Faire d’Internet un monde meilleur

Nos données n’appartiennent qu’à notre humanité

, par La Quadrature du Net

« - Et que fais-tu de ces étoiles ?
(…)
 Rien. Je les possède.
(…)
 Mais j’ai déjà vu un roi qui…
 Les rois ne possèdent pas. Ils « règnent » sur. C’est très différent
. »

Antoine de Saint-Exupéry,
« Le Petit Prince », Chapitre XIII [1]

Une donnée est une information. Dans l’environnement informatique, la donnée est constituée d’une séquence de chiffres. L’ordonnancement de ces chiffres leur confère un sens particulier. Mais, la donnée subsiste aussi indépendamment de son support informatique. L’information brute existe, indépendamment de tout encodage numérique.
 
Lorsque cette information est susceptible d’être reliée, directement ou indirectement, à une personne physique, elle constitue une donnée personnelle. [2]

Les débats entourant le droit gouvernant les données personnelles voient régulièrement apparaître des propositions tendant à faire entrer ces données dans le champ du droit de propriété. Les positions les plus extrêmes, issues de cercles ultralibéraux, estiment même opportun de créer un droit de propriété privée sur les données personnelles afin que les individus puissent en négocier l’usage auprès des grands acteurs numériques contre une rémunération. Ces propositions sont présentées comme un moyen plus efficace de lutter contre le « pillage de nos données » que la législation actuelle en vigueur.

Pour séduisante qu’une telle proposition puisse paraître au premier abord, « l’application du concept de propriété est contestable philosophiquement et juridiquement, et n’apporte pas de réponses adéquates » [3], ainsi que l’a parfaitement résumé la Commission nationale consultative des droits de l’homme (CNCDH).

Idée contestable (1) et efficacité hasardeuse (2), ce qui explique probablement pourquoi, au-delà de la CNCDH, nos institutions s’étant penchées sur la question ont, dans une rare unanimité – Conseil d’État [4], CNIL [5], CNNum [6] –, rejeté l’idée de faire entrer les données personnelles dans le champ du droit de propriété. Il en va de même de la doctrine la plus éclairée en la matière [7].

La Quadrature du Net rejette également la thèse de la patrimonialité des données personnelles. Elle considère que la protection de la vie privée et des données personnelles constitue un droit fondamental [8] et que l’enjeu principal consiste à mettre fin à leur exploitation débridée, et non simplement à organiser une compensation monétaire par des tiers.

1.- Une idée contestable

En droit civil, la propriété est le droit de jouir et disposer des choses de la manière la plus absolue, pourvu qu’on n’en fasse pas un usage prohibé par les lois ou par les règlements [9]. Ses attributs sont classiquement assimilés à l’usus (le droit d’user de la chose), le fructus (le droit de percevoir les fruits de la chose) et l’abusus (le droit de disposer de la chose, notamment par l’aliénation ou la destruction). 

En l’état du droit, il n’existe aucun droit de propriété sur les données brutes [10]. Un droit sui generis est certes reconnu au producteur d’une base de données [11] lorsque la constitution, la vérification ou la présentation de son contenu atteste d’un investissement financier, matériel ou humain substantiel [12] sur le plan quantitatif ou qualitatif.

Mais la donnée en elle-même est insusceptible de faire l’objet d’un droit de propriété. À l’instar des idées, qui sont de libre parcours [13]], les données ne sont susceptibles de faire l’objet d’un droit de propriété incorporelle que lorsqu’elles constituent en réalité une œuvre de l’esprit, revêtant un caractère original [14]. Elles rentrent alors dans le champ du droit d’auteur.

Partant, les personnes physiques ne disposent d’aucun droit de propriété sur leurs données personnelles [15].

