Le tabou de la propriété des données personnelles, éléments de la personnalité et objets de commerce

Publié le par

Parler de la « propriété » des données personnelles est un quasi-blasphème
pour certains. Autant dans l’entreprise, ces dernières font partie du fonds de commerce, autant pour les individus, elles ne sont pas considérées comme tel. Les contrats suffisent-ils ou faut-il créer un droit spécifique ?

Par Winston Maxwell, avocat associé, et Maxime Cordier, stagiaire*, Hogan Lovells

Les entreprises traitent régulièrement les données comme un élément de patrimoine. L’exemple le plus connu est la liste des clients, élément du fonds de commerce (1). Cette liste peut être vendue dans le cadre d’une cession de fonds de commerce,
et si une entreprise concurrente
se l’approprie sans autorisation, le propriétaire du fonds de commerce peut demander réparation en justice. La liste de clients peut figurer au bilan comme une immobilisation incorporelle. Dans les fusions et acquisitions, la valeur des données peut représenter une partie importante du prix de cession. Alors, pourquoi donc autant de difficulté à parler de la « propriété » de données ?

Propriété pour un marché plus efficace ?
La propriété des données pose question sous l’angle de la personne qui les génère,
et sous l’angle de l’entreprise qui les collecte. En ce qui concerne l’individu, le Conseil d’Etat rejette l’idée qu’une personne puisse être propriétaire de ses données à caractère personnel (2). Celles-ci sont conçues comme un élément de la personnalité, et par là, incessibles. La reconnaissance d’un tel droit limiterait pour les pouvoirs publics la possibilité de protéger les individus. Le Conseil d’Etat propose la reconnaissance d’un droit à l’« autodétermination informationnelle », sur le modèle allemand. D’autres encore appellent à une gestion collective des données personnelles, pensées comme un « bien commun » (3). Certains soutiennent que l’individu devrait disposer d’un droit de propriété afin de créer un marché et corriger le déséquilibre entre les individus et certaines grandes plateformes Internet. L’avocat Alain Bensoussan propose de passer d’une logique du don à une logique de l’échange, nécessitant la reconnaissance par les pouvoirs publics d’un droit de propriété sur les données personnelles (4). Utiliser les données comme une monnaie d’échange est reconnu dans le projet de directive européenne de 2015 concernant certains aspects des contrats de fourniture de contenu numérique : « Dans l’économie numérique, les acteurs du marché ont souvent et de plus en plus tendance à considérer les informations concernant les particuliers comme ayant une valeur comparable à celle de l’argent. Il est fréquent que du contenu numérique soit fourni, non pas en échange d’un paiement, mais moyennant une contrepartie non pécuniaire, c’est-à-dire en accordant l’accès à des données à caractère personnel ou autres » (5). Les données à caractère personnel seraient à la fois un objet de commerce et un élément de la personnalité, protégé en tant que droit fondamental.
Les droits de propriété intellectuelle classiques ne reconnaissent pas les données brutes comme un objet de protection. La protection sui generis bénéficient aux bases
de données non « créatives » si elles ont fait l’objet d’un « investissement substantiel du point de vue qualitatif ou quantitatif » (6). Néanmoins, les données en elles-mêmes ne sont pas protégées. Beaucoup de bases de données issues d’objets connectés pourraient ne pas bénéficier la protection sui generis de la directive, soit qu’elles ne sont pas créatives, soient qu’elles ne pourraient bénéficier de la protection sui generis. Certains auteurs soutiennent que la création d’objets connectés avec des capteurs n’entrerait pas dans le calcul de « l’investissement substantiel » nécessaire pour la protection sui generis des bases de données (7). En tout état de cause, cette protection sui generis ne permet pas une protection entière de la base de données, puisque des extractions et réutilisations de parties non substantielles du contenu de la base de données peuvent être réalisées tant qu’elles ne causent pas de préjudice injustifié aux intérêts légitimes du fabricant de la base.

La protection du secret des affaires
La directive européenne de 2016 sur le secret des affaires (8) permet de protéger le détenteur de données personnelles contre l’acquisition, l’usage et la divulgation illicite de certains secrets. Cependant, son champ d’application se limite aux informations
qui « ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles ». Pour certains auteurs (9), il n’est pas assuré que les données produites par les capteurs des objets connectés puissent être protégées. Les données ne seraient d’ailleurs protégées que contre certaines actions illégales. Les prérogatives issues de la protection par le « secret des affaires » ne peuvent être qualifiées de droit de propriété, mais ce droit consacre néanmoins une certaine protection, à l’instar de la protection accordée à une liste de clients d’une entreprise (10).

