La donnée est-elle un bien comme un autre ?
Publié par Elise DUFOUR, associée du cabinet Bignon Lebray le - mis à jour à
Aujourd'hui, nos données personnelles sont dans la nature, res nullius appropriées et revendues par les grands acteurs du numérique. La nature juridique de la donnée doit-elle en conséquence être revisitée pour la rendre appropriable ?
Malgré l'existence d'un fort débat doctrinal, le droit français a refusé d'appliquer aux données le régime du droit de propriété prévu aux articles 544 et suivants du Code civil. Ainsi, les données en tant que telles ne sont pas considérés comme des biens susceptibles d'appropriation.
Les " données " du débat
Dans une économie basée sur le développement du numérique et l'exploitation des données, l'appropriation des données fait l'objet de nombreux débats. En effet, l'usage des données étant sources de grande valeur pour les entreprises, de nombreux acteurs militent pour qu'elles soient " patrimonialisées "(1). La question de la valeur monétaire à accorder à la donnée interroge, mais certains acteurs s'y sont déjà essayés, comme l'entreprise Zappos qui a récemment offert à ses clients américains qui pourraient avoir été touchés par une violation majeure des données en 2012, 10% de réduction sur leurs achats jusqu'à la fin de l'année.
S'il n'existe pas de véritable droit de propriété sur les données, il est néanmoins envisageable de revendiquer une protection de ces données par le truchement d'autres instruments juridiques.
La protection des données à caractère personnel
Les données à caractère personnel bénéficient d'un statut protecteur renforcé depuis l'entrée en vigueur du RGPD. L'enjeu de la protection n'est pas d'instaurer un régime de propriété des données, mais de permettre à l'individu de maîtriser les flux de données le concernant.
Le RGPD impose le respect de nombreuses règles encadrant le traitement des données. En effet, les responsables de traitement doivent respecter le principe de finalité, de minimisation, de transparence et de durée de conservation limitée.
En cas de violation de ces droits, l'entreprise responsable encourt une sanction pouvant s'élever jusqu'à 4% de son chiffre d'affaires mondial. A cet égard, la CNIL a récemment condamné une entreprise à payer une amende de 500.000 euros, notamment pour ne pas avoir respecté les droits d'accès des personnes sollicitées dans le cadre d'opérations commerciales(2).
Malgré l'entrée en vigueur du RGPD, certains jugent que la protection conférée aux personnes est insuffisante. Ils considèrent en effet que les personnes n'ont pas une réelle maîtrise de leurs données, puisque c'est le responsable de traitement qui détermine les finalités et les moyens de la collecte et du traitement des données. Les personnes concernées n'ont aucune capacité de négocier. Ainsi, certains militent pour que les personnes se voient reconnaître un droit de propriété sur leurs propres données. Cela leur permettrait de reprendraient le contrôle de leurs données en maîtrisant leur monétisation tout en profitant de la valeur créée par leurs propres informations.
Les alternatives envisageables
La Cour de cassation a eu l'opportunité de reconnaître indirectement la propriété des fichiers de données à caractère personnel détenues par une entreprise.
Dans un premier arrêt, la Cour de cassation a énoncé que tout fichier informatisé contenant des données à caractère personnel qui n'a pas fait l'objet d'une déclaration auprès de la CNIL était une chose hors commerce et ne pouvait faire l'objet d'une cession(3).
A contrario, il peut être déduit de cet arrêt que le fichier contenant des données à caractère personnel et valablement déclaré à la CNIL peut l'objet d'un commerce.
Dans un autre arrêt, la Cour de cassation a admis que la duplication de fichiers informatiques contenant des données confidentielles constituait le détournement d'un bien, et a retenu pour cela la qualification d'abus de confiance au sens de l'article 314-1 du Code pénal(4). Ainsi, la Cour a ainsi reconnu implicitement la qualification des données comme un " bien " de l'entreprise.
Enfin, la Cour de cassation a également validé la qualification de vol de fichiers de données au détriment d'une entreprise. En l'espèce, une personne avait téléchargé des fichiers informatiques de données pour les diffuser à des tiers " sans le consentement de leur propriétaire ". Elle reconnait ainsi qu'une donnée peut être la chose d'autrui(5).
En outre, si la donnée n'est pas en soi appropriable, il est possible de bénéficier de la protection du contenu d'une base de données prévue par les articles L.342-1 et suivants du Code de la propriété intellectuelle.
La protection bénéficie au producteur de la base de données qui est " la personne qui prend l'initiative et le risque des investissements correspondants ". Pour cela, le producteur doit justifier que la constitution, la vérification ou la présentation du contenu de la base atteste d'un investissement financier, matériel ou humain substantiel(6).
A titre d'exemple, il a été jugé que la seule centralisation, par un site internet, d'annonces immobilières mises à sa disposition par des agences clientes ne constitue pas un acte de constitution, de vérification ou de présentation du contenu d'une base de données(7).
Cependant, la protection n'est pas absolue et comprend des exceptions énumérées à l'article L.342-3 du Code de la propriété intellectuelle. Le producteur ne peut par exemple pas interdire l'extraction d'une partie non substantielle de sa base de données.
La protection est accordée pour une durée de 15 ans, qui débute le 1er janvier de l'année qui suit la date de l'achèvement de la base de données ou, lorsque la base est mise à la disposition du public, le 1er janvier de l'année qui suit la date de cette mise à disposition. Mais tout nouvel investissement substantiel permet d'attribuer à la base qui résulte de cet investissement une durée de protection propre qui commence à courir le 1er janvier de l'année civile suivant celle de ce nouvel investissement(8).
Conclusion
Comme l'indique cette présente note, les données en tant que telles ne jouissent pas d'une protection offerte par le droit de propriété.
Concernant les données à caractère personnel, et malgré une forte volonté d'instaurer un droit de propriété sur ces données, une partie de la doctrine reste fermement opposée à une consécration d'un tel droit. Elle continue de réfuter l'argument selon lequel il permettrait une meilleure protection de ces dernières par les individus. Au contraire, Il est craint l'effet inverse qui viendrait à favoriser une marchandisation des données et un rapport de force en faveur des cessionnaires au détriment des cédants. En effet, une fois les données vendues, la personne concernée perdrait définitivement la maîtrise de celles-ci et l'acquéreur pourrait en disposer à sa convenance.
Elise DUFOUR, associée IP/IT du cabinet Bignon Lebray, Présidente de Cyberlex
(1)Voir par exemple les travaux du Think Tank " Génération libre " qui milite clairement pour " une patrimonialité des données personnelles ".
(2)Délibération de la formation restreinte n°SAN-2019-010 du 21 novembre 2019 concernant la société FUTURA INTERNATIONALE
(3) Cass. Civ., 25 juin 2013, n°12-17.037
(4)Cass. Crim., 22 octobre 2014, n°13-82.630
(5)Cass.crim., 20 mai 2015, n°14-81.336.
(6)CPI, art. L.341-1.
(7)TGI Paris, 3e ch., sect. 4, 26 janv. 2012, n° 10/15675.
(8)CPI, art. L. 342- 5.