Il est vrai que certains arrêts récents de la Cour de cassation ont pu faire planer un doute sur la possibilité, pour de simples données, de faire l’objet d’un droit de propriété [16]. Mais si le doute est toujours permis, il est probable que si la juridiction avait souhaité consacrer un changement aussi important de paradigme, en dehors de toute base légale, elle aurait destiné ses décisions à une plus grande publicité - au-delà de la seule publication au Bulletin - et certains auteurs y ont vu plus que ce qu’il fallait y voir. 

Le droit de propriété est une formidable fiction, qui prend ses racines dans des temps immémoriaux et répond à un besoin social. Il s’agit d’une forme d’exercice du pouvoir sur une chose. Mais c’est loin d’être la seule. 

Lorsque les pouvoirs publics lèvent des impôts, ils exercent leur pouvoir sur des individus, des biens et des activités. Pourtant, la nature du droit qui leur permet d’exercer ce pouvoir n’est pas un droit de propriété. Lorsque l’État exige des personnes résidant régulièrement sur son territoire de s’acquitter d’un impôt sur leurs revenus ; des propriétaires de biens immobiliers présents sur son sol, ou même des habitants résidant sur son territoire, de s’acquitter d’un impôt foncier ou local ; ou encore, que des droits de douane lui soient versés pour les marchandises traversant ses frontières, il exerce un droit qui n’est pas un droit de propriété. 

De même, les liens réciproques entre l’État et les personnes disposant de sa nationalité, qui peuvent avoir des effets mutuels très importants – service militaire ou civique, protection consulaire, etc. – ne sont pas constitutifs d’un quelconque droit de propriété. 

La conclusion s’impose rapidement : il existe d’autres droits, outre le droit de propriété, qui permettent d’assurer aussi bien, voire nettement mieux, des finalités variées. C’est ainsi que depuis 1978 - et la loi Informatique et Libertés -, le législateur a fait le choix de protéger les données personnelles en tant qu’élément de la personnalité des individus. Cette approche « personnaliste » imprègne également le RGPD (Réglement général sur la protection des données) adopté au niveau de l’Union européenne, dont les dispositions s’opposent frontalement à l’hypothèse « propriétariste ».

2.- Une efficacité hasardeuse

À l’échelle individuelle, les données sont dépourvues d’une valeur économique significative. C’est l’agrégation massive de données, à partir d’une granularité très fine, combinée à un traitement toujours plus rapide, à l’aide d’algorithmes de plus en plus sophistiqués et de machines de plus en plus performantes, qui permet de créer des modèles, d’anticiper et d’influencer les comportements. C’est ce pouvoir d’anticipation et d’influence qui confère une valeur économique aux données. Croire qu’un individu isolé pourrait retirer des revenus importants de la vente de ses seules données constitue donc une illusion et la légitimé économique de l’approche patrimoniale est pour le moins contestable [17].

Le droit à la protection des données personnelles existe pour protéger les personnes dans des rapports asymétriques, notamment dans leur rapport avec les entreprises et avec les administrations. Il existe pour rééquilibrer des rapports de forces par essence très fortement défavorables aux individus. 

Les mécanismes qui engendrent de la valeur à partir de la collecte et du traitement des données personnelles sont, en pratique, bien souvent illégaux et contraires aux droits fondamentaux. En l’état actuel du droit, lorsqu’une personne consent à ce que l’on utilise des données la concernant, elle conserve un certain nombre de droits (accès, rectification, opposition, effacement, etc.), notamment celui de délimiter l’autorisation accordée à une finalité précise. Dans un système où les données seraient « vendues », ces facultés des individus à contrôler seraient affaiblies, puisque la transaction organiserait un transfert de propriété.

Se placer sur le terrain de la compensation monétaire équivaut donc en réalité à abdiquer ses droits fondamentaux. Doit-on accepter que les droits à la vie privée et à la protection de ses données personnelles soient rétrogradés du rang de droits fondamentaux à de simples biens échangeables sur un marché ?

Les données personnelles existent à la frontière de l’être et de l’avoir [18]. Elles constituent un attribut de la personnalité, une émanation immatérielle de l’individu, une prolongation incorporelle de soi-même.

