Retour aux articles
Alain BENSOUSSAN : La loi pour la République numérique (L. n° 2016-1321, 7 oct. 2016, JO 8 oct.) et le règlement UE n° 2016/679 du 27 avril 2016 (RGDP) ont réellement changé la donne. Il est désormais reconnu aux personnes dont les données sont traitées le pouvoir de disposer librement de leurs données. L’article 1er, alinéa 2, de la loi n° 78-17 du 6 janvier 1978 (JO 7 janv.) relative à l'informatique, aux fichiers et aux libertés dispose à présent que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi ». Et l’article 20 du RGPD reconnaît à la personne concernée un « droit à la portabilité des données ».
Cette nouvelle prérogative de taille accordée aux individus concernés par un traitement leur accorde une apparente « appartenance-maîtrise » sur leurs données.
Il est cependant important de rappeler une summa divisio : celle entre les données personnelles et les données non-personnelles. Cette distinction est vraiment nécessaire à la compréhension du système.
La question est la suivante : qui est propriétaire des données personnelles ? La réponse, en droit positif : personne. Il n’existe pas de droit de propriété sur les données à caractère personnel et ce, en raison du principe de dignité.
Autre question : qui est propriétaire des données non personnelles, c’est-à-dire des données politiques, économiques et sociales. Là encore, même réponse : personne. Il n’existe pas davantage de droit de propriété des données non-personnelles.
Ce que je défends depuis 20 ans, c'est un droit de propriété sur ses propres données.
ADD : Est-ce que des données à caractère personnel peuvent faire l’objet d’un vol ?
A.B. : La réponse est clairement oui : la jurisprudence pénale reconnaît le vol des données (v. Cass. crim., 9 sept. 2003, n° 02-87.098), alors même que sur le terrain du droit civil, on ne reconnaît pas la propriété des données.
Il y a ici une incohérence entre le droit pénal et le droit civil puisque, a priori, en droit pénal, le vol existe dès lors que l’on vole la chose d’autrui. Or, ici, au regard du droit civil, il n’y a pas de chose « d’autrui » puisqu’il n’existe pas de propriété sur les données
ADD : Faut-il selon vous aller plus loin et consacrer un droit de propriété sur les données ?
A.B. : Chaque jour, nous acceptons des dizaines de cookies sur nos ordinateurs. Pour la moindre transaction en ligne, nous laissons nos noms, prénom, adresse, sexe, date de naissance, etc. Indirectement, nous endossons le rôle de producteur/émetteur de données. Des données brutes laissées en échange de l’accès gratuit à un service, mais qui ne sont pas perdues pour tout le monde. Ces nouveaux usages ont donné naissance à un véritable marché des informations personnelles.
Ces données collectées, par la suite structurées et agglomérées, sont en effet réutilisées et traitées à des fins de profilage commercial. Mais comment s’assurer que ces informations que nous confions à des sites marchands ne seront pas cédées à des tiers ? Un commerce parfois très lucratif s’exerce à l’insu des internautes, qui ne sont pas réellement avisés de la réutilisation de leurs données personnelles. N’étant pas clairement informés, ces derniers ne sont pas conscients des risques encourus, notamment en termes de protection de la vie privée et de l’identité numérique.
Je suis, pour ma part, convaincu que ce phénomène aboutira à une monétisation de ces données : l’évolution devra tôt ou tard conduire à passer d’un droit à la protection à un droit à la propriété des données personnelles. Ce droit permettra alors à chaque individu, de devenir le véritable maître de son identité numérique. Il pourra ainsi déterminer la sensibilité qu’il accorde à tel ou tel type de données et exercer un choix quant à leur publication et leur utilisation.
La liberté de décision du citoyen sur ses données numériques doit en la matière être le principe fondamental et la protection, l’exception.
ADD : Comment matérialiser la possession d’une donnée, élément essentiel pour caractériser la propriété ?
A.B. : Pour les données à caractère personnel, la propriété de la donnée consiste à en mesure d’en contrôler l’accès. C’est là que réside l’enjeu.
Aujourd’hui, la collecte des données doit être licite, loyale et transparente. Pour être licite, elle doit répondre à un des six critères de l’article 6 du RGPD (Règl. UE n° 2016/679, 27 avr. 2016, JO 4 mai 2016, art. 6) : c’est le consentement. Il faut donc réinventer un autre concept, celui de la valorisation de la donnée. Aujourd’hui, on nous situons dans le cadre une économie du don, avec une asymétrie : si l’on prend l’exemple de Facebook, l’individu est le donateur alors que la plateforme s’inscrit dans une logique marchande de valorisation.
La propriété des données, qui reste à inventer, est subtile et leur valorisation reste à établir.
