Le site de l’observatoire « Mes datas et moi » a publié hier un article au titre assez provocateur (Bientôt tous rentiers grâce à nos données personnelles ?), qui a suscité des échanges intéressants sur les réseaux sociaux. L’auteure défend en effet la thèse, a priori surprenante, selon laquelle le RGPD ouvrirait la possibilité pour les individus de revendre leurs données à caractère personnel :
Le Règlement européen de protection des données (RGPD) qui entre en vigueur le 25 mai prochain ouvre la voie à la vente par chaque internaute européen de ses données personnelles. […]
A partir du 25 mai, les internautes européens deviennent légalement propriétaires de leurs données personnelles sur Internet. Le Règlement européen de protection des données (RGPD) qui entre en vigueur à cette date impose aux géants du numérique de lister toutes les données qu’ils recueillent sur chaque utilisateur, et de solliciter son consentement explicite. Il renforce en outre le droit à l’oubli (effacement des données personnelles sur demande de l’utilisateur) et permet la portabilité des données (autrement dit, un internaute pourra récupérer les données collectées par une entreprise pour les transmettre à une autre entité). De fait, ce nouveau texte permet aux internautes européens d’être réellement propriétaires de leurs données et de maîtriser leur exploitation. De là à imaginer que chacun puisse s’enrichir en revendant ses données personnelles collectées, il n’y a qu’un pas.
Les termes employés font immédiatement penser aux propositions du Think Tank Génération Libre, défenseur de la thèse de la « patrimonialité des données numériques« , d’ailleurs cité plus loin dans l’article :
Le think tank GénérationLibre a publié en janvier dernier un rapport défendant l’idée d’une « patrimonialité » des données. Gaspard Koenig, son président, estime en effet qu’« il s’agit de rendre aux citoyens ce qui leur appartient ». S’inspirant de l’essayiste américain Jaron Lanier qui prônait une rémunération des données pour tous dès 2012, il propose que chaque internaute négocie avec les grands groupes du numérique, et passe contrat pour l’utilisation de ses données personnelles via la technologie Blockchain.
L’article commet en réalité une confusion en assimilant les nouveaux droits que le RGPD consacre au profit des individus (droit à l’effacement, droit à la portabilité) à une forme de propriété privée. Ce terme n’est employé nulle part dans le règlement et le texte s’inspire au contraire de la philosophie « personnaliste » qui protège les données comme des attributs de la personnalité, et non comme une propriété. Mais si l’article part d’emblée sur une fausse piste, il n’en soulève pas moins une question connexe intéressante : même si le RGPD ne consacre pas un droit de propriété sur les données personnelles, est-ce qu’il empêche un individu de vendre ses données à un tiers contre une rémunération ? Imaginons par exemple qu’une société propose aux internautes la somme de 20 euros pour leur acheter leur historique de navigation ou leur géolocalisation via leur téléphone mobile. Est-ce que de telles transactions seraient juridiquement valables ?
On va voir qu’il n’est en réalité pas si simple d’apporter une réponse à cette question et qu’il va nous falloir pour cela plonger dans les profondeurs du RGPD…
De la difficulté de construire une « vente » de données personnelles sur la base du RGPD
Partons de l’hypothèse qu’un individu veuille effectivement procéder à une vente de données personnelles au profit d’un tiers contre rémunération. Une telle opération pourrait s’appuyer sur la base légale du consentement, prévue à l’article 6 du RGPD : « Le traitement n’est licite que si […] la personne concernée a consenti au traitement de ses données à caractère personnel« .
Néanmoins, le texte ajoute immédiatement une condition supplémentaire importante, puisque que le consentement doit nécessairement être donné « pour une ou plusieurs finalités spécifiques« . A la différence de la vente d’un bien qui implique un véritable transfert de propriété, l’entreprise qui collecterait des données personnelles contre rémunération serait donc obligée d’indiquer une ou plusieurs finalités précises de traitement qui la lierait ensuite dans le temps.
On ne serait donc pas réellement dans une « vente », mais plutôt dans l’octroi d’une simple licence, un peu à la manière de ce qui se passe avec les autorisations accordées au titre du droit d’auteur. Mais la comparaison n’est pas non plus exactement pertinente, car une « cession » des droits vers un tiers ne peut pas être opérée en matière de données personnelles. En effet, le RGPD prévoit que l’individu doit pouvoir retirer son consentement à tout moment aussi simplement qu’il l’a accordé, ce que ne peut faire un auteur une fois qu’il a cédé ses droits à un éditeur, par exemple.
