Quelques clics suffisent pour s’en assurer : les données représentent le pétrole du XXIe siècle, sans cesse extraites par de célèbres entreprises, autant admirées que critiquées. Un nombre considérable d’ouvrages, de tribunes ou d’études dévoilent un environnement numérique loin d’être rassurant : Facebook fut accusé de « pister les internautes »[1], LinkedIn fut accusé de vendre les adresses électroniques de millions de personnes[2], Google fut accusé de « ficher les élèves et les étudiants »[3]. Si certains s’emparent gratuitement de cette matière première de l’économie numérique[4] d’autres en font un business discutable.
En 2016, un article annonce le projet d’une société australienne nommée DataChild. Un contrat signé entre l’entreprise et les parents permettrait de collecter l’ensemble des données d’un enfant, de sa naissance à sa majorité, en échange d’une somme de cinquante-mille dollars pour financer ses études[5]. Si cela fut réellement imaginé, aucune entreprise de ce nom, ou ayant cet objet social, n’existe aujourd’hui[6]. Pour autant, cela ne prouve pas l’impossibilité de créer un projet similaire : les données sont quotidiennement vendues, celles des enfants, adolescents et jeunes adultes sont fortement convoitées[7].
Une telle affirmation est juridiquement, socialement, éthiquement perturbante : il s’agit de clarifier les termes, desceller le mythe afin d’analyser les dangers d’une telle pratique. Une donnée est une information, une séquence de chiffres ou de lettres. A l’heure du Big Data[8], les données sont nombreuses. Données personnelles, non personnelles[9], données protégées par un droit de la propriété intellectuelle[10] ou par le secret des affaires[11] : toutes ne répondent pas au même régime juridique, toutes ne sont pas librement commercialisables. Toutefois, l’étude se limite au contexte le plus réaliste : celui de la vente de données personnelles par de jeunes étudiants[12].
Le régime des données personnelles a été uniformisé au sein de l’Union Européenne (UE) par le Règlement général sur la protection des données personnelle (RGPD)[13]. Les données personnelles englobent « toute information se rapportant à une personne physique identifiée ou identifiable »[14], celle-ci étant réputée « être identifiée directement ou indirectement »[15]par toute donnée rattachée à sa personne. La souplesse de cette définition illustre une volonté de protection des personnes faisant l’objet d’un traitement de données. Le Règlement apprécie tout aussi largement le traitement par une liste non-exhaustive d’actes effectués sur les données, précédée du terme « telles que »[16]. Toutefois, la vente n’est pas précisée. La vente est un acte de cession : le vendeur doit être propriétaire, ou titulaire, d’un droit sur ce bien[17], matériel ou immatériel.
L’absence de précision profite à ceux qui souhaitent que les données à caractère personnel fassent l’objet de vente par les personnes physiques qui font l’objet du traitement. Mais la doctrine qualifiant la donnée de bien, au sens de l’article 544 du Code civil[18], n’est pas unanime[19]. La législation paraît être en faveur d’une vision personnaliste[20] reconnaissant « des droits à l’individu » sans protéger la donnée personnelle en tant qu’objet économique »[21].
De nombreuses sociétés ont pour activité l’achat de données personnelles (géolocalisation, courriels) contre de la monnaie unique[22] ou numérique[23]. Il n’est pas rare qu’un site propose de s’inscrire à la newsletter contre un bon de réduction pour le premier achat. La transaction répond aux conditions d’un contrat, d’une convention[24]. La donnée apparaît comme étant un bien appropriable. Cette affirmation n’a rien de révolutionnaire : les données personnelles sont déjà appropriées, collectées de manière opaque, revendues sans transparence.
Ainsi, « pourquoi ne pas permettre au producteur de la matière première de bénéficier d’une partie de la valeur produite, en fonction de ce qu’il aura volontairement décidé de mettre en ligne »[25] ? Tout d’abord, la valeur des données s’éloigne de celle attendue lorsqu’elles sont individualisées : cet or du XXIe siècle ne représente que quelques euros par mois, voire par an, selon les prix proposés par la plateforme : c’est l’ensemble des données de tous les utilisateurs qui créent une richesse considérable[26]. De plus, l’articulation des règles de droit interroge la légalité d’une telle pratique.
Pour autant, il ne s’agit pas de clore le débat[27] : la vente de données personnelles par les étudiants est de plus en plus démocratisée. Récemment, TaData, une application qui paye les jeunes de quinze à vingt-cinq ans[28] en échange de leurs données personnelles, fut créée. La tranche d’âge ciblée par l’entreprise correspond majoritairement à de jeunes étudiants, qui partagent constamment sur les plateformes, souvent inconscients des risques liés au numérique. Si le consentement est requis, il s’agit d’adolescents qui, pour certains, n’ont pas atteint la majorité civile, ni numérique[29], maquillant simplement leur âge. Quant à la plateforme WeWard, elle cible un jeune public en permettant de monétiser les kilomètres parcourus à pied, les magasins fréquentés, les lieux visités.
A l’encontre des arguments en faveur d’un droit patrimonial sur les données personnelles, en dépit des activités courantes relatives à une vente de données, le Contrôleur européen de la protection des données immobilisa la tentative des institutions de basculer vers une idéologie en faveur d’un droit quasi-patrimonial lors des travaux préparatoires d’une Directive relative aux contrats de fourniture de contenus numériques[30]. Il est impossible de « monétiser et soumettre un droit fondamental à une simple transaction commerciale, même si c’est la personne concernée par les données qui intervient dans la transaction »[31], car les données représentent des biens immatériels de nature extrapatrimoniale intimement liés à la vie privée, ne pouvant être considérées comme des marchandises[32].
Pourtant, l’obsolescence d’une réglementation récente mais inadaptée se fait ressentir : le RGPD protège les données personnelles collectées en instaurant des droits et des obligations légales, régulant simplement la gestion de ces dernières. Rien n’autorise une vente de données, au même titre que rien ne l’interdit. Mais, même en réformant le droit personnaliste en faveur d’un droit de propriété, financer ses études grâce à la vente de ses données relève actuellement d’un imaginaire utopique. Il est pertinent de s’interroger tant sur la légalité que sur les avantages et les dangers d’une vente de données personnelles par les étudiants qui aspirent à percevoir un revenu l’aidant à financer ses études.
Malgré une volonté protectrice de soumettre les données personnelles au régime des droits extrapatrimoniaux ne pouvant faire l’objet d’une cession, les données à caractère personnel sont quotidiennement vendues (I). Dès lors, il s’agit d’extraire les lacunes d’une réglementation trop indécise afin d’examiner les solutions permettant de protéger les étudiants, souvent inconscients des risques face à une pratique dont les revenus ne sont qu’illusoires (II).
Après avoir analysé la doctrine dénonçant le trafic de données comme contraire aux valeurs sociales empêchant quelconque transaction (A), il est nécessaire d’étudier les arguments démontrant qu’une telle pratique est, en principe, illicite (B).
Parce que son traitement révèle notre intimité la plus profonde, une partie de la doctrine assimile la donnée personnelle à un organe (a). De façon moins excessive, admettre la vente de données personnelles comme un acte légal a un impact économique et social signifiant (b).
a) La donnée à caractère personnel, un organe du corps humain
Si la vente de données personnelles est de plus en plus pratiquée – voire acceptée, certains considèrent que « vendre ses données personnelles revient à vendre ses organes »[33]. Les données à caractère personnel sont des attributs particuliers et ne sont pas assimilables à un actif immatériel monétisable. Selon cette doctrine, les données font partie intégrante de la dignité humaine[34] et du corps humain : son commerce constitue une infraction pénale, le corps humain n’étant pas un patrimoine cessible[35].