Cette maîtrise de l’individu sur ses données qu’il diffuse devrait permettre de le rendre, en quelque sorte, gérant de leur exploitation. Il faut créer un droit à la souveraineté sur les données personnelles. Un droit de propriété sur les données à caractère personnel qui constitue un véritable droit de l’homme numérique.
ADD : Quelles prérogatives permet ce droit de propriété ?
A.B. : Toutes celles attachées au droit de propriété, sous les trois réserves suivantes :
ADD : Ce n’est pas la thèse du gouvernement qui oppose à l’idée de propriété et de monétisation l’inaliénabilité des éléments de la personnalité…
A.B. : Le Conseil national du numérique avait en effet écarté cette solution dans un rapport rendu en avril 2017 (CNNum, La libre circulation des données dans l’Union européenne, avr. 2017) arguant des difficultés à déterminer ce qu’est une donnée personnelle et/ou qui serait propriétaire de telle ou telle donnée, par exemple lorsqu'elle est produite par un appareil connecté. Et le gouvernement campe sur cette ligne, au nom de l’indisponibilité des données.
A l’opposé, la position de Gaspard Koenig (Koenig G., Chaque citoyen doit pouvoir vendre ses données personnelles, Les Échos, 7 janv. 2018), très libérale pourrait conduire à des excès car le marché est incapable de se réguler.
Je pense, pour ma part, qu’il y a un entre-deux. Par nature, l’information n’est pas inaliénable. Je suis d’avis qu’il faudra quand même réguler le marché de la data. Je pense, par exemple, à l’ADN qui est une donnée qui n’engage pas que la personne, mais aussi son ascendance et sa descendance.
Entre le tout libéral et le tout interdit, il me semble qu’il y a une voie à explorer, celle du partage. Il manque en fait deux droits : le droit de propriété et son revers, le droit à l’intimité. Je recommande la création simultanée de ces deux droits. Le droit de propriété et le droit à l’intimité, ce qui permettrait d’éviter que le marché décide de tout.
Propos recueillis par Gaëlle Marraud des Grottes
Alain Bensoussan, avocat : « À terme, le droit de valoriser ses propres données apparaît inéluctable »
Tech&droit - Données
06/09/2018
Le RGPD ouvre la voie à une meilleure maîtrise des données personnelles, à travers la reconnaissance de nouveaux droits des personnes. Mais est-ce suffisant ? Faut-il aller plus loin et mettre en place un droit réel sur ces données ? Les explications d’Alain Bensoussan, avocat spécialiste en droit des nouvelles technologies de l’informatique et de la communication.
Alain BENSOUSSAN : La loi pour la République numérique (L. n° 2016-1321, 7 oct. 2016, JO 8 oct.) et le règlement UE n° 2016/679 du 27 avril 2016 (RGDP) ont réellement changé la donne. Il est désormais reconnu aux personnes dont les données sont traitées le pouvoir de disposer librement de leurs données. L’article 1er, alinéa 2, de la loi n° 78-17 du 6 janvier 1978 (JO 7 janv.) relative à l'informatique, aux fichiers et aux libertés dispose à présent que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi ». Et l’article 20 du RGPD reconnaît à la personne concernée un « droit à la portabilité des données ».
Cette nouvelle prérogative de taille accordée aux individus concernés par un traitement leur accorde une apparente « appartenance-maîtrise » sur leurs données.
Il est cependant important de rappeler une summa divisio : celle entre les données personnelles et les données non-personnelles. Cette distinction est vraiment nécessaire à la compréhension du système.
La question est la suivante : qui est propriétaire des données personnelles ? La réponse, en droit positif : personne. Il n’existe pas de droit de propriété sur les données à caractère personnel et ce, en raison du principe de dignité.
Autre question : qui est propriétaire des données non personnelles, c’est-à-dire des données politiques, économiques et sociales. Là encore, même réponse : personne. Il n’existe pas davantage de droit de propriété des données non-personnelles.
Ce que je défends depuis 20 ans, c'est un droit de propriété sur ses propres données.
ADD : Est-ce que des données à caractère personnel peuvent faire l’objet d’un vol ?
A.B. : La réponse est clairement oui : la jurisprudence pénale reconnaît le vol des données (v. Cass. crim., 9 sept. 2003, n° 02-87.098), alors même que sur le terrain du droit civil, on ne reconnaît pas la propriété des données.
Il y a ici une incohérence entre le droit pénal et le droit civil puisque, a priori, en droit pénal, le vol existe dès lors que l’on vole la chose d’autrui. Or, ici, au regard du droit civil, il n’y a pas de chose « d’autrui » puisqu’il n’existe pas de propriété sur les données
ADD : Faut-il selon vous aller plus loin et consacrer un droit de propriété sur les données ?