Malgré le versement d’une rémunération, il n’y aurait donc pas réellement de « vente », ni de « cession » des données personnelles, mais plutôt une simple « location » au titre de laquelle l’acheteur n’obtiendrait qu’un bail extrêmement précaire, puisque révocable à tout moment par l’intéressé sans avoir à se justifier. On peut donc certes rémunérer l’individu pour effectuer les tâches nécessaires à la collecte (remplir un formulaire par exemple), mais sans que cela produise ensuite les effets complets d’une « vente » en terme d’aliénation.
Notons que ces contraintes font également qu’il serait extrêmement difficile pour cet acheteur de revendre ensuite ces données à un tiers, même en l’indiquant comme une des finalités poursuivies et si l’individu concerné l’accepte, car il faudrait alors que ce tiers auquel les données sont revendues fixe lui aussi des finalités de traitement et obtienne à nouveau le consentement de l’individu en revenant vers lui.
Cette chaîne d’obtention de consentements au fil des « reventes » n’est peut-être pas complètement impossible à mettre en place, mais elle serait compliquée à construire de manière à garantir la sécurité juridique des opérations. Aux Etats-Unis, on trouve déjà des entreprises qui se positionnent comme des « courtiers de données personnelles » agissant comme intermédiaires entre les individus qui leur confient des données et des tiers qui veulent les acheter. L’une d’elles s’appelle Datacoup et j’avais consacré en 2014 un billet à son mode de fonctionnement.
Datacoup n’achète pas directement les données à ses utilisateurs, mais elle leur demande via des applications la remise de leurs données qu’elle offre ensuite sur une place de marché à des tiers. Lorsqu’une entreprise fait une demande d’achat, Datacoup le signale aux individus et leur verse une (micro)rémunération en prélevant au passage une commission.
Ce modèle n’est sans doute pas complètement impossible à faire fonctionner dans le cadre du RGPD. Mais il faudrait que l’intermédiaire obtienne chaque fois le consentement spécifique de l’individu pour chaque transaction, en lui indiquant les finalités précises pour lesquelles un tiers souhaite obtenir ses données. Même en procédant ainsi, on ne pourrait pas parler d’une « vente » au sens propre du terme, notamment à cause de la réversibilité du consentement que l’individu pourrait toujours faire jouer pour retirer le droit d’usage accordé.
Une récompense positive induit-elle un vice du consentement « libre » ?
On pourrait cependant même aller plus loin et considérer que le RGPD interdit structurellement de livrer valablement ses données personnelles à un tiers en échange d’une rémunération. En effet, le texte est porteur d’une conception exigeante de la qualité du consentement qui, pour être validé, doit pouvoir être dit « libre ».
Or le G29 (le regroupement des autorités de régulation des données en Europe) a émis des lignes directrices pour interpréter le sens de la notion de « consentement libre » en l’assimilant à un consentement « inconditionné ». Le G29 explique notamment que :
le RGPD prévoit que si la personne concernée n’a pas un véritable choix, se sent contrainte de consentir ou subira des conséquences négatives si elle ne consent pas, alors son consentement n’est pas valide.
C’est le cas notamment lorsqu’une entreprise impose un « chantage au service » à ses utilisateurs en les mettant devant l’alternative de devoir choisir entre accepter un traitement de leurs données ou de cesser d’utiliser un service. Sur cette base, la CNIL a notamment adressé une mise en demeure à Facebook, parce qu’il avait imposé aux utilisateurs de Whatsapp d’accepter un transfert de leurs données vers Facebook, en ne leur laissant que la possibilité de désinstaller l’application pour s’y opposer.
On voit donc que le G29 considère que le consentement ne peut être dit « libre » s’il est donné dans une situation où l’individu est soumis au risque de subir une « conséquence négative ». Mais on peut se poser la question de savoir s’il n’en est pas de même si on lui demande d’acquiescer à un traitement en lui offrant en contrepartie des « conséquences positives » comme une rémunération. Les lignes directrices du G29 ne contiennent pas d’éléments explicites allant dans ce sens, mais si on retient une conception vraiment exigeante de la « liberté du consentement », alors on doit sans doute considérer qu’une « récompense » peut s’avérer tout aussi redoutable pour l’exercice de la volonté d’un individu qu’une sanction.