Si cet argument est discutable et n’est pas admis par le droit positif, plusieurs facteurs tendent à apprécier les données comme tel, a fortiori soumises au principe de non-patrimonialité. Si les organes du corps humain sont des éléments physiques, exclus de toute forme de commerce[36], les données constitueraient l’élément moral.
La collecte massive d’un nombre considérable de données personnelles d’une personne physique permet de connaître, à la perfection, un individu. Son adresse insinue une catégorie sociale, ses lieux préférés et ses déplacements prouvent un certain état de santé[37], une appartenance sexuelle ou religieuse. Quelques entités ont connaissance de toute une vie, jour par jour, heure par heure, minute par minute, seconde par seconde, d’une personne. N’est-ce pas plus préjudiciable que si elle avait en sa possession un simple organe ? Elles possèdent l’âme entière de l’internaute. Le ciblage permet d’ailleurs d’anticiper les besoins, en plus de les créer. Par conséquent, il ne serait a priori pas envisageable de signer un acte ayant pour objet une vente – ou une licence – de données personnelles contre rémunération, immédiate ou différée, sans porter atteinte à l’ordre public, l’article 1162 du Code civil affirmant que « le contrat ne peut déroger à l’ordre public ni par ses stipulations, ni par son but, que ce dernier ait été connu ou non par toutes les parties ».
La vente de données représente une économie souterraine importante. Mais si les données étaient assimilables à un organe du corps humain, sa vente serait pénalement sanctionnée[38]. Aujourd’hui, aucun fondement, aucun jugement n’apparente la vente de données à une « mutilation numérique ». Le principe de libre disposition du corps humain est revendiqué par les individus qui souhaitent vendre leurs données, notamment pour financer leurs études. De plus, si les organes ne peuvent être vendus, ils peuvent faire l’objet de dons, quid des données ? Enfin, si les données ne sont pas des biens monétisables, elles n’en demeurent pas moins des organes. Si un organe ne peut se vendre qu’une seule fois et dépossède le titulaire, les données, par leur nature immatérielle, peuvent se vendre plusieurs fois, tout en appartenant encore à l’internaute. Pourtant, un dernier facteur apparente la vente de données personnelles pour financer ses études, à la vente d’organes : les premiers vendeurs sont les plus démunis, souvent exploités[39].
b) La vente de données pour financer ses études, la cause d’une fracture économique et sociale
Dans la tribune publiée aux échos, Nicolas Chagny déclare que « se préserver de la vente de ses données personnelles garantit la préservation de son intégrité quels que soient son patrimoine et son niveau de revenu »[40]. L’idée de préservation de l’intégrité en dépit du niveau de revenus est intéressante, il est prouvé que les personnes les plus vulnérables souffrent plus fréquemment d’atteintes à la dignité : les femmes pauvres sont plus facilement victimes des réseaux de prostitution[41], le trafic d’organes est un fléau qui touche particulièrement les catégories sociales défavorisées[42].
Il n’est pas surprenant que la vente des données à caractère personnel pour financer ses études soit un acte contestable du point de vue des inégalités économiques et sociales. Vendre ses données, attributs spéciaux de la personne physique, revient à vendre « une partie de soi » pour avoir accès à des droits tels que l’éducation. Plusieurs possibilités sont envisageables, chacune d’entre elles démontrent les conséquences néfastes d’une transaction dangereuse.
Une valeur différente est donnée à chaque individu, valeur qui varie en fonction de divers facteurs, tels que le réseau d’influence sur Internet ou la consommation quotidienne. Plus les données sont nombreuses, intimes, croisées, plus elles ont de la valeur. Yves Benchimol, fondateur de WeWard, explique que « si vous êtes à un moment clé de votre vie, comme un mariage ou un déménagement, la valeur de vos données augmente beaucoup. Parfois avec un facteur 100. Car vous êtes davantage enclin à consommer »[43].
Aujourd’hui, il est très difficile d’avoir des chiffres précis concernant le prix des données. Un projet de loi californien ambitieux propose d’imposer aux fournisseurs de service de divulguer le montant de chaque donnée[44]. Que ce soit pour quelques euros ou pour cinquante mille dollars, la dignité humaine a-t-elle un prix[45] ? Au-delà de ces problématiques, le débat met en lumière un profond fossé économique et social. Les étudiants les plus pauvres[46] sont invités à vendre une partie de leur vie privée pour accéder à l’éducation.
Au-delà de la dimension économique et sociale, la vente de données personnelles est un acte qui n’est pas directement permis en vertu de la réglementation actuelle.
La doctrine dominante, qui nourrit la réglementation, introduit la protection des données personnelles au sein d’un droit extrapatrimonial, en tant que branche, ou aux côtés du droit au respect à la privée (a). Par conséquent, la nature des données personnelles empêcherait tout contrat ayant pour objet leur vente (b).
a) La nature extrapatrimoniale des données à caractère personnel
Les données personnelles, données sensibles[47] ou simples métadonnées[48], révèlent l’être tout entier. L’intrusion progressive au sein de la vie privée des internautes permet à certains acteurs économiques d’établir un profil précis de chaque personnalité. En dévoilant des informations précises, les données relèvent de la vie privée, un droit fondamental[49].
Dans la directive de 1995, les institutions européennes déclarent que « les systèmes de traitement de données sont au service de l’homme ; qu’ils doivent, quelle que soit la nationalité ou la résidence des personnes physiques, respecter les libertés et droits fondamentaux de ces personnes, notamment la vie privée »[50]. Depuis, les textes[51], les juges[52], ne cessent, implicitement ou explicitement, d’affirmer une doctrine personnaliste protectrice des données personnelles.
Plus récemment, la Commission nationale consultative des droits de l’Homme (CNCDH) déclarait que « le droit d’une personne sur ses données n’est pas un droit sur une chose (droit réel) mais un droit inhérent à la personne et protégeant sa personnalité (droit de la personnalité) »[53]. Alors, si la vie privée peut être définie comme « la revendication des individus, des groupes ou des institutions pour déterminer par eux-mêmes quand, comment et dans quelle mesure des informations les concernant peuvent être communiquées à des tiers »[54],leur liberté est ici compromise par un intérêt majeur de défense de la partie faible : les individus qui commercialisent leurs données. Le consentement peut être retiré à tout moment[55], les droits, au cœur de la protection des données personnelles, doivent être mis en œuvre[56]. L’ensemble des principes et des obligations doit être scrupuleusement respecté[57].
Par conséquent, vendre ses données personnelles, pour financer ses études, n’est pas sanctionné du point de vue du vendeur[58] mais comporte de fortes conséquences du point de vue de l’acheteur.
b) Les données, un attribut de la vie privée cessible
Un droit de propriété sur une donnée personnelle ne peut être imaginé, en principe. Une partie de la doctrine prône une prohibition totale de la patrimonialisation des données en affirmant que leur protection doit être envisagée de la même manière que la protection du corps humain ou des libertés fondamentales. Arthur Messaud, juriste au sein de la Quadrature du Net[59], estime que les données « ne peuvent être considérées comme des marchandises », ajoutant qu’on ne peut « conditionner l’accès à un service ou à un bien au fait de donner son consentement à la collecte de ses données personnelles »[60].
Une telle théorie peut ainsi être argumentée : au sein du diptyque différenciant les droits de propriété des droits de la personnalité, droits extrapatrimoniaux, les données personnelles appartiennent à la seconde catégorie et ne peuvent être vendues[61]. Le droit à la personnalité est un droit intuitu-personae, incessible, imprescriptible et inaliénable. Les droits consacrésne peuvent faire l’objet d’une renonciation. La personnalité, dès la naissance et post-mortem, ne doit être atteinte, quel que soit l’âge : les données personnelles ne peuvent être vendues en vertu d’un principe indérogeable et absolu, quel que soit l’objet de financement.
