Nos interfaces de navigation que sont ordinateur, tablette et smartphone captent de plus en plus de données à caractère personnel et via nos posts et updates sur les réseaux sociaux ou d’entreprise, objets connectés et applications qui suivent notre activité. Captées par un opérateur français mais stockées au final dans la Silicon Valley : l’utilisateur a-t-il pour autant perdu le contrôle de ses data ? Qu’a-t-il à perdre en ignorant cette intrusion dans son intimité ? Par Nathalie Devillier, Docteur en droit – Professeur Associé à Grenoble Ecole de Management
Droits fondamentaux vs. approche économique des données à caractère personnel
Il faut distinguer maîtrise des données et propriété de celles-ci.
En France et dans l’Union européenne (UE), la protection des données repose sur l’affirmation d’un droit fondamental à la vie privée et familiale et repose sur un régime juridique spécifique : celui de la loi Informatique et Libertés. Adoptée à la fin des années 70 et amendée en 2004, la LIL comme l’appellent les juristes avait initialement pour objectif de lutter contre les discriminations fondées sur les opinons politiques, l’appartenance religieuse ou l’origine ethnique. Elle n’a pas créé de droit à la libre disposition des données : il n’existe donc pas de droit de propriété en vertu duquel l’individu pourrait céder la propriété de ses données.
Aux USA au contraire, la perception de la Privacy est avant tout économique et il n’existe aucune loi fédérale équivalente à la LIL : c’est le règne de la self-regulation. De plus, aux US chacun peut vendre ses données à des data brokers (Acxiom, Experian, Epsilon, CoreLogic, Datalogix) et des sites internet sont spécialisés dans la revente des données notamment aux entreprises lors d’un recrutement… Si le californien décide librement de vendre ses données, le français est dans l’incapacité juridique d’opérer une telle cession. Or, nombreux sont les serveurs situés sur le sol de l’Oncle Sam… De là à croire que les GAFA s’approprient nos données pour profiler les usagers du Web et tester leurs business models, il n’y a qu’un pas.
Quel droit appliquer aux données personnelles captées dans l’Union européenne mais stockées en dehors ?
L’impression de perte de contrôle des données ressentie par les utilisateurs est renforcée à la lecture des Conditions générales d’utilisation et politiques de confidentialité des sites qui nous indiquent qu’elles sont transférées en dehors du territoire de l’UE. Or, l’identification du régime juridique applicable aux data est critique : comment exercer votre droit à l’effacement des données si celui-ci n’est pas reconnu par le droit en vigueur dans l’Etat sur le territoire duquel les serveurs sont localisés ? Serveur aux USA ? Application du droit américain… L’adoption par l’UE du Règlement Général sur la Protection des Données à caractère (RGPD) personnel en avril 2016 brise cette logique et protègera les data captées sur son sol. C’est une véritable extra-territorialité du droit européen !
La maîtrise des données est avant tout une responsabilité de l’utilisateur
Avoir de la batterie et du réseau est la principale préoccupation des utilisateurs. Prenez 10 minutes et faites cette expérience : lisez les CGU d’une de vos apps en tentant de comprendre les réelles intentions de leurs auteurs : partage avec des partenaires commerciaux, clause d’arbitrage en cas de contentieux au-lieu d’un procès ? Application du droit étranger ? Limitation des garanties à 1000 USD voire cession de vos données personnelles en cas de fusion ou rachat par une autre entreprise ? La bataille autour de la propriété des données est loin d’être gagnée. C’est un peu David contre Goliath. Mais au niveau collectif, la DGCCRF et la Commission des clauses abusives en plus de la CNIL veillent au respect des droits individuels et le RGPD sera un atout supplémentaire.