Le débat sur la patrimonialisation des données personnelles suscite de échanges houleux.
Le droit civil et le droit de la propriété intellectuelle nous offrent des moyens pouvant nous permettre de monétiser nos données personnelles. Il est temps de franchir ce cap et d’avoir une conception consumériste des données personnelles comme c’est le cas sous d’autres cieux.

L’annonce du projet de partage des données personnelles entre whatsapp et Facebook dans ses nouvelles Conditions Générales d’Utilisation a relancé à certains égards le débat sur la nécessité de reconnaître un droit de propriété sur les données personnelles. Ceci parce que le projet en cause vise à monétiser les données personnelles des utilisateurs. Mais alors, qu’entendons-nous par données personnelles et par monétisation de celles-ci ?

D’abord, les données personnelles sont définies à l’article 4 du Règlement Général relatif à la Protection des Données comme « toute information se rapportant à une personne physique identifiée ou identifiable ci-après dénommée « personne concernée ». Il s’agit notamment du nom, du prénom, de la date de naissance, des données de géolocalisation, etc...

Ensuite, la monétisation ou la commercialisation des données personnelles consiste à générer des revenus à partir des données personnelles détenues par une entreprise. On distingue les données propriétaires issues d’un partenariat, louées ou achetés ou encore de l’open data des données issues du web. La première façon de monétiser ses données personnelles consiste à les vendre directement contre de l’argent. La seconde façon consiste en l’échange d’informations, de biens ou de services. Il faut à ce titre rappeler que si l’utilisation de ce service ou d’autres services sur internet ne nécessite aucun abonnement, c’est parce que les données personnelles fournies par l’utilisateur constituent la rémunération contre l’utilisation de ladite plateforme. C’est illustration du célèbre adage « you’re not the customer, you’re the product ». La troisième façon consiste à améliorer les performances de l’entreprise ou en créant de nouveaux produits sur la base des données collectées.

Pour empêcher ou limiter whatsapp et les entreprises du numérique de tirer profit de la monétisation des données personnelles, on pense qu’il faut reconnaître un droit de propriété sur les données personnelles au regard de l’ensemble des droits reconnus à la personne concernée tels que les droits d’accès, d’effacement, de portabilité, du refus au profilage dans la mesure où l’individu est au centre de la législation relative à la protection des données personnelles. Cette idée n’est pas nouvelle. La conception consumériste du droit des données personnelles a d’ailleurs été retenue California Consumer Privacy Act. C’est ce que l’on appelle la patrimonialisation des données personnelles. Ainsi, se pose la question de la faisabilité d’une telle patrimonialisation et de son intérêt.

L’objectif poursuivi par la reconnaissance d’un droit de propriété sur les données personnelles est de permettre à la personne concernée de bénéficier directement des revenus liés à l’exploitation des données. Après avoir évoqué les moyens de la patrimonialisation (I), il sera question d’aborder l’intérêt de la patrimonialisation (II).

I. Les moyens de la patrimonialisation des données personnelles.

Deux moyens peuvent être utilisés pour reconnaître un droit de propriété sur les données personnelles. Elle peut se faire au moyen, d’une part, des règles du droit de la propriété contenues dans le code civil. Il s’agit donc d’appliquer les caractéristiques du droit de propriété aux données personnelles (A). D’autre part, elle peut se faire au moyen des règles du droit d’auteur. Celui-ci a l’avantage de conférer à son titulaire à la fois un droit patrimonial et extrapatrimonial. Il s’agit, en conséquence, d’appliquer les caractéristiques du droit d’auteur aux données personnelles (B).

A. L’applicabilité des caractéristiques du droit de propriété aux données personnelles.

Si l’on est unanime sur l’existence de l’usus et du fructus sur les données personnelles, en revanche, l’existence de l’abusus sur les données personnelle semble ne pas convaincre tout le monde. En effet, il apparaît alors que le titulaire des données personnelles dispose de l’abusus dans la mesure où ce dernier peut décider la faire disparaitre par le biais du déréférencement. Quid de l’application du régime du droit d’auteur ?