À défaut d’un droit autonome, malgré une influence personnaliste, aucun fondement, ni au sein du RGPD[62], ni au sein du droit pénal[63], n’assimile la vente de données personnelles à la vente d’organe ou n’interdit explicitement une telle vente. Le principe du RGPD semble uniquement interdire une collecte à défaut de consentement, notion critiquée, ou sur d’autres fondements[64], et sanctionne le manquement aux obligations légales.
Est-il interdit, au sein de l’Union européenne, d’effectuer un contrat de vente ayant pour objet la divulgation d’une part d’intimité contre rémunération ? La réponse négative n’est pas si évidente : il peut d’ailleurs être affirmé qu’une certaine liberté de circulation est envisagée, notamment par le droit à la portabilité[65]. Les données des internautes, partie faible du contrat, sont protégées grâce à l’ensemble des droits et des obligations légales.
Il est indéniable que les arguments juridiques, économiques et sociaux d’une vision philosophique personnaliste de la protection des données font obstacles à la mise en œuvre d’un droit de propriété. Si le droit positif n’autorise pas explicitement la vente des données personnelles, il ne l’interdit pas non plus. De ce fait, la doctrine personnaliste, de moins en moins soutenue, défendue avec moins de ferveur, abîmée par un droit positif incertain, s’efface derrière une vision plus libérale, qui ne permettra pas pour autant aux étudiants de financer leurs études en vendant leurs données personnelles.
Le régime actuel oscille entre deux visions paradoxales qu’il est nécessaire de réconcilier afin de sécuriser les relations (A). Néanmoins, sécuriser les relations n’effacera pas les dangers de la vente de données par les étudiants qui, imprudents, dévoilent leur intimité en échange d’une infime récompense (B).
La vente de données à caractère personnel par des étudiants est une pratique risquée qui ne fut jamais sanctionnée en vertu du droit à la protection des données personnelles (a). Reconstruire le droit actuel, élaborer un droit sui generis sur les données, moins personnaliste que le RGPD mais tout aussi protecteur, apparaît comme une solution concrète et adaptée (b).
a) La vente de donnée, une cession implicitement autorisée
En février 2020, préoccupée par la conformité de l’application TaData à la législation en vigueur, l’association Internet Society France a alerté l’autorité de contrôle française : la Commission nationale de l’informatique et des libertés (CNIL)[66]. Rappelons que cette application permet aux utilisateurs de quinze à vingt-cinq ans de fournir des informations volontairement choisies à la plateforme qui les revend pour des publicités : il s’agit d’une véritable cession de données personnelles.
La solution était attendue en la matière : est-il contra legem d’échanger des données personnelles contre de l’argent ou toute autre rétribution ? Dans un avis d’octobre 2020, la CNIL ne constate aucune faille dans la politique de gestion de données de l’entreprise[67]. Par un raisonnement a contrario, la vente de données personnelles serait finalement autorisée, à condition de respecter les droits et obligations du règlement. Si la CNIL est loin d’assimiler les données à un organe, elle ne semble pas non plus respecter le principe d’incessibilité des droits de la personnalité. Son rôle n’est pas de consacrer un droit autonome, mais elle doit assurer la conformité au RGPD. Cela interroge alors sur le véritable dessein du RGPD : reconnaître un droit de la personnalité, ou revendiquer des droits protecteurs pour les internautes lorsque leurs données sont communiquées, et vendues ?
Plusieurs arguments démontrent que la deuxième option est privilégiée. La mention à la vie privée n’apparaît qu’une seule fois au sein du règlement, avant de rappeler que le droit à la protection des données à caractère personnel « n’est pas un droit absolu »[68]. Aussi, le droit à la portabilité[69] envisage les données comme un bien immatériel qui peut être cédé. Enfin, le Conseil constitutionnel n’a consacré aucun droit autonome[70] et la Cour européenne des droits de l’Homme protège les données personnelles sur le fondement à la vie privée, rejetant une autonomisation de la protection de celles-ci[71]. Cependant, certains auteurs estiment que, même en l’absence de fondement, un droit indépendant du droit à la vie privée aurait été possible[72].
Contrairement aux attributs du droit de la personnalité, les données à caractère personnel sont des objets de commerce, en dépit de nombreuses objections. Le principe est celui de la liberté : libre transfert des données, libre utilisation de celles-ci ; mais il s’agit d’une liberté relative, conditionnée, protégée par la réglementation en vigueur. Toutefois, si la transaction est légale, sa nature est susceptible de la soumettre aux règles du droit commun des contrats[73] qui se contredisent avec le RGPD.
Il semble opportun de questionner l’obsolescence de celui-ci, et il en est de même au niveau international, la réglementation californienne étant déjà remis en cause[74]. Plus de la moitié des californiens ont manifesté leur volonté de se faire rémunérer en échange de l’exploitation de leurs données si le traitement est consenti, ce qui a conduit à un projet de réforme[75] qui consacre un droit similaire au droit de propriété[76]. Les données en tant que droit de la personnalité apparaît comme un principe sans essence, inadapté, bafouillé.
b) Le droit sui generis sur les données, véritable changement de paradigme
Confronter les arguments en faveur d’un droit de propriété et ceux en faveur d’un droit de la personnalité est un cercle sans fin. L’intérêt est d’en trouver l’issue afin de construire un nouveau régime juridique, plus certain et prévisible, un régime hésitant entre l’article 544 du Code civil et les droits spéciaux de propriété[77] en respectant les principes édictés par l’article 9 du Code civil. Quoi qu’il en soit, le RGPD est une réglementation jugée imparfaite, incomplète, inefficace[78].
Les propriétaires actuels sont moins les internautes, simples bénéficiaires d’une faculté de maîtrise, que les responsables de traitement, ces derniers exerçant un véritable droit de propriété au sens civiliste. Si les données personnelles partagées ne sont pas vendues par les titulaires, elles seront librement utilisées par les responsables de traitement. Il s’agit de trouver « comment offrir un modèle plus juste pour ne pas se retrouver dans une organisation digitale féodale avec des GAFAM[[79] qui prennent nos données sans nous en donner le contrôle »[80]. L’idée d’un droit construit sur le modèle du droit d’auteur fut envisagée, notamment par Nicole Belloubet, qui, lorsqu’elle était Garde des sceaux, proposa un amendement intégrant l’article L. 341-1 du Code de la propriété intellectuelle, ainsi rédigé : « Le citoyen, entendu comme la personne physique qui consent à faire exploiter ses données, jouit des droits moraux sur les données personnelles qu’il génère individuellement ou par l’intermédiaire des outils numérique qu’il utilise »[81].
Malgré l’échec d’un tel amendement, l’idée d’instaurer un droit similaire au droit d’auteur est intéressante, en consacrant un droit moral, comprenant les droits et obligations du RGPD, indérogeable, et de réelles prérogatives patrimoniales, qu’il s’agit de réglementer, non pas in favorem auctoris mais en faveur de l’internaute[82], afin d’instaurer un régime juridique protégeant les mineurs et les personnes vulnérables[83]. La réflexion sur un droit de suite[84]au sens du droit commun des biens ou du droit de la propriété intellectuelle en guise de prérogatives patrimoniales permettrait un suivi actif sur la gestion sur ces biens spéciaux : les données personnelles[85].