Si on admet cette interprétation, peu importe qu’un individu accepte ou non de remettre ses données à un tiers comme une rémunération : cette opération ne serait pas valide d’un point de vue juridique et exposerait l’entreprise qui s’y livre à des sanctions. Cela reviendrait à dire que les données personnelles sont bien implicitement placées « en dehors du commerce » par le RGPD et qu’elles ne peuvent être transformées en marchandises.
Mais une faille avec « l’exécution du contrat » ?
Néanmoins, le RGPD est un texte tortueux et il existe peut-être une « faille » sur la base de laquelle un achat de données personnelles pourrait valablement s’opérer. En effet, le consentement des personnes ne constitue qu’une base légale parmi six sur lesquelles s’appuyer pour effectuer des traitements de données personnelles.
Or l’une de ces bases alternatives consiste en « l’exécution d’un contrat » :
[Le traitement est licite s’il] est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci.
Il est clair par exemple que si vous effectuez l’achat d’un bien via un cybermarchand comme Amazon et que vous demandez à vous faire livrer à domicile, le site va nécessairement avoir besoin de collecter votre adresse sans que ce traitement se fonde sur votre consentement. Vous consentez bien à la base à un contrat commercial avec le site, mais c’est un consentement distinct de celui visé à l’article 6 du RGPD et le traitement de données à caractère personnel s’effectuera alors sur la base du fondement de l’exécution du contrat. Dans cette hypothèse, le site doit néanmoins se borner à utiliser les données personnelles uniquement pour remplir ses obligations dans le cadre du contrat et ne pas aller au-delà, sinon il est obligé de repasser par le consentement de l’utilisateur pour lui faire valider ces finalités.
Il n’en reste pas moins que ce fondement de l’exécution du contrat peut devenir une faille importante dans le RGPD, qui permettrait aux entreprises de contourner l’obligation de recueillir le consentement des individus si on lui donnait une extension trop forte. La CNIL fait d’ailleurs une interprétation restrictive de la notion en veillant à ce que le traitement qui s’appuie sur ce fondement soit réellement nécessaire à l’exécution du contrat et pas simplement accessoire. C’est ainsi qu’elle a par exemple estimé à propos de Facebook que :
l’objet principal du service est la fourniture d’un réseau social […], que la combinaison des données des utilisateurs à des fins de ciblage publicitaire ne correspond ni à l’objet principal du contrat ni aux attentes raisonnables des utilisateurs [et qu’il incombe donc à Facebook] de veiller à ce que les droits des personnes concernées soient respectés et notamment à ce que l’exécution d’un contrat ne les conduise pas à y renoncer.
Néanmoins si l’on revient à l’hypothèse de la « vente » de données personnelles contre une rémunération, on serait bien alors face à un contrat dont l’objet même porterait sur la remise de données en contrepartie d’un paiement et on pourrait donc considérer que le fondement du « traitement nécessaire à l’exécution d’un contrat » peut être invoqué. Si c’est le cas, les conséquences pour l’individu sont importantes, car comme la transaction ne s’effectue plus sur la base du consentement, celui-ci ne peut plus être « retiré à tout moment ». L’opération se rapprocherait bien alors d’une forme de « cession », même si elle ne libérerait pas l’entreprise de l’obligation de fixer des finalités précises pour le traitement.
https://twitter.com/Void__Kampf/status/995027037235576832
Le RGPD contient peut-être des dispositions de nature à écarter une telle interprétation, car un de ses articles explique comment « articuler » la question du consentement et celle de l’exécution des contrats :
Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.
Sur cette base, est-ce qu’une distinction pourrait être faite entre un traitement de données nécessaire à l’exécution d’un contrat et un contrat dont l’objet porterait sur la remise de données contre rémunération (ce qui revient à dire un contrat dont l’objet n’est pas de « fournir un service », mais de transformer des données en marchandises) ? Difficile de répondre avec certitude, même si on sent bien que la philosophie générale du RGPD n’accueillera sans doute pas aisément ce genre de montages…
Une question loin d’être théorique…
Si l’article de « Mes datas et moi » s’égare en voyant dans le RGPD une consécration de la propriété privée sur les données personnelles, il pose quand même une question intéressante (et épineuse) à propos des transactions monétaires qui pourraient être proposées en échange de données. En novembre dernier, le Parlement européen a semblé hostile à cette idée, en adoptant une position dans le cadre de la discussion sur le règlement ePrivacy dans laquelle il estimait que :
les données personnelles ne peuvent être comparées à un prix et, ainsi, ne peuvent être considérées comme des marchandises.