Ces données revêtent, en outre, un caractère dual, janusien : elles oscillent entre intimité et sphère sociale. On occulte en effet bien trop souvent la dimension collective des données personnelles. Ou plutôt, leurs dimensions collectives : médiates et plus immédiates.

La première concerne par exemple nos données génétiques, susceptibles de révéler des informations sur nos parents, mais aussi sur l’humanité tout entière [19]. Au-delà des données génétiques, il s’agit encore de données plus triviales, mais qui, dès lors que massivement agglomérées et traitées, permettent d’établir des « modèles » susceptibles de révéler des informations parfois très intimes sur des tiers. 

La seconde concerne plus largement l’ensemble des données qui permettent d’être reliées, directement, à plusieurs personnes. À titre d’exemple, on pourrait citer un accident de voiture entre deux véhicules ou un rendez-vous entre deux personnes, l’un et l’autre susceptibles de révéler une multitude d’informations, parfois très précises, sur l’ensemble des protagonistes.

Aussi, contrairement à cette première intuition qui nous anime, les données personnelles ne sont que bien rarement strictement individuelles. Bien souvent, il s’agit en réalité de données collectives, sociales, à même de révéler des informations extrêmement précises et nombreuses, souvent intimes, sur une multitude d’individus. La voie de la patrimonialisation des données personnelles reviendrait à reconnaître un droit de propriété sur une chose qui ne nous appartient pas en propre.

Nos données personnelles permettent de tracer nos « graphes sociaux » [20], d’y entrelacer des nœuds et d’esquisser les liens entre eux. C’est d’ailleurs pour avoir compris l’importance de cette dimension réticulaire des données personnelles que des entreprises comme Google ou Facebook ont pu construire leurs empires grâce à la publicité ciblée. Les données permettent de tisser la trame de nos sociétés et de nouer les points aux carrefours desquels nos relations sociales s’entrecroisent, en sorte qu’il s’agit de véritables « coordonnées sociales » [21].

Si le droit actuel arrive à saisir les données personnelles dans la relation à l’individu, il reste encore assez largement impuissant à reconnaître et à protéger ce qui en fait la dimension collective. Contrairement à ce que soutient la thèse « patrimonialiste », renforcer encore l’approche individualiste en créant un droit de propriété privée ne constituera pas une solution, mais renforcera encore le problème. 

Céder nos données reviendrait en réalité à vendre les clés permettant de nous emprisonner dans des bulles de filtre, de capter notre attention afin d’influencer notre perception de la réalité et, in fine, d’influer sur notre comportement à des fins marchandes, voire sociales et même politiques [22].

Modéliser des comportements. Les anticiper. Et, surtout, les influencer. D’abord, afin d’engendrer un acte économique : l’achat. Ensuite, un acte social : gommer les comportements sociaux considérés négatifs ou favoriser ceux que l’on considère positifs. Ou enfin, un acte politique : le vote.

Justifier de telles pratiques pourrait bien saper les fondements mêmes de notre société, de nos démocraties et de nos États de droit [23].

Le marketing économique, la publicité marchande, la propagande politique existent certes depuis des temps immémoriaux. Il est probable que ces activités aient toujours existé dans l’ombre de l’humanité. Mais l’ampleur, la puissance, l’efficacité de ces phénomènes n’ont probablement jamais été aussi importantes. 

Face à ces enjeux, l’approche de la Quadrature du Net consiste à rester fidèle à la vision philosophique qui conçoit la protection des données comme un droit fondamental de la personne humaine, tout en ayant conscience de l’importance de nous organiser collectivement pour faire valoir ces droits. C’est la raison pour laquelle l’association, dès l’entrée en vigueur du RGPD, a lancé une série d’actions de groupe, mobilisant plus de 12 000 citoyens pour réclamer le respect de nos droits face aux pratiques des GAFAM (Google, Apple, Facebook, Amazon, Microsoft). 