Les vendeurs deviennent les internautes, propriétaires de leurs données[86], bénéficiant d’un véritable contrôle sur celles-ci, un réel droit d’inclure et d’exclure. Ils pourraient être autorisés de lege data à vendre leurs données et « disposer librement de leurs corps »[87]. Sensibiliser et réintroduire l’internaute dans la chaîne économique, sensibiliser les individus est primordial, les autorités n’ayant pas les moyens économiques de contrôler tous les responsables de traitement[88]. Un droit sui generis permettra de cesser de naviguer en eaux troubles, de s’adapter, aux pratiques afin d’éviter un droit déviant de de son objectif essentiel, protéger la personne physique qui partage ses données[89].
La réglementation doit évoluer, prendre en compte les avantages et les inconvénients d’un tel contrat afin de freiner les plus avides, de protéger les plus candides, jeunes et moins avertis.
Qu’il s’agisse d’un droit rattaché à la vie privée ou d’un droit de propriété sui generis, deux difficultés subsistent et font obstacle à la justification de la vente de données personnelles par les étudiants : d’une part, la vente de données ne peut être une source de revenus (a) ; d’autre part, aucune protection globale des étudiants ciblés par cette pratique n’est réalisable (b).
a) La valeur dérisoire des données personnelles
Actuellement, accepter de donner son courriel à une entreprise n’offre que quelques dizaines d’euros, parfois plus, souvent moins. Les études récentes effacent tout espoir de financer ses études en vendant ses données à caractère personnel[90] ; de même pour les applications existantes qui rémunèrent les internautes au compte-goutte.
L’application WeWard permet de gagner un «Ward » tous les mille cinq-cents pas environ – un pas représentant en moyenne quatre-vingts mètres. Un « Ward » vaut deux centimes d’euros. En 2007, un individu moyen effectue entre quatre mille et dix mille pas par jour[91]. Ainsi, en tenant compte d’une moyenne supérieure de six mille cinq cents pas par jour, un individu récoltera six « Wards », soit l’équivalent de douze centimes d’euros environs.
L’application TaData, quant à elle, rémunère entre trois et cinq euros les individus – de quinze à vingt-cinq ans – lorsqu’une entreprise décide de cibler l’individu en fonction du questionnaire prérempli. Il est inutile de démontrer que la vente de données personnelles, quelles qu’elles soient, pour financer ses études est impossible au regard des sommes modestes proposées, bien éloignées du montant qu’exige le financement des études supérieures.
En Europe, le coût d’une année dans l’enseignement public s’élève à cinq cent euros par an en moyenne lorsque l’enseignement est gratuit[92]. Dans un établissement privé, le coût peut être multiplié par vingt : certaines écoles exigent plus de dix mille euros par année d’étude[93]. Toute une vie ne suffirait pas à financer des études avec quelques centimes d’euros pour un lieu, un chèque cadeau contre un mail ou des cryptomonnaiescontre une photo. Leur vente ne rapporte pas un complément de revenu, ne permet pas de subvenir aux besoins du quotidien.
Vendre des données ne peut être assimilé à un travail[94], ou, s’il tend à en devenir un, il s’agira d’un travail très précaire[95] – excepté pour des relations similaires au projet DataChild. Et la consécration d’un droit de propriété au sens civiliste, ou un droit sui generis, n’augmentera pas la valeur des données : elles seront soumises à la loi du marché. La théorie de l’offre et de la demande impactera fortement leur prix[96], si la plateforme n’a pas déjà imposé ses conditions dans un contrat d’adhésion[97]. De plus, la détermination du prix sera nécessaire[98].
L’avenir du projet de loi californien[99] apportera certaines solutions. La technologie blockchain, qui suscite un intérêt particulier par les avantages qu’elle procure semble en apporter d’autres[100], sous réserve d’en déceler les fantasmes pour mieux apercevoir son réel apport.
b) La protection insuffisante des mineurs
Le RGPD semble mal adapté pour réguler la vente de données à caractère personnel par des étudiants, tant sur la notion de « vente » que sur le terme « étudiants », souvent mineurs[101], parfois vulnérables. Il n’existe aucun droit de propriété sur les données consacré dans les textes. Toutefois, comme précédemment évoqué, rien n’interdit expressément de vendre ses données. Le droit positif ne semble pas prendre en compte l’ensemble des problématiques relatives à la vente de données.
Les internautes sont protégés par des principes, des droits et des obligations que les responsables de traitement – et les sous-traitants – ont l’obligation de mettre en œuvre. Mais le droit du numérique semble paradoxalement moins protecteur envers les mineurs, malgré une volonté de sécurité particulière[102]. Le Code civil protège les mineurs et les plus vulnérables en leur interdisant de faire des transactions sans l’accord de leur représentant légal avant leur majorité civiles[103].
Le droit actuel permet à un mineur âgé de plus de quinze ans de consentir seul à un traitement de données, âge en-dessous duquel le consentement doit être donné conjointement « par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur »[104]. Aussi, les personnes incapables ne sont pas mentionnées par le Règlement. Par conséquent, s’il peut être constaté que les plateformes payant les étudiants contre les données profitent d’un flou juridique, il en est différemment d’une société qui proposerait de collecter les données durant les dix-huit premières années de la vie d’un enfant. Elle n’a que le consentement du représentant légal et non celui du mineur, nécessaire à partir de sa majorité numérique[105].
Auparavant, les jeunes étaient peu informés de leurs droits. En 2009, une étude démontre que 16 % d’entre eux sont totalement ignorants vis-à-vis des lois en vigueur, 39 % en ont simplement entendu parler et 38 % ont une vague connaissance de celles-ci[106]. Depuis, le partage de contenus n’a cessé de croître[107], par des mineurs de plus en plus jeunes, malgré les nombreux scandales et les débats houleux sur les données personnelles[108]. Pourtant, ont-ils de plus en plus conscience des risques encourus ?
Par ailleurs, 73 % des français interrogés lors de l’étude estiment que « les représentants légaux des mineurs doivent pouvoir continuer à exercer les droits de ces derniers en parallèle ». Mais il s’agit d’une volonté trop optimiste dans une ère numérique où un âge différent peut être mentionné pour naviguer librement[109]. Il s’agit d’un souhait trop naïf dans une zone où une simple case à cocher suffit pour sacrifier son intimité au profit d’une entreprise insatiable.
Laïsa FERREIRA
Doctorante en Droit
[1]Le Monde, « Facebook accusé de pister les internautes, inscrits ou non », Le Monde, 1er avr. 2015 (consultable sur lemonde.fr).
[2]NetxInpact, « LinkedIn a utilisé les adresses email de 18 millions de personnes pour de la publicité sur Facebook », NextInpact, 26 nov. 2018 (consultable sur nextinpact.com).
[3] J. HOURDEAUX, « Google est accusé de ficher les élèves et étudiants », Mediapart, 25 mars 2014 (consultable sur mediapart.fr).
[4] S. ZUBOFF, « Votre brosse à dents vous espionne. Un capitalisme de surveillance », Le Monde diplomatique, janv. 2019, p. 1, 10 et 11. L’industrie numérique fleurit grâce à un modèle économique simple, « extraire les données personnelles et vendre aux annonceurs des prédictions sur le comportement des utilisateurs ». Sur la façon dont sont vendus les espaces publicitaires sur le Web par le « Real-Time Bidding », v. not. A. COUNIS, « Publicité en ligne : le régulateur britannique épingle l’utilisation des données personnelles », Les Échos, 24 juin 2019, p. 23. ; L. DUBOIS et L. GAULLIER, « Publicité ciblée en ligne, protection des données et ePrivacy : un ménage à trois délicat », Legicom, 2017, n° 59, spéc. p. 74 et s.