B. L’applicabilité des caractéristiques du droit d’auteur aux données personnelles.

L’idée ici n’est pas de démontrer que les données personnelles présentent un caractère original ou de les assimiler aux œuvres faisant l’objet du droit d’auteur mais il s’agit d’emprunter leur régime juridique. Pour rappel, le droit extrapatrimonial encore appelé droit moral confère à son titulaire quatre attributs : le droit de paternité, le droit de divulgation, le droit au respect de l’œuvre et le droit de retrait ou repentir. Dans leur application, le droit de paternité et le droit de divulgation sembler poser des difficultés dans leur mise en œuvre. D’abord le droit de paternité en raison de l’anonymisation et ensuite le droit de divulgation car le consentement ne s’éteint pas dès le premier usage.

A l’inverse, le droit au respect de l’œuvre et le droit au retrait ou de repentir de l’œuvre semblent se rapprocher des spécificités. D’une part, le droit au respect de l’œuvre se rapproche de l’obligation pour le responsable de traitement de traiter les données uniquement pour les finalités dont elles ont été collectées et des droits de rectification voire du droit d’opposition et du droit à la limitation du traitement des données. D’autre part, le droit au retrait ou de repentir se rapproche du droit à l’effacement (droit à l’oubli).

En outre, les attributs du droit moral se rapprochent du droit pour la personne concernée de décider du sort de ses données personnelles après sa mort. A cela s’ajoute le fait que les droits reconnus à la personne ne s’éteignent pas par le non-usage car intrinsèquement liés à la personne concernée.

Mais alors quel est l’intérêt de la patrimonialisation ?

II. L’intérêt de la patrimonialisation.

Par la reconnaissance d’un droit de propriété sur ses données personnelles, la personne concernée se verra attribuer un droit d’exploitation sur celles-ci (A). Encore, faut-il que ce droit soit mis en œuvre (B).

A. L’attribution d’un droit d’exploitation sur les données personnelles.

L’attribution d’un droit d’exploitation sur les données personnelles permettra à la personne concerner de monétiser elle-même ses données personnelles. Il s’agit d-concrètement de reconnaître à l’individu un droit d’exploiter commercialement ses données à l’exception des données dites sensibles.

B. La mise en œuvre du droit d’exploitation des données.

Trois outils peuvent être utilisés.

D’abord le contrat qui pourra contenir une clause stipulant la valeur nominale d’une donnée personnelle et que celle-ci serait indexée au chiffre d’affaires du Cessionnaire. Il pourra ainsi mentionner l’objectif ou la finalité du traitement des données collectées.

Ensuite, un organisme pourrait être créé comme celui existant en droit d’auteur notamment la Société des Auditeurs Compositeurs et Éditeurs de Musique (SACEM).

Celui-ci sera chargé de procéder à la conclusion du contrat, de calculer les revenus d’exploitations et de s’assurer que la personne concernée a reçu exactement et intégralement son dû.

Enfin, il est possible de suggérer à la personne concernée, à l’image de l’entrepreneur exerçant son activité professionnelle sous la forme d’une entreprise individuelle à responsabilité limitée (EIRL), qui pour protéger son patrimoine personnel, affecte un patrimoine à son activité professionnelle ; d’affecter un patrimoine qui sera destiné à appréhender les données personnelles.

Sommes toutes, il semble que reconnaître un droit de propriété sur les données personnelles permettrait à son « propriétaire » de mieux connaître sa finalité et d’en tirer profit directement. Il est d’ailleurs temps de le reconnaître.

On peut donc finir ces réflexions en se posant la question suivante : afin de mieux protéger les données personnelles, ne serait-ce pas mieux de rendre ses services payants ?

Lisez l’intégralité de l’article dans le document ci-après :

L’heure est à la patrimonialisation des données personnelles !

Brice de Souza Assistant DPO chez SwissLife France et Etudiant en Droit des Activités Spatiales et des Télécommunications.