Ces recours collectifs, qui ont été rendus possibles par le RGPD, sont une manière de faire corps ensemble pour le respect de nos droits, mais ils restent encore davantage une agrégation de demandes individuelles plus qu’une défense de la dimension collective des données. Pour aller plus loin et faire évoluer le droit, il devient de plus en plus urgent de reconnaître un droit à l’interopérabilité, qui permettrait aux internautes de quitter les plateformes dominantes et rejoindre des alternatives plus respectueuses de leurs droits, tout en continuant à communiquer avec leurs contacts. Une telle évolution permettrait de protéger les données, non plus uniquement en tant que relation à soi, mais aussi comme relation aux autres. 

***

Nos données personnelles nous définissent. Elles révèlent notre intimité la plus profonde.

Les effets néfastes de la théorie propriétariste sont légion. [24]

Il y a un peu plus de 40 ans, à l’heure où l’informatique en était encore à ses prémisses, le législateur eu la sagesse de proclamer, à l’orée de la première loi relative à l’informatique, aux fichiers et aux libertés, que l’informatique devait être au service de chaque citoyen, sans porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques [25].

Au lieu de s’aventurer avec légèreté sur les terra incognita de la patrimonialisation de nos données personnelles, il serait préférable de s’interroger sur ce qui serait inévitablement défait pour tenter, probablement en vain, de poursuivre des finalités qui peuvent être atteintes par des voies plus sûres. 

Notes

[1La référence à ce passage du Petit Prince d’Antoine de Saint-Exupéry pour illustrer la différence entre « régner » et « posséder » et, plus largement, l’existence d’autres liens juridiques que le droit de propriété pour exercer du pouvoir sur une chose, est empruntée à la professeure Valérie-Laure Benabou, qui y recourra magistralement lors d’une conférence-débat coorganisée par le réseau Galatea et l’Ordre des avocats au Conseil d’État et à la Cour de cassation, qui se tint le 26 juin 2018 dans la bibliothèque de l’Ordre. Outre la professeur Valérie-Laure Benabou, les participants à ce débat étaient M. Jean Lessi, M. Gaspard Koenig, Me Emmanuelle Trichet et Me Isabelle Landreau. La vidéo de cette conférence-débat est consultable à cette adresse : https://www.youtube.com/watch?v=bbhr80OvSxI&t=3616s

[2Les textes recourent plutôt au vocable, plus lourd, de « données à caractère personnel ».

[3CNCDH, avis du 22 mai 2018 sur la protection de la vie privée à l’ère du numérique, adopté à l’unanimité par l’Assemblée plénière de la Commission, pt. 32.

[4Conseil d’État, Le numérique et les droits fondamentaux, Étude annuelle 2014, p. 264 ;
https://www.vie-publique.fr/sites/default/files/rapport/pdf/144000541.pdf ;
Mme Nicole Belloubet, garde des sceaux, faisait sienne la position du Conseil d’État dans les débats qui se sont tenus au Sénat le 21 mars 2018, sur le projet qui deviendra la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, en réponse à un amendement qui visait à insérer un second alinéa à l’article L. 341-1 du code de la propriété intellectuelle, ainsi rédigé : « Le citoyen, entendu comme la personne humaine qui consent à faire exploiter ses données, jouit des droits moraux sur les données personnelles qu’il génère individuellement ou par l’intermédiaire des outils numériques qu’il utilise. »

[6CNNum, rapport sur la « Neutralité des plateformes » (mai 2014), p. 37 ; CNNum, avis sur « La libre circulation des données dans l’Union européenne » (avril 2017).

[7Judith Rochfeld. Contre l’hypothèse de la qualification des données personnelles comme des biens, in : Les biens numériques, éd CEPRISCA, 2015, pp.221-23 ; http://www.ceprisca.fr/wp-content/uploads/2016/03/2015-CEPRISCA-BIENS-NUMERIQUES.pdf

[8Premier considérant du RGPD. 2) de l’article 1er du RGPD. Voir également, CE, ord. réf., 18 mai 2020, La Quadrature du Net e.a., n° 440442, 440445, pt. 6.