[5] C. JOST, « Vendre les données personnelles de son enfant pour financer ses études est désormais possible ! », Archimag.com, 1er avr. 2014 (consultable sur archimag.com).
[6]Actuellement, il n’existe aucune mention d’une marque nommée « DataChild » sur les registres australiens et internationaux : voir par exemple l’Office australien des droits de propriété industrielle (ipaustralia.gov.au/trade-marks) ou l’Organisation mondiale de la propriété intellectuelle (3.wipo.int/branddb/fr).
[7]La Tribune, « YouTube : 170 millions de dollars d’amende pour collecte illégale de données d’enfants », La Tribune, 4 sept. 2019 (consultable sur latribune.fr).
[8]P.-M. MENGER, « Introduction », in P.-M. MENGER et S. PAYE (dir.), Big Data et traçabilité du numérique, Éd. Du Collège de France, 2017, p. 7.
[9]Règlement (UE) 2018/1807 du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne, JOUE, L303/59, 28 nov. 2018.
[10]Une information peut être protégée par un droit de propriété intellectuelle temporaire, tel que le droit d’auteur (C. propr. intell., art. L. 111-1 et s.), le droit des brevets (C. propr. intell., art. L. 611-1 et s), le droit des marques (C. propr. intell., art. L. 511-1 et s.). Aussi, le titulaire d’une base de données peut exclure l’utilisation de celles-ci en vertu du droit sui generis bénéficiant aux producteurs de bases de données (C. propr. intell., art. L. 112-3 et L. 341-1 et s.).
[11] Sur ce sujet, v. la Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites, JOUE, L157/1, 15 juin 2016.
[12] L’étude se limite aux jeunes en études secondaires ou dans l’enseignement supérieur, de quinze à vingt-cinq ans environs. Toutefois, tous les jeunes de quinze à vingt-cinq ans ne sont pas étudiants et tous les étudiants n’ont pas entre quinze à vingt-cinq ans. V. not. INSEE, « Population enquête emploi », Insee Références, 2016. Cette étude estime que moins de 7 % des individus entre 25 et 29 font des études. Aussi, moins de 51 % des femmes et 47 % des hommes de moins de 25 ans sont en « études initiales », cumulées ou non avec un emploi.
[13]Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JOUE, L 119, 4 mai 2016, p. 1 (ci-après intitulé « Règlement général à la protection des données » ou « RGPD) »). Ce règlement abroge la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE, L281, 23 nov. 1995, p. 31. La loi de transposition n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, JO du 21 juin.
[14]« [E]st réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » (RGPD, art. 4, §1).
[15]Ibid. L’adresse IP est une donnée personnelle lorsqu’elle permet d’identifier une personne, en ce sens : CJUE, 19 nov. 2016, aff. 582/14, Breyer c/ Bundesrepublik Deutschland ; Cass. 1re civ., 3 nov. 2016, nº 15‐ 22.595, Sté Cabinet Peterson c/ Sté Groupe Logisneuf.
[16]Un traitement caractérise« toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation […] l’effacement ou la destruction » (RGPD, art. 4, §2).
[17] Sur la définition d’un bien et d’une chose : F. TERRÉ et P. SIMLER, Droit civil. Les biens. Dalloz, 2018, 10e éd., p. 37. V. égal. F. ZÉNATI-CASTAING et T. REVET, Les Biens, PUF, coll. Droit fondamental, 2008, 3e éd., p. 18 ; J. ROCHFELD, Les grandes notions du droit privé, PUF, coll. Thémis, 2013, p. 224.
[18]« La propriété est le droit de jouir et disposer des choses de la manière la plus absolue, pourvu qu’on n’en fasse pas un usage prohibé par les lois ou par les règlements » (C. civ., art. 544). Le propriétaire dispose de l’usus (droit d’utiliser la chose), du fructus (droit de percevoir les fruit) et de l’abusus (droit de disposer de la chose, notamment la céder).
[19] Contre la qualification des données comme un bien : J. ROCHFELD, « Contre l’hypothèse de la qualification des données personnelles comme des biens », in E NETTER et A. CHAIGNEAU, Les biens numériques, PUF, coll. CEPRISCA, 2015, spéc. p. 231 ; F. MATTATIA et M. YAÏCHE, « Être propriétaire de ses données personnelles : peut-on recourir aux régimes traditionnels de propriété », RLDI 2015, n° 1114, n° 3732 ; A. ANCIAUX et J. FARCHY, « Données personnelles et droit de propriété : quatre chantiers et un enterrement », RIDE 2015, p. 307.
[20] « L’informatique doit être au service de chaque citoyen » et « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques » (L. n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, art. 1er).
[21]M. BERNELIN, « La patrimonialisation des données personnelles : entre représentation(s) et réalité(s) juridiques », JCP G 2019, doctr. 1172. Cette vision caractérise la donnée comme un bien appartenant à la vie privée au sens de l’article 9, § 1, du Code civil : « Chacun a droit au respect de sa vie privée ».
[22] C. WONG, « WeWard, la start-up qui rémunère ses utilisateurs pour marcher (et faire du sport) », Les Échos-Start, 11 janv. 2021 (consultable sur start.lesechos.fr). Il s’agit d’une application qui rémunère les utilisateurs lorsqu’ils marchent (en moyenne cinq euros par mois), contre leurs données de géolocalisation.
[23]C. HOUZELLE, « Embleema lève 3,3 millions pour sa place de marché des données de santé », Les Échos, 6 févr. 2019 (consultable sur lesechos.fr. – V. notamment la plateforme MyDataisRich qui promet de conserver les données personnelles collectées dans le respect de la vie privée en échange de royalties(consultable sur disponible sur mydataisrich.com).
[24]Le contrat est défini à l’article 1101 du Code civil comme étant « un accord de volontés entre deux ou plusieurs personnes destinées à créer, modifier, transmettre ou éteindre des obligations ».
[25] V. not. G. KOENIG, « Exerçons notre droit de propriété sur nos données », Les Échos, 19 févr. 2020 (consultable sur lesechos.fr) ; O. SICHEL et J. ROCHFELD, « Nos données nous appartiennent », Le Monde, 16 oct. 2015 (consultable sur lemonde.fr).
[26] I. LANDREAU et al. (dir.), « Mes datas sont à moi. Pour une patrimonialité des données personnelles », Génération Libre, janv. 2018 (consultable sur generationlibre.eu). Ce rapport, rédigé par Génération Libre, un think tank indépendant créé par le philosophe Gaspard Koenig, estime la valeur des données personnelles à plus d’un trillion d’euros en Europe. Les données d’un utilisateur du réseau social Facebook valent en moyenne trente-deux euros par an. Sur le nombre d’utilisateurs, v. A. BACHERT-PERETTI, « La protection constitutionnelle des données personnelles : les limites de l’office du Conseil constitutionnel face à la révolution numérique », RFDC 2019, n° 118, p. 261. En 2018, le nombre de personnes utilisant un réseau social était de 3,36 milliards.
[27]Ph. MOURON, « Pour ou contre la patrimonialité des données personnelles », REMN,2018, n° 46-47, § 9.
[28] Consultable sur tadata-france.fr/bons-plans-jeunes. Cette application permet aux utilisateurs, nommés les datakillers, de gagner quelques euros ou des chèques cadeaux en échange de publicités après avoir rempli un questionnaire collectant de nombreuses informations personnelles. V. égal.
l’application « Ogury », qui propose la même activité pour tout utilisateur (consultable sur ogury.com).
