Notes de la FRS

Les données sont-elles une marchandise comme les autres ?

Note de la FRS n°12/2018
Nicolas Mazzucchi
26 juillet 2018

L’entrée en vigueur de plusieurs textes européens d’importance (directive Sécurité des Réseaux d’Information (SRI), Règlement général de protection des données (RGPD)) ainsi que les discussions en cours sur la refonte de la directive sur les droits d’auteur, induisent plusieurs évolutions dans l’appréhension européenne de la question des donnéesVoir N. Mazzucchi, 2018, année charnière pour l’Europe dans le cyber ?, note FRS 01/2018, janvier 2018.. Au cœur des préoccupations émergentes de la part de différents acteursPar exemple : L. Léger (dir.), Mes data sont à moi, Pour une patrimonialité des données personnelles, rapport de GénérationLibre, janvier 2018., la problématique de la valorisation économique des données tend à occuper une place de plus en plus importante. Les différents textes européens encadrant leur utilisation ainsi que et renforçant la protection du citoyen, il apparaît important de se pencher sur la marchandisation des données et le rôle de l’individu au sein de cette dernière. La première des problématiques auxquelles sont confrontés le législateur, le citoyen et l’entreprise est bien évidemment celle de la nature même des données personnelles et de leur possession. Sans compréhension de ces deux éléments, il n’est pas possible de se prononcer sur leur patrimonialité au sens économique. Le rôle central des grands gestionnaires de données personnelles, y compris les GAFA(M)Acronyme de Google-Apple-Facebook-Amazon et Microsoft, désignant les plus grandes firmes mondiales gérant et utilisant des données., doit être analysé pour comprendre si celui-ci relève de l’usage ou de la réalité technique. De même, le cyberespace étant par essence un espace technique, il appartient de prendre en compte ces aspects particuliers au sein de la question ouverte de la monétisation des données.

Qui possède les données ?

Le cas de la comparaison données/pétrole

Une analogie revient très souvent dans les médias comme au sein de nombreux rapports : les données seraient le pétrole du XXIe siècle. Au-delà de l’image destinée à éclairer le grand public sur la valeur économique des données pour un certain nombre d’Etats et d’entreprises nationales ou transnationales, cette comparaison est censée rendre compte de l’importance que les données, y compris personnelles, vont avoir sur l’économie et le mode de vie des individus au cours de ce siècle. Entrer dans une telle analogie reviendrait à valider la thèse suivante : les individus seraient équivalents à des producteurs de pétrole et, par ricochet, devraient être rémunérés pour la création de la matière première de base de l’économie du XXIe siècleToujours dans L. Léger (dir.), Mes data sont à moi, Pour une patrimonialité des données personnelles, rapport de GénérationLibre, janvier 2018..

Au-delà des problèmes inhérents à une telle approche, notamment sur l’impact global que le pétrole a eu et continue d’avoir sur les sociétés humainesContrairement à une idée, également fort répandue, le monde n’est encore que dans la Deuxième révolution industrielle et repose avant tout encore sur une civilisation du pétrole. Un tel changement ne se produit que lors du changement d’une énergie dominante à une autre. La Première révolution industrielle consacre le passage de la traction animale au charbon et la Deuxième, du charbon au pétrole., il est factuellement faux de considérer que les données se comportent comme du pétrole. Les données sont créées par les individus, de manière souvent inconsciente, un peu comme des traces dans la neige, lors de leur passage sur certains sites Internet. Contrairement au pétrole, il n’y a pas de recherche volontaire de la matière première de la part des individus, ni d’investissement dans cette partie. En outre ces données ne sont rien par elles-mêmes, elles n’acquièrent de valeur qu’en étant agrégées à d’autres, catégorisées, triées, etc. C’est l’une des bases du big data, la variétéLe big data se caractérise par les 4V : volume, variété, vitesse, véracité.. De fait, s’il fallait pousser l’analogie pétrolière, ce sont plutôt les plateformes numériques où sont créées les données qui s’apparentent à des extracteurs de pétrole, non les individus.

