Le droit des données personnelles est plus que jamais d’actualité. En Europe, l’entrée en vigueur du Règlement général relatif à la protection des données personnelles et à la libre circulation de ces données (RGPD, voir La rem n°42-43, p.21), le 25 mai 2018, a contraint les entreprises à se mettre en conformité 1. Les multiples changements apportés aux conditions générales d’utilisation des services numériques attestent de leur degré de préoccupation. De plus, ces évolutions arrivent dans un contexte de scandales mettant en cause les réseaux sociaux, dont le dernier en date concerne les relations de Facebook avec l’entreprise Cambridge Analytica 2.
Cette dernière, spécialisée dans la communication stratégique et l’analyse de données (courtiers en données), aurait ainsi exploité les données d’environ 87 millions d’utilisateurs du réseau social à des fins de « profilage » politique. L’objectif consistait à anticiper les tendances électorales et à mieux cibler les électeurs potentiels en leur envoyant des messages personnalisés. Les personnes concernées n’ont nullement été informées de ce traitement, de ses finalités, ainsi que de ceux qui ont utilisé leurs données. La collecte a été effectuée par l’intermédiaire d’un professeur de psychologie ayant développé une application mise à la disposition des utilisateurs du réseau social (Thisisyourdigitallife).
SUR LE PLAN JURIDIQUE, LES DONNÉES PERSONNELLES SE SITUENT À LA FRONTIÈRE ENTRE LA PERSONNE ET LA CHOSE
Ceux-ci se voyaient invités à participer à des tests de personnalité. Les questions posées permettaient en outre de recueillir les données de personnes en relation avec les participants, et qui n’avaient pas nécessairement installé l’application, ce qui augmentait considérablement le volume de données collectées. Celles-ci ont par la suite été cédées à l’entreprise Cambridge Analytica et ont notamment servi pendant la dernière campagne présidentielle américaine. Steve Bannon, futur conseiller stratégique du président Donald Trump, figurait au rang des membres du conseil d’administration de la société. Outre la collusion entre les sphères politique et économique, l’affaire mettait ainsi en lumière l’incapacité des réseaux sociaux à garantir un parfait respect des informations de leurs utilisateurs. Elle démontre comment des données divulguées de façon a priori anodine et pour une finalité précise peuvent finalement être récupérées par des tiers et servir d’autres objectifs. Cela est d’autant plus grave que ces nouveaux objectifs mettent en cause l’exercice de droits et libertés aussi précieux que la liberté d’opinion et le droit de vote. C’est d’ailleurs pourquoi Marck Zuckerberg reconnut la pleine responsabilité de Facebook dans cette fuite de données, ce qui lui a valu d’être auditionné par le Congrès des États-Unis et par le Parlement européen.
On rappellera que ce n’est pas la première fois que le réseau social se trouve accusé de pratiques illicites dans ses opérations de collecte de données. La mutualisation des données des utilisateurs de Facebook et de WhatsApp avait déjà donné lieu à une série de sanctions en Europe, mais également dans le reste du monde (voir La rem, n°42-43, p.18-20). Outre le manque de clarté des conditions de partage et le non-respect du droit d’opposition des utilisateurs, cette opération entrait aussi en contradiction avec la position historique de WhatsApp, qui entendait ne pas faire un usage commercial des informations de ses usagers.
LA VOIE D’UNE QUALIFICATION EXTRAPATRIMONIALE DES DONNÉES ENTEND PRÉSERVER L’INTÉGRITÉ DE LA PERSONNALITÉ EN LIMITANT LEUR UTILISATION COMMERCIALE
Toutes ces pratiques ne font que renouveler les interrogations liées aux capacités d’utilisation des données personnelles. S’il est certain qu’elles constituent l’un des moteurs de l’économie numérique, leur attachement à des personnes physiques n’en fait pas des données comme les autres. En tant que « données », elles constituent des informations qui peuvent circuler, être utilisées et valorisées, notamment pour la publicité. En tant que « données personnelles », elles constituent des prolongements de la personnalité des personnes physiques et reflètent des éléments qui leur sont propres (identité, vie privée, intimité, réputation, conscience, choix personnels…). Pour ces raisons, les données personnelles relèvent à la fois de l’être et l’avoir.