[29]Pour la majorité civile, l’article 414 du Code civil dispose : « La majorité est fixée à dix-huit ans accomplis ; à cet âge, chacun est capable d’exercer les droits dont il a la jouissance ». Pour la majorité numérique : cf. II-B.
[30]Lors des travaux préparatoires de la Directive (UE) 2019/770 du Parlement Européen et du Conseil du 20 mai 2019 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques, une mesure prévoyait que dans « tout contrat par lequel un fournisseur fournit un contenu numérique au consommateur ou s’engage à le faire », un prix doit être acquitté, ou, s’il s’agit d’une « contrepartie financière non pécuniaire sous la forme de données personnelles ou de toute autre donnée », elle devra être « apportée de façon active par le consommateur ».
[31] CEPD‐EDPS, Avis 4/2017 sur la proposition de directive concernant certains aspects des contrats de fourniture de contenu numérique, 14 mars 2017, pt. 18.
[32]Ibid., pt. 14.
[33] N. CHAGNY, « Vendre ses données personnelles revient à vendre ses organes », Les Échos, 24 févr. 2020 (consultable sur lesechos.fr). Nicolas Chagny est le président d’une ONG internationale pour la défense des libertés individuelle sur Internet nommée Internet Society France.
[34]« La loi assure la primauté de la personne, interdit toute atteinte à la dignité de celle-ci et garantit le respect de l’être humain dès le commencement de sa vie » (C. civ., art. 16).
[35] E. UMBERTO-GOÛT, « Sommes-nous propriétaires de notre corps ? », RTD civ. 2020, p. 315.
[36]A. BASDEVANT et J.-P. MIGNARD, L’empire des données, Essai sur la société, les algorithmes et la loi, Don Quichotte, 2018, p. 127. V. not. G. LOISEAU, « Typologie des choses hors du commerce », RTD civ. 2000, p. 47.
[37]B. FERRARI, « Paris Match verse 40 000 euros à un SDF parisien pour une photo volée », Huffington Post, 22 mars 2021 (consultable sur huffingtonpost.fr). Le Tribunal judiciaire de Nanterre a condamné le magazine Paris Match au motif qu’il dévoile des données personnelles sur l’état de santé d’une personne sans domicile fixe en publiant une photo d’elle assise dans la rue.
[38] Sur le fondement des articles 511-2 et s. du Code pénal, punissant le trafic d’organes de sept ans d’emprisonnement et de 100 000 euros d’amende.
[39] A. MOUTOT, « La Californie encline à monétiser les données de ses citoyens », Les Échos, 9 nov. 2020 (consultable sur lesechos.fr). Deux associations de défense des droits afro-américains, ACLU et Color of Change, estiment que les pauvres sont plus vulnérables à la monétisation des données personnelles : « (T)ous les Californiens méritent le respect de leur vie privée, pas seulement les riches ».
[40]N. CHAGNY, art. cit.
[41] K. A. Mc CABE et B. H. MAY, « Un fléau criminel international : la traite des êtres humains », AJ Pénal 2012, p. 192.
[42] Recommandation n° 1611 (2003) du 25 juin 2003 relative aux trafics d’organes en Europe. V. égal. A.-M. LEROYER, « Loi n° 2011-814 du 7 juillet 2011 relative à la bioéthique (JO 8 juill. 2011, p. 11826) », RTD civ. 2011, p. 603.
[43] Yves BENCHEMOL cité in M. PROTAIS, ibid.
[44]Sur le projet de loi californien obligeant les entreprises concernées à déclarer la valeur des données, v. le Designing Accounting Safeguards to Help Broaden Oversight and Regulations on Data (DASHBOARD) Act (ci-après « DASHBORD Act »). Il s’agit d’un projet de loi bipartisan imposant aux fournisseurs de services cumulant plus de 100 millions d’utilisateurs actifs par mois de déclarer la valeur des données personnelles qu’ils collectent au sein d’un rapport annuel transmis à la Securities and Exchange Commission (SEC), le « Gendarme de la bourse » étatsunien.
[45]Y. PADOVA, « Notre vie privée n’a pas de prix », Les Échos, 28 mars 2019 (consultable sur lesechos.fr).
[46]Avec la crise sanitaire, la précarité étudiante fut au cœur des débats. La dernière enquête de l’Observatoire national de la vie étudiante menée en 2016 démontre que plus de 22 % des étudiants étaient « confrontés à des difficultés financières » (consultable sur ove-national.education.fr).
[47]RGPD, art. 9.
[48] Une métadonnée est une « information décrivant [des données] et rendant possible leur recherche, leur inventaire et leur utilisation ». Article 3) 6. de la Directive 2007/2/CE du Parlement européen et du Conseil du 14 mars 2007 établissant une infrastructure d’information géographique dans la Communauté européenne (INSPIRE), JOCE, 25 avril 2007, L 108.
[49] V. not. Déclaration universelle des droits de l’homme de 1948, art. 12 ; Convention Européenne des Droits de l’Homme et du Citoyen, art. 8 ; Charte des droits fondamentaux de l’Union européenne de 2000 sur le droit à la vie privée en tant que droit fondamental, art. 7.
[50]Considérant 2 de la Directive 95/46/CE du 24 octobre 1995.
[51]La vision personnaliste des données à caractère personnel ne fut pas consacrée par la première loi française n° 78-17 du 6 janvier 1978 mais lors de ses modifications, notamment par la Directive 95/46/CE du 24 octobre 1995, ibid., ainsi que par le RGPD.
[52]Sur la constitutionnalisation des données à caractère personnel, v. not. A. BACHERT-PERETTI, « La protection constitutionnelle des données personnelles… », art. cit., spéc. p. 266 et s.
[53]Commission nationale consultative des droits de l’Homme, avis du 22 mai 2018 sur la protection de la vie privée à l’ère du numérique, JO du 3 juin, p. 31. La Commission nationale consultative des droits de l’Homme (ci-après « CNCDH ») est l’institution nationale de promotion et de protection des droits de l’Homme française, créée en 1947.
[54]A. WESTIN, Privacy and Freedom, Atheneum, 1967, p. 7 : « Privacy is the claim of individual, groups or institutions to determine for themselves when, how and to what extent information about them is communicated to others » [« La vie privée est le droit des individus, des groupes ou des institutions de déterminer eux-mêmes quand, comment et dans quelle mesure les informations les concernant sont communiquées à des tiers » (traduction de l’auteur)].
[55]L’article 4 du RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Le consentement est une notion centrale dans la protection des données personnelles. Il constituait déjà le fondement principal de l’autorisation d’un traitement de données dans la Directive 95/46/CE du 24 octobre 1995. Au sein du RGPD, les articles 7 et suivants lui octroient un véritable régime juridique protecteur, estimant notamment que « la personne concernée a le droit de retirer son consentement à tout moment [...]. Il est aussi simple de retirer que de donner son consentement » (RGPD, art. 7, § 3).
[56]Le droit relatif à la protection des données personnelles reconnaît le droit à l’information, le droit d’accès, le droit de rectification, le droit d’opposition, le droit de ne pas faire l’objet d’une décision algorithmique, le droit au déréférencement ou encore le droit à l’effacement. V. not. B. FAUVARQUE-COSSON et W. MAXWELL, « La protection des données personnelles », D. 2018, p. 1033 ; G. VIBRAC, « Les fichiers à l’épreuve de nouveaux droits effectifs pour les personnes ? », AJ Pénal, 2018, p. 564.
[57] Le RGPD met en place huit « règles d’or » qui doivent être mises en œuvre par le(s) responsable(s) de traitement et, le cas échéant le(s) sous-traitant(s). Il s’agit des principes de licéité et de loyauté, de transparence, de limitation des finalités, de minimisation et de qualité des données, de limitation de la conservation des données, d’intégrité et de confidentialité, de sécurité et enfin, de responsabilité, qui comprend les principes de Privacy by Design et de Privacy by Default.