Là où la comparaison acquiert plus de pertinence c’est justement sur cette phase « aval », pour rependre un terme pétrolier, à savoir que la plus importante création de valeur dans le monde pétrolier ne vient pas tant de la ressource elle-même mais de son raffinage et de sa mise à disposition de l’utilisateur finalPour une vision plus détaillée des enjeux de la chaîne de valeur du pétrole : N. Mazzucchi, Energie, ressources, technologies et enjeux de pouvoir, Paris, Armand Colin, 2017.. De fait les données ne vont acquérir de valeur que parce qu’une organisation les aura mises en forme et utilisées afin de proposer un service quelconque à des particuliers ou des entreprises. En ce sens les gestionnaires de données, GAFA(M) évidemment mais aussi bien d’autres, agissent à la manière des majors pétrolières, mais sur une matière première dont la nature est radicalement différente. En effet la donnée ne valant rien par elle-même et les données étant de natures extrêmement différentes (traces laissées lors de recherches sur un moteur, d’achats en ligne, d’interactions sur des réseaux sociaux, etc.), ce n’est que par le traitement qu’elles deviennent exploitables, donc valorisables.

Maîtriser plutôt que posséder

La naissance des données, inconsciente car faite des traces que l’utilisateur laisse lors de son passage, induit une logique particulière. La création de données ne peut ainsi se rapprocher d’un acte de création conscient comme celui mis en œuvre dans les domaines littéraire et artistique où la démarche doit être protégée.

Les données ne se rapprochant ni du pétrole, ni de l’invention de trésor, il est ainsi difficilement concevable que le législateur se prononce en faveur de leur possession comme bien. Elles ne sont ainsi pas le résultat d’une action consciente mais bien du passage d’un individu sur une plateforme donnée. C’est la rencontre de ces deux éléments qui crée la donnée, l’un sans l’autre ne pouvant rien faire.

Le droit français, au travers de la Commission Nationale de l’Informatique et des Libertés en particulier, mais également le droit européen, cette fois au travers du RGPD, ont consacré cette situation spécifique. L’individu doit ainsi disposer de la maîtrise de ses données personnelles. En effet celles-ci le concernent directement, y compris dans des aspects intimes – dans le cas des données à caractère médical par exemple – et il est nécessaire et naturel qu’il dispose d’un droit d’accès, de rectification et, avec le RGPD, de « portabilité » de celles-ci. La maîtrise de la donnée doit ainsi demeurer au cœur du droit européen et national du cyber puisqu’il est possible, sinon, d’en faire des usages immodérés comme la revente à des tiers.

Les données seraient ainsi, en termes économiques, un bien non-rival puisque leur utilisation par quelqu’un ne lèserait pas leur utilisation par les autres, le traitement big data appliqué par une entreprise ou une institution – dans le cas de la recherche médicale par exemple – n’empêche ainsi pas leur réutilisation pour un but différent ou similaire. Il s’agit donc de définir non pas combien cela rapporte à l’individu dont les données sont utilisées, mais comment ce dernier peut empêcher leur utilisation dans un cadre qui ne lui conviendrait pas. A ce titre le droit européen, appliquant au fond la maxime de l’Internet code is law, s’inspire des travaux de l’économiste américain Lawrence Lessighttp://www.lessig.org/about/, créateur de la licence de contenus Creative commons qui permet de mettre une œuvre (image, musique, etc.) à disposition du public en spécifiant les cas d’utilisation possibleshttps://www.theguardian.com/science/2006/jan/16/academicexperts.copyright.