Sur le plan juridique, elles se situent à la frontière entre la personne et la chose, et peuvent relever aussi bien de l’une que de l’autre. Cette dichotomie rejaillit sur le plan géographique, puisqu’elle oppose les ordres juridiques européen et états-unien. Alors que le premier tente de préserver l’intégrité de l’identité sur les réseaux, le second fait primer l’aspect informationnel des données et favorise leur exploitation commerciale. L’opposition n’est toutefois que relative, le nouveau Règlement européen étant basé sur la libre circulation des données. Il confère aux individus des garanties supplémentaires leur permettant de mieux maîtriser le sort de ces données, y compris lorsqu’elles sont employées à des fins commerciales. Le niveau adéquat de protection qui peut leur être accordé dépend lui-même de la nature juridique des droits dont elles sont l’objet.
La voie d’une qualification extrapatrimoniale des données entend préserver l’intégrité de la personnalité en limitant leur utilisation commerciale. Si celle-ci n’est pas à rejeter dans l’absolu, elle doit pouvoir être strictement contrôlée par le titulaire des données. C’est cette conception qui a été retenue en droit français, notamment par la loi du 7 octobre 2016 pour une République numérique (voir La rem n°41, p.15), sous l’expression « droit à l’autodétermination informationnelle »3 , et par le RGPD au niveau européen. À l’inverse, l’idée d’un droit de propriété des données compte un certain nombre de partisans. Le rapport publié par le think tank Génération libre en janvier 2018 4 a ainsi permis de dresser un nouvel état des lieux des arguments favorables à cette qualification, en se basant notamment sur les dispositions du RGPD. L’idée part du constat que les données personnelles ont déjà une valeur économique 5 et peuvent donc être considérées comme des biens à part entière. Le fait de reconnaître une propriété des données restaurerait la souveraineté de l’individu sur son patrimoine informationnel 6 et lui permettrait également de profiter des bénéfices liés à leur exploitation.
Malgré cette opposition de principe, on constate que les deux courants ne parviennent à qualifier les données personnelles que de façon imparfaite. Là où le premier admet l’existence d’une « commercialité » limitée des données, normalement incompatible avec leur caractère personnel, le second admet que la patrimonialité des données puisse être organisée selon des règles spéciales, quitte à leur reconnaître un caractère personnel. Aucun ne parvient en théorie à surmonter la dichotomie induite par la nature des données personnelles et à trancher nettement pour une conception « pleinement » personnaliste ou patrimoniale.
AU RÉALISME DE LA CONCEPTION PATRIMONIALE S’OPPOSE L’IDÉALISME DE LA CONCEPTION PERSONNALISTE
La question certes n’est pas nouvelle. Elle s’était déjà posée pour les droits de la personnalité. Cela est logique puisque le développement de ces droits a été intimement lié à celui des procédés de communication 7. Ceux-ci ont permis de matérialiser les informations propres à la personnalité sur des supports distincts de la personne qui peuvent être d’autant plus facilement dispersés. Le besoin d’en contrôler le sort s’est naturellement fait sentir. Le droit à l’image fut l’un des premiers droits concernés, depuis que la photographie a rendu l’image d’une personne « détachable » et « transportable » devant le public 8. Il en est de même avec le droit au respect de la vie privée, qui permet de s’opposer à la divulgation d’informations par voie de presse écrite ou audiovisuelle 9. Ce besoin s’est renforcé avec les services de communication en ligne, qui ont repoussé les limites de l’intrusion en permettant de fixer un nombre croissant de données allant bien au-delà de la vie privée 10. Aussi, les droits de la personnalité sont bien exercés sur des objets extérieurs à la personne, plus ou moins tangibles, et qui peuvent avoir une valeur commerciale. Le droit à l’image peut faire l’objet de contrats d’exploitation et générer des revenus 11. Il en est de même avec le droit au nom 12. Bien que les droits de la personnalité soient normalement extrapatrimoniaux et, par voie de conséquence, incessibles, insaisissables et intransmissibles, une certaine forme de patrimonialisation a toujours été sous-jacente à l’aune des techniques de communication.
