RETROUVEZ CET ARTICLE ET PLUS ENCORE DANS NOTRE GUIDE PRATIQUE : DROIT DE L'INFORMATION, 6E ÉDITION
Découvrez Le Brief de l'IT, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de l'IT, de la digitalisation et de la transformation numérique !
Dans une vie numérique, les données sont partout et naissent de chacun de nos faits et gestes. Les professionnels ont bien pris la mesure des bénéfices stratégiques et financiers à retirer de cette masse de données maintenant accessible et en revendiquent également, bien souvent, la propriété. Mais une telle appropriation est-elle juridiquement possible ?
Lire aussi : 4,2 milliards d'euros d'amendes infligées en Europe au titre du RGPD
1. Qu’est-ce qu’une donnée ?
D'un point de vue technique, une donnée constitue la représentation d’une information permettant sa communication, son interprétation ou son traitement. Les données sont des éléments immatériels de natures très variées qui ne sont pas sans influence sur leur statut juridique.
2. Quel est son statut ?
Il convient de distinguer entre les données publiques et les données privées qui relèvent d’un régime distinct.
Données publiques
Le régime juridique des données publiques est encadré par le code des relations entre le public et l’administration (CRPA). Ce régime a fortement évolué au fil des décennies, jusqu’à la loi pour une République numérique de 2016 (Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, CRPA, art. L 311-1.), qui fait de l’ouverture des données publiques par défaut la règle.
Seules sont concernées les "informations publiques", entendues comme toute information figurant dans des "documents administratifs" à l’exclusion de certaines données telles que, par exemple, les données produites ou reçues par les administrations dans l’exercice d’une mission de service public industriel et commercial ou encore les données protégées par un secret ou un droit de propriété intellectuelle.
Données privées
Le régime juridique des données privées, lui, n’existe pas en tant que tel. Les données privées sont celles produites par une entreprise ou relevant de la sphère privée des individus. En l’état actuel du droit, "la notion de propriété des données n’a pas de statut juridique en tant que tel" (Alain Bensoussan, "La propriété des données", Blog expert Le Figaro, 18-5-2010).
En revanche, de nombreuses dispositions éparses s’appliquent à ces données, ce qui tend à accroître l’insécurité juridique dans laquelle se trouve toute personne qui souhaite procéder à leur réutilisation. L’utilisation est libre et les données dites brutes ne peuvent être appropriées. Par exception, seules les données protégées par la loi et celles protégées par contrat constituent des données appropriables.
Droit à la propriété des informations à caractère personnel
Avant la loi pour une République numérique et le Règlement général sur la protection des données (Règlement (UE) 2016/619 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, applicable au 24 mai 2018), il n’y avait aucune difficulté à soutenir que l’individu ne disposait pas, en l’état du droit, d’un droit de propriété sur les données à caractère personnel le concernant.
En effet, la protection des données personnelles telle qu’elle était alors conçue par la loi du 6 janvier 1978 (Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés), par la Convention n°108 (Convention STE n°108 du Conseil de l’Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, ouverte à la signature des États membres et à l'adhésion des États non membres à Strasbourg le 28 janvier 1981, entrée en vigueur le 1er novembre 1985), n’était pas fondée sur une logique patrimoniale mais sur une logique de droits attachés à l’individu (P. Truche, J.-P. Faugère et P. Flichy, Administration électronique et protection des données personnelles, Rapport public, Doc. fr., février 2002, p. 75 et s. Conseil d’Etat, Le numérique et les droits fondamentaux, Doc. fr., septembre 2014, p. 264 et s.).
La position développée par le cabinet Alain Bensoussan est, au contraire, qu’il faut reconnaître aux individus la propriété de leurs données ("Informatique et libertés", Alain Bensoussan, Edition Francis Lefebvre, 3e édition, page 46). Ces données, par leur valeur économique, constituent des biens relevant du droit de propriété au sens de l’article 544 du Code civil ( Code civil, art. 544 : "La propriété est le droit de jouir et disposer des choses de la manière la plus absolue, pourvu qu'on n'en fasse pas un usage prohibé par les lois ou par les règlements").
Nous devrions passer du droit à la protection au droit à la propriété des informations à caractère personnel. Chaque individu deviendrait véritablement « le maître de son identité informationnelle, tant biologique que numérique ».