A.B. : Chaque jour, nous acceptons des dizaines de cookies sur nos ordinateurs. Pour la moindre transaction en ligne, nous laissons nos noms, prénom, adresse, sexe, date de naissance, etc. Indirectement, nous endossons le rôle de producteur/émetteur de données. Des données brutes laissées en échange de l’accès gratuit à un service, mais qui ne sont pas perdues pour tout le monde. Ces nouveaux usages ont donné naissance à un véritable marché des informations personnelles.
Ces données collectées, par la suite structurées et agglomérées, sont en effet réutilisées et traitées à des fins de profilage commercial. Mais comment s’assurer que ces informations que nous confions à des sites marchands ne seront pas cédées à des tiers ? Un commerce parfois très lucratif s’exerce à l’insu des internautes, qui ne sont pas réellement avisés de la réutilisation de leurs données personnelles. N’étant pas clairement informés, ces derniers ne sont pas conscients des risques encourus, notamment en termes de protection de la vie privée et de l’identité numérique.
Je suis, pour ma part, convaincu que ce phénomène aboutira à une monétisation de ces données : l’évolution devra tôt ou tard conduire à passer d’un droit à la protection à un droit à la propriété des données personnelles. Ce droit permettra alors à chaque individu, de devenir le véritable maître de son identité numérique. Il pourra ainsi déterminer la sensibilité qu’il accorde à tel ou tel type de données et exercer un choix quant à leur publication et leur utilisation.
La liberté de décision du citoyen sur ses données numériques doit en la matière être le principe fondamental et la protection, l’exception.
ADD : Comment matérialiser la possession d’une donnée, élément essentiel pour caractériser la propriété ?
A.B. : Pour les données à caractère personnel, la propriété de la donnée consiste à en mesure d’en contrôler l’accès. C’est là que réside l’enjeu.
Aujourd’hui, la collecte des données doit être licite, loyale et transparente. Pour être licite, elle doit répondre à un des six critères de l’article 6 du RGPD (Règl. UE n° 2016/679, 27 avr. 2016, JO 4 mai 2016, art. 6) : c’est le consentement. Il faut donc réinventer un autre concept, celui de la valorisation de la donnée. Aujourd’hui, on nous situons dans le cadre une économie du don, avec une asymétrie : si l’on prend l’exemple de Facebook, l’individu est le donateur alors que la plateforme s’inscrit dans une logique marchande de valorisation.
La propriété des données, qui reste à inventer, est subtile et leur valorisation reste à établir.
Cette maîtrise de l’individu sur ses données qu’il diffuse devrait permettre de le rendre, en quelque sorte, gérant de leur exploitation. Il faut créer un droit à la souveraineté sur les données personnelles. Un droit de propriété sur les données à caractère personnel qui constitue un véritable droit de l’homme numérique.
ADD : Quelles prérogatives permet ce droit de propriété ?
A.B. : Toutes celles attachées au droit de propriété, sous les trois réserves suivantes :
- L’information est un élément indéfiniment reproductible ;
- Elle intervient sans dépossession ;
- Le coût marginal de production est quasiment nul.
ADD : Ce n’est pas la thèse du gouvernement qui oppose à l’idée de propriété et de monétisation l’inaliénabilité des éléments de la personnalité…
A.B. : Le Conseil national du numérique avait en effet écarté cette solution dans un rapport rendu en avril 2017 (CNNum, La libre circulation des données dans l’Union européenne, avr. 2017) arguant des difficultés à déterminer ce qu’est une donnée personnelle et/ou qui serait propriétaire de telle ou telle donnée, par exemple lorsqu'elle est produite par un appareil connecté. Et le gouvernement campe sur cette ligne, au nom de l’indisponibilité des données.
A l’opposé, la position de Gaspard Koenig (Koenig G., Chaque citoyen doit pouvoir vendre ses données personnelles, Les Échos, 7 janv. 2018), très libérale pourrait conduire à des excès car le marché est incapable de se réguler.
Je pense, pour ma part, qu’il y a un entre-deux. Par nature, l’information n’est pas inaliénable. Je suis d’avis qu’il faudra quand même réguler le marché de la data. Je pense, par exemple, à l’ADN qui est une donnée qui n’engage pas que la personne, mais aussi son ascendance et sa descendance.
Entre le tout libéral et le tout interdit, il me semble qu’il y a une voie à explorer, celle du partage. Il manque en fait deux droits : le droit de propriété et son revers, le droit à l’intimité. Je recommande la création simultanée de ces deux droits. Le droit de propriété et le droit à l’intimité, ce qui permettrait d’éviter que le marché décide de tout.
Propos recueillis par Gaëlle Marraud des Grottes
Source : Actualités du droit