Une attraction des droits de propriété intellectuelle, et plus particulièrement du droit d’auteur, a également pu être recherchée 13. La diffusion des éléments de l’identité personnelle procède en effet des mêmes moyens de communication que les œuvres de l’esprit. Le droit d’auteur est aussi doté d’une importante dimension personnaliste, d’où les nombreuses discussions doctrinales liées à sa nature juridique. Le caractère dualiste de ces deux séries de prérogatives (droit moral et droit patrimonial) apparaît ainsi comme un certain compromis entre la conception personnaliste et la conception patrimoniale du droit d’auteur. Surtout, l’œuvre de l’esprit constitue une extériorisation de la personnalité de l’auteur, dont elle porte nécessairement l’empreinte. Il pourrait donc en être de même pour les données personnelles et les autres éléments relevant des droits de la personnalité.
C’EST ÉGALEMENT LÀ LE PARADOXE DU RGPD, QUI RENFORCE LES DROITS DES PERSONNES SUR LEURS DONNÉES, TOUT EN AUTORISANT LEUR LIBRE CIRCULATION
Le rapprochement serait d’autant plus pertinent que certains éléments de l’identité des personnes peuvent faire l’objet d’une certaine mise en forme originale. Tel est le cas des avatars dont la personne peut faire usage sur certains services, tels les jeux vidéo ou les réseaux sociaux, que l’on peut assimiler à des personnages de fiction. Ils expriment bien une personnalité, au sens du droit d’auteur, tout en remplissant une fonction d’identification. L’assimilation ne saurait cependant être totale, dès lors que le droit d’auteur nécessite l’existence d’une création de forme originale. Cette qualité est certes indifférente à un certain nombre de critères (destination, mérite…), mais ne saurait inclure les informations « brutes » propres à un individu. Bien que mises en forme, elles ne sont pas créées. Cette proximité entre les droits de la personnalité et le droit d’auteur pourrait également être recherchée par comparaison avec le droit américain. Le right of privacy y est en effet corrélé au right of publicity, celui-ci permettant d’exploiter les attributs de la personnalité, notamment par des moyens de communication au public. L’exercice de ce droit a d’ailleurs pu être substitué à celui du copyright 14.
La nature juridique des données personnelles ne fait donc que renouveler des questions qui sont anciennes et parfois paradoxales. En effet, il est certain que les deux conceptions ont un objectif commun, la garantie d’une parfaite maîtrise de l’utilisation des données par les personnes auxquelles elles se rapportent. Au réalisme de la conception patrimoniale s’oppose l’idéalisme de la conception personnaliste. De plus, malgré les déclarations de principe tendant à reconnaître un caractère extrapatrimonial aux droits sur les données personnelles, les textes peuvent se prêter à diverses interprétations.
Comme le rapport « Mes data sont à moi » du think tank Génération libre cherche à le démontrer, les prérogatives octroyées aux personnes par le RGPD peuvent s’apparenter à des pouvoirs d’usage et de disposition des données, ce qui les rapproche de la propriété. De façon générale, la mise en œuvre des droits à l’information et au consentement, ainsi que des droits d’opposition et à l’effacement, protégerait l’individu contre toute « dépossession » de ses données. La réification des données résulterait même plus particulièrement de certaines prérogatives. Tel est le cas avec le droit à la portabilité, puisqu’il garantit aux personnes la possibilité de séparer et transférer leur patrimoine informationnel d’un service à un autre. Les prérogatives consacrées dans d’autres textes pourraient également avoir cet effet. En droit français, la création d’un droit sur le sort post mortem des données par la loi pour une République numérique a pu interroger sur l’éventuel caractère transmissible de celles-ci aux héritiers 15. Cette même loi a néanmoins rappelé que les droits ouverts par la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 s’éteignaient au décès de leur titulaire, confortant ainsi leur caractère extrapatrimonial.
IL SEMBLE QUE LA RECONNAISSANCE D’UNE PROPRIÉTÉ DES DONNÉES PERSONNELLES SOIT UN LEURRE
De même, certaines décisions ont pu être interprétées comme reconnaissant la patrimonialité de fichiers de données personnelles. Tel a été le cas à la suite de l’arrêt de la chambre commerciale de la Cour de cassation en date du 25 juin 2013 ; la Cour y confirmait qu’un fichier de clientèle informatisé non déclaré à la Cnil constituait une chose hors commerce et ne pouvait valablement faire l’objet d’une cession 16. Inversement, cela sous-entend que le fichier dûment déclaré peut bien faire l’objet d’une exploitation. L’impératif de protection des données personnelles n’est donc pas totalement exclusif de leur usage commercial. C’est également là le paradoxe du RGPD, qui renforce les droits des personnes sur leurs données, tout en autorisant leur libre circulation.