[58] Ce n’est pas le cas pour certaines branches du droit, notamment l’article L. 1111-8, VII, du Code de la santé publique (CSP) qui interdit « tout acte de cession à titre onéreux de données de santé identifiantes directement ou indirectement », susceptible de sanction pénale de cinq ans d’emprisonnement et 300 000 euros d’amende (C. pénal, art. 226-21). Toutefois, cet article n’est pas précis : seule la cession de données de santé à titre onéreux est prohibée.
[59]La Quadrature du Net est une association française qui conçoit la protection des données comme un droit fondamental qu’il faut protéger collectivement contre l’abus des entreprises.
[60]Capital (entretien avec A. MESSAUD), « Vendre ses données personnelles : un marché d’avenir ? », Capital, 16 avr. 2019 (consultable sur capital.fr).
[61]A. DEBET, « La protection des données personnelles, point de vue du droit privé », RDP 2016, n° 1, p. 17.
[62] Excepté l’article 83 du RGPD qui permet aux Autorités de contrôle d’imposer une amende administrative allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour un manquement aux obligations et jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pour un manquement à la mise en œuvre des droits des personnes physiques concernées par le traitement de données à caractère personnel.
[63]Excepté les atteintes aux données personnelles pénalement sanctionnées aux articles 226-16 et suivants du Code pénal. V. not. Ch. FERAL-SCHUHL, Cyberdroit : le droit à l’épreuve de l’Internet, Dalloz, coll. Praxis, 2020, 8e éd.
[64]Article 6 du RGPD, « Licéité du traitement », au sein du Chapitre II qui énonce les « Principes » régissant le Règlement.
[65] Article 20 du RGPD relatif au « Droit à la portabilité des données ». Le droit à la portabilité permet une maîtrise des données personnelles fournies par la personne en vertu de son consentement ou de l’exécution contractuelle. Ce principe va au-delà du droit d’accès : le responsable de traitement peut, à la demande de la personne concernée, transmettre les données à un autre responsable de traitement. V. not. N. METALLINOS, « La protection des données au service de l’émancipation du consommateur », Comm. com. électr. 2017, ét. 17.
[66]La Commission nationale de l’informatique et des libertés (ci-après « CNIL ») est une autorité administrative indépendante créée par Loi n° 78-17 du 6 janvier 1978 en charge de veiller au respect de la réglementation sur la protection des données à caractère personnel. V. spéc. Internet Society France, « L’Internet Society France alerte la CNIL au sujet du site tadata-france.fr », ISOC, 11 févr. 2020 (consultable sur isoc.fr).
[67] F. DIOR, « Vendre ses données personnelles : un business controversé », Les Échos-Start, 11 déc. 2020 (consultable sur start.lesechos.fr).
[68]« Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité » (RGPD, Considérant 4).
[69]N. METALLINOS, « La protection des données au service de l’émancipation du consommateur », art. cit.
[70]Cons. constit., 22 mars 2012, n° 2012-652 DC, Loi relative à la protection de l’identité. V. égal/ CNIL, « Présentation du 32e rapport d’activité 2011 », 10 juillet 2012. Depuis presque dix ans, la CNIL plaide pour une « constitutionnalisation de la protection des données personnelles ».
[71] C. MAUBERNARD, « La protection des données à caractère personnel en droit européen : de la vie privée à la vie privée numérique », Rev. UE, 2016, p. 406. V. égal. N. LE BONNIEC, « La Cour européenne des droits de l’homme face aux nouvelles technologies de l’information et de communication numériques », RDLF 2018, chron. n° 5.
[72]A. BACHERT-PARETTI, « La protection constitutionnelle des données personnelles… », op. cit. p. 266-267 : « L’ancien président de la CNIL, Alex Türk, avait d’ailleurs milité pour une inscription de la protection des données dans le préambule de la Constitution ».
[73]En droit des contrats, quatre conditions sont nécessaires pour qu’un contrat soit valable : le consentement exempt de vices, la capacité, le contenu licite et certain (C. civ., art. 1128 et s.).
[74]Le California Consumer Privacy Act(CCPA) fut adopté en octobre 2018, et est entré en vigueur le 1er janvier 2020 sur l’ensemble du territoire californien. Il est inspiré du RGPD en établissant des droits et des obligations, mais ce texte est limité aux organismes privés à but lucratif qui collectent des données sur plus de 50 000 personnes, celles dont le chiffre d’affaires annuel dépasse les 25 millions de dollars, ou celles dont plus de la moitié du chiffre d’affaires annuel provient de données. V. not. L. MEDIAVILLA, « Loi sur les données personnelles : la Californie ouvre le bal aux États-Unis », Les Échos, 6 janv. 2020 (consultable sur lesechos.fr).
[75]V. le « DASHBORD Act » (cf. note n° 44).
[76] A. MONTOT, « La Californie encline à monétiser les données de ses citoyens », art. cit.
[77] Tel que le droit de la propriété intellectuelle, particulièrement le droit d’auteur.
[78] P. BLUM, « RGPD : révolution ou évolution ? », LPA 2018, n° 137, p. 4 : « La plupart n’ont rien compris au règlement et font comme les autres en demandant le consentement pour être tranquilles. En effet, dans le cas où le traitement est lié à un consentement, il faut maintenant garder la trace de celui-ci ».
[79]Le terme GAFAMest un acronyme représentant les entreprises Google, Apple, Facebook, Amazon et Microsoft.
[80] Maxime SBAIHI cité in F. DIOR, « Vendre ses données personnelles… », art. cit.
[81] Amendement proposé par Nicole Belloubet lors des débats tenus au Sénat, le 21 mars 2018, sur le projet qui deviendra la Loi n° 2018-494 du 29 juin 2018 relative à la protection des données personnelles.
[82] L.-M. AUGAGNEUR, « Vers des nouveaux paradigmes du droit dans l’économie numérique », RTD com. 2015, p. 455.
[83]Notamment en instaurant un régime similaire aux droits communs, concernant les vices de consentement, la lésion, etc. Il s’agit d’équilibrer les deux branches du droit, droit civil et droit du numérique.
[84]En droit des contrats, le droit de suite est une prérogative bénéficiant au titulaire d’un droit réel permettant de poursuivre un bien grevé de droits. En droit d’auteur, le droit de suite est une prérogative patrimoniale en faveur de l’ayant-droit, qui peut percevoir un pourcentage lors de chaque revente d’une de ses œuvres originales.
[85]F.-P. LANI, « Vers un droit de propriété sur nos données personnelles », Les Échos, 5 juill. 2018 (consultable sur lesechos.fr).
[86]G. KOENIG, art. cit.. La députée Michelle Garner plaide en faveur d’un droit de propriété et affirme que « [L]es données sont en passe de contribuer davantage que le travail à notre productivité quotidienne ».
[87]En réponse aux arguments souhaitant une protection des données à caractère personnel au même titre que les organes (cf.I-A.)
[88]Pour la France, v. not. V. FAGOT, « Face à des missions étendues, la CNIL revendique plus de moyens », Le Monde, 10 avr. 2018 (consultable sur lemonde.fr). Pour les États-Unis, v. not. A. MOUTOT, « La Californie encline à monétiser les données de ses citoyens », art. cit. L’Autorité de contrôle américaine est « dotée d’un budget modeste : 10 millions de dollars, soit moins de la moitié de celui de l’agence française ».