De fait le « droit à la donnée » existe déjà dans cette optique d’une possibilité de contrôle de l’utilisation et, maintenant, de la portabilité. Le RGPD constitue, en ce sens, une avancée majeure qui responsabilise grandement les entreprises, quel que soit leur secteur d’activité, quant à l’utilisation qu’elles font de ces mêmes données. Il ne s’agit pas ainsi au titre du rôle de l’Union ou des Etats-membres de considérer l’individu comme un producteur-consommateur, mais bien de le protéger en tant que citoyen face à des firmes dont la puissance économique n’est plus à démontrer.

Problèmes et solutions techniques

Le poids des GAFA(M)

Poser l’évidente question « les GAFA(M) sont-ils Internet ? », permet toutefois de soulever un élément important, celui de l’inégalité des utilisateurs devant le cyber. L’une des principales problématiques en ce domaine tient aux différences dans l’éducation et dans l’appréhension de l’usage du Net. S’il est facile d’utiliser les services des GAFA(M) qui se fondent le plus souvent sur une ergonomie centrée sur l’utilisateur dépourvu de connaissances en informatique, il est également très simple de les contourner. Au-delà de ces entreprises, très présentes et médiatisées, de nombreuses autres agissent comme des gestionnaires des données privées, avec la possibilité, le plus souvent, de mettre en concurrence plusieurs fournisseurs d’un service quasi identique.

Il existe ainsi de nombreux moyens pour des utilisateurs expérimentés de s’affranchir du phénomène décrié d’appropriation des données par les grandes entreprises du Net. Un élément tout d’abord important de leur business model, celles-ci ne vivent au fond que sur la gratuité du service qu’elles proposent et qui repose sur l’ergonomie de leur interface. Google, Facebook, Twitter et consorts sont gratuits – de même que le service fourni par Amazon qui fait payer les produits et pas l’intermédiation, avec une livraison à 1 cent d’euro – ce qui en fait leur principale force mais aussi leur faiblesse intrinsèque. Ces entreprises attirent facilement les utilisateurs mais peuvent également les perdre tout aussi facilement puisqu’il n’existe pas de barrière mentale comme le coût d’un abonnement pour les retenirMême si certains comme Microsoft (Office 365) ou Adobe (Creative suite CC) tentent de l’introduire pour leurs produits phares.. De fait d’autres acteurs les ont déjà précédés et ont connu un déclin dû à leur manque d’ergonomie ou de valeur ajoutée ; Yahoo et surtout MySpace en sont les principaux représentants.

Leur mode de fonctionnement est en effet de mieux en mieux connu des internautes expérimentés qui cherchent le plus possible à se protéger du pistage et, justement, de la récupération des données par ces entreprises. L’émergence de logiciels et de sites libres et garantis sans pistage – ne récupérant pas les données de leurs utilisateurs – a été constatée ces dernières années. Parmi les moteurs de recherche les exemples abondent, comme Duck Duck Go ou Qwant. Ne pas laisser de traces numériques exploitables par les entreprises est à la fois relativement simple et totalement légal.

Ainsi le monopole supposé des géants du Net est une problématique conjoncturelle et pas structurelle qui peut facilement être résolue en cas de transfert massif des utilisateurs vers d’autres sites ou applications. Considérer que les GAFA(M) et autres grands pourvoyeurs de service numériques doivent payer pour les données qu’ils utilisent revient en fait à leur donner une emprise supplémentaire sur les utilisateurs en leur offrant une forme contractualisée de relation avec engagement financier. Eu égard au volume de données transitant sur ces plateformesLa fameuse image de l’Internet en 60 secondes, mise à jour chaque année, est ici parlante : plus de 3,5 millions de recherches sur Google, plus de 480 000 tweets, plus de 3 millions de posts sur Facebook, etc., l’individu isolé ne pèse rien au milieu d’une masse d’utilisateurs – Facebook est de loin le « pays » le plus peuplé de la planète – qui échangent leurs données contre le service de la plateforme (recherches, communication, place de marché, etc.).

Faire payer quoi et où ?