Enfin, et au vu de ces constats, le recours à une qualification patrimoniale des données ne devrait pas être exagéré. Le triptyque usus, fructus et abusus ne saurait leur être appliqué dans sa totalité. L’article 544 du code civil dispose que le droit de propriété est indéfini dans son contenu, mais non illimité dans sa portée. Certains actes peuvent ainsi être interdits au propriétaire, soit en raison de la nature des biens en cause soit en raison de restrictions légales. La libre disposition des données personnelles pourrait dès lors être exclue pour les plus sensibles, comme celles qui touchent à l’intimité et la dignité des personnes 17. Les dispositions du règlement général et des autres textes relatifs à la protection des données personnelles peuvent être considérées comme contenant de telles restrictions légales, puisqu’elles conditionnent l’exercice du droit de propriété sur ces données, tant par leurs titulaires que par leurs cessionnaires.
Qu’il s’agisse de prééminence de la personnalité sur les intérêts économiques ou de souveraineté de la personne sur ses biens, il semble finalement que le résultat des deux conceptions soit le même, à savoir garantir le contrôle de l’individu sur ses données, y compris lorsqu’elles font l’objet d’une exploitation commerciale. De plus, quand bien même le règlement général ainsi que d’autres textes octroieraient des pouvoirs exclusifs et opposables aux personnes sur leurs données, ces caractères ne sont pas suffisants pour établir leur patrimonialité. L’exclusivité et l’opposabilité sont propres à tout droit subjectif, quelle que soit sa nature juridique. Le débat serait dès lors inutile, puisqu’il porte plus sur des questions de points de vue que sur la portée pratique des mécanismes qui seraient ainsi établis.
Pourtant, il semble que la reconnaissance d’une propriété des données personnelles soit un leurre, malgré la bonne volonté des défenseurs de cette conception. Elle présente en effet de nombreux risques, tels ceux qui ont été relevés par l’affaire Cambridge Analytica. Tout d’abord, la valorisation des données suppose d’atteindre un seuil de rentabilité tel que les actes de collecte, de traitement et de croisement se doivent d’être les plus massifs possibles, ce qui en renforce le caractère intrusif. De plus, cette valorisation n’aurait que peu d’intérêt pour les titulaires des données. En effet, individuellement, les données n’ont que peu de valeur et ne pourraient en acquérir davantage qu’au prix d’importantes divulgations. L’idée d’une rémunération de l’individu en échange de ses données ne constitue donc pas une avancée remarquable. On peut d’ailleurs constater qu’une telle rémunération existe déjà par équivalence, à travers la gratuité d’accès que proposent certains services numériques en échange de l’usage publicitaire des données 18. Aussi, on ne saurait faire peser la gestion des données sur les épaules de consommateurs désarmés et propices à se laisser conquérir par des arguments commerciaux 19. Pour toutes ces raisons, le Conseil d’État français s’était opposé à cette conception dans son rapport « Le numérique et les droits fondamentaux », paru en 2014 20 (voir La rem n°32, p.61).
ON NE SAURAIT FAIRE PESER LA GESTION DES DONNÉES SUR LES ÉPAULES DE CONSOMMATEURS
La voie d’une qualification extrapatrimoniale paraît dès lors préférable, en dépit des incertitudes précitées. Quand bien même il existerait une « échelle de patrimonialité » des droits de la personnalité, celle-ci se doit d’être la plus exceptionnelle possible. La personne n’étant pas une chose, ses informations ne sauraient l’être non plus. Indépendamment de leur valeur commerciale, ces données reflètent des intérêts moraux de la personne et sont consubstantielles à l’exercice de libertés fondamentales, telles que la liberté d’opinion, la liberté de conscience ou encore la liberté d’expression. De tels intérêts ne sauraient en soi être évaluables en argent, et leur utilisation se doit d’être la plus restreinte possible pour prévenir tout risque de discrimination. L’affaire Cambridge Analytica atteste parfaitement des dangers inhérents à un usage dérégulé des données personnelles. Celles-ci ne sauraient être traitées comme des choses ordinaires. C’est bien pour cela que leurs titulaires ne sauraient en disposer à titre définitif, et qu’il importe de garantir un pouvoir de contrôle et de suivi sur leur usage. Les utilités économiques qui peuvent en être tirées ne sauraient être confondues avec les données elles-mêmes, qui doivent conserver un caractère extrapatrimonial. Les dispositions du RGPD ne sauraient donc être interprétées comme instituant une patrimonialité des données, pas plus qu’un droit de propriété sur celles-ci.