[9Article 544 du code civil. 

[10Conseil d’État, « Le numérique et les droits fondamentaux », Étude annuelle 2014, p. 264 ;
https://www.vie-publique.fr/sites/default/files/rapport/pdf/144000541.pdf

[11Dont la notion juridique est définie à l’article L. 112-3 du code de la propriété intellectuelle. 

[12Article L. 341-1 du code de la propriété intellectuelle.

[13Par ex. Civ. 1ère, 5 juillet 2006, n° 04-16.687.

[14Article L. 111-1 du code de la propriété intellectuelle.

[15Conseil d’État, Le numérique et les droits fondamentaux, Étude annuelle 2014, p. 264 ;
https://www.vie-publique.fr/sites/default/files/rapport/pdf/144000541.pdf ; Pierre Truche, Jean-Paul Faugère, Patrice Flichy, « Administration électronique et protection des données personnelles. Livre blanc. », février 2002]. Cela vaut, a fortiori, pour les personnes morales, s’agissant des données de personnes physiques[[Thibault Verbiest, « Smart cities et données », JT 2019, n° 221, p. 31.

[16Un fichier de clientèle informatisé contenant des données à caractère personnel, qui n’a pas été déclaré auprès de la CNIL, n’est pas dans le commerce, et sa vente a un objet illicite (cf. Com., 25 juin 2013, n° 12-17.037, Bull. civ., IV, n° 108). Le détournement de fichiers informatiques contenant des informations confidentielles peut être constitutif d’un abus de confiance (cf. Crim., 22 octobre 2014, n° 13-82.630). Le téléchargement, effectué sans le consentement de leur propriétaire, de données que le prévenu savait protégées caractérise la soustraction frauduleuse constitutive du vol (cf. Crim., 20 mai 2015, n° 14-81.336, Bull. crim., 2015, n° 119).

[17Arnaud Anciaux, Joëlle Farchy et Cécile Méadel, « L’instauration de droits de propriété sur les données personnelles : une légitimité économique contestable », Revue d’économie industrielle, 158 | 2017, 9-41 ; mis en ligne le 15 juin 2019, consulté le 24 décembre 2019. URL : http://journals.openedition.org/rei/6540 ; DOI : 10.4000/rei.6540 ; Fabrice Rochelandet, Economie des données personnelles et de la vie privée, 2010, La Découverte, Repères.

[18rnaud Anciaux, Joëlle Farchy et Cécile Méadel, « L’instauration de droits de propriété sur les données personnelles : une légitimité économique contestable », Revue d’économie industrielle, 158 | 2017, 9-41 ; mis en ligne le 15 juin 2019, consulté le 24 décembre 2019. URL : http://journals.openedition.org/rei/6540 ; DOI : 10.4000/rei.6540 ; Fabrice Rochelandet, Economie des données personnelles et de la vie privée, 2010, La Découverte, Repères. 

[19CNIL, Les données génétiques, 2017, La documentation française, Collection Point CNIL, 216 p. ; https://slate.com/technology/2019/12/gedmatch-verogen-genetic-genealogy-law-enforcement.html.

[23En 2002, M. Michel Gentot écrivait déjà que, dans l’esprit du législateur, le droit à la protection des données personnelles « excédait très largement le seul registre de la protection de la vie privée et touchait aux fondements mêmes de l’État de droit. » (M. Gentot, « La protection des données personnelles à la croisée des chemins », in P. Taraboni (dir.), La protection de la vie privée dans la société de l’information, t. III, PUF, 2002, p. 25 s., spéc. p. 31).

[24Yann Padova, « Notre vie privée n’a pas de prix ! », Les Echos, 28 mars 2019 ; https://www.lesechos.fr/idees-debats/cercle/notre-vie-privee-na-pas-de-prix-1004389.

[25Article 1er de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.