Autre problème inhérent à la net-économie, l’accès immédiat des contenus pour tous et tout le temps – sauf dans les pays mettant en œuvre du filtrage ou de la censure – est consubstantiel à l’Internet. Il y a donc une possibilité d’accéder à pratiquement tous les sites de la planète, donc de laisser des traces numériques – des données en somme – partout. De là se pose la question, au cas où une mise en œuvre de la monétisation des données personnelles serait proposée, de l’applicabilité d’une telle mesure.

La problématique de la territorialisation du droit – et de la fiscalité applicable – est également très complexe. L’accès libre – ou pratiquement – à n’importe quel site depuis sa maison ou son bureau permet un certain contournement des règles traditionnelles de la territorialité. La nationalité d’un site est donc un problème complexe en lui-même. Doit-on considérer que c’est l’extension géographique qui fait foi puisque celle-ci est délivrée par une organisation nationale – l’AFNIC dans le cas français – pas forcément liée à son Etat ? Cela pose un problème quant à la question des données puisque, même si le site est sis dans la « cyber-France », les données peuvent être ailleurs et répondre à un droit étranger. Doit-on dans ce cas considérer que c’est le territoire sur lequel sont entreposés les serveurs qui doit être privilégié ? C’est la position classique en droitEn termes d’usage depuis que le Department of Justice des Etats-Unis, dans l’affaire Megaupload en 2012, a considéré que possession physique vaut possession juridique des données. mais qui amène certains territoires, à la fiscalité et aux règles juridiques accueillantesC’est notamment le cas de l’Irlande au sein de l’UE, où sont installés nombre de sièges européens des GAFA(M)., à devenir des fermes à données géantes. En choisissant comme lieu de perception des éventuels revenus de la vente de données des pays à la fiscalité très favorable aux entreprises, les individus seraient certainement désavantagés.

En outre déterminer qui est à l’origine de telle ou telle donnée est parfois extrêmement complexe. S’agissant des données dites « personnelles » (âge, lieu de résidence, identifiants, etc.), la chose est assez aisée, mais les données en théorie valorisables ne sont pas exclusivement de cette nature ; des habitudes de visite de certaines pages web par exemple. Sur quel élément technique faut-il se fonder ? L’adresse IP n’est qu’une réponse partielle à cette problématique puisque de nombreuses techniques – légales ou non d’ailleurs – permettent de la changer ou de la dissimulerL’utilisation de « masqueurs » d’IP type Tor, le recours à des adresses de type hot-spot, etc.. Le fait est qu’un individu conscient des possibilités offertes par le Net et capable de retourner les problématiques géopolitiques et juridiques de celui-ci à son profit (inattribution, nationalité des sites web, etc.) pourrait contourner l’ensemble du système économique choisi pour une potentielle fiscalisation des données. De là à penser qu’une cybercriminalité d’un nouveau genre se mettrait en place, centrée sur le trafic de données personnelles, il n’y a qu’un pas. Au-delà de cette vision négative, maximaliste certes mais possible, le principal problème demeure la différence de potentiel d’action entre des firmes transnationales extrêmement puissantes et des citoyens, par essence encadrés par leur droit proprement national.