Lire aussi : Dark data : ne pas les gérer constitue un risque majeur !
3. Exploitation des données
Redevance ou non
En matière de réutilisation des données publiques, celle-ci est, en principe, gratuite (CRPA Article L. 324-1). Il a été créé une licence ouverte (CRPA, Art.L.300-4) destinée à faciliter la réutilisation libre et gratuite des informations recueillies au sein des diverses administrations.
En réalité, l’administration compétente décide si la réutilisation des données donne lieu à redevance ou non. En cas de redevances, elles doivent être fixées "selon des critères objectifs, transparents, vérifiables et non discriminatoires" (CRPA, Art. L.324-3), tenant uniquement compte des coûts liés à la collecte, la production, la mise à disposition ou la diffusion des informations.
En matière de données privées, la loi pour une République numérique et le Règlement général sur la protection des données viennent consacrer un véritable pouvoir de contrôle de l’individu sur ses données. L’article 1er, alinéa 2 de la loi Informatique et libertés dispose à présent que toute personne a le droit "de décider et de contrôler les usages qui sont faits des données à caractère personnel" la concernant. C’est encore le cas à travers le droit à la portabilité qui a été introduit par la loi pour une République numérique.
Dans le prolongement de cela, l’individu devrait pouvoir monétiser ses propres données. Pour Alain Bensoussan, "chacun va devenir le trader de l’exploitation commerciale de ses données personnelles".
Lire aussi : 34 440 délégués à la protection des données : qui sont-ils ?
4. Vol de données
L’actualité nous montre une multiplication exponentielle de la captation de données. Pourtant, la sanction pénale de ces agissements sur le fondement même de l’existence d’un vol est restée longtemps incertaine. En effet, aux termes de l’article 311-1 du Code pénal, l’infraction de vol est définie comme "la soustraction frauduleuse de la chose d’autrui".
Tout l’enjeu ici est de savoir si cette "chose" peut correspondre à un bien incorporel ? La Cour de cassation a longtemps affirmé que le vol ne pouvait être constitué qu’en cas de soustraction d’un bien corporel.
Condamnation
Néanmoins, un arrêt de la chambre criminelle de la Cour de cassation en date du 20 mai 2015 (Cass, crim. 20-5-2015) est venu confirmer la condamnation pour maintien frauduleux dans un système de traitement automatisé, mais surtout pour vol de fichiers informatiques dans l’affaire dite "Bluetouff".
La Cour de cassation, après avoir constaté que l’auteur des faits, identifié sous le pseudonyme "Bluetouff", s’était introduit dans un système d’information, s’y était maintenu, et avait téléchargé des données qu’il a fixées sur différents supports, a considéré que la Cour d’appel avait bien caractérisé les éléments des infractions de maintien frauduleux et de vol.
Outre cette affaire, la loi du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme (Loi 2014-1353 du 13-11- 2014 renforçant les dispositions relatives à la lutte contre le terrorisme) a modifié l’article 323-3 du Code pénal qui sanctionne désormais le fait d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement des données contenues dans un système de traitement automatisé de données.
Autres dispositifs juridiques
Plusieurs autres dispositifs juridiques permettent au titulaire des données de se protéger d’une appropriation illicite de ses données. Il en est ainsi des dispositifs en matière de concurrence déloyale, de parasitisme économique, de base de données (CPI, art. L342-1) de violation du secret de fabrique (CPI art. L. 621-1), de protection de la vie privée, de protection du secret des affaires (Ccom, art. L 151-4).
L’atteinte aux données peut également être sanctionnée par l’infraction d’abus de confiance (Cass. crim. 30-06-2021, 20-81.570) En effet, aux termes de l'article 314-1 du Code pénal, l'abus de confiance est "le fait par une personne de détourner, au préjudice d'autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu'elle a acceptés à charge de les rendre, de les représenter ou d'en faire un usage déterminé". De tels mécanismes ne permettent toutefois pas de protéger toutes les données sans distinction de valeur ou de provenance.
Espérons que la généralisation des usages, la multiplicité des traitements de données et la médiatisation du big data, conduisent les pouvoirs publics à renforcer et à clarifier l’encadrement juridique de la donnée.
L'autrice, Anne Renard, est avocate et directrice du département conformité et certification chez Alain Bensoussan Avocats.