Mais il visait en réalité les cas où les utilisateurs « payent » des services gratuits avec leurs données personnelles (comme par exemple sur les sites de presse recourant à du ciblage publicitaire). L’hypothèse de la « vente » de données est différente, et même inverse, puisque c’est alors à l’utilisateur que l’on propose un prix pour qu’il accepte de livrer ses données. Le premier cas revient à « monétariser des données » tandis que le second constitue au sens propre une « marchandisation des données ».
Rappelons que toute l’affaire Cambridge Analytica a commencé ainsi, puisque c’est en proposant à des internautes sur Amazon Mechanical Turk de renseigner un questionnaire via une application à installer sur Facebook contre une somme de 2 à 5 dollars que les données de millions d’utilisateurs ont été aspirées pour ensuite être revendues. Cette opération ne serait cependant pas légale sur la base du RGPD, car ses finalités n’ont pas été loyalement annoncées aux utilisateurs. Mais c’est cet aspect qui pose problème plus que le fait d’avoir payé des individus pour leur faire remettre des données.
Une autre question annexe mérite d’être posée. Si un site comme Facebook met en place une offre payante avec une formule Premium excluant par défaut le ciblage publicitaire, comme l’entreprise semble y réfléchir sérieusement, ne peut-on pas considérer qu’elle « achèterait » alors quelque part les données des utilisateurs choisissant de rester dans l’offre gratuite, puisque celle-ci leur ferait économiser le prix de l’abonnement ? Et dans ce cas, le consentement des utilisateurs pourrait-il encore être considéré comme « libre », puisque le seul moyen de s’opposer au ciblage publicitaire serait de payer une somme d’argent pour éviter certains traitements de données ?
***
Vastes questions auxquelles il n’est pas simple d’apporter réponse… Elles montrent à quel point il aurait été préférable que le RGPD déclare explicitement les données personnelles « hors commerce », comme le sont les organes au nom de l’indisponibilité du corps humain, ou mieux encore, que le texte les érigent en « biens communs » inappropriables et inaliénables pour prévenir les conséquences désastreuses sur le plan collectif d’une telle auto-marchandisation des données.
- S.I.Lex - 
A reblogué ceci sur AWBC blog.
Cordialement, Hartmut Frankowski
Envoyė de mon Smartphone
Bonjour,
Toujours très stimulant de vous lire. Merci donc pour cette belle réactivité.
Prolongement possible de la réflexion avec l’entretien du sociologue Christian Laval, “Aux racines du commun” [http://bit.ly/2IkD9Kn] qui pose, entre autres, que « le principe du commun (…) consiste à instituer des modes d’agir démocratiques, visant systématiquement l’usage commun et non l’appropriation. »
« Et non l’appropriation », tout est là (ou presque) ?
GH
Bonjour,
Oui, vous avez raison de faire allusion aux travaux de Christian Laval et Pierre Dardot, qui parlent de l’importance « d’instituer de l’inappropriable ».
En ce sens, on peut dire que le RGPD s’arrête sans doute au milieu du gué, car s’il ne s’appuie pas sur le ressort du droit de propriété, il ne conjure pas tous les risques de marchandisation des données (et pire, d’auto-marchandisation).
Mais c’est surtout l’interprétation du texte en juste qui nous dira jusqu’à quel point le RGPD pourra nous protéger d’une dérive « propriétariste » ‘
Concernant « l’usage commun », on peut dire que le RGPD envisage des « usages collectifs » des données personnelles, mais uniquement sous la forme de l’usage public, vu qu’il autorise dans certains cas les administrations à se passer du consentement lorsqu’un traitement de données est nécessaire à l’exercice d’une mission de service public.
Mais en dehors de ces usages publics, il n’y a pas réellement de place pour les usages communs dans le RGPD (sauf à les construire sur la base d’une agrégation de consentements individuels, un peu comme c’est le cas avec les logiciels libres).
C’est là où on voit le décalage entre le RGPD et la question des Communs : le texte empêche dans une certaine mesure l’appropriation des données, sans empêcher complètement leur marchandisation, mais il ne permet pas vraiment de penser des « usages communs » construits autrement que sur une base individualiste.
Bonjour
Petite question à poser ! Imaginons que je veuille par exemple acheter une attestation assedic ou tout autre document administratif via une plate-forme web, et que le vendeur du document accepte de me la vendre. Puis-je revendre la donner à un tiers individus?
Est-ce légal ?