En outre, dans le cas français en particulier, même si cette question doit être étendue au niveau européen, la monétisation des données personnelles heurterait frontalement la politique développée depuis la loi pour une République numérique de 2016. Celle-ci prévoit la création de jeux de données dites « d’intérêt général » qui renforce la politique d’open data des gouvernements français. Le rapport Villani sur l’intelligence artificielle pointe également cette nécessité, car les jeux de données sont la base de l’apprentissage des intelligences artificielles. Avec la volonté d’ouvrir certaines catégories de données au grand public et aux entreprises – dont il convient de préciser les contours car des notions comme « données privées d’intérêt public »C. Villani, Donner un sens à l’intelligence artificielle, Paris, rapport de la mission parlementaire sur l’IA, avril 2018. demeurent floues – la politique menée est clairement dans le sens d’une ouverture numérique au plus grand nombre. Il est toutefois complexe d’imaginer en l’espèce comment cette question des données d’intérêt général/public va se matérialiser et qui pourra en définir les contours et demander aux plateformes les détenant d’en permettre un accès. La contrainte judiciaire semble à la fois trop forte et trop délicate à mettre en œuvreSurtout avec des données stockées majoritairement hors de France, voire, dans le cas où la législation deviendrait trop contraignante au plan communautaire, hors d’Europe.. En ajoutant à cette imprécision juridique une éventuelle monétisation – donc un cloisonnement a priori – des données personnelles, dont certaines entreront certainement dans la catégorie des données d’intérêt général/public, cela entraînerait au contraire une fermeture des possibilités et la création de nouvelles barrières au développement économique.

Conclusion : le poids économique de l’individu demeure quasi nul

Il importe de mettre en avant le principal effet contre-productif d’une telle hypothèse de marchandisation des données. En effet, si jamais il devait y avoir une contractualisation de la relation d’utilisation des données entre un individu et une entreprise, le premier perdrait, mécaniquement, le contrôle sur leur utilisation. En étant rémunéré, sans doute extrêmement peu eu égard au volume et à la variété nécessaires à une analyse intéressante pour l’entreprise, l’individu perdrait de fait sur les deux tableaux. D’une part il ne gagnerait que peu d’argent – avec une fiscalité restant à définir –, et d’autre part, ayant contractualisé sur un mode sans doute fortement inéquitable en sa défaveur, se verrait privé du contrôle que les textes européens établissent. La logique libérale qui préside à une telle vision met en avant une certaine avarice, au sens le plus négatif du terme, où l’usager devenu un cyber-Harpagon finirait par être dépouillé par plus puissant que lui. Refusant le raccourci qui consisterait à mettre en exergue sur ce point la fameuse citation de Lacordaire sur « la liberté qui opprime et la loi qui affranchit », force est de constater que, différentiel de puissance aidant, cette volonté, en apparence vertueuse, de monétisation des données personnelles, ne serait en fait qu’une servitude volontaire. Un exemple est à ce titre assez parlant – tout en disposant du recul suffisant à l’analyse – le service mechanical turk d’Amazon qui propose de rémunérer les individus pour de petites tâcheshttps://www.mturk.com/. Partant de l’idée d’un échange économique entre l’individu et le mastodonte de la Silicon ValleyAmazon est 12e mondial au classement Fortune 500 des entreprises les plus rentables avec des revenus de l’ordre de 135 milliards USD annuels., le système a vite dévoilé son iniquité en faveur de l’entreprise, au point que les utilisateurs sont parfois considérés comme des cyber-forçatshttp://www.lemonde.fr/pixels/article/2017/05/22/les-damnes-de-la-toile_5131443_4408996.html. Un tel système transposé aux données aurait le même effet, écraser l’individu dans la masse pour ne le rémunérer qu’à l’extrême margeLe Financial Times a d’ailleurs publié un calculateur de valeur des données qui confirme cette hypothèse : https://ig.ft.com/how-much-is-your-personal-data-worth/#axzz2z2agBB6R; voir aussi https://www.theguardian.com/news/datablog/2014/apr/22/how-much-is-personal-data-worth. Monétiser la donnée revient ainsi à renforcer le pouvoir des grandes entreprises du Net en leur donnant une capacité de pression sur l’individu, à contre-courant de la volonté des Etats européens, dont tout le travail jusqu’ici a été concentré sur le renforcement des droits de l’individu. Contractualiser contre un échange économique, c’est ainsi donner aux géants du Web la possibilité de faire ce qu’ils veulent avec les données des citoyens, sans possibilité, cette fois, de recours aux protections offertes, entre autres, par le RGPD.