L’AFFAIRE CAMBRIDGE ANALYTICA ATTESTE PARFAITEMENT DES DANGERS INHÉRENTS À UN USAGE DÉRÉGULÉ DES DONNÉES PERSONNELLES
Le droit à l’autodétermination informationnelle, qui engloberait l’ensemble des prérogatives des personnes sur leurs données, doit dès lors être considéré comme un droit extrapatrimonial. La notion, consacrée en 1983 par la Cour constitutionnelle allemande, assurerait le maintien d’une conception personnaliste en assimilant les droits des personnes sur leurs données aux droits de la personnalité. Ce droit n’interdit pas une certaine marchandisation des données mais en limite la portée et offre des garanties contre toute divagation. Cette qualification n’est donc pas purement symbolique puisqu’elle confère aux personnes de réels pouvoirs leur permettant de faire respecter leurs intérêts fondamentaux.
Sources :
- Règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
- « Revealed : 50 Million Facebook Profiles Harvested for Cambridge Analytica in Major Data Breach », C. Cadwalladr & E. Graham-Harrisson, The Guardian, March 17, 2018 ; « How Trump Consultants Exploited the Facebook Data of Millions », M. Rosenberg , N. Confessore & C. Cadwalladr, The New York Times, March 17, 2018.
- Art. 1er de la loi du 6 janvier 1978 : « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi ».
- Mes data sont à moi – Pour une patrimonialité des données personnelles, Génération libre, generationlibre.eu, janvier 2018.
- « Pour un droit commercial de l’exploitation des données à caractère personnel », P. Storrer, Recueil Dalloz, 2013, p.1844.
- Informatique et libertés, A. Bensoussan, 2e éd., Francis Lefebvre, Paris, 2010, p.42.
- Une création prétorienne : les droits de la personnalité, R. Lindon, Dalloz, Paris, 1975, p.11-13.
- L’œuvre d’art à l’époque de sa reproductibilité technique, W. Benjamin, Allia, Paris, 2007 (1re éd. 1936), p.44.
- « Liberté de la presse et protection civile des droits modernes de la personnalité en droit positif français », J.-P. Gridel, Recueil Dalloz, 2005, p.391-398.
- « Les nouveaux territoires des droits de la personnalité », L. Marino, Gazette du Palais, 18 mai 2007, p.1477-1483.
- « L’image de la personne est un bien », T. Revet, Revue trimestrielle de droit civil, avril 2009, p.342-346.
- « Le patronyme saisi par le patrimoine », M. Vivant, Mélanges offerts à André Colomer, Litec, Paris, 1993, p.516-531.
- « L’influence de la loi du 11 mars 1957 sur les autres branches du droit », J.-M. Bruguière, Petites Affiches, 6 décembre 2007, p.13-14.
- U.S. Supreme Court, 433 U.S. 562, Zacchini vs Scripps-Howard Broadcasting Co., June 18, 1977.
- « Les données à caractère personnel et la mort – Observations relatives au projet de loi pour une République numérique », C. Pérès, Recueil Dalloz, 2016, p.90-96.
- C. Cass., Ch. Comm., 25 juin 2013, n° 12-17.037, FS-P+B+I ; voir « Le fichier de clientèle informatisé non déclaré à la Cnil est hors commerce », H. Barbier, Revue Trimestrielle de droit civil, juillet 2013, pp. 595-596.
- « Être propriétaire de ses données personnelles : peut-on recourir aux régimes traditionnels de propriété ? », F. Mattatia F. et M. Yaiche, Revue Lamy, Droit de l’immatériel, n° 114, avril 2015, p.60.
- A qui profite le clic ? Le partage de la valeur à l’ère numérique, V.-L. Benabou et J. Rochfeld, Odile Jacob, Paris, 2015, p.27.
- « Pour en finir avec l’idée d’un droit de propriété sur ses données personnelles : ce que cache véritablement le principe de libre disposition », N. Ochoa, Revue française de droit administratif, 2015, p.1157.
- Le numérique et les droits fondamentaux, Étude annuelle 2014 du Conseil d’État, La Documentation française, 2014, p.264.