Créer un droit de propriété spécifique ?
Cependant, faut-il nécessairement un droit de propriété spécifique ? Certains ne le pensent pas, car le marché des données fonctionne très bien uniquement sur la base de contrats (11). Ils citent le cas des droits sportifs. Dans de nombreux pays, les événements sportifs ne bénéficient pas d’un droit de propriété intellectuelle. Et pourtant les droits de rediffusion se négocient à prix d’or ! La raison est liée à la possibilité technique de contrôler l’accès au stade. L’organisateur de l’événement sportif peut autoriser un seul diffuseur à accéder au stade pour filmer l’événement, créant ainsi une rareté qui se monnaie. Selon le centre de recherche de la Commission européenne, le Joint Research Centre (JRC), les données seraient comme un match de foot : pas de droit de propriété intellectuelle spécifique, mais une maîtrise technique de l’accès aux données qui permet une négociation efficace par voie contractuelle. « Je donne accès
à mes données à Alice, mais pas à Bob ». Si le marché s’organise efficacement autour de contrats – comme c’est le cas pour les événements sportifs – aucun besoin de créer un droit de propriété spécifique. Le règlement général sur la protection des données,
dit RGPD et applicable à partir du 25 mai 2018, reconnaît une série de droits pour l’individu, et impose une série d’obligations au responsable du traitement pour garantir le respect des droits de l’individu (lire encadré ci-dessous). Le RGPD n’utilise jamais
le terme « propriété » pour caractériser les droits de l’individu ou des droits du responsable du traitement. Et pourtant, selon le JRC, le RGPD reconnaît implicitement un droit de propriété pour le responsable de traitement (12). Il s’agit d’un droit de propriété implicite pour l’ensemble des droits résiduels liés aux données. @

Maxime Cordier est étudiant
« Data Protection Officer » (DPO), à l’université Paris II
Panthéon-Assas, et stagiaire au département
« droit et contrats des données » de Hogan Lovells.

ZOOM

D’après le RGPD, le propriétaire des données est le responsable du traitement
Le règlement général sur la protection des données (RGPD), applicable à partir du
25 mai 2018, répartit les droits sur les données personnelles entre deux acteurs : le responsable de traitement et la personne concernée. La personne concernée dispose du « pouvoir d’initiative » dans la création et la mise à disposition de droits sur ses données personnelles (13). Parmi ces droits, les plus significatifs sont le droit d’obtenir une information préalable, le droit d’accès ou le droit de rectification. Le responsable
de traitement est lui le « gardien des données » et dispose de tous les « droits » qui ne sont pas affectés à la personne concernée, ou qui ne sont pas limités par d’autres droits de la personne concernée. En reconnaissant que le responsable du traitement détient le droit de déterminer la finalité et les moyens de traitement, le RGPD confère un degré de sécurité juridique à son statut de « propriétaire » des données.
Propriétaire des droits résiduels , le responsable du traitement reste néanmoins fortement limité dans son exploitation des données. Les contraintes sont d’origine réglementaire : le RGPD, la directive « ePrivacy », le secret bancaire, le secret
médical, … D’autres textes réglementaires limiteront sa marge de manœuvre. Mais
les contraintes peuvent également être d’origine contractuelle, notamment en cas de partage de données entre plusieurs responsables du traitement, chacun lié par un contrat définissant précisément son rôle. Dans un consortium lié à l’Internet des objets, il pourra exister plusieurs responsables du traitement, chacun responsable pour l’exploitation des données en vue de la réalisation d’une finalité spécifique : recherche, amélioration du produit, sécurité, publicité…

Les quatre couches de la propriété des données
La « propriété » des données pour un responsable du traitement peut s’analyser en quatre couches : la première concerne le contrôle technique de l’accès aux données
(il s’agit de l’équivalent des clés du stade, si l’on prend l’exemple des droits sportifs) ;
la seconde a trait à l’existence ou non de droits de propriété intellectuelle pour les données en question (droit sui generis sur les bases de données, secret des affaires) ; la troisième couche porte sur les contraintes réglementaires qui pèsent sur
l ‘ exploitation des données par le responsable du traitement, dont la liberté en tant
que « propriétaire » des données sera réduite (les droits de l’individu au titre du RGPD seront parmi les plus grandes contraintes , mais d’autres pourraient exister, par exemple en droit de la concurrence, ou en application d’un texte spécifique tel que la directive « Services de paiement en matière bancaire », par exemple) ; la quatrième couche concerne les contraintes liées aux contrats auxquels le responsable du traitement est partie (dans le contexte de l’Internet des objets ces contrats seront nombreux, et délimiteront l’étendue des droits de chaque entreprise membre du consortium, identifiant pour chacun la finalité que l’entreprise pourra poursuivre,
et les mesures de protection que celle-ci mettra en place).
L’empilement de ces quatre couches permet de comprendre la « propriété » des données dans un projet spécifique, comme la création d’une ville intelligente, par exemple. Lorsque de nombreuses entreprises interviennent dans le projet, le contrôle physique des données (première couche) sera particulièrement controversé. Dans certains cas le contrôle physique pourra être confié à une entreprise commune qui gérera l’accès pour le compte de l’ensemble des membres du consortium. Dans ce cas, la gouvernance de l’entreprise commune sera déterminante. @