[89]L’autorégulation des entreprises ne suffit pas, une intervention des autorités publiques est cruciale. V. not. F. PASQUALE, « Après l’affaire Facebook-Cambridge Analytica : Mettre fin au trafic des données personnelles », Le Monde diplomatique, mai 2018, p. 16-17.
[90] P. CREQUY, « Bientôt tous rentiers grâce à nos données personnelles ? », Mes datas et moi, 11 mai 2018 (consultable sur mesdatasetmoi.fr). Cet article cite une étude du Ponemon Institute de 2015 qui établit que « les internautes seraient prêts à faire commerce de leurs data si les entreprises du numérique qui les utilisent à des fins marketing y mettent le prix : 64 euros en moyenne pour un mot de passe, 47 euros pour un numéro de sécurité sociale, 30 euros pour une information de paiement, 25 euros pour divulguer les crédits qu’ils ont contractés et 17 pour confier une habitude de consommation ».Cependant, certains chiffres publiés par Facebook estiment qu’une personne physique européenne rapport en moyenne trente-deux euros par an, d’après le journaliste Lucas Mediavilla (l. MEDIAVILLA, « Facebook et Google bientôt obligés de révéler la valeur des données personnelles », Les Échos, 25 juill. 2019 [consultable sur leschos.fr]).
[91] B. CHOI et al., « Objectif quotidien de 10 000 pas : une revue de la littérature », Médecine clinique et d’investigation. Médecine clinique et expérimentale, 2007, n° 30, p. 3.
[92] Le Figaro, « Les pays d’Europe où étudier coûte le moins cher », Le Figaro étudiant, 27 janv. 2017 (consultable sur etudiant.lefigaro.fr).
[93]S. DE TARLE, « Combien coûtent les études supérieures en France ? », Le Figaro étudiant, 16 mai 2018 (consultable sur etudiant.lefigaro.fr).
[94] Sur la notion de travail, v. spéc. A. ANCIAUX, J. FARCAY et C. MEADEL, « L’instauration d’un droit de propriété sur les données personnelles : une légitimité économique contestable », Revue d’économie industrielle, 2017, n° 158, p. 9.
[95] F. ROCHELANDET, Économie des données personnelles et de la vie privée, La Découverte, coll. Repères, 2010. « La vente de données par des individus pourrait creuser les inégalités. Les riches n’auraient pas besoin de les vendre, contrairement aux plus pauvres » (Alain RALLET cité in par M. PROTAIS, « Comment (mal) gagner sa vie en vendant ses données », L’ADN, 8 mars 2019 (consultable sur ladn.eu).
[96] « Le prix chute quand un grand nombre d’offreurs (les internautes) souhaite vendre leur produit (leurs données personnelles) à un petit nombre de demandeurs (les entreprises et les courtiers en données) […]. Il apparaîtrait alors un système d’enchères inversées, où seuls les internautes proposant les tarifs les plus bas parviendraient à faire affaire. Commercialiser ses données n’offrirait alors qu’une maigre rémunération » (P. CREQUY, art. cit.).
[97] E. LEANDRI et G. CHAMPEAU, « Les données personnelles ne sont ni à prendre ni à vendre », Les Échos, 23 mars 2018 (consultable sur lesechos.fr).
[98]C. DESCHANEL, « L’instauration d’un droit de propriété sur les données personnelles : vrai danger ou fausse utilité ? », RLDI 2019, n° 156,.
[99]V. le « DASHBORD Act », op. cit.
[100]V. not. J. LANIER, Who Owns the Future?, Simon & Schuster, 2013. Depuis 2012, cet auteur propose une rémunération des données pour tous en négociant ses données avant de conclure un contrat ancré sur la technologie blockchain. V. égal. D. BOURCIER et P. DE FILIPPI, « Vers un droit collectif sur les données de santé », RDSS 2018, p. 444, III, A ; M. PROTAIS, « Vendre ses données de santé aux laboratoires pharmaceutiques, bientôt possible via la blockchain », L’Usine, 11 déc. 2018 (consultable sur usinenouvelle.com). En ce sens, v. l’application Wibson qui propose de vendre des données via une place de marché fonctionnant grâce à la technologie blockhain.
[101]La CNIL alerte sur de potentielles atteintes au données personnelles des mineurs et des jeunes majeurs par les organismes d’accompagnement social et médico-social (CNIL, « Communiqué », 2 juin 2021). La CNIL a publié une consultation sur un projet de référentiel, disponible jusqu’en juillet 2021.
[102]Le considérant 38 du RGPD consacre le fait que « les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits au traitement de données à caractère personnel ».
[103]« Sont incapables de contracter, dans la mesure définie par la loi : 1° Les mineurs non émancipés ; 2° Les majeurs protégés au sens de l’article 425 » (C. civ., art. 1146).
[104]L’article 8 du RGPD laisse une marge de manœuvre aux États-membres concernant l’âge de la collecte : « Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans ». À défaut, le traitement autorisé par un mineur est licite lorsqu’il est âgé de plus de seize ans. La France a fixé un âge inférieur : « En application du 1 de l’article 8 du règlement (UE) 2016/679 du 27 avril 2016, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de quinze ans » (L. n° 78-17 du 6 janvier 1978, art. 45). À noter que de nombreux États-membres, tels que l’Irlande, l’Espagne ou la Pologne, ont fixé l’âge de la majorité numérique à treize ans, âge qui peut paraître très jeune pour saisir les enjeux du partage de données.
[105] Cela pose une problématique plus globale, qui est celle du partage des données des mineurs. Sur le respect à la vie privée des enfants : Courrier international, « Au Portugal, “Super Nanny” ne fait pas l’unanimité », Courrier international, 17 janv. 2018 (consultable sur courrierinternationalcom). Sur l’activité des enfants sur les plateformes, v. not. L. CARRIE, « Enfant influenceur : le contrôle parental sous contrôle de l’administration, du juge, des plateformes de partage de vidéos, du CSA... et de l’enfant », Légipresse 2020, p. 691.
[106] W. LUSOLI et C. LANCELOT-MILTGEN, « Young People and Emerging Digital Services: an Exploratory Survey on Motivations, Perceptions and Acceptance of Risks », HAL Working Papers, 2009. Ces professeurs de marketing mènent une étude sur les relations entre les jeunes et les outils numériques en interrogeant 2 014 français de quinze à vingt-cinq ans. V. égal. R. DUMOULIN et C. LANCELOT-MILTGEN, « Entreprise et respect de la vie privée du consommateur. De l’usage autorisé à l’utilisation souhaitable des données personnelles », RFG 2012, n° 224, p. 95.
[107] D’après une étude menée auprès de 1 000 parents et 500 enfants âgés de 19 à 17 ans par l’IFOP et la CNIL en février 2020 intitulée « Les comportements digitaux des enfants : regards croisés parents et enfants », les parentsestiment que « la première navigation de ces derniers sur le web a eu lieu vers 13 ans. Les parents d’enfants de 8-9 ans déclarent, quant à eux, que ceux-ci se connectent seuls à Internet depuis l’âge de 7 ans pour jouer en ligne ou regarder des vidéos ».
[108]Sur ce sujet, v. not. E. SNOWDEN, Mémoires vives, Seuil, 2019.
[109] D’après une étude, effectuée par l’agence Heaven et l’association Génération Numérique, intitulée « #Born Social 2019 », sur les comportements numériques des 11-12 ans, 45,7 % des moins de treize ans déclaraient utiliser l’application TikTok. D’après une étude de Statista Research Department, menée en 2018, 87 % des enfants français âgés de quatorze ans et plus d’un tiers des enfants de huit à dix ans ont au moins un compte sur les réseaux sociaux (consultable sur fr.statista.com).