du 5 avril 2017, en lien avec l’arrêt du 17 mars 2017 (2C_1000/2015), in : Tribunal fédéral (https ://www.bger.ch/), Lausanne 2017, p. « https://www.bger.ch/�les/ live/sites/bger/�les/pdf/fr/2C_1000_2015_2017_04_05_T_f_09_47_53.pdf » (03/12/2018).

35. ATF 2C 893/2015 du 16 février 2017, consid. 11.1.

36. Message relatif à l’adhésion de la Suisse à la Convention de Vienne de 1969 sur le droit des traités et à la Convention de Vienne de 1986 sur le droit des traités entre Etats et organisations internationales ou entre organisations internationales du 17 mai 1989, FF 1989, p. 697.

37. B���� Marcus, Sicherheitsrisiko facebook, Twitter & Co., in : Digma : Zeit-schrift für Datenrecht und Informationssicherheit 2010 10/1.

38. O’B���� David, Privacy and Cybersecurity Research Brie�ng, in : Berkman Klein Center Research Publication 2016/17, p. 4 ss.

39. S������� Paul J. (édit.), Encyclopedia of Cyber Warfare, Santa Barbara 2017, p. 15.

§1. L’extra-territorialité du droit européen de la protection des données

WannaCry en Mai 2017) 40.

Plus encore, comme le mentionne Yuval Noah Harari 41, la concen- 78 tration actuelle des données personnelles de nature biologique ou génétique, combinée à la puissance de calcul des ordinateurs et aux technologies d’intelligence arti�cielle et d’apprentissage machine rendent désormais possible le « hacking » de l’être humain 42. Les enjeux de la cysécurité réside pour lui dans dans la capacité des al-gorithmes d’avoir une connaissance plus �ne d’une personne que la personne elle-même. Cet état de fait faciliterait ainsi les prédic-tions des choix et décisions individuelles ce qui pourrait aboutir à la manipulation des individus. L’enjeu de la protection des données in �ne serait celui du déplacement du pouvoir des individus vers celui des algorithmes, aboutissant aussi à une délégation potentielle de responsabilité.

La CJUE et le Règlement européen tentent de maintenir un équi- 79 libre des rapports de force entre tous les acteurs à l’ère digitale. A la suite de l’arrêt Schrems 43, le Règlement place la personne humaine au coeur du dispositif de la protection des données 44 et rappelle la responsabilité des acteurs économiques dans le traite-ment des données personnelles, certaines étant plus sensibles que d’autres (données de santé, biologiques, génétiques...). La possibi-lité d’un contrôle a posteriori et d’une action civile en responsabi-lité (voir paragraphe 1294) est cruciale en ce qu’elle rappelle aux acteurs économiques que dernière les données personnelles collec-tées se trouvent une personne humaine, digne de respect et que sa vie privée a une valeur digne de protection. Le non-respect de la personne humaine à travers le traitement de ses données person-nelles est punissable par des sanctions dissuasives des autorités de

40. M���� Paul / S���������� Daniel, WannaCry, the Geneva Digital Conven-tion and the urgent need for Cyber Peace - A commentary by ICT4Peace, in : ICT4Peace Foundation (https ://ict4peace.org/), Geneva 2017, p. « https:// ict4peace.org/wp- content/uploads/2019/08/ICT4Peace- 2017- Wannacry-GenevaDigitalConvention.pdf » (03/12/2019).

41. H����� Yuval Noah, Homo Deus : A brief history of tomorrow, 1eéd., New York 2018; H����� Yuval Noah, 21 Lessons for the 21st Century, 1eéd., Lon-don 2018.

42. H����� Yuval Noah, Conférence du 10 juillet 2019, EPFL, Lausanne.

43. Arrêt CJUE du 6 octobre 2015, Maximillian Schrems contre Data Protection Commissioner, C-362/14, ECLI :EU :C :2015 :627, consid. 62.

44. F�����S����� Christiane, Comment les droits de la personne concernée sont-ils renforcés ?, in : G������� Alain (édit.), Enjeux européens et mondiaux de la protection des données personnelles, 1^eéd., Bruxelles 2015, p. 222.

contrôle et le versement de dommages-intérêts par le juge (art. 83 RGPD, art. 82 RGPD).

III. L’intégration croissante